Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Control y Auditoria
Quinta edición
Ángel R. Otero
Prensa CRC
Taylor y Francis Group
6000 Broken Sound Parkway NW, Suite 300 Boca
Raton, FL 33487-2742
Sin reclamo sobre obras originales del gobierno de los EE. UU.
Este libro contiene información obtenida de fuentes auténticas y de gran prestigio. Se han realizado esfuerzos razonables para publicar datos e información
confiables, pero el autor y el editor no pueden asumir la responsabilidad por la validez de todos los materiales o las consecuencias de su uso. Los autores y editores
han intentado rastrear a los titulares de los derechos de autor de todo el material reproducido en esta publicación y se disculpan con los titulares de los derechos de
autor si no se ha obtenido el permiso para publicar en este formulario. Si no se ha reconocido algún material protegido por derechos de autor, escríbanos y avísenos
para que podamos rectificarlo en cualquier reimpresión futura.
Excepto en los casos permitidos por la ley de derechos de autor de EE. UU., Ninguna parte de este libro puede ser reimpresa, reproducida, transmitida o utilizada de ninguna
forma por ningún medio electrónico, mecánico o de otro tipo, ahora conocido o inventado en el futuro, incluyendo fotocopiado, microfilmación y grabación, o en cualquier
sistema de almacenamiento o recuperación de información, sin el permiso por escrito de los editores.
Para obtener permiso para fotocopiar o utilizar material electrónico de este trabajo, acceda a www. copyright.com (http: // www.copyright.com/) o
comuníquese con Copyright Clearance Center, Inc. (CCC), 222 Rosewood Drive, Danvers, MA
01923, 978-750-8400. CCC es una organización sin fines de lucro que proporciona licencias y registros para una variedad de usuarios. Para las organizaciones a
las que la CCC les ha concedido una licencia de fotocopia, se ha dispuesto un sistema de pago independiente.
Aviso de marca registrada: Los nombres de productos o corporativos pueden ser marcas comerciales o marcas comerciales registradas, y se utilizan solo para identificación y
explicación sin intención de infringir.
vii
viii • Contenido
Leyes de Firma Electrónica — Ley Uniforme de Transacciones Electrónicas de 1999 y Ley de Firmas
Electrónicas en el Comercio Nacional y Global de 2000 ............. 42
Legislación de privacidad ................................................ .................................................. ......... 42
Ley de Privacidad de 1974 .............................................. .................................................. ..... 43
Ley de Privacidad de Comunicaciones Electrónicas de 1986 ............................................ ............ 43
Ley de Decencia en las Comunicaciones de 1996 ............................................. .......................... 44
Ley de Protección de la Privacidad Infantil en Línea de 1998 ........................................... ........... 44
Ley de Portabilidad y Responsabilidad del Seguro Médico de 1996 ..................................... 44
La tecnología de la información sanitaria para la salud económica y clínica de 2009 ... 45
Ley Gramm – Leach – Bliley de 1999 .......................................... .................................... 46
Unir y fortalecer a Estados Unidos mediante la provisión de las herramientas adecuadas necesarias para interceptar y obstruir
el terrorismo Ley (Ley PATRIOTA de EE. UU.) De 2001 ............... 46
Leyes estatales ................................................ .................................................. ....................... 47
Leyes internacionales de privacidad ............................................... ................................................. 52
Conclusión................................................. .................................................. ..................... 55
Preguntas de revisión ................................................ .................................................. ........... 55
Ejercicios ................................................. .................................................. ....................... 56
Otras lecturas ................................................ .................................................. ............ 56
Comprensión de cómo las aplicaciones procesan los datos ............................................. ............ 104
Identificación de documentos y su flujo a través del sistema ........................................... 104
Definición de elementos de datos ............................................... .............................................. 106
Desarrollo de diagramas de flujo ............................................... ................................. 106
Evaluación de la calidad de la documentación del sistema ............................................ ......... 106
Evaluación de controles sobre documentos .............................................. ............................. 106
Determinación de la eficacia del procesamiento de datos ............................................ .......... 107
Evaluación de la precisión, integridad y utilidad de los informes ........................... 107
Idoneidad de las técnicas de diagrama de flujo .............................................. .................... 107
Técnicas de auditoría asistidas por computadora (CAAT) .......................................... .................... 109
Partidas de interés de auditoría .............................................. .................................................. 110
Matemáticas de auditoría ................................................ .................................................. ... 110
Análisis de los datos ................................................ .................................................. ........... 110
X • Contenido
Apéndice 3: Ejemplos de programas de auditoría de TI para áreas de TI de control general ... 391
Apéndice 4: Procedimientos de mejores prácticas de ACL para probar los asientos del diario contable ... 411
Apéndice 6: Ejemplo de política de gestión del control de cambios .......................................... ..... 435
Apéndice 9: Áreas de control recomendadas para la auditoría de adquisiciones de software ... 453
Motivación
A lo largo de los años, las organizaciones han experimentado numerosas pérdidas que han tenido un impacto directo en su activo más
valioso, la información. Los atacantes son capaces y continúan buscando oportunidades para romper los sistemas informáticos tradicionales
y no tradicionales y explotar sus vulnerabilidades. Ataques como el anterior, junto con la promulgación de leyes y regulaciones recientes,
todas principalmente relacionadas con la protección de la información, han convertido la auditoría de tecnología de la información (TI) en una
profesión crítica, dinámica y desafiante con un futuro que trae el crecimiento hacia nuevos y emocionantes - ing áreas relacionadas con las
TI.
Reconocí la importancia de escribir un libro que ayudaría a comprender la profesión de auditoría de TI, haciendo hincapié en cómo
la auditoría de TI brinda a las organizaciones y auditores la capacidad de evaluar de manera efectiva la validez, confiabilidad y seguridad
de la información financiera. De particular importancia fue escribir sobre técnicas, procedimientos y controles que podrían ayudar a las
organizaciones y auditores a determinar si las actividades relacionadas con la recopilación, procesamiento, almacenamiento y
distribución de información financiera son efectivas y consistentes con las metas y objetivos de la organización. Otro factor motivador
para escribir este libro fue cubrir material relevante que normalmente se prueba en los exámenes de Auditor de sistemas de información
certificado (CISA) y Contador público certificado (CPA) (por ejemplo, controles internos, técnicas de auditoría asistidas por computadora
(CAAT), conjuntos de habilidades tecnológicas, etc.). Por último, quería escribir un libro que capturara el conocimiento y la experiencia
que he adquirido a lo largo de mi carrera de auditoría de TI.
Propósito
Este libro reconoce la necesidad continua de que las organizaciones y los auditores administren y examinen eficazmente los sistemas de
TI para cumplir con las metas y los objetivos comerciales. El libro proporciona principios, conocimientos y habilidades esenciales sobre
cómo controlar y evaluar los sistemas de TI que prepararán al lector para una carrera exitosa en la práctica pública, la industria privada o
el gobierno. Dirigido tanto a estudiantes como a profesionales de la industria en los campos de TI y contabilidad, el libro:
• incluye problemas de auditoría de TI, simulaciones, casos prácticos y oportunidades de asignación de investigación
• está diseñado para satisfacer las crecientes necesidades de auditoría, cumplimiento, seguridad y gestión de riesgos de TI.
• representa un recurso ideal para quienes se preparan para los exámenes CISA y CPA.
xvii
xviii • Prefacio
El libro está diseñado para su uso en un curso semestral a nivel de pregrado (nivel superior) y posgrado. También está diseñado
para encajar bien en un curso en línea. La contabilidad financiera y gerencial, los sistemas de información contable, los sistemas
de información gerencial y / o los principios gerenciales son todos requisitos previos sugeridos.
Un cambio significativo de esta quinta edición es la reducción y / o consolidación de capítulos, de 26 (edición anterior) a 13 capítulos, lo que
permite a la facultad ajustar fácilmente los capítulos al término del curso (por ejemplo, curso de 16 semanas, curso de 8 semanas curso, etc.).
Cada capítulo se ha revisado de manera significativa para incluir conceptos, ejemplos, herramientas y / o técnicas de auditoría actualizados,
incluidos casos de final de capítulo que presentan escenarios prácticos de auditoría de TI. Estos escenarios requieren que los estudiantes
trabajen individualmente o en equipos, participen en discusiones en el aula, realicen análisis y propongan estrategias para la toma de
decisiones. La quinta edición está diseñada para temas de auditoría, técnicas informáticas y otros conjuntos de habilidades tecnológicas y
Otra contribución significativa es la adición o revisión de recursos y materiales didácticos que permiten a los docentes
enfocar su atención en la presentación y discusión en el aula. Los recursos y materiales disponibles incluyen:
en la sección de notas.
• Bancos de prueba certificados por el autor, que garantizan la prueba de habilidades cognitivas de alto nivel y no solo
sobre la memorización de textos. Los bancos de pruebas incluyen preguntas de opción múltiple, verdaderas o falsas, y de redacción que
El Capítulo 1 analiza cómo la tecnología evoluciona constantemente y da forma a los entornos empresariales actuales. El capítulo también
habla de la profesión de auditoría, con especial interés en la auditoría de TI. Tras la discusión de la auditoría, se describen las tendencias
y necesidades actuales de la auditoría de TI, así como las diversas funciones de un auditor en el campo de TI. El capítulo termina con
explicaciones de por qué la auditoría de TI se considera una profesión y las diversas oportunidades profesionales disponibles para los
auditores de TI.
El Capítulo 2 se enfoca en la legislación federal, estatal e internacional que rige el uso, mal uso y privacidad de la
información y su tecnología relacionada. La legislación tiene un impacto duradero en la comunidad en línea (gobierno,
empresas y el público), que es algo que deben conocer quienes ingresan a la profesión de auditoría de TI.
El Capítulo 3 analiza el proceso de auditoría para TI y las demandas que se le impondrán a la profesión en el futuro. El capítulo
cubre evaluaciones de riesgos, planificación de auditorías, fases requeridas de un
Prefacio • xix
Compromiso de auditoría de TI y la importancia de la documentación de auditoría de TI al respaldar las auditorías de estados financieros.
El Capítulo 4 define las herramientas de productividad de auditoría y describe cómo ayudan al proceso de auditoría. A continuación, el capítulo
aborda las diversas técnicas utilizadas para documentar los sistemas de aplicación financiera. Las explicaciones de las CAAT y el papel que
desempeñan en la auditoría seguirán junto con las descripciones de las diversas técnicas utilizadas al definir el tamaño de la muestra de auditoría,
seleccionar muestras y revisar las aplicaciones. A continuación, se describirán los CAAT utilizados en la auditoría de los controles de aplicación y en
las revisiones operativas, seguidos de explicaciones de las herramientas y técnicas informáticas forenses.
El Capítulo 5 reconoce la globalización existente de muchas industrias y mercados financieros, y enfatiza la importancia de una
gobernanza y controles efectivos para el éxito de las organizaciones. La Ley Sarbanes-Oxley de 2002, el Comité de
Organizaciones Patrocinadoras de la Comisión Treadway, el Código Combinado de Gobernanza en el Reino Unido y los
Principios de Gobierno Corporativo de la Organización para la Cooperación y el Desarrollo Económicos en Europa han
establecido el estándar para gobierno corporativo global. Para TI, los Objetivos de Control para la Información y Tecnología
Relacionada (COBIT) se han convertido en el estándar global para el gobierno. El gobierno de TI proporciona la estructura y la
dirección para lograr la alineación de la estrategia de TI con la estrategia comercial.
El capítulo 6 analiza el proceso de gestión y evaluación de riesgos en un entorno de TI. La gestión de riesgos debe integrarse en la
planificación estratégica, la planificación operativa, la gestión de proyectos, la asignación de recursos y las operaciones diarias, ya que
permite a las organizaciones centrarse en las áreas que tienen el mayor impacto. Las evaluaciones de riesgos, por otro lado, ocurren en
múltiples niveles de la organización con un enfoque en diferentes áreas. ¿Cuáles son las características y componentes de un proceso de
gestión de riesgos? ¿Cuáles son los estándares profesionales de práctica para las evaluaciones de riesgos? ¿Cuáles son ejemplos de
prácticas de evaluación de riesgos que se utilizan en diversos entornos? Estas son algunas de las preguntas que se responderán en el
capítulo.
El Capítulo 7 se centra en las mejores prácticas, estándares y metodologías de gestión de proyectos que utilizan los gerentes
para poner fin a los proyectos de manera eficaz y eficiente. El capítulo también analiza los factores a la hora de realizar una gestión
de proyectos eficaz, así como el papel del auditor en la gestión de proyectos. También se tratan temas como la gestión de proyectos
de TI y la gestión de proyectos de big data.
El Capítulo 8 analiza el ciclo de vida del desarrollo del sistema y sus fases comunes, así como los riesgos y controles asociados
relacionados con dichas fases. El capítulo también explica los enfoques comunes utilizados para el desarrollo de software y termina con
una discusión sobre la participación del auditor de TI en el proceso de desarrollo e implementación del sistema.
El Capítulo 9 analiza los riesgos comunes a varios tipos de sistemas de aplicación y proporciona ejemplos de dichos riesgos
potenciales. El capítulo también aborda los controles de aplicación relevantes (es decir, entrada, procesamiento y salida) que
las organizaciones pueden implementar para mitigar los riesgos discutidos. Por último, se explica la participación de los
auditores de TI al examinar las aplicaciones.
El capítulo 10 analiza los procesos y procedimientos de gestión para el control de cambios y el cambio organizacional. Este
capítulo también describe la gestión de la configuración y las actividades de muestra.
xx • Prefacio
realizado como parte de un plan de gestión de la configuración. Este capítulo termina con una discusión sobre la participación de la auditoría de TI
El Capítulo 11 presenta una descripción general de las operaciones de los sistemas de información como un componente relevante de la
infraestructura de TI. Este capítulo proporciona ejemplos de objetivos y actividades de control en las que el auditor de TI debe centrarse al examinar
las operaciones de los sistemas de información. Este capítulo también cubre los grupos informáticos de usuarios finales y proporciona pautas para
auditar dichos grupos. Por último, la participación en la auditoría de TI se analiza al examinar las operaciones de los sistemas de información,
incluidos los procedimientos a seguir al auditar los centros de datos y los planes de recuperación de desastres, entre otros.
El Capítulo 12 describe la importancia de la seguridad de la información para las organizaciones y cómo la información
representa un activo crítico en el entorno empresarial actual. Este capítulo también analiza las tecnologías recientes que están
revolucionando las organizaciones y, específicamente, la necesidad de implementar una seguridad adecuada para proteger la
información. También se describen las amenazas y los riesgos de seguridad de la información y cómo continúan afectando los
sistemas de información. Luego se discutirán los estándares y pautas de seguridad de la información relevantes disponibles
para las organizaciones y los auditores, junto con la importancia de establecer una política de seguridad de la información. Este
capítulo continúa con una discusión de las funciones y responsabilidades del personal de seguridad de la información. Para
finalizar, las explicaciones de los controles de seguridad de la información, la importancia de seleccionar, implementar,
El Capítulo 13 analiza los factores críticos de éxito al adquirir sistemas o servicios de terceros. Este capítulo también cubre la gestión del
servicio y las expectativas de una asociación eficaz entre organizaciones y proveedores. La subcontratación de TI, que se analiza a continuación, se
refiere a la contratación de una empresa externa para que se encargue de la totalidad o parte de las actividades de procesamiento de TI de una
organización, lo que permite a las organizaciones centrarse en lo que hacen mejor. Por último, se describe la participación en la auditoría de TI al
• Describir la legislación relevante para los auditores de TI y su impacto en el campo de las TI. Para ilustrar
delitos y ataques cibernéticos denunciados con frecuencia. Desarrollar planes y procedimientos de auditoría que ayuden a las
• Para explicar el proceso de auditoría de TI, la importancia de los objetivos de control para la información
y Tecnología Relacionada (COBIT), y las diversas fases de un trabajo de auditoría de TI. Desarrollar documentación
relevante y práctica para realizar trabajos de auditoría de TI.
• Apoyar el papel y la importancia de las herramientas y las técnicas de auditoría asistidas por computadora (CAAT)
al realizar el trabajo de auditoría. Diseñar planes de auditoría que aseguren el uso adecuado de herramientas y tecnologías al realizar
el trabajo de auditoría.
• Describir la gestión de proyectos, así como los estándares de gestión de proyectos y las mejores prácticas.
tices. Discutir el rol del auditor de TI en la gestión de proyectos.
Prefacio • xxi
• Resumir el ciclo de vida de desarrollo del sistema (SDLC), enfoques comunes, riesgos, asociaciones
controles y la participación del auditor de TI. Desarrollar programas de auditoría relevantes que enumeren los riesgos relacionados con las
fases de SDLC y los controles y procedimientos de TI necesarios para mitigar esos riesgos.
• Discutir los riesgos asociados con tipos comunes de sistemas de aplicación, así como la aplicación
controles y cómo se utilizan para salvaguardar la entrada, el procesamiento y la salida de información. Discutir la
participación del auditor de TI en un examen de sistemas de aplicación. Desarrollar documentación relevante y práctica
para realizar trabajos de auditoría de TI.
• Establecer la importancia de un proceso de gestión de control de cambios. Para ilustrar la auditoría
participación en un examen de gestión de control de cambios. Realizar el trabajo de auditoría real relacionado con la
gestión del control de cambios, desde la comprensión del entorno de TI hasta la comunicación formal de los resultados
de la auditoría a la dirección.
• Para demostrar la importancia para las organizaciones de haber implementado políticas,
cedimientos y controles adecuados relacionados con las operaciones de los sistemas de información para asegurar la
integridad, precisión y validez de la información. Describir la participación de la auditoría en un examen de las operaciones de
los sistemas de información de una organización. Diseñar y preparar documentación relevante y práctica al realizar trabajos de
auditoría de TI.
• Respaldar la importancia de proteger la información contra amenazas y riesgos de seguridad, y
implementar políticas, procedimientos y controles de seguridad de la información efectivos para garantizar la integridad de dicha
información. Describir la participación de la auditoría en un examen de seguridad de la información.
• Explicar la importancia de una estrategia de abastecimiento como factor crítico de éxito para adquirir TI.
servicios o productos. Discutir cómo se deben definir los servicios de TI para cumplir los objetivos organizacionales y cómo
medir el desempeño de esos servicios de TI.
Expresiones de gratitud
Empiezo agradeciendo a Dios por todas las bendiciones, la vida misma, la familia, los amigos y ahora la oportunidad de completar este
libro. A continuación, extiendo mi más profundo agradecimiento al Sr. Richard O'Hanley de CRC Press y Auerbach Publications, quien
creyó en mí y confió en que podemos realizar un gran trabajo juntos. Estoy especialmente agradecido con el equipo de desarrollo
editorial y los revisores de la facultad, quienes mejoraron la calidad de este libro con sus invaluables sugerencias, comentarios y críticas
constructivas. La profundidad y sinceridad de sus revisiones evidenciaron claramente su devoción y pasión por el campo de la auditoría
de TI. Tuve el privilegio de contar con sus sinceros y valiosos consejos, que sin duda agregaron un valor significativo a esta quinta
edición.
A colegas y amigos, gracias por el tiempo, la orientación, los consejos, los conocimientos y el apoyo brindados, todos
fundamentales para alentarme a comprometerme con el desafiante viaje de escribir un libro.
A mis padres, Angel L. Otero y Lydia E. Rivera, mis hermanos, Dr. Luis Daniel Otero y Dr. Carlos Otero, gracias
a todos por servir como grandes modelos a seguir, personal y profesionalmente. Gracias por su constante apoyo,
aliento y por desafiarme siempre a trabajar en el siguiente nivel.
A mis hijos Elizabeth, Leonardo y Giancarlo, espero que el logro que obtuve hoy les sirva de aliento y motivación.
Recuerde siempre trabajar duro sin dañar a su vecino, nunca conformarse con menos y condicionar su mentalidad
para la grandeza. Sean respetuosos, humildes y, lo más importante, pongan siempre a Dios en primer lugar en sus
vidas.
Por último, pero no menos importante, mi más sincero agradecimiento a mi encantadora esposa y mejor amiga,
Ghia. Gracias por creer en mí desde el día en que me embarqué en este esfuerzo. Gracias por su gran ayuda, continuo
aliento y apoyo en la crianza de nuestros hijos. Gracias por su amor incondicional y las noches de insomnio durante los
últimos años. Le debo la finalización de este libro y todos los sacrificios que hizo. Te amo con todas las fuerzas de mi
corazón.
xxiii
Autor
Angel R. Otero, Ph.D., CPA, CISA, CITP, CICA, CRISC es profesor asistente de contabilidad y presidente de programas
de contabilidad y finanzas en línea en la Facultad de Negocios del Instituto de Tecnología de Florida (Florida Tech o FIT),
Melbourne, FL. El Dr. Otero tiene una licenciatura en contabilidad de la Universidad Estatal de Pennsylvania, una maestría
en ingeniería de software de Florida Tech y un Ph.D. en sistemas de información de Nova Southeastern University. También
es miembro activo de las organizaciones profesionales del Instituto Americano de Contadores Públicos Certificados
(AICPA), ISACA (antes Asociación de Control y Auditoría de Sistemas de Información) y del Instituto de Controles Internos
(IIC).
El Dr. Otero tiene más de 20 años de experiencia en la industria en las áreas de auditoría / contabilidad pública, auditoría de
sistemas de información, auditorías de control interno y consultoría de tecnología de la información. Los clientes atendidos incluyen
las industrias de banca / finanzas, seguros, gobierno, manufactura, minorista y mayorista, entre otras. Antes de unirse a FIT, el Dr.
Otero trabajó en Deloitte & Touche, LLP durante más de 10 años y alcanzó el puesto de gerente senior supervisando oficinas en el
estado de Florida y Puerto Rico.
Los intereses de investigación del Dr. Otero incluyen (1) auditoría de sistemas / tecnología de información; (2) sistemas de
información contable; (3) auditorías financieras y controles internos; y (4) auditorías de seguridad de la información y evaluaciones de
riesgos. Ha publicado en múltiples revistas revisadas por pares y actas de congresos.
xxv
FUNDACIÓN yo
PARA LA AUDITORÍA
Capítulo 1
Tecnologías de la información
Auditoría de medio ambiente y TI
OBJETIVOS DE APRENDIZAJE
1. Analice cómo la tecnología evoluciona constantemente y da forma a los entornos empresariales (TI) actuales.
Actualmente, las organizaciones dependen más de la información y son más conscientes de la naturaleza omnipresente de la tecnología en
toda la empresa comercial. La mayor conectividad y disponibilidad de sistemas y entornos abiertos ha demostrado ser el sustento de la
mayoría de las entidades comerciales. La tecnología de la información (TI) se utiliza ahora más ampliamente en todas las áreas del comercio
en todo el mundo.
Entorno de TI
La necesidad de un mejor control de la tecnología de la información, especialmente en el comercio, se ha planteado a lo largo de los años
en estudios anteriores y continuos de muchas organizaciones nacionales e internacionales. Esencialmente, la tecnología ha impactado
varias áreas importantes del entorno empresarial, incluido el uso y procesamiento de la información, el proceso de control y la profesión de
auditoría.
3
4 • Control y auditoría de tecnologías de la información
En general, los objetivos de control se han mantenido constantes, salvo algunos que son específicos de la tecnología, la
tecnología ha alterado la forma en que se deben controlar los sistemas. Salvaguardar
bienes, como objetivo de control, sigue siendo el mismo si se hace manualmente o de forma automática. Sin embargo, la forma
en que se cumple el objetivo de control ciertamente se ve afectada.
• La tecnología ha impactado a la profesión de auditoría en términos de cómo se realizan las auditorías.
(captura y análisis de información, preocupaciones de control) y el conocimiento requerido para sacar conclusiones con
respecto a la efectividad, eficiencia e informes operativos o del sistema
integridad. Inicialmente, el impacto se centró en lidiar con un entorno de procesamiento modificado. Como la necesidad de auditores
con habilidades tecnológicas especializadas creció, también lo hizo la profesión de auditoría de TI.
La tecnología evoluciona constantemente y encuentra formas de dar forma al entorno de TI actual en la organización. Las siguientes
secciones describen brevemente varias tecnologías recientes que han revolucionado y ciertamente seguirán revolucionando las
organizaciones, la forma en que se hacen negocios y la dinámica del lugar de trabajo.
Según la edición de junio de 2016 de Apps Run the World, una empresa de investigación de mercado de tecnología dedicada al espacio
de las aplicaciones, el mercado mundial de sistemas ERP alcanzará los $ 84,1 mil millones en 2020 frente a $ 82,1 mil millones en
2015. ERP es un software que proporciona funcionalidad empresarial en un sistema de entorno de TI integrado (por ejemplo,
adquisiciones, inventario, contabilidad,
y recursos humanos [RRHH]). Consulte el Anexo 1.1 para ver una ilustración del sistema modular ERP.
Los ERP permiten que múltiples funciones accedan a una base de datos común, lo que reduce los costos de almacenamiento y aumenta consistencia
• Disponer de métodos estándar para automatizar procesos (es decir, información en el sistema de RR.
tem puede ser utilizado por nómina, mesa de ayuda, etc.).
• Comparta información en tiempo real de los módulos (finanzas, recursos humanos, etc.) que residen en un
base de datos, por lo tanto, Estados financieros, Los análisis y los informes se generan con mayor rapidez y frecuencia.
Algunos de los principales proveedores de ERP en la actualidad son SAP, FIS Global, Oracle, Fiserv, Intuit, Inc., Cerner
Corporation, Microsoft, Ericsson, Infor y McKesson.
A pesar de las muchas ventajas de los ERP, no son muy diferentes de los sistemas comprados o empaquetados y, por lo tanto, pueden
requerir modificaciones importantes en los procesos comerciales nuevos o existentes. Las modificaciones de ERP (es decir, las versiones de
software) requieren una programación considerable para actualizar todo el código específico de la organización. Debido a que los sistemas
empaquetados son genéricos por naturaleza, las organizaciones pueden necesitar modificar sus operaciones comerciales para que coincidan con el
método de procesamiento del proveedor, por ejemplo. Los cambios en las operaciones comerciales pueden no encajar bien en la cultura de la
organización u otros procesos, y también pueden ser costosos debido a la capacitación. Además, dado que los ERP son ofrecidos por un
Entorno de tecnología de la información y auditoría de TI • 5
Financiero
recurso
administración
Humano
Cadena de suministro
recurso
administración
Empresa administración
recurso
planificación
(DB común)
Fabricación Cliente
recurso relación
planificación administración
vendedor, riesgos asociado con tener un solo proveedor para aplicar (por ejemplo, dependiendo de un solo proveedor para mantenimiento y
soporte, requisitos específicos de hardware o software, etc.).
Computación en la nube
La computación en la nube sigue teniendo un impacto cada vez mayor en el entorno de TI. Según ISACA (anteriormente conocida como
Asociación de Control y Auditoría de Sistemas de Información), el crecimiento exponencial de la computación en la nube ya no debería
considerarse una tecnología emergente. La computación en la nube ha dado forma a los negocios en todo el mundo, y algunas
organizaciones la utilizan para realizar procesos comerciales críticos. Según el informe ISACA Innovation Insights de julio de 2015, la
computación en la nube se considera una de las tendencias clave que impulsa el negocio estrategia. La International Data Corporation, en
su publicación de 2015, también predice que la computación en la nube crecerá un 19,4% anual durante los próximos 5 años. Además, el
informe de computación en la nube de la perspectiva 2016 de Deloitte (informe) indica que para las empresas privadas, la computación en
la nube seguirá siendo un factor dominante.
La computación en la nube, según la definición de PC Magazine, se refiere al uso de Internet (en comparación con el disco duro de la
computadora) para almacenar y acceder a datos y programas. De una manera más formal, el Instituto Nacional de Estándares y Tecnología
(NIST) define la computación en la nube como un "modelo para permitir el acceso a la red ubicuo, conveniente y bajo demanda a un grupo
compartido de recursos informáticos configurables (por ejemplo, redes, servidores, almacenamiento , aplicaciones y servicios) que pueden
proporcionarse y publicarse rápidamente con un mínimo esfuerzo de gestión o interacción del proveedor de servicios ”. El NIST también enfatiza
Los servicios altamente flexibles que se pueden administrar en el entorno virtual hacen que la computación en la nube sea muy atractiva
Totalmente cómodo al almacenar su información y aplicaciones en sistemas que residen fuera de sus instalaciones en el sitio. La migración
de información a una infraestructura compartida (como un entorno en la nube) expone la información sensible / crítica de las organizaciones a
riesgos de posible acceso no autorizado y exposición, entre otros. Deloitte, una de las firmas de contabilidad y auditoría más importantes del
mundo, también respalda la importancia de la seguridad y la privacidad antes mencionada y agregó, en base a su informe, que la información
almacenada en la nube relacionada con los datos del paciente, los detalles bancarios y los registros de personal, para nombrar un pocos, es
vulnerable y susceptible de mal uso si cae en las manos equivocadas.
MDM, también conocido como Enterprise Mobility Management, es un término relativamente nuevo, pero ya está dando forma al entorno de TI en
las organizaciones. MDM es responsable de gestionar y administrar los dispositivos móviles (por ejemplo, teléfonos inteligentes, computadoras
portátiles, tabletas, impresoras móviles, etc.) que se proporcionan a los empleados como parte de sus responsabilidades laborales. En concreto, y
Los empleados también utilizan los dispositivos móviles por motivos personales. Es decir, los empleados traen su propio dispositivo móvil
(personal) a la organización (también conocido como traer su propio dispositivo o BYOD) para realizar su trabajo. Permitir que los empleados
utilicen los dispositivos móviles proporcionados por la organización por motivos laborales y personales ha demostrado ser atractivo para el
empleado medio. Sin embargo, las organizaciones deben monitorear y controlar las tareas realizadas por los empleados cuando usan dispositivos
móviles y asegurarse de que los empleados permanezcan enfocados y sean productivos. Representa un riesgo para la seguridad de la
organización y una distracción para los empleados cuando los dispositivos móviles se utilizan con fines personales y laborales. Además, permitir
el acceso directo a la información corporativa siempre representa un riesgo continuo, así como también aumenta la seguridad y conformidad preocupaciones
de la organización.
IoT, según lo define Gartner, Inc., es un sistema que permite que los activos remotos de "cosas" (por ejemplo, dispositivos,
sensores, objetos, etc.) interactúen y se comuniquen entre ellos y con otros sistemas de red. Los activos, por ejemplo, comunican
información sobre su estado real, ubicación y funcionalidad, entre otros. Esta información no solo proporciona una comprensión más
precisa de los activos, sino que también maximiza su utilización y productividad, lo que resulta en un proceso mejorado de toma de
decisiones. Los enormes volúmenes de datos en bruto o conjuntos de datos (también conocidos como Big Data) generados como
resultado de estas interacciones masivas entre dispositivos y sistemas deben procesarse y analizarse de manera efectiva para generar
información significativa y útil en la toma de decisiones. proceso de fabricación.
Big Data, según lo define la Comisión Federal de Big Data de la Fundación TechAmerica (2012), “describe grandes
volúmenes de datos de alta velocidad, complejos y variables que requieren
Entorno de tecnología de la información y auditoría de TI • 7
técnicas y tecnologías para permitir la captura, almacenamiento, distribución, gestión y análisis de la información ”. Gartner, Inc.
lo define además como "... activos de información de gran volumen, alta velocidad y / o gran variedad que exigen formas
rentables e innovadoras de procesamiento de información que permitan una mejor comprensión, toma de decisiones y
automatización de procesos".
Aunque Big Data preciso puede conducir a un proceso de toma de decisiones más seguro, y las mejores decisiones a menudo
resultan en una mayor eficiencia operativa, reducción de costos y menor riesgo, actualmente existen muchos desafíos que deben
abordarse.
Los desafíos de Big Data incluyen, por ejemplo, análisis, captura, curación de datos, búsqueda, intercambio, almacenamiento,
transferencia, visualización, consultas y actualización. Ernst & Young, en su publicación EY Center for Board Matters de septiembre de
2015, afirma que los desafíos para los auditores incluyen el acceso limitado a auditoría datos relevantes, la escasez de personal
disponible y calificado para procesar y analizar esos datos particulares, y la integración oportuna de análisis en la auditoría. El IoT
también ofrece datos en rápido movimiento de sensores y dispositivos en todo el mundo y, por lo tanto, genera desafíos similares para
muchas organizaciones a la hora de dar sentido a todos esos datos.
Otras tecnologías recientes enumeradas en el Informe Hype Cycle for Emerging Technologies 2015 de Gartner que actualmente están
impactando los entornos de TI incluyen dispositivos portátiles (por ejemplo, relojes inteligentes, etc.), vehículos autónomos, criptomonedas,
impresión 3D para el consumidor y traducción de voz a voz, entre otras. .
En el entorno actual, las organizaciones deben integrar su TI con estrategias comerciales para lograr sus objetivos generales,
obtener el máximo valor de su información y capitalizar las tecnologías disponibles para ellas. Donde antes se veía a la TI como un
habilitador de la estrategia de una organización, ahora se considera como una parte integral de esa estrategia para lograr
rentabilidad y servicio. Al mismo tiempo, cuestiones como el gobierno de TI, la infraestructura de la información internacional, la
seguridad y la privacidad y el control de la información pública y de la organización han impulsado la necesidad de autoevaluación y
autoconfianza.
Para el gerente de TI, las palabras "auditoría" y "auditor" provocan escalofríos por la columna vertebral. Sí, el auditor o la auditoría se ha
considerado un mal que debe ser tratado por todos los gerentes. En el campo de las tecnologías de la información, los auditores en el pasado
debían recibir formación o recibir orientación en conceptos y operaciones de sistemas para evaluar las prácticas y aplicaciones de las tecnologías de
la información. Los gerentes de TI se avergüenzan de la capacidad del auditor para evaluar de manera eficaz y eficiente las complejidades y
comprender los problemas. Hoy en día, se espera que los auditores de TI conozcan bien la infraestructura, las políticas y las operaciones de TI de la
organización antes de embarcarse en sus revisiones y exámenes. Más importante aún, los auditores de TI deben ser capaces de determinar si el Controles
de TI implementados por la organización garantizan la protección de datos y se alinean adecuadamente con los objetivos generales de la
organización.
La profesión de auditor
Las computadoras han estado en uso comercial desde 1952. Los delitos relacionados con las computadoras se reportaron ya en 1966. Sin
embargo, no fue hasta 1973, cuando los problemas importantes en Equity Funding
8 • Control y auditoría de tecnologías de la información
Corporation of America (EFCA) salió a la luz, que la profesión de auditoría consideró seriamente la falta de controles en los sistemas de
información por computadora (SI). En 2002, casi 30 años después, otro importante
fraude resultado de escándalos corporativos y contables (Enron y WorldCom), que trajeron consigo
escepticismo y caída de los mercados financieros. Esta vez, ni las principales firmas contables ni las empresas reguladas por valores y
cambios en las principales bolsas de valores pudieron evitar la indignación pública, la falta de confianza de los inversores y el aumento de
la regulación gubernamental que sucedió en el mercado.
Economía estadounidense. Una vez más, en 2008, la economía estadounidense sufrió debido a que la banca hipotecaria y las empresas de
inversión hipotecaria (como Countrywide, IndyMac, etc.) incumplieron debido a estrategias de préstamos poco sólidas y una mala gestión del riesgo.
Cuando la EFCA se declaró en quiebra en 1973, se informó que el impacto directo mínimo y las pérdidas de la actividad ilegal
ascendían a 200 millones de dólares. Otras estimaciones de este importante fraude financiero aumentaron hasta $ 2 mil millones, con
costos indirectos como honorarios legales y depreciación incluidos. Estas pérdidas fueron el resultado de un “fraude asistido por
computadora” en el que una corporación falsificó los registros de su seguro de vida. subsidiario para indicar la emisión de nuevas pólizas.
Además de las pólizas de seguro, otros activos, como cuentas por cobrar y Valores negociables, fueron registrados falsamente. Estos
activos ficticios deberían haberse revelado como inexistentes durante las auditorías regulares de fin de año de la corporación, pero nunca
fueron descubiertos. Como la computadora se utilizó para manipular archivos como un medio para cubrir el fraude, la profesión contable
se dio cuenta de que las técnicas manuales convencionales podrían no ser adecuadas para los trabajos de auditoría que implican
aplicaciones informáticas.
En 1973, la AICPA (principal organización nacional profesional de contadores públicos certificados), en respuesta a los
eventos en EFCA, nombró un comité especial para estudiar si los estándares de auditoría de la época eran adecuados en tales
situaciones. Se solicitó al comité que evalúe los procedimientos específicos que se utilizarán y las normas generales que se
aprobarán. En 1975, el comité emitió su recomendaciones. Aunque el comité especial encontró que las normas de auditoría
eran adecuadas y que no se requerían cambios importantes en los procedimientos utilizados por los auditores, se emitieron
varias observaciones y recomendaciones relacionadas con el uso de programas de computadora diseñados para ayudar a los examen
de estados financieros. Otra revisión crítica de las normas de auditoría existentes se inició en 1974, cuando la AICPA creó sus
primeras normas que cubren esta área. Luego, 29 años después, el fiasco de Enron-Arthur Andersen de 2002 nos devolvió a
1973.
El problema de " debido cuidado profesional ”Ha llegado a la vanguardia de la comunidad de auditoría como resultado de
los principales escándalos financieros y la mala gestión de los Estados Unidos, incluidos, entre otros, Waste Management (1998),
Enron (2001), Worldcom (2002), American Insurance Group (2005) , Lehman Brothers (2008), Bernard L. Madoff Securities LLC
(2008), MF Global (2011), Anthem Inc. (2015), Wells Fargo (2016) y otros. El escándalo de la EFCA de 1973 condujo al
desarrollo de una fuerte regulación estatal y federal de las industrias de seguros y la contabilidad creativa corporativa en la
industria aeroespacial, que brindó apoyo a la Ley de Prácticas Corruptas en el Extranjero (FCPA) de 1977. Quizás hoy, la Ley
Sarbanes-Oxley de 2002 (SOX) será un vívido recordatorio de la importancia del debido cuidado profesional. SOX es un
importante paquete de reformas, que exige los cambios de mayor alcance que el Congreso ha impuesto al mundo empresarial
desde la FCPA de 1977 y la
Comisión de Bolsa y Valores (SEC) Ley de 1934. Ejemplos de algunos de estos cambios significativos incluyen la creación de
una Junta de Supervisión Contable de Empresas Públicas, * así como el aumento de sanciones penales por violaciones a las
leyes de valores. SOX se discutirá con más detalle en el próximo capítulo.
*
La PCAOB es una corporación sin fines de lucro instituida por el Congreso para supervisar las auditorías de las empresas públicas con el fin de proteger
los intereses de los inversores y promover el interés público en la preparación de informes de auditoría informativos, precisos e independientes.
http://pcaobus.org/Pages/default.aspx.
Entorno de tecnología de la información y auditoría de TI • 9
Auditoria financiera
La auditoría financiera abarca todas las actividades y responsabilidades relacionadas con la emisión de una opinión sobre la imparcialidad de los
estados financieros. Las reglas básicas que rigen las opiniones de auditoría indican claramente que alcance de una auditoría cubre todos los
La auditoría financiera, como la lleva a cabo hoy el auditor independiente, fue impulsada por la legislación de 1933 y 1934 que creó la
SEC. Esta legislación ordenó que las empresas cuyos valores se vendieron públicamente fueran auditadas anualmente por un Contador
Público Autorizado (CPA). Los contadores públicos, entonces, fueron encargados de dar fe de la imparcialidad de los estados financieros
emitidos por empresas que informaron a la SEC. La AICPA emitió en 1993 un documento denominado “ Informar sobre la estructura de
control interno de una entidad sobre la información financiera (Declaración sobre las normas para encargos de certificación 2) ”Para definir
mejor la importancia de control interno en el compromiso de atestación.
Dentro de la profesión de CPA en los Estados Unidos, se han desarrollado dos grupos de principios y estándares que afectan la
preparación de estados financieros por parte de compañías que cotizan en bolsa y los procedimientos para su examen de auditoría
por firmas de CPA: Principios contables generalmente aceptados (GAAP) y Normas de auditoría generalmente aceptadas
(GAAS).
GAAP establece pautas consistentes para la presentación de informes financieros por parte de los gerentes corporativos. Como parte
del requisito de presentación de informes, también se establecen normas para el mantenimiento de registros financieros en los que se basan
los estados periódicos. Un auditor, que emite una opinión que indica que los estados financieros se presentan de manera justa, estipula que
los estados financieros se ajustan a los PCGA. Estos principios contables han sido formulados y revisados periódicamente por
organizaciones del sector privado establecidas para este propósito. El actual órgano de gobierno es el Consejo de Normas de Contabilidad
Financiera (FASB). La implementación de GAAP es responsabilidad de la administración de la entidad que informa.
GAAS, el segundo grupo de normas, fue adoptado en 1949 por AICPA para auditorías. Estos estándares de auditoría cubren
tres categorías:
conformidad con el período de cuenta anterior, idoneidad de la divulgación y, en caso de que no se pueda llegar a una
opinión, el requisito de declarar la afirmación explícitamente.
GAAS proporciona pautas generales, pero no una guía específica. La profesión ha complementado los estándares emitiendo
declaraciones de pronunciamientos autorizados sobre auditoría. La más completa de ellas es la serie SAS. Las publicaciones de
SAS proporcionan una guía de procedimiento relacionada con muchos aspectos de la auditoría. En 1985, la AICPA publicó una
codificación del SAS No. 1-49. Hoy, el número de declaraciones supera las 120.
*
El propósito del IASB es desarrollar un conjunto único de normas de información financiera de alta calidad, comprensibles, ejecutables y aceptadas
globalmente, basadas en principios claramente articulados.
10 • Control y auditoría de tecnologías de la información
preparado en diferentes países. La AICPA define las NIIF como el “conjunto de normas contables desarrolladas por IASB que se está
convirtiendo en la norma global para la preparación de los estados financieros de las empresas públicas”. Si bien muchas de las
organizaciones mundiales ya han migrado a las NIIF, Estados Unidos aún no lo ha hecho. Sin embargo, debido al tamaño de Estados
Unidos y su presencia significativa a nivel mundial, los US GAAP todavía tienen un impacto global significativo. Esto da como resultado los
dos principales esfuerzos de establecimiento de estándares contables en el mundo: US GAAP e IFRS. Sin embargo, todas las naciones
importantes han establecido líneas de tiempo para converger o adoptar las normas IFRS en un futuro próximo.
Hay dos tipos de funciones de auditoría que existen en la actualidad. Tienen roles muy importantes para asegurar la validez e
integridad de los sistemas de información y contabilidad financiera. Son las funciones de auditoría interna y externa.
El IIA define la auditoría interna (IA) como "un objetivo independiente garantía y actividad de consultoría diseñada para
agregar valor y mejorar las operaciones de una organización ”. IA aporta a las organizaciones un enfoque sistemático y
disciplinado para evaluar y mejorar su gestión de riesgos, procesos de control y gobierno, así como para lograr sus metas y
objetivos.
Los departamentos de AI suelen estar dirigidos por un Director ejecutivo de auditoría (CAE), quien reporta directamente al Comité
de Auditoría del Junta Directiva. El CAE también reporta a la organización Director Ejecutivo (CEO). El propósito principal de la
función de AI es asegurar que los controles autorizados por la gerencia se estén aplicando de manera efectiva. La función de AI, aunque
no es obligatoria, existe en la mayoría de las empresas privadas o entidades corporativas y en el gobierno (como los gobiernos federal,
estatal, del condado y de la ciudad). La misión, el carácter y la fuerza de una función de AI varían ampliamente dentro del estilo de los
altos ejecutivos y las tradiciones de las empresas y organizaciones. Las auditorías de TI son una de las áreas de apoyo para la AI.
El grupo de AI, si cuenta con el personal adecuado con los recursos, realiza un seguimiento y prueba durante todo el año de las
actividades de TI dentro del control de la organización. De particular interés para las corporaciones privadas es el procesamiento de
datos y la generación de información de relevancia financiera o
materialidad.
Dado el gran papel que desempeña la dirección en la eficacia de una función de AI, su preocupación por la fiabilidad y la
integridad de la información generada por computadora a partir de la cual se toman las decisiones es fundamental. En las
organizaciones donde la gerencia muestra y demuestra preocupación por los controles internos, el papel de la AI crece en
importancia. A medida que la función de AI madura a través de la experiencia, la capacitación y el desarrollo profesional, la función
de auditoría externa y el público pueden confiar en la calidad del trabajo del auditor interno. Con una buena gestión y personal de
AI en constante mejora, el Comité de Auditoría de la Junta Directiva no duda en asignar responsabilidades adicionales de revisión,
consulta y prueba al auditor interno. Estas responsabilidades suelen tener un alcance más amplio que las del auditor externo.
Dentro de los Estados Unidos, los auditores internos de las agencias gubernamentales a menudo se reúnen para reunirse e
intercambiar experiencias a través de conferencias o foros. Por ejemplo, el Foro Intergubernamental de Auditoría es un ejemplo de un
evento en el que los auditores se reúnen de entornos de ciudad, condado, estado y federal para intercambiar experiencias y proporcionar
nueva información sobre técnicas y métodos de auditoría. El IIA también celebra una conferencia nacional que atrae a una población de
auditores
Entorno de tecnología de la información y auditoría de TI • 11
de todo el mundo, tanto privados como gubernamentales, para compartir experiencias y discutir nuevos métodos y técnicas de
auditoría.
La función de auditoría externa evalúa la confiabilidad y la validez de los controles de sistemas en todas sus formas. El objetivo
principal de dicha evaluación es minimizar la cantidad de auditorías o pruebas sustanciales de transacciones necesarias para
emitir una opinión sobre los estados financieros.
Los auditores externos son proporcionados por firmas de contadores públicos y también existen en el gobierno. Por ejemplo, la
Oficina de Responsabilidad del Gobierno (GAO) se considera un revisor externo porque puede examinar el trabajo de organizaciones
tanto federales como privadas donde se proporcionan fondos federales. Los Watchdogs of Congressional Spending brindan un servicio
al contribuyente al informar directamente al Congreso sobre cuestiones de mala administración y controles deficientes. Curiosamente,
en países extranjeros, una Oficina del Inspector General o la Oficina del Auditor General dentro de ese país prepara funciones
similares. Además, la GAO ha apoyado firmemente a la Organización Internacional de Auditoría, que brinda capacitación y orientación
en auditoría gubernamental a sus miembros de auditoría internacional que representan a gobiernos de todo el mundo.
Desde el punto de vista de una firma de contadores públicos, firmas como Deloitte, Ernst & Young, PricewaterhouseCoopers y KPMG
(denominadas en conjunto como las “Cuatro Grandes”) brindan este tipo de servicios de auditoría externa en todo el mundo. El auditor externo es
responsable de probar la confiabilidad de los sistemas de TI del cliente y debe tener una combinación especial de habilidades y experiencia.
Dicho auditor debe estar completamente familiarizado con la auditoría. dar fe función. La función de certificación abarca todas las actividades y
responsabilidades asociadas con la emisión de una opinión de auditoría sobre la imparcialidad de los estados financieros. Además de las
habilidades de contabilidad y auditoría involucradas en el desempeño de la función de atestiguar, estos auditores externos también deben tener
una experiencia sustancial en auditoría de TI. SOX ahora gobierna su función y los límites de los servicios que se pueden ofrecer más allá de la
auditoría.
Antes de definir qué es la auditoría de TI, expliquemos la diferencia entre SI y TI. Un SI, representado por tres componentes (es
decir, personas, procesos y TI), es la combinación de actividades estratégicas, gerenciales y operativas involucradas en la gestión
de la información. El componente de TI de un SI involucra el hardware, el software, la comunicación y otras instalaciones
necesarias para administrar (es decir, ingresar, almacenar, procesar, transmitir y enviar) dicha información. Consulte el Anexo 1.2.
El término auditoría, según ISACA, se refiere a la inspección y verificación formal para verificar si se está siguiendo un estándar o
un conjunto de pautas, si los registros son precisos o si se están cumpliendo los objetivos de eficiencia y eficacia. Al combinar ambas
definiciones anteriores, la auditoría de TI se puede definir como la examen formal, independiente y objetivo de la infraestructura de TI de
una organización para determinar si las actividades (por ejemplo, procedimientos, controles, etc.) involucradas en la recopilación,
procesamiento, almacenamiento, distribución y uso de la información cumplen con las pautas, protegen los activos, mantienen la
integridad de los datos y operar de manera efectiva y eficiente para lograr los objetivos de la organización. La auditoría de TI proporciona
Garantía razonable ( nunca absoluto) que la información generada por las aplicaciones dentro de la organización es precisa, completa y
respalda la toma de decisiones efectiva de acuerdo con la naturaleza y alcance del trabajo previamente acordado.
La auditoría de TI es necesaria para evaluar la idoneidad de los sistemas de aplicación para satisfacer las necesidades de procesamiento,
evaluar la idoneidad de los controles internos y garantizar que los activos controlados por esos sistemas sean
12 • Control y auditoría de tecnologías de la información
Tecnologías de la información
integra hardware, software
Personas Procesos
Ware, comunicación y
otras instalaciones para:
adecuadamente salvaguardado. En cuanto a los auditores de TI de hoy, sus conocimientos y habilidades avanzados progresarán de dos
maneras. Una dirección es el crecimiento continuo y la habilidad en esta profesión, liderando el camino en la investigación y el desarrollo de
auditoría informática y progresando en las trayectorias profesionales de auditoría externa e interna. La otra dirección implica capitalizar un
conocimiento profundo de los sistemas organizacionales y avanzar hacia áreas profesionales más responsables en la gestión general. Hoy,
incluso en estos tiempos económicos, la demanda de auditores de TI calificados supera la oferta. El gobierno de TI ha creado grandes
oportunidades para el auditor de TI.
Aprender nuevas formas de auditoría es siempre una prioridad para los auditores de TI internos y externos. La mayoría de los auditores
quieren herramientas o metodologías de auditoría que les ayuden a realizar su tarea de forma más rápida y sencilla. Casi todas las grandes
organizaciones o empresas tienen algún tipo de función o taller de auditoría de TI que involucra un departamento de auditoría interna. Hoy en día,
las firmas de las “Cuatro Grandes” han designado grupos especiales que se especializan en el campo de la auditoría de TI. Todos tienen personal
que realiza estas auditorías de TI externas. La mayoría de estos auditores de TI ayudan a los auditores financieros a establecer la exactitud de los
estados financieros de las empresas en las que auditan. Otros se enfocan en proyectos especiales como seguridad en Internet que se ocupan de
estudios de penetración, evaluaciones de firewall, puentes, enrutadores y configuraciones de puerta de enlace, entre otros.
Hay dos grandes grupos de auditorías de TI, los cuales son esenciales para asegurar el funcionamiento adecuado continuo de
SI. Estos son los siguientes:
• Auditoría general de controles informáticos. Examina los controles generales de TI ("controles generales" o
“ITGC”), incluidas las políticas y procedimientos, que se relacionan con muchas aplicaciones y respaldan el funcionamiento
eficaz de los controles de aplicaciones. Los controles generales cubren la infraestructura de TI y los servicios de soporte,
incluidos todos los sistemas y aplicaciones. Controles generales
Entorno de tecnología de la información y auditoría de TI • 13
comúnmente incluyen controles sobre (1) operaciones de SI; (2) seguridad de la información (ISec); y (3) gestión de control de
cambios (CCM) (es decir, adquisición, cambio y mantenimiento del software del sistema, cambio de programa y adquisición, desarrollo
y mantenimiento del sistema de aplicación). Los ejemplos de controles generales dentro de las operaciones de SI abordan actividades
como copias de seguridad de datos y almacenamiento fuera del sitio, monitoreo de trabajos y seguimiento de excepciones hasta su
finalización y acceso al programador de trabajos, entre otros. Ejemplos de controles generales dentro de ISec abordan actividades
como solicitudes de acceso y administración de cuentas de usuario, terminaciones de acceso y seguridad física. Ejemplos de
controles generales dentro de CCM pueden incluir aprobaciones de solicitudes de cambio; actualizaciones de aplicaciones y bases de
Los controles de aplicaciones también pueden denominarse "controles automatizados". Se preocupan por la precisión,
integridad, validez y autorización de los datos capturados, ingresados, procesados, almacenados, transmitidos y reportados.
Ejemplos de controles de aplicación incluyen verificar la precisión matemática de los registros, validar la entrada de datos y
realizar verificaciones de secuencia numérica, entre otros. Es probable que los controles de aplicación sean efectivos cuando
los controles generales son efectivos.
Consulte el Anexo 1.3 para ver una ilustración de los controles generales y de aplicación, y cómo deben estar en su lugar para
mitigar los riesgos y proteger las aplicaciones. Observe en la exposición que el sistema de aplicación está constantemente rodeado
de riesgos. Los riesgos se representan en la exposición mediante símbolos de explosión. Estos riesgos pueden ser en forma de
acceso no autorizado, pérdida o robo de equipos e información, apagado del sistema, etc. Los controles generales, mostrados en los
símbolos hexagonales, también rodean la aplicación y brindan un “escudo protector” contra los riesgos. Por último, están la
aplicación o los controles automatizados que residen dentro de la aplicación y brindan protección de primera mano sobre la entrada,
procesamiento y salida de la información.
Tendencias de auditoría de TI
La informática se ha vuelto indispensable para las actividades de organizaciones en todo el mundo. El Marco de Objetivos de
Control para la Información y Tecnología Relacionada (COBIT) fue creado en 1995 por ISACA. COBIT, ahora en su quinta edición,
enfatiza este punto y fundamenta la necesidad de investigar, desarrollar, publicitar y promover objetivos de control de TI
actualizados y aceptados internacionalmente. En documentos anteriores como el documento de debate de 1993 "Niveles mínimos
de habilidad en tecnología de la información para contadores profesionales" y su informe final de 1992 "El impacto de la tecnología
de la información en la profesión contable", la Federación Internacional de Contadores (IFAC) reconoce la necesidad de mejorar
Educación a nivel universitario para abordar las crecientes preocupaciones y problemas de control de TI.
Los informes de robo de información, fraude informático, abuso de información y otras preocupaciones relacionadas con el control se
escuchan con mayor frecuencia en todo el mundo. Las organizaciones son más conscientes de la información, las personas están dispersas
debido a la descentralización y las computadoras se utilizan más ampliamente en todas las áreas del comercio. Debido a la rápida difusión de
las tecnologías informáticas y la facilidad de acceso a la información, se necesitan auditores de TI informados y bien capacitados para
garantizar que se establezcan controles más efectivos para mantener la integridad de los datos y administrar el acceso a la información. La
necesidad de mejores controles sobre las TI se ha hecho eco en el pasado de estudios anteriores como el Comité de Organizaciones
Patrocinadoras de la Comisión Treadway (COSO) de AICPA; Internacional
14 • Control y auditoría de tecnologías de la información
General
control S
Robo o "proteger
daño a proteger"
No autorizado
hardware
modificación de
sensible
información
almacenamiento
Cuenta
administración
Datos
apoyo No autorizado
divulgación de
Inapropiado confidencial
manual datos
intervención
No autorizado
Procesando
Organización de Normalización (ISO) 17799 y 27000; el Informe de Auditoría y Control de Sistemas del IIA; Directrices para la
seguridad de SI de la OCDE; el plan de estudios del Consejo del Presidente de los Estados Unidos sobre Integridad y Eficiencia en
Auditoría Informática; y la Estrategia Nacional de Estados Unidos para asegurar el ciberespacio publicada en 2002; entre otros.
El Comité Ejecutivo de Servicios de Aseguramiento de AICPA (ASEC) es responsable de actualizar y mantener los Principios y
Criterios de Servicios de Confianza (TSPC) y de crear un marco de principios y criterios para brindar garantía sobre la integridad de la
información. TSPC presenta criterios para que los utilicen los profesionales al proporcionar una certificación profesional o consultivo servicios
para evaluar controles relevantes a los siguientes principios:
• Seguridad: El sistema está protegido contra el acceso no autorizado (tanto físico como lógico).
• Disponibilidad: El sistema está disponible para su funcionamiento y uso según lo comprometido o acordado.
La teoría y las metodologías de la auditoría de TI se integran en cinco áreas: una comprensión fundamental de negocios, auditoría
tradicional, gestión de TI, ciencias del comportamiento y ciencias de TI. La comprensión y el conocimiento empresarial son los pilares
del proceso de auditoría. La auditoría tradicional aporta el conocimiento de las prácticas de control interno y la filosofía de control
general dentro de una empresa comercial. La gestión de TI proporciona las metodologías necesarias para lograr un diseño e
implementación exitosos de sistemas. La ciencia del comportamiento indica cuándo y por qué es probable que falle debido a los
problemas de las personas. Las ciencias de TI contribuyen al conocimiento sobre la teoría de control y los modelos formales que
subyacen a los diseños de hardware y software como base para mantener la integridad de los datos.
Desde que se formó ISACA ha habido una creciente demanda de profesionales de auditoría de TI bien capacitados y capacitados.
La publicación La Asociación de Auditores de EDP: los primeros veinticinco años documenta las primeras luchas de la asociación y la
evolución de las prácticas de auditoría de TI en este campo.
El área de aseguramiento de la información también ha crecido y evolucionado. Estados Unidos, en su aprobación de la Ley de Investigación y
Desarrollo de Seguridad Cibernética, ha prometido casi mil millones de dólares para el desarrollo de planes de estudio, investigación y habilidades
Aseguramiento de información
Las organizaciones dependen cada vez más de las capacidades críticas de información electrónica digital para almacenar, procesar y
mover datos esenciales en la planificación, dirección, coordinación y ejecución de operaciones. Las amenazas potentes y sofisticadas
pueden aprovechar las debilidades de seguridad en muchos de estos sistemas. Subcontratación El desarrollo tecnológico a países que
podrían tener terroristas en su personal de desarrollo genera especulaciones de que existe la posibilidad de que se implante un código
que cause interrupciones, estragos, malversación, robo, etc. Estas y otras debilidades que se pueden aprovechar se convierten en vulnerabilidades
que pueden poner en peligro los componentes más sensibles de las capacidades de información. Sin embargo, podemos emplear
defensas profundas y en capas para reducir las vulnerabilidades y disuadir, derrotar y recuperarnos de una amplia gama de amenazas.
Desde una perspectiva de aseguramiento de la información, las capacidades que debemos defender pueden verse en términos generales
en términos de cuatro elementos principales: entornos informáticos locales, sus límites, redes que los unen y su infraestructura de
soporte. La Estrategia Nacional de Estados Unidos para asegurar el ciberespacio es una de esas iniciativas.
El término "garantía de la información" se define como la integridad de la información (el nivel de confianza que se puede
depositar en la información) y la disponibilidad del servicio. En todos los contextos, ya sea empresarial o gubernamental, significa
salvaguardar la recopilación, el almacenamiento, la transmisión y el uso de la información. El objetivo final de la garantía de la
información es proteger a los usuarios, las unidades de negocio y las empresas de los efectos negativos de la corrupción de la
información o la denegación de servicios. El Departamento de Seguridad Nacional y las Organizaciones de Apoyo como la Agencia
de Seguridad Nacional (NSA), la Oficina Federal de Investigaciones (FBI) y la Agencia Central de Inteligencia (CIA) han trabajado
para apoyar este objetivo.
A medida que el SI de la nación y sus infraestructuras críticas se unen (gobierno y empresas), los puntos de entrada y la
exposición aumentan y, por lo tanto, aumentan los riesgos. El avance tecnológico hacia la comunicación de mayor ancho de
banda y los sistemas de conmutación avanzados.
dieciséis • Control y auditoría de tecnologías de la información
ha reducido el número de líneas de comunicaciones y ha centralizado aún más las funciones de conmutación. Los datos de la
encuesta indican que el mayor riesgo de estos cambios no está ampliamente reconocido. Desde el 11 de septiembre, las
organizaciones de defensa estadounidenses, como la Agencia de Sistemas de Información de Defensa, han realizado esfuerzos más
coordinados para promulgar estándares para la Infraestructura de Información de Defensa y la Red de Información Global, que
deberían tener un impacto positivo en la garantía de la información que se extenderá más allá del Departamento de Defensa de EE.
UU. e impactan a todos los segmentos de la economía nacional. La NSA ha redactado y elaborado estándares para el personal de
seguridad de TI que no solo afectan a las agencias federales sino también a las entidades corporativas que contratan servicios de TI
en apoyo del gobierno federal. NIST, por ejemplo, ha generado una guía de seguridad para el cumplimiento de la Ley de
Responsabilidad y Portabilidad de Seguros de Salud que impacta en la profesión médica y en todas las corporaciones / negocios que
prestan servicios en el campo de la salud que manejan información médica. Un ejemplo similar incluye los Estándares de seguridad
de datos de la industria de tarjetas de pago (PCI DSS), mantenidos, administrados y promovidos por el PCI Security Standards
Council (Council) en todo el mundo. El Consejo fue fundado en 2006 por las principales empresas de tarjetas de crédito, como
American Express, Discover, JCB International, MasterCard y Visa, Inc. Estas empresas comparten por igual la gobernanza, la
ejecución y el cumplimiento del trabajo del Consejo. PCI DSS se refiere a los requisitos técnicos y operativos aplicables
específicamente a las entidades que almacenan, procesan o transmiten datos de titulares de tarjetas,
Necesidad de auditoría de TI
Inicialmente, la auditoría de TI (anteriormente denominada procesamiento electrónico de datos [EDP], sistemas de información informática [CIS] y
auditoría de SI) evolucionó como una extensión de la auditoría tradicional. En ese momento, la necesidad de una auditoría de TI provino de varias
direcciones:
• Los auditores se dieron cuenta de que las computadoras habían afectado su capacidad para realizar la certificación.
función.
• La gerencia corporativa y de procesamiento de información reconoció que las computadoras eran clave
recursos para competir en el entorno empresarial y similar a otros recursos empresariales valiosos dentro de la
organización y, por lo tanto, la necesidad de control y auditabilidad era fundamental.
Control de TI y auditabilidad.
Los primeros componentes de la auditoría de TI se extrajeron de varias áreas. Primero, la auditoría tradicional aporta conocimiento de
las prácticas de control interno y la filosofía de control general. Otro contribuyente fue la gestión de SI, que proporciona las
metodologías necesarias para lograr un diseño e implementación exitosos de sistemas. El campo de la ciencia del comportamiento
proporcionó tales preguntas y análisis sobre cuándo y por qué es probable que IS falle debido a problemas de personas. Finalmente,
el campo de la informática aporta conocimientos sobre los conceptos de control, la disciplina, la teoría y los modelos formales que
subyacen al diseño de hardware y software como base para mantener la validez, confiabilidad e integridad de los datos.
La auditoría de TI se convirtió en una parte integral de la función de auditoría porque respalda el juicio del auditor sobre la calidad de la
información procesada por los sistemas informáticos. Los auditores con habilidades de auditoría de TI fueron vistos como el recurso
tecnológico para el personal de auditoría. El personal de auditoría a menudo los buscaba en busca de asistencia técnica. El papel del auditor
de TI evolucionó para garantizar que
Entorno de tecnología de la información y auditoría de TI • 17
existen controles adecuados y adecuados. Por supuesto, la responsabilidad de asegurar que existan controles internos
adecuados recae en la dirección. La función principal de la auditoría, excepto en áreas de servicios de asesoría de gestión,
es proporcionar una declaración de seguridad sobre si existen controles internos adecuados y confiables y si están operando
de manera eficiente y eficaz. El rol de la administración es asegurar y el rol de los auditores es asegurar.
Hay varios tipos de necesidades dentro de la auditoría de TI, incluidas las auditorías de TI organizativas (control de gestión sobre TI), las
auditorías técnicas de TI (infraestructura, centros de datos, comunicación de datos) y las auditorías de TI de aplicaciones (comercial / financiera
/ operativa). También hay auditorías de TI de desarrollo / implementación (especificación / requisitos, diseño, desarrollo y fases posteriores a la
Al auditar TI, la amplitud y profundidad de los conocimientos necesarios son amplios. Por ejemplo, auditar TI implica:
• Examen y verificación del cumplimiento de la organización con cualquier normativa legal relacionada con TI.
• Informar a la gerencia y realizar una revisión de seguimiento para asegurar las acciones tomadas en
trabajo
La auditoría de los protocolos de comunicaciones y TI generalmente involucra Internet, intranet, extranet, intercambio electrónico de
datos, servidores de clientes, redes de área local y amplia, comunicaciones de datos, telecomunicaciones, tecnología inalámbrica,
sistemas integrados de voz / datos / video y el software. y hardware que soporta estos procesos y funciones. Algunas de las
principales razones para iniciar una auditoría de TI incluyen la mayor dependencia de la información por parte de las organizaciones, la
tecnología que cambia rápidamente con nuevos riesgos asociados con dicha tecnología y el apoyo necesario para las auditorías de
estados financieros.
SOX también requiere la evaluación de controles internos y lo hace obligatorio para los registrantes de la SEC. Como parte del
proceso para evaluar la eficacia de los controles internos sobre los informes financieros, la administración debe considerar los controles
relacionados con el SI (incluidas las tecnologías) que respaldan los procesos comerciales y financieros relevantes. Estos controles se
conocen como ITGC (o controles generales de TI). Como se mencionó anteriormente, los ITGC son procesos, actividades y / o
procedimientos de TI que se realizan dentro del entorno de TI y se relacionan con cómo se desarrollan, mantienen, administran,
protegen, acceden y operan las aplicaciones y los sistemas. El Cuadro 1.4 ilustra otras razones principales para realizar auditorías de
TI.
*
Algunos ejemplos de normas ISO incluyen ISO / IEC 27002, ISO / IEC 27000 e ISO 17799.
18 • Control y auditoría de tecnologías de la información
Gobierno de TI
Ha habido muchos cambios en la forma en que las empresas abordan los problemas de TI, lo que ha dado como resultado un
enfoque renovado en los conceptos de gobierno de TI. Directores ejecutivos, Directores financieros, directores de operaciones,
directores de tecnología, y Directores de información acordar los principios fundacionales del gobierno de TI, que se centran en
la alineación estratégica entre TI y los objetivos empresariales. Esto, a su vez, crea cambios en la gestión operativa táctica y diaria
de TI en la organización.
El gobierno de TI es el proceso mediante el cual se dirige y controla la TI de una empresa. Como se definió anteriormente, TI se refiere al
hardware, software, comunicación y otras instalaciones utilizadas para ingresar, almacenar, procesar, transmitir y generar datos en cualquier
forma. La gobernanza de TI eficaz ayuda a garantizar que TI respalde los objetivos comerciales, maximice la inversión empresarial en TI y
gestione de manera adecuada los riesgos relacionados con la TI. La gobernanza de TI también ayuda a asegurar el logro de factores críticos de
éxito mediante la implementación eficiente y efectiva de información segura y confiable y tecnología aplicada.
Debido a que la TI tiene un impacto en el funcionamiento de toda una organización, todos los miembros de la organización deben
tener un interés y un papel en el gobierno de su uso y aplicación. Esta creciente conciencia ha llevado a las organizaciones a reconocer
que, si quieren aprovechar al máximo su inversión en TI y proteger esa inversión, necesitan un proceso formal para gobernarla. Las
razones para implementar un programa de gobierno de TI incluyen:
Mientras estos factores sigan siendo parte del negocio, será necesario contar con sistemas eficaces e interdependientes de gobierno
empresarial y de TI.
Una herramienta de gobierno de TI de estándar abierto que ayuda a los gerentes y auditores no técnicos y técnicos a comprender
y administrar los riesgos asociados con la información y las TI relacionadas es COBIT, desarrollada por el Instituto de Gobierno de TI y
la Fundación de Auditoría y Control de Sistemas de Información. COBIT es un marco integral de objetivos de control que ayuda a los
auditores, gerentes y ejecutivos de TI a cumplir con sus responsabilidades fiduciarias, comprender los sistemas de TI y decidir qué
nivel de seguridad y control es adecuado. COBIT proporciona un conjunto internacional autorizado de prácticas de TI generalmente
aceptadas para gerentes de negocios y auditores. COBIT se analiza en el Capítulo 3.
A medida que el uso de TI en las organizaciones continúa creciendo, la auditoría de sistemas computarizados debe lograrse sin
muchas de las pautas establecidas para el esfuerzo de auditoría tradicional. Además, los nuevos usos de TI introducen nuevos riesgos, que
a su vez requieren nuevos controles. Los auditores de TI están en una posición única para evaluar la relevancia de un sistema en particular
para la empresa en su conjunto. Debido a esto, el auditor de TI a menudo juega un papel en la toma de decisiones de la alta dirección.
El papel del auditor de TI se puede examinar a través del proceso de gobierno de TI y los estándares existentes de práctica
profesional para esta profesión. Como se mencionó anteriormente, el gobierno de TI es una participación organizacional en la
gestión y revisión del uso de TI para alcanzar las metas y objetivos establecidos por la organización.
En el pasado, los usuarios han renunciado a la responsabilidad de controlar los sistemas informáticos, principalmente debido a las barreras
psicológicas que rodean a la computadora. Como resultado, hay pocos controles y contrapesos, a excepción del auditor de TI. Los auditores
de TI deben desempeñar un papel activo para ayudar a las organizaciones a desarrollar políticas, procedimientos, estándares y / o mejores
prácticas para salvaguardar la información, auditabilidad, control, pruebas, etc. Una buena política de seguridad de la información, por
ejemplo, puede incluir :
• Definir derechos y privilegios de acceso y proteger los activos de pérdidas, divulgaciones o daños
edades al especificar pautas de uso aceptable para los usuarios
El Instituto SANS proporciona plantillas de políticas generales de seguridad de la información en su sitio web, que se pueden descargar y ser
un excelente punto de partida para cualquier organización. Una buena política de seguridad informática será diferente para cada
organización, corporación o individuo dependiendo de las necesidades de seguridad. Una política de seguridad de la información no
garantizará la seguridad de un sistema ni hará que la red esté completamente a salvo de posibles ataques desde el ciberespacio. No
obstante, una política de seguridad, con la ayuda de productos de seguridad eficaces y un plan de recuperación, puede ayudar a dirigir las
pérdidas potenciales a niveles considerados "aceptables" y minimizar la filtración de información privada. El auditor de TI es parte de un
equipo institucional que ayuda a crear un gobierno compartido sobre el uso, la aplicación y la garantía de TI dentro de la organización.
Un personal de auditoría de TI en una gran corporación puede hacer una contribución importante al control del sistema informático al persuadir
a los grupos de usuarios para que insistan en una política de pruebas integrales para todos los sistemas nuevos y todos los cambios en los sistemas
existentes. Al revisar los resultados del caso base, los grupos de usuarios pueden controlar la precisión de los sistemas nuevos o modificados al
realizar una función de control completa. Los auditores deben convencer a los usuarios y al personal de TI de la necesidad de un entorno de TI
controlado.
Insistir en que todos los sistemas nuevos se revisen en puntos de control predefinidos a lo largo del ciclo de vida de desarrollo del sistema
también puede mejorar el control de TI. La perspectiva de la revisión de la auditoría debería impulsar tanto a los usuarios como a los grupos de
sistemas a definir sus objetivos y suposiciones con más cuidado. Aquí, también, los auditores de TI pueden extender sutilmente su influencia.
Si bien las funciones del auditor de TI como consejero y técnico calificado son vitales para el funcionamiento exitoso de la empresa,
pueden ser irrelevantes si el auditor no ve la auditoría en relación con la organización en su conjunto. Un sistema que parece estar bien
controlado puede ser incompatible con el funcionamiento de una empresa.
Las decisiones relativas a la necesidad de un sistema pertenecían tradicionalmente a la administración, pero debido a una
combinación de factores (principalmente la compleja tecnología de la computadora), las auditorías del sistema informático no se realizaron
con éxito. Al asignar fondos para nuevos sistemas, la administración ha tenido que confiar en el juicio del personal informático. Aunque sus
elecciones de sistemas informáticos nuevos y más eficaces no pueden fallar, el personal informático a menudo no ha logrado satisfacer las
verdaderas necesidades comerciales de la organización.
La gerencia necesita el apoyo de un personal informático capacitado que comprenda los requisitos de la organización, y los auditores de TI
están en condiciones de proporcionar esa información. Pueden proporcionar a la administración una evaluación independiente del efecto de las
decisiones de TI en el negocio. Además, el auditor de TI puede verificar que se hayan considerado todas las alternativas para un proyecto
determinado, que se hayan evaluado con precisión todos los riesgos, que las soluciones técnicas de hardware y software sean correctas, que se
Como resultado del aumento de la legislación y el uso de pruebas informáticas en los tribunales, la capacidad de capturar y documentar
información generada por computadora relacionada con la actividad delictiva es fundamental para los fines del enjuiciamiento. El conocimiento y
La realización de trabajos de soporte forense ha brindado nuevas oportunidades para el auditor de TI, el personal de seguridad de TI y los
informática forense es un campo emocionante y en desarrollo. El auditor de TI puede trabajar en el campo de la informática forense o
trabajar codo con codo con un especialista en informática forense, proporcionando información sobre un sistema o red en particular. Los
especialistas pueden hacer preguntas a los profesionales de auditoría de TI relacionadas con el sistema y obtener respuestas más rápido
que tener que investigar y resolver todo por sí mismos. Aunque el especialista está altamente capacitado y puede adaptarse a casi
cualquier sistema o plataforma, la colaboración puede hacer que el trabajo del especialista forense y del profesional de TI sea más fácil y
eficiente.
Desde su nacimiento a principios de la década de 1970, la informática forense ha evolucionado continuamente hasta convertirse en lo que
ahora es un campo muy extenso. Las nuevas tecnologías y las mejoras en los protocolos permiten a los ingenieros y desarrolladores crear hardware,
software y herramientas más estables y robustos para que los especialistas los utilicen en investigaciones criminales relacionadas con la informática.
A medida que las computadoras se vuelven más avanzadas y abundantes, también lo hacen las actividades delictivas. Por lo tanto, el nicho de la
informática forense también está en constante progresión junto con los avances tecnológicos de las computadoras.
Con la aprobación de la Ley de Seguridad Nacional, la Ley Patriota y SOX, el papel del auditor (interno y externo) es más crítico
para la verificación y validación de la infraestructura financiera. La profesión de auditoría de TI puede proporcionar a una persona
exposición a la forma en que fluye la información dentro de una organización y brindar a sus miembros la capacidad de evaluar su
validez, confiabilidad y seguridad. La auditoría de TI involucra personas, tecnología, operaciones y sistemas. Es una profesión
dinámica y desafiante con un futuro que trae crecimiento a nuevas áreas como la seguridad informática y la informática forense,
por nombrar algunas.
Hoy en día, los auditores de TI interactúan con gerentes, usuarios y técnicos de todas las áreas de la mayoría de las
organizaciones. Deben tener habilidades interpersonales para interactuar con múltiples niveles de personal y habilidades técnicas
para comprender la variedad de tecnología utilizada en la actividad de procesamiento de información, especialmente la tecnología
utilizada para generar y / o procesar la información financiera de la empresa (por ejemplo, estados financieros, etc. ). El auditor de TI
también debe comprender y estar familiarizado con el entorno operativo para evaluar la eficacia de la estructura de control interno. Finalmente,
el auditor de TI debe comprender las complejidades tecnológicas de los sistemas existentes y futuros y el impacto que tienen en las
operaciones y decisiones en todos los niveles.
La auditoría de TI es una profesión relativamente nueva y las oportunidades de empleo están presentes en todos los sectores de la
industria privada, la contabilidad pública y el gobierno en todo el mundo. Una profesión es más que una ocupación. Una profesión tiene
ciertas características especiales, que incluyen un cuerpo común de conocimientos, certificación, educación continua, asociaciones
profesionales y estándares éticos y un plan de estudios educativo.
Desde 1975, se han realizado varios estudios que identifican un cuerpo común de conocimientos para la profesión de auditoría
de TI. Un cuerpo común de conocimientos consta de áreas claramente identificadas en las que una persona debe alcanzar un
nivel específico de comprensión y competencia necesaria para ejercer con éxito en la profesión. Estas áreas se clasifican en
áreas centrales. Organizaciones como ISACA, AICPA, IIA, CICA, ISSA, InfoSec y otras en todo el mundo han emitido
importantes
22 • Control y auditoría de tecnologías de la información
estudios y trabajos sobre el tema de los conocimientos, habilidades y destrezas necesarios para auditar sistemas informáticos. Los
estudiantes, especialmente aquellos con especialización en negocios e informática, reciben un grado de capacitación de nivel básico en
(1) conceptos y prácticas de auditoría; (2) conceptos y prácticas de gestión; (3) sistemas informáticos, telecomunicaciones, operaciones y
software; (4) técnicas de procesamiento de información por computadora; y (5) comprensión de los negocios a escala local e
internacional. Estas son algunas de las principales áreas de competencia identificadas por los diversos estudios independientes para la
persona que ingresa al campo de auditoría, control y seguridad de TI.
Certificación
La certificación es un componente vital de una profesión. Mientras se prepara para ingresar a su profesión, ya sea contable, SI u
otros campos comerciales, la certificación será la medida de su nivel de conocimiento, habilidades y destrezas en la profesión.
Por ejemplo, la consecución de la designación de CPA es un hito importante en la carrera del contador en ejercicio. En auditoría
de TI, el Auditor Certificado de Sistemas de Información (CISA) es uno de los principales niveles de reconocimiento y logro.
Existen ciertos requisitos para que los candidatos obtengan la certificación CISA, tales como:
El examen CISA cubre áreas (o dominios) dentro del proceso de auditoría de SI; gobernanza y gestión de TI;
Adquisición, desarrollo e implementación de SI; Gestión de operaciones, mantenimiento y servicios de SI; y la
protección de los activos de información. Por lo tanto, la educación universitaria juega un papel importante al
proporcionar las bases para el proceso de certificación. Otras licencias y certificaciones relevantes para el auditor de TI
incluyen las siguientes: Contador público certificado (CA), Auditor interno certificado (CIA), Profesional informático
certificado (CCP), Gerente financiero gubernamental certificado (CGFM), Profesional de seguridad de sistemas de
información certificado ( CISSP), Gerente Certificado de Seguridad de la Información (CISM), Certificado en Control de
Riesgos y Sistemas de Información (CRISC), Profesional Certificado en Tecnología de la Información (CITP) por
AICPA,
La certificación es importante y una medida del logro de habilidades dentro de la profesión. La obtención de más de una certificación
mejorará sus conocimientos, habilidades y capacidades dentro del dominio de la auditoría. La competencia en la aplicación de habilidades
proviene de la experiencia y la educación continua. Los cambios dinámicos en los negocios (comercio), la TI y los eventos mundiales
continúan dando forma al futuro de esta apasionante profesión.
Educación continua
La certificación requiere educación continua para que aquellos que están certificados mantengan un nivel de competencia y
continúen su certificación. La educación continua es un elemento importante para el crecimiento profesional. A medida que los
graduados ingresen a su profesión, encontrarán que su educación académica es la base para el desarrollo continuo de
conocimientos, habilidades y habilidades que mejoran la carrera. Existe un requisito de educación continua para apoyar el programa
CISA. El auditor de TI del
Entorno de tecnología de la información y auditoría de TI • 23
El futuro se enfrentará constantemente a cambios con respecto a los sistemas existentes y la dinámica del medio ambiente (es decir,
reorganización, nueva tecnología, cambio operativo y requisitos cambiantes).
La amplitud y profundidad de los conocimientos necesarios para auditar TI es extensa. Por ejemplo, la auditoría de TI implica la
aplicación de enfoques de auditoría orientados al riesgo; el uso de herramientas y técnicas de auditoría asistidas por computadora (por
ejemplo, EnCase, CaseWare, Idea, ACL, Guardant, eTrust, CA-Examine, etc.); la aplicación de normas nacionales o internacionales (es
decir, ISO 9000/3, ISO 17799, ISO 27000 y enmiendas relacionadas para mejorar e implementar sistemas de calidad en el desarrollo de
software); la auditoría de sistemas en desarrollo que involucran SDLC complejos o nuevas técnicas de desarrollo (por ejemplo, creación de
prototipos, computación del usuario final, desarrollo rápido de sistemas, etc.); y la auditoría de tecnologías complejas que involucran el
intercambio electrónico de datos, servidores de clientes, redes de área local y amplia, comunicaciones de datos, telecomunicaciones y
sistemas integrados de voz / datos / video.
Dado que el entorno organizacional en el que opera el auditor de TI es dinámico, es importante que se comprendan los
nuevos desarrollos en la profesión para que puedan aplicarse de manera adecuada. Por lo tanto, el requisito de educación continua
ayuda al CISA a adquirir nuevos conocimientos y habilidades para brindar la opinión profesional más informada. Una amplia
variedad de asociaciones y organizaciones ofrecen cursos y programas de capacitación para ayudar a mantener las habilidades
necesarias que necesitan para continuar mejorando y evolucionando. Los métodos para recibir dicha formación pueden incluso ser
globales, con videoconferencias y teletrabajo, e Internet desempeñando un papel importante en la impartición de la formación.
Como gerente en cualquier nivel, uno debe recordar que los auditores, ya sean internos o externos, tienen estándares de práctica
que deben seguir. Al igual que los profesionales de TI, los auditores pueden pertenecer a una o más asociaciones profesionales y
tener un código de ética y estándares profesionales de prácticas y orientación que les ayuden a realizar sus revisiones y auditorías.
Si se ve que no están realizando su trabajo de acuerdo con los “estándares de práctica” de su profesión, saben que podrían estar
expuestos a una demanda potencial o incluso “descertificados”. Algunas de las organizaciones que produjeron tales estándares de
práctica son AICPA, IIA, IFAC, CICA, GAO e ISACA.
Para actuar como auditor, uno debe tener un alto nivel de ética moral. El termino auditor es el latín para alguien que escucha quejas
y toma decisiones o actúa como un juez. Para actuar como juez, definitivamente uno debe ser moralmente ético o se frustra el
propósito. La ética es una base muy importante para nuestra cultura en su conjunto. Si el auditor pierde el favor en esta área, es
casi imposible recuperar la confianza que el auditor una vez tuvo con la gerencia de auditoría y los auditados. Ya sea que un auditor
sea ético al principio o no, todos deben comenzar con la misma cantidad de confianza y buen favor del cliente o
24 • Control y auditoría de tecnologías de la información
auditado. Si el vínculo no se rompe, el auditor establece un buen nombre como alguien en quien se puede confiar el material
sensible.
En la economía mundial actual, la confianza es una palabra inaudita. Nadie puede confiar en nadie en estos días y por esta razón es
imperativo que la alta ética esté en la parte superior de la lista de temas del gerente para cubrir con los nuevos equipos de auditoría. Los
tiempos están cambiando y también los clientes que solicitan servicios de auditoría. La mayoría de los gerentes afirmarán que aprecian este
Por ejemplo, digamos que un presupuesto requiere varias horas. No es ético anotar las horas no trabajadas. Tampoco es ético
pasar por alto algo durante la auditoría porque el cliente dice que no es importante. Existe una delgada línea entre lo ético y lo legal.
Algo puede ser éticamente incorrecto pero aún así legal. Sin embargo, dicho esto, algunas cosas que inicialmente se pensaba que
no eran éticas se vuelven ilegales con el tiempo. Si hay una población lo suficientemente grande que se opone a algo éticamente
incorrecto, verá que se introduce una legislación para convertirlo en ilegal.
Cuando los auditores de TI obtienen su certificación CISA, también se suscriben a un Código de Ética Profesional. Este código se
aplica no solo a la conducta profesional sino también a la conducta personal de los auditores de TI. El código en realidad no está en
conflicto con los códigos de ética de otros dominios relacionados con la auditoría / aseguramiento (por ejemplo, IIA, AICPA, etc.). Requiere
que se cumplan las normas de ISACA, se mantenga la confidencialidad, se informe sobre cualquier actividad ilegal o inapropiada, se
mantenga la competencia del auditor, se tenga el debido cuidado en el curso de la auditoría, se comuniquen los resultados del trabajo de
auditoría y se mantienen altos estándares de conducta y carácter.
Currículos educativos
La auditoría de TI es una profesión con conducta, objetivos y cualidades que se caracterizan por estándares técnicos y éticos mundiales.
Requiere conocimientos especializados y, a menudo, una preparación académica prolongada e intensiva. La mayoría de las sociedades
profesionales de contabilidad, auditoría y TI creen que las mejoras en la investigación y la educación definitivamente proporcionarán una
"base de conocimiento teórico y empírico mejor desarrollada para la función de auditoría de TI". Consideran que se debe poner énfasis
en la educación obtenida a nivel universitario.
Las comunidades académicas tanto en los Estados Unidos como en el extranjero han comenzado a incorporar partes del cuerpo común de
conocimiento y los dominios del examen CISA en los cursos que se imparten a nivel universitario. Varios estudios recientes indican el
crecimiento de los cursos de auditoría informática que surgen en los planes de estudios universitarios en todo el mundo.
Varias universidades han desarrollado planes de estudio adaptados para apoyar la profesión de auditoría de TI. Aunque los planes
de estudio de estas universidades evolucionan constantemente, actualmente existen en instituciones como la Universidad de Bentley
(Massachusetts), la Universidad Estatal de Bowling Green (Ohio), la Universidad Politécnica del Estado de California, la Universidad de
Mississippi, la Universidad de Texas, la Universidad Estatal de Georgia, la Universidad de Maryland. , Universidad de Tennessee,
Universidad Tecnológica Nacional (Argentina), Universidad de Columbia Británica (Canadá), Universidad de York (Canadá) y
Universidad de Ciencia y Tecnología de Hong Kong, entre otras. Los graduados de estos programas califican para 1 año de experiencia
laboral para su certificación CISA.
Un modelo de plan de estudios para la educación de pregrado y posgrado en la educación en auditoría de SI y TI se emitió
inicialmente en marzo de 1998 y se actualizó en 2004, 2009 y 2011 por la Asociación y Fundación de Auditoría y Control de SI. El
propósito del Modelo es brindar a las facultades, universidades y / o instituciones educativas las herramientas necesarias para educar a
los estudiantes y prepararlos para ingresar a la profesión de auditoría de TI. La educación a través del modelo se centra en los
componentes fundamentales del curso de auditoría y control de TI, así como también se mantiene al día con el rápido ritmo de la
tecnología.
Entorno de tecnología de la información y auditoría de TI • 25
cambio. Dicha educación también está en línea con los eventos recientes, las regulaciones gubernamentales y los cambios en los procesos
comerciales, todos los cuales han afectado el papel de la auditoría de TI y las metodologías utilizadas por los auditores de TI.
La experiencia en auditoría de TI es imprescindible. Nada en este mundo puede compararse con las experiencias reales en el trabajo y el mundo
real. La teoría también es valiosa y, en su mayor parte, un auditor de TI debe confiar en la teoría para progresar en una auditoría. Por ejemplo, si
los auditores de TI desean demostrar su compromiso y nivel de conocimiento del campo, pueden seleccionar un área para ser probada. Existe
una serie de certificaciones profesionales que pueden beneficiar al auditor. En el área de auditoría de TI, por ejemplo, para aprobar el examen
CISA, uno debe conocer, comprender y ser capaz de aplicar la teoría de la auditoría de TI moderna a todas las preguntas del examen
planteadas. Existen otras licencias y certificaciones relevantes, como se mencionó anteriormente, que pueden ser muy útiles para la carrera y los
La comprensión de la teoría es definitivamente esencial para un auditor de TI exitoso. Sin embargo, la teoría sólo puede llevar una
hasta ahora. Este libro de texto y otros disponibles deben verse como una guía. En este campo, debido a la complejidad y situación de la
tecnología, llega un momento en que un auditor de TI tiene que confiar en la experiencia para enfrentar una situación nueva, nunca antes
encontrada. La experiencia en el campo es una ventaja definitiva, pero tener experiencia en una variedad de otros campos a veces puede
ser más beneficioso. Por ejemplo, un gerente de auditoría de TI que trabaja para una firma de contabilidad pública Big Four estará expuesto
a una amplia variedad de situaciones y escenarios de auditoría de TI. Esta experiencia ayudará a ampliar los horizontes y ampliar los
conocimientos en el campo de la auditoría de TI. Otro ejemplo sería un supervisor de auditoría interna que ha realizado auditorías de
cumplimiento y centradas en el riesgo para todos los departamentos de una organización. Una experiencia tan amplia no es más que una
ventaja, y probablemente le permitirá al auditor agregar valor significativo y superior a las operaciones de la organización.
La entrada directa a la profesión, como es la situación actual, puede cambiar con los requisitos de nivel de entrada, incluida la
experiencia en procesos, sistemas y tecnología de negocios, así como un conocimiento sólido de la teoría general de auditoría
complementada con experiencia práctica. Además, los auditores de TI pueden requerir experiencia específica de la industria, como
banca, telecomunicaciones, transporte o finanzas y seguros para abordar adecuadamente los problemas de negocios / tecnología
específicos de la industria. Este libro proporciona información y enfoques actuales de este campo complejo, lo que puede ayudar a los
profesionales y a quienes deseen aprender más.
La experiencia viene con tiempo y perseverancia, como es bien sabido, pero los auditores no deben limitarse a una sola
industria, software o sistema operativo. Deben desafiarse a sí mismos y ampliar sus horizontes con una multitud de exposiciones
en diferentes entornos, si es posible. Cuanto más amplio y completo sea el auditor de TI, mayores serán las posibilidades de una
carrera de auditoría exitosa.
Además de la experiencia, los auditores de TI eficaces deben poseer una variedad de habilidades que les permitan agregar valor a
sus organizaciones o clientes. La mejor experiencia técnica o capacitación no necesariamente prepara completamente a los auditores
para las habilidades de comunicación y negociación que se requieren para el éxito.
Muchas de las habilidades no técnicas o complementarias están relacionadas con la recopilación de información y, de importancia
comparable, la presentación de información a las personas. Como tales, estas habilidades complementarias son fácilmente transferibles a otras
disciplinas, por ejemplo, finanzas, administración y marketing. El producto final que crean los auditores es un informe de auditoría. Si la
información contenida en el informe de auditoría no se entrega de manera efectiva y eficiente a través de sólidas habilidades de comunicación
oral y escrita, todo el valor se deriva de la proceso de auditoría potencialmente podría perderse.
26 • Control y auditoría de tecnologías de la información
Tener un conjunto diverso de habilidades complementarias o "blandas" nunca está de más cuando uno está trabajando con un
auditado. Por ejemplo, un auditor senior de TI estaba realizando recientemente una auditoría en la que se enfrentó a un cliente / auditado
que no fue muy cooperativo. Durante el proceso de interrogatorio, el auditor senior de TI estableció una relación con el cliente mediante el
uso de habilidades interpersonales o "habilidades blandas". El papel de un auditor no es fácil cuando se nos pide que revisemos,
cuestionemos y evaluemos el trabajo de otros. Muchas veces, el auditado debe tener un entendimiento claro de nuestro rol y que el enfoque
del auditor no es ser crítico con el individuo sino con las políticas, procedimientos y procesos organizacionales. Los objetivos de la auditoría
se centran tanto en las metas como en los objetivos de la organización.
Oportunidades profesionales
Hay una serie de oportunidades profesionales disponibles para las personas que buscan una oportunidad en auditoría de TI. Para el graduado
universitario con el conocimiento, las habilidades y las habilidades de nivel de entrada adecuados, esta carrera ofrece muchos caminos para el
crecimiento y el desarrollo. Además, a medida que una carrera se desarrolla y progresa, la auditoría de TI también puede proporcionar movilidad
hacia otras áreas. Los auditores de TI de hoy son empleados por firmas de contabilidad pública, industrias privadas, firmas de consultoría de gestión
y el gobierno.
Las firmas de contadores públicos ofrecen a las personas la oportunidad de ingresar al campo de la auditoría de TI. Aunque estas firmas
pueden requerir que dichas personas comiencen sus carreras en auditorías financieras para ganar experiencia en la comprensión de las
metodologías de auditoría de la organización, después de la experiencia inicial de auditoría, la persona que expresa interés en una
especialización en particular (por ejemplo, forense, seguridad, etc.) ser transferido a dicha especialidad para una mayor formación y desarrollo
profesional. Muchos de los que han tomado esta trayectoria profesional han tenido éxito y varios se han convertido en socios, directores o
directores dentro de la firma. Las fuentes principales para la mayoría de las firmas de contadores públicos son el reclutamiento y el desarrollo
universitario. Sin embargo, no es infrecuente que una empresa contrate personal externo para obtener conocimientos especializados (p. Ej.,
Industria privada
Al igual que las empresas de contabilidad pública, la industria privada ofrece puestos profesionales de auditoría de TI de nivel de entrada.
Además, los auditores de TI adquieren experiencia en áreas más especializadas (es decir, telecomunicaciones, software de sistemas y
diseño de sistemas), lo que puede convertirlos en candidatos para puestos de operaciones de TI, forense de TI y seguridad de TI. Muchos
directores ejecutivos ven la experiencia de auditoría como una función de capacitación gerencial. El auditor de TI tiene fortalezas
particulares de formación, experiencia práctica con SI corporativos y comprensión de la toma de decisiones ejecutivas. Algunas empresas
han hecho una distinción entre auditores de TI y auditores operativos y financieros. Otros requieren que todos los auditores internos sean
capaces de auditar los sistemas de TI. Las fuentes de personal para la función de auditoría de TI dentro de una empresa generalmente
pueden provenir de la contratación universitaria, transferencias internas,
Otra área de oportunidad para el personal de auditoría de TI es la consultoría de gestión. Esta área de carrera generalmente está disponible
para auditores de TI con varios años de experiencia. Muchos consultoría de gestión
Entorno de tecnología de la información y auditoría de TI • 27
Las prácticas, especialmente aquellas que brindan servicios en el entorno de sistemas informáticos, contratan auditores de TI con experiencia.
Esta trayectoria profesional permite que estos candidatos utilicen sus conocimientos, habilidades y habilidades particulares para diagnosticar
una variedad de problemas informáticos y de información de gestión y luego ayudar a la organización a implementar las soluciones. Los
recursos habituales para estos puestos son personal experimentado de firmas contables contables públicas, industrias privadas y el gobierno.
Gobierno
El gobierno ofrece otra vía para que uno adquiera experiencia en auditoría de TI. En los Estados Unidos, los gobiernos federal, estatal, del condado
y de la ciudad emplean personal para llevar a cabo las responsabilidades relacionadas con las auditorías de TI. Las organizaciones federales como
la NSA, el FBI, el Departamento de Justicia y la CIA emplean personal que tiene experiencia en auditoría de TI, experiencia en seguridad informática
y experiencia en forense de TI. Los gobiernos de todo el mundo también emplean personal para realizar auditorías de TI.
Los puestos gubernamentales ofrecen capacitación y experiencia al personal responsable de realizar funciones de auditoría de TI. Las
fuentes de los auditores de TI del gobierno son reclutas universitarios y empleados que buscan promoción o transferencia interna. Hay
ocasiones en las que también se pueden contratar recursos con experiencia del exterior.
Conclusión
Las operaciones comerciales están cambiando a un ritmo rápido debido a la rápida mejora continua de la tecnología. La tecnología ha
impactado varias áreas del entorno empresarial, incluido el uso y procesamiento de la información, los procesos de control existentes y
cómo se realizan las auditorías para sacar conclusiones con respecto a la efectividad, eficiencia e integridad de los informes operativos o
del sistema. También se observa que la tecnología cambia constantemente e identifica formas de dar forma a los entornos de TI actuales
en la organización. Se describieron varias tecnologías recientes que han revolucionado y ciertamente seguirán revolucionando las
organizaciones, en particular la forma en que se hacen negocios y la dinámica del lugar de trabajo.
Debido a los importantes fraudes y escándalos corporativos y contables, la profesión de auditoría, tanto las funciones internas como
externas, ahora considera seriamente la falta de controles en los sistemas de información por computadora. Dentro de la auditoría
financiera, por ejemplo, existen principios y estándares que rigen la profesión de contador público autorizado en los Estados Unidos (es
decir, GAAP y GAAS). Estos buscan una preparación precisa de los estados financieros, así como procedimientos efectivos para sus
exámenes de auditoría. Un tipo diferente de auditoría, la auditoría de TI, se ha convertido en una parte integral de la función de auditoría
porque respalda el juicio del auditor sobre la calidad de la información procesada por los sistemas informáticos. La auditoría de TI
proporciona una seguridad razonable (nunca absoluta) de que la información generada por las aplicaciones dentro de la organización es
precisa, completa, y apoya la toma de decisiones eficaz y coherente con la naturaleza y el alcance acordados. Hay dos grandes grupos de
auditorías de TI (es decir, Auditoría de controles informáticos generales y Auditoría de controles de aplicaciones), ambos esenciales para
garantizar el funcionamiento adecuado continuo de SI.
Para el auditor de TI, la necesidad de auditoría sigue siendo crítica y sigue siendo exigente. Hay muchos desafíos por delante;
todos deben trabajar juntos para diseñar, implementar y salvaguardar la integración de tecnologías nuevas y existentes en el lugar de
trabajo. Dados los diversos roles que pueden desempeñar los auditores de TI, deben mantenerse actualizados con las revisiones y
cambios en las leyes existentes que rigen el uso de computadoras e Internet. Los auditores de TI pueden proporcionar una ventaja para
ayudar a las organizaciones a comprender los riesgos que enfrentan y las posibles consecuencias.
28 • Control y auditoría de tecnologías de la información
Preguntas de revisión
4. Auditoría general de controles informáticos y controles de aplicaciones La auditoría son dos grandes grupos de auditorías de TI.
Resuma ambas auditorías y proporcione ejemplos específicos que respalden los controles evaluados dentro de cada tipo de
auditoría.
5. El TSPC, mantenido por la ASEC de AICPA, presenta criterios para que los utilicen los profesionales cuando brindan certificación
profesional o servicios de asesoría para evaluar los controles relevantes a cinco principios. Describe con tus propias palabras estos
principios.
6. Explique qué es la garantía de la información.
7. Una de las funciones del auditor de TI es actuar como consejero de las organizaciones. Como consejero, los auditores de TI pueden ayudar
a las organizaciones a desarrollar políticas, procedimientos, estándares y / o mejores prácticas, como una política de seguridad de la
información. Utilizando las características de una buena política de seguridad de la información enumeradas en el capítulo, desarrolle
8. Explique por qué la auditoría de TI se considera una profesión. Describa los requisitos para que los candidatos obtengan la certificación CISA.
de trabajo para cada oportunidad profesional identificada anteriormente. Para cada perfil de trabajo identificado, enumere lo siguiente en
forma de tabla:
Ejercicios
1. Después de leer este capítulo, debe sentirse cómodo con las funciones y responsabilidades generales de un auditor de TI.
a. Describa con sus propias palabras qué hacen los auditores de TI.
si. ¿Por qué deberían formar parte del equipo de auditoría general al realizar la auditoría financiera anual de un cliente?
2. Enumere cinco sitios web a los que puede acceder para obtener información sobre:
a. Auditoría de TI
si. Problemas de privacidad y seguridad de TI
3. Visite los sitios web de cuatro organizaciones de auditoría externa: dos sitios privados y dos gubernamentales. Proporcione un
resumen de quiénes son y sus roles, funciones y responsabilidades.
4. Entreviste a un auditor de TI y recopile la siguiente información:
a. ¿Cargo y empresa?
si. ¿Número de años de experiencia en auditoría de TI?
C. ¿Título (s) y certificaciones profesionales?
re. ¿Trayectoria profesional?
Entorno de tecnología de la información y auditoría de TI • 29
Otras lecturas
1. Recursos NIIF de AICPA. ¿Qué son las NIIF? www.ifrs.com/ifrs_faqs.html#q1 (consultado en octubre de 2016).
2. Instituto Americano de Contadores Públicos Autorizados (AICPA). (2011). Principales iniciativas tecnológicas,
www.aicpa.org/InterestAreas/InformationTechnology/Resources/TopTechnologyInitiatives/ Pages /
2011TopTechInitiatives.aspx
3. Chen, Y., Paxson, V. y Katz, RH (2010). ¿Qué hay de nuevo en la seguridad informática en la nube?
Informe técnico UCB / EECS-2010-5, Departamento de EECS, Universidad de California, Berkeley, 2010,
www.eecs.berkeley.edu/Pubs/TechRpts/2010/EECS-2010-5.html
4. Deloitte. Computación en la nube en 2016: problemas y oportunidades de empresas privadas, www2.deloitte.com/
us / en / pages / deloitte-growth-enterprise-services / articles / private-company-cloud-computing.html (consultado en octubre de 2016).
5. Centro EY para Asuntos de la Junta. (Septiembre de 2015). EY Big Data y Analytics en el proceso de auditoría,
www.ey.com/Publication/vwLUAssets/ey-big-data-and-analytics-in-the-audit-process/$FILE/ey-
big-data-and-analytics-in-the-audit-process.pdf (consultado en diciembre de 2015).
6. NIST. Versión final de la definición de computación en la nube del NIST publicada, www.nist.gov/news-events/ news / 2011/10 /
final-version-nist-cloud-computing-definition-Published (consultado en octubre de 2011).
7. Gallegos, F. (2002). Debido cuidado profesional. Inf. Syst. Control J., 2, 25-28.
8. Gallegos, F. (2003). Carreras de auditor de TI: el gobierno de TI proporciona nuevos roles y oportunidades. ES
Control J., 3, 40–43.
9. Gallegos, F. y Carlin, A. (julio de 2007). Auditoría de TI: un proceso empresarial crítico. Computación. Revista., 40 (7),
87–89.
10. Glosario de TI de Gartner. (Dakota del Norte). www.gartner.com/it-glossary/big-data/ (consultado en octubre de 2016).
11. El ciclo de publicidad de Gartner de 2015 para tecnologías emergentes identifica las innovaciones informáticas que las organizaciones deben
monitorear, www.gartner.com/newsroom/id/3114217 (consultado en julio de 2015).
12. Gartner dice que Internet of Things transformará el centro de datos, www.gartner.com/newsroom/ id / 2684616 (consultado en
octubre de 2014).
13. Asociación de Investigación de Delitos de Alta Tecnología. HTCIA.org
14. Ibrahim, N. Auditoría de TI 101: La auditoría interna es responsable de evaluar si los riesgos de TI se comprenden, gestionan y controlan
adecuadamente. Auditor interno, http://go.galegroup.com/ps/i.do?id=GA LE% 7CA372553480 & sid = googleScholar & v = 2.1 & it = r &
linkaccess = fulltext & issn = 00205745 & p = AO NE & sw = w & authCount = 1 & u = melb26933 & selfRedirect = true (consultado en
junio de 2014).
15. IDC. Se prevé que el gasto mundial en servicios de nube pública alcance los 266.000 millones de dólares en 2021, según IDC. USA,
www.idc.com/getdoc.jsp?containerId=prUS42889917 (consultado en julio de 2017).
16. Fundación de Auditoría y Control de Sistemas de Información. COBIT, Quinta edición. Sistemas de información
Audit and Control Foundation, Rolling Meadows, IL, www.isaca.org/Knowledge-Center/COBIT/ Pages / Overview.aspx (consultado
en junio de 2012).
17. Asociación de Auditoría y Control de Sistemas de Información. (2011). Dominio del examen CISA, ISACA
Junta de certificación, Rolling Meadows, IL.
18. ISACA. Información sobre la innovación: las principales tendencias digitales que afectan la estrategia. www.isaca.org/knowledge-Center/ Research / Pages /
25. ISACA. Los programas de ISACA están alineados con el plan de estudios modelo para auditoría y control de SI, http: // www.
isaca.org/Knowledge-Center/Academia/Pages/Programs-Aligned-with-Model-Curriculum-for-IS- Audit-and-Control.aspx (consultado en
octubre de 2016).
26. Nelson, B., Phillips, A. y Steuart, C. (2010). Guía de investigación y análisis forense informático, Curso
Tecnología, Cengage Learning, Boston, MA.
27. Otero, AR (2015). Impacto de la participación de los auditores de TI en las auditorías financieras. En t. J. Res. Autobús. Technol.,
6 (3), 841–849.
28. Seguridad PCI. PCI Security Standards Council, www.pcisecuritystandards.org/pci_security/ (consultado en octubre de 2016).
29. Plantillas de políticas de seguridad de la información de SANS. www.sans.org/security-resources/policies/general (consultado en octubre de 2016).
30. Senft, S., Gallegos, F. y Davis, A. (2012). Control y Auditoría de Tecnologías de la Información. Prensa CRC /
Taylor y Francis, Boca Raton, FL.
31. Singleton, T. (2003). Las ramificaciones de Sarbanes-Oxley. IS Control J., 3, 11-16.
32. AICPA. Declaraciones sobre estándares de auditoría, www.aicpa.org/research/standards/auditattest/pages/sas. aspx # SAS117 (consultado en
octubre de 2016).
33. Takabi, H., Joshi, JBD y Ahn, G. (2011). Desafíos de seguridad y privacidad en entornos de computación en la nube. IEEE Secur.
Priv., 8 (6), 24–31.
34. Comisión Federal de Big Data de la Fundación TechAmerica. (2012). Desmitificando Big Data: Una guía práctica para transformar el
negocio del gobierno, https://bigdatawg.nist.gov/_uploadfiles/M0068_ v1_3903747095.pdf (consultado en diciembre de 2012).
35. Las mejores soluciones de gestión de dispositivos móviles (MDM) de 2016. Revista de PC, www.pcmag.com/
article / 342695 / the-best-mobile-device-management-mdm-software-of-2016 (consultado en noviembre de 2016).
36. ComprehensiveNationalCybersecurityInitiative. Www.whitehouse.gov/cybersecurity/comprehensive- national-cybersecurity-Initiative
(consultado en julio de 2012).
37. Instituto de Auditores Internos. Definición de auditoría interna, www.iia.org.au/aboutIIA/definition- OfIA.aspx (consultado en octubre
de 2016).
38. Los 10 principales proveedores de software ERP y previsión del mercado 2015-2020. Las aplicaciones manejan el mundo. www.
appsruntheworld.com/top-10-erp-software-vendors-and-market-forecast-2015-2020/ (consultado en octubre
2016).
39. Comisión de Bolsa y Valores de EE. UU. La SEC anuncia casos de fraude financiero. Presione soltar,
www.sec.gov/news/pressrelease/2016-74.html (consultado en octubre de 2016).
40. ¿Qué es la computación en la nube? Revista de PC, www.pcmag.com/article2/0,2817,2372163,00.asp (consultado
Noviembre de 2016).
41. Se prevé que el gasto mundial en servicios de nube pública se duplique para 2019, según IDC, https: //
www.informationweek.com/cloud/infrastructure-as-a-service/idc-public-cloud-spending-to-double- by -2019 / d / d-id / 1324014
(consultado en octubre de 2016).
Capitulo 2
OBJETIVOS DE APRENDIZAJE
1. Analice los delitos informáticos y explique las tres categorías principales de delitos relacionados con las computadoras.
2. Defina el ciberataque e ilustre los recientes ciberataques realizados contra empresas estadounidenses.
5. Describir y discutir la legislación relacionada con la privacidad relevante para los auditores de TI.
7. Discutir las leyes de privacidad internacionales relevantes para los auditores de TI.
La explosión de las tecnologías de la información ha abierto muchas puertas de acceso a los delincuentes, lo que exige que las organizaciones
tomen las precauciones necesarias para proteger sus activos intelectuales contra los delitos informáticos. Según el Informe de delitos en Internet
de 2016, el Centro de quejas de delitos en Internet (IC3) del FBI recibió un total de 298,728 quejas con pérdidas reportadas superiores a $ 1,3 mil
31
32 • Control y auditoría de tecnologías de la información
127.145 denuncias de un total de 288.012 sobre presunta actividad delictiva facilitada por Internet en realidad informaron haber
experimentado una pérdida. Las pérdidas totales reportadas en 2015 ascendieron a $ 1,070,711,522 (o casi un 134% de aumento con
respecto a la pérdida total reportada de 2014 de $ 800,492,073). En
En 2014, el FBI recibió 123,684 quejas (de un total de 269,422) que en realidad informaron una pérdida por actividades delictivas
en línea. En 2015, la mayoría de las quejas continuas recibidas por el FBI se referían a delincuentes que alojaban sitios web
fraudulentos de servicios gubernamentales para adquirir
información de identificación personal (PII) y cobrar tarifas fraudulentas a los consumidores. Otros notables de 2014 a 2016
involucraron “impago” (es decir, bienes / servicios enviados o proporcionados, pero el pago nunca se realizó); “No entrega” (es decir,
pago enviado, pero bienes / servicios nunca recibidos); el robo de identidad; violación de datos personales; extorsión; y otros. Algunos
de los delitos en Internet denunciados con mayor frecuencia entre 2014 y 2016 se enumeran en el Cuadro 2.1.
Hay tres categorías principales de delitos relacionados con las computadoras. Estos delitos pueden cometerse como actos
individuales o al mismo tiempo. El primero de ellos es donde la computadora es el objetivo del crimen. Generalmente, este tipo de delito
implica el robo de información que se almacena en la computadora. Esto también cubre el acceso no autorizado o la modificación de
registros. La forma más común de obtener acceso no autorizado es que el delincuente se convierta en un "superusuario" a través de
una puerta trasera en el sistema. La puerta trasera del sistema está ahí para permitir el acceso en caso de que surja un problema. Ser
superusuario equivale a ser administrador del sistema y permite al delincuente acceder a prácticamente todas las áreas y funciones del
sistema. Este tipo de delito es el que más preocupa a la industria.
El siguiente tipo general de delito informático se produce cuando la computadora se utiliza como instrumento del delito. En
este escenario, la computadora se utiliza para ayudar al delincuente a cometer el delito. Esta categoría cubre el uso fraudulento
de tarjetas de cajeros automáticos (ATM), tarjetas de crédito, telecomunicaciones y fraude financiero de transacciones
informáticas.
En la tercera categoría, la computadora no es necesaria para cometer el delito. La computadora es
incidental y se utiliza para cometer el delito más rápidamente, procesar mayores cantidades de información y
hacer que el delito sea más difícil de identificar y rastrear. El ejemplo más popular de este delito es la
pornografía infantil. Debido al mayor acceso a Internet, la pornografía infantil está más extendida, es más fácil
de acceder y más difícil de rastrear. La TI ayuda a las fuerzas del orden a perseguir este delito porque la
información incriminatoria a menudo se almacena en la computadora. Esto facilita el enjuiciamiento penal. Si el
delincuente es inteligente, la computadora está programada para cifrar los datos o borrar los archivos si no se
accede correctamente. Así,
Un delito informático notorio con el que suelen lidiar las organizaciones, y que también puede involucrar los tres tipos de delitos
informáticos que acabamos de explicar, son los ciberataques. El Diccionario Oxford define el ciberataque como “un intento de los
piratas informáticos de dañar o destruir una red o sistema informático”. * Otra definición de ciberataque es la explotación deliberada y
maliciosa de redes, sistemas y datos (generados por computadora) por parte de personas u organizaciones para obtener información
valiosa de los usuarios a través de medios fraudulentos. † La información valiosa, confidencial y / o sensible puede tomar la forma de
contraseñas, detalles financieros, información gubernamental clasificada, etc. Los ciberataques se pueden etiquetar como campañas
cibernéticas, guerra cibernética, o terrorismo cibernético
dependiendo de su contexto. El ciberterrorismo, por ejemplo, se analiza en una sección posterior de este capítulo.
*
https://en.oxforddictionaries.com/definition/cyberattack.
† www.britannica.com/topic/cyberwar#ref1085374.
Legislación relevante para la tecnología de la información • 33
Anexo 2.1 Delitos en Internet reportados con frecuencia por el Centro de Quejas de Delitos en Internet
(IC3) del FBI de 2014 a 2016
email de negocios Estafa sofisticada dirigida a empresas que trabajan con proveedores extranjeros y / o
Compromiso (BEC) empresas que realizan pagos por transferencia bancaria con regularidad.
Secuestro de datos El ransomware es una forma de malware que se dirige a las debilidades humanas y
técnicas en un esfuerzo por negar la disponibilidad de datos y / o sistemas críticos.
Fraude de soporte técnico El fraude de soporte técnico ocurre cuando el sujeto afirma estar asociado con un
software informático o una empresa de seguridad, o incluso una empresa de cable o
de Internet, que ofrece soporte técnico a la víctima.
Fraude automático La estafa típica de fraude automovilístico implica vender a un consumidor un automóvil
(que figura en un sitio web legítimo) con un precio significativamente inferior a su valor
justo de mercado. El vendedor (estafador) intenta apresurar la venta indicando que
debe vender de inmediato debido a la reubicación, problemas familiares, necesidad de
efectivo u otras razones personales. El vendedor no permite inspeccionar el automóvil
ni reunirse con el consumidor cara a cara. Luego, el vendedor le pide al consumidor
que envíe el pago a un agente externo y que le envíe por fax el recibo de pago como
prueba de pago. El vendedor se queda con el dinero y nunca llega a entregar el
automóvil.
Gobierno Este tipo de delito en Internet implica hacerse pasar por el gobierno, los agentes del
Correo electrónico de suplantación orden o simplemente alguien que finge tener cierto nivel de autoridad para persuadir
Estafa a las víctimas inconscientes de que proporcionen su información personal.
Intimidación / Extorsión Este tipo de delito utiliza demandas de dinero, propiedad, activos, etc. a través del
Estafa ejercicio indebido de la autoridad (es decir, amenazas de daño físico,
procesamiento penal o exposición pública) para extorsionar e intimidar.
Fraude inmobiliario Similar al fraude de automóviles. El vendedor (estafador) intenta apresurar la venta de una
casa (con un precio significativamente por debajo de las tarifas de alquiler del mercado)
indicando que debe vender de inmediato debido a la reubicación, nuevo empleo, problemas
familiares, necesidad de efectivo u otros razones. Se utiliza una reducción de precio tan
significativa para atraer a posibles víctimas. Luego, el vendedor le pedirá al consumidor que
proporcione información de identificación personal y que transfiera el pago a un tercero. Al
recibir el pago, nunca se encuentra al vendedor.
Fraude de confianza / Este tipo de delito se refiere a esquemas diseñados para buscar compañía,
Estafa romántica amistad o romance a través de recursos en línea.
34 • Control y auditoría de tecnologías de la información
Los ciberataques se han vuelto cada vez más comunes en los últimos años. Algunos de los ciberataques más recientes e infames
llevados a cabo contra empresas estadounidenses se enumeran en el Anexo 2.2. Analicemos ahora la legislación actual (federal, estatal e
internacional) vigente para hacer frente a estos delitos y ataques informáticos, y que son relevantes para el auditor de TI.
Verizon (2017) / Verizon, el principal proveedor de telecomunicaciones, sufrió una violación de seguridad de datos
Telecomunicaciones con más de 6 millones de datos personales de clientes estadounidenses expuestos en Internet. una
Yahoo! (2016) / Considerada por muchos como la filtración de datos más grande descubierta en la historia de
Computadora de Internet Internet. La violación tuvo lugar a fines de 2014, cuando los piratas informáticos robaron
Software información asociada con al menos 500 millones de Yahoo! cuentas de usuario, incluidos nombres,
direcciones de correo electrónico, números de teléfono, preguntas y respuestas de seguridad
cifradas o no cifradas, fechas de nacimiento y contraseña cifrada. Yahoo! divulgó públicamente la
violación de datos 2 años después, el 22 de septiembre de 2016. si
Experian PLC (2015) / Los servidores que almacenaban información de evaluación crediticia (por ejemplo, nombres, direcciones,
Servicios comerciales números de seguridad social, etc.) de más de 15 millones de clientes fueron atacados por piratas
informáticos. C
WhatsApp Inc. (2015) / Hasta 200.000 usuarios estaban en riesgo de un ciberataque o ya tenían información
Comunicaciones personal comprometida, informó la aplicación de mensajería multiplataforma. A través de
la conexión a Internet, WhatsApp proporciona servicios de mensajes de texto,
reemplazando los mensajes de texto SMS habituales. si
Anthem, Inc. (2015) / Atención Considerada la mayor violación de la atención médica hasta la fecha, el ciberataque a Anthem afectó
médica administrada a 80 millones de clientes actuales y anteriores. El presidente y director ejecutivo de Anthem, Inc.,
Joseph Swedish, declaró que "Anthem fue el objetivo de un ciberataque externo muy sofisticado". re Los
piratas informáticos obtuvieron acceso al sistema informático de Anthem y obtuvieron información
que incluye nombres, fechas de nacimiento, identificaciones médicas, números de seguro social,
direcciones postales, direcciones de correo electrónico e información laboral, incluidos los datos de
ingresos.
Chick-Fil-A, Inc. (2014) / Los ciberataques en los sistemas de punto de venta durante 10 meses en numerosos restaurantes
Restaurante de Chick-Fil-A resultaron en alrededor de 9,000 tarjetas de crédito comprometidas. si
Staples, Inc. (2014) / Se detectó malware (software que daña o inutiliza sistemas informáticos) en los sistemas de
Minorista punto de venta de 115 tiendas, afectando alrededor de 1,16 millones de tarjetas de crédito. si
( Continuado)
Legislación relevante para la tecnología de la información • 35
Sony Pictures Un ciberataque a las redes informáticas de Sony Pictures Entertainment robó cantidades
Entertainment Inc. significativas de datos privados y confidenciales y también los entregó al público. Se creía
(2014) / que los piratas informáticos estaban vinculados al gobierno de Corea del Norte, que estaba
Entretenimiento extremadamente enojado con el principal estudio cinematográfico de Hollywood por
producir una película (es decir, The Interview) que retrataba a Corea del Norte de manera
negativa y mostraba el asesinato de su líder. mi
Corporación objetivo El ciberataque durante la temporada navideña de 2013 comprometió los sistemas informáticos
(2014) / Minorista de Target y robó datos de hasta 40 millones de tarjetas de crédito y débito de clientes.
Considerada la segunda infracción más grande informada por un minorista de EE. UU. F
una http://money.cnn.com/2017/07/12/technology/verizon-data-leaked-online/.
si www.cnbc.com/2016/09/22/yahoo-data-breach-is-among-the-biggest-in-history.html.
C www.heritage.org/research/reports/2015/11/cyber-attacks-on-us-companies-since-november-2014.
re www.usatoday.com/story/tech/2015/02/04/health-care-anthem-hacked/22900925/.
mi www.vox.com/2014/12/14/7387945/sony-hack-explained.
F www.reuters.com/article/us-target-breach-idUSBRE9BH1GX20131219.
Ha pasado más de una década desde el escándalo financiero de Enron-Arthur Andersen LLP (2001), pero aún continúa
plagando el mercado financiero actual como la confianza del consumidor, el inversionista y el gobierno para permitir que la
industria se autorregule. todos han sido violados. El recordatorio del fiasco de Enron son los escándalos de hoy en el mercado
hipotecario y de inversión hipotecaria y el efecto dominó que ha tenido en el gobierno, la industria privada y el público.
Por lo tanto, la Ley Sarbanes-Oxley (SOX) de 2002, que cambió drásticamente el mundo de la auditoría financiera, será un vívido
recordatorio de la importancia del debido cuidado profesional. SOX prohíbe a todas las firmas de contaduría pública registradas
proporcionar a los clientes de auditoría, al mismo tiempo que la auditoría, ciertos servicios distintos de auditoría, incluida la
subcontratación de auditoría interna, servicios de diseño e implementación de sistemas de información financiera y servicios de
expertos, entre otros. Estas restricciones de alcance de servicio van más allá de las regulaciones de independencia de la Comisión de
Intercambio y Seguridad (SEC). Todos los demás servicios, incluidos los servicios de impuestos, están permitidos solo si son
aprobados previamente por el comité de auditoría del emisor y todas las aprobaciones previas deben divulgarse en los informes
periódicos del emisor a la SEC. Los emisores se refieren a una entidad legal (por ejemplo, corporaciones, etc.
SOX analiza los requisitos para la Junta Directiva (junta), incluida la composición y las funciones. La junta debe (1)
registrar firmas de contadores públicos; (2) establecer o adoptar, por regla, auditoría, control de calidad, ética, independencia y
otras normas relacionadas con la preparación de informes de auditoría para emisores; (3) realizar inspecciones de firmas
contables; (4) realizar investigaciones y
36 • Control y auditoría de tecnologías de la información
procedimientos disciplinarios e imponer las sanciones apropiadas; (5) realizar otras tareas o funciones según sea necesario o
apropiado; (6) hacer cumplir la ley, las reglas de la junta, las normas profesionales y las leyes de valores relacionadas con la
preparación y emisión de informes de auditoría y las obligaciones y responsabilidades de los contadores con respecto a los
mismos; y (7) establecer el presupuesto y administrar las operaciones de la junta y el personal de la junta.
SOX es un paquete de reforma importante que exige los cambios de mayor alcance. El Congreso se ha impuesto al mundo empresarial
desde la Ley de Prácticas Corruptas en el Extranjero de 1977 y la Ley de la SEC de la década de 1930. Busca frustrar futuros escándalos y
restaurar la confianza de los inversores mediante, entre otras cosas, (1) la creación de la Junta de Supervisión Contable de Empresas
Públicas (PCAOB); (2) revisar las reglas de independencia del auditor y las normas de gobierno corporativo; y (3) aumentar
significativamente las sanciones penales por violaciones de las leyes de valores. Estos se describen a continuación:
PCAOB
Para auditar una empresa que cotiza en bolsa, una empresa de contabilidad pública debe registrarse en la PCAOB. La PCAOB
cobrará una tarifa de registro y una tarifa anual de cada firma contable pública registrada en montos que sean suficientes para
recuperar los costos de procesamiento y revisión de solicitudes e informes anuales. La PCAOB también establecerá una tarifa de
apoyo contable anual razonable para mantener sus operaciones.
Se deben realizar revisiones anuales de calidad para las firmas de contadores públicos que auditan a más de 100 emisores; todos los
demás deben realizarse cada 3 años. La SEC y la PCAOB pueden ordenar una inspección especial de cualquier firma de auditoría registrada
en cualquier momento. La PCAOB puede imponer sanciones si la firma no supervisa razonablemente a cualquier persona asociada con
respecto a las normas de auditoría o control de calidad.
Es ilegal que una empresa de contabilidad pública registrada proporcione cualquier servicio que no sea de auditoría a un emisor durante el
mismo tiempo que la auditoría. Estos servicios que no son de auditoría se enumeran a continuación:
• Teneduría de libros u otros servicios relacionados con los registros contables o estados financieros de
el cliente de auditoría
La PCAOB puede, caso por caso, eximir de las prohibiciones enumeradas anteriormente a cualquier persona, emisor, empresa de
contabilidad pública o transacción, sujeto a revisión por parte de la comisión. Sin embargo, la SEC tiene autoridad de supervisión y
ejecución sobre la PCAOB. La PCAOB, en su proceso de elaboración de normas, debe tratarse como si fuera una asociación de valores
registrada.
No será ilegal proporcionar otros servicios distintos de los de auditoría si el comité de auditoría los aprueba previamente de la siguiente
manera. SOX permite que una empresa de contabilidad se dedique a cualquier servicio que no sea de auditoría, incluidos los servicios fiscales que
no se enumeran anteriormente, solo si el comité de auditoría del emisor aprueba previamente la actividad. El comité de auditoría revelará a los
inversionistas en informes periódicos su decisión de preaprobar los servicios que no son de auditoría. Las auditorías reglamentarias de las
compañías de seguros legales se tratan como un servicio de auditoría y, por lo tanto, no requieren aprobación previa.
Legislación relevante para la tecnología de la información • 37
Para la aceptación de la independencia, SOX requiere la rotación del auditor (no de la firma de auditoría). El
socio principal de auditoría o coordinador y el socio de revisión deben rotar fuera de la auditoría cada 5 años.
SOX no hace distinciones con respecto a la capacidad en la que el socio auditor principal o el socio de revisión
concurrente proporcionó dichos servicios de auditoría. Cualquier servicio prestado como gerente o en alguna
otra capacidad parece contar para el período de 5 años. La disposición comienza tan pronto como se registra la
firma, por lo tanto, en ausencia de orientación en sentido contrario, el socio auditor principal y el socio de
revisión concurrente deben contar 5 años a partir de la fecha en que se produce el registro. Además, la firma
contable debe informar al comité de auditoría sobre todas las políticas y prácticas contables críticas que se
utilizarán.
Otro problema de cumplimiento de la independencia de auditoría es que el director ejecutivo (CEO), el controlador, el director
financiero (CFO), el director de contabilidad o la persona en un puesto equivalente no pueden ser empleados por la firma de
auditoría de la empresa durante el período de 1 año. antes de la auditoría. Además y para cumplir con la Sección 302:
Responsabilidad corporativa por informes financieros, por ejemplo, tanto el CEO como el CFO de la empresa deberán:
• preparar y firmar una declaración (que acompaña al informe de auditoría) para certificar a interesados
que los estados financieros de la empresa y todas las divulgaciones complementarias contenidas en el informe son veraces,
fiables y presentan razonablemente, en todos los aspectos materiales, las operaciones y la situación financiera de la empresa.
confiar.
- alguna deficiencias significativo o no) en el diseño u operación de controles internos que podrían afectar adversamente la
capacidad de la compañía para registrar, procesar, resumir y reportar información financiera;
- cualquier fraude (material o no) que involucre al personal de la empresa que tenga un papel importante en los controles
internos de la empresa; y
- cualquier cambio significativo implementado que pueda afectar materialmente los controles internos posteriores a la fecha
de su evaluación.
Una violación de esta sección debe ser consciente e intencional para dar lugar a responsabilidad. Será ilegal que cualquier funcionario o
director de un emisor tome cualquier acción para influenciar, coaccionar, manipular o engañar fraudulentamente a cualquier auditor
involucrado en la realización de una auditoría con el propósito de hacer que los estados financieros sean materialmente engañosos. Otra
sección crítica y relacionada de SOX es la Sección 404: Evaluación de los controles internos por parte de la administración, que requiere
que los auditores externos de la empresa informen sobre la confiabilidad de la evaluación de los controles internos realizada por la
administración. Para ello, el paquete de informe financiero anual que es elaborado por el
38 • Control y auditoría de tecnologías de la información
los auditores deben incluir un informe (es decir, un informe de control interno) que indique que la administración es responsable de
implementar y mantener una estructura de control interno adecuada. Dicho informe también debe incluir la evaluación realizada por la
gerencia para respaldar la efectividad de la estructura de control. También se debe informar cualquier falla, deficiencia o debilidad
identificada como resultado de la evaluación. Los auditores externos deben dar fe de la exactitud de la afirmación de la dirección de la
empresa de que los controles contables internos están establecidos y funcionan de manera eficaz.
SOX penaliza a los ejecutivos por incumplimiento. Si se requiere que un emisor prepare una reexpresión debido a un incumplimiento sustancial de
los requisitos de información financiera, el director ejecutivo y el director financiero deben reembolsar al emisor cualquier bonificación u otra
compensación basada en incentivos o acciones recibidas durante los 12 meses posteriores a la emisión. SOX también prohíbe la compra o venta de
acciones por parte de funcionarios y directores y otras personas con información privilegiada durante períodos de apagón. Cualquier beneficio que
Cada informe financiero que deba prepararse de acuerdo con los PCGA deberá reflejar todos los ajustes de
corrección de material que hayan sido identificados por una firma contable registrada. Cada informe financiero
anual y trimestral deberá revelar todas las transacciones importantes fuera del balance general y otras relaciones
con entidades no consolidadas que puedan tener un efecto material presente o futuro sobre la situación
financiera del emisor. Además, los directores, funcionarios y el 10% o más de los propietarios deben informar las
transacciones designadas al final del segundo día hábil siguiente al día en que se ejecutó la transacción. SOX
requiere que cada informe anual de un emisor contenga un informe de control interno. La SEC emitirá reglas para
exigir a los emisores que revelen si al menos un miembro de su comité de auditoría es un experto financiero.
También,
SOX identifica como delito que cualquier persona altere, destruya, mutile u oculte de manera corrupta cualquier documento con la
intención de dañar la integridad o disponibilidad del objeto para su uso en un procedimiento oficial o para obstruir, influir o impedir
cualquier procedimiento oficial. , siendo dicha persona responsable de hasta 20 años de prisión y una multa.
La SEC también está autorizada a congelar el pago de un pago extraordinario a cualquier director, funcionario, socio, persona
controladora, agente o empleado de una empresa durante una investigación de posibles violaciones de las leyes de valores. Finalmente,
la SEC puede prohibir que una persona se desempeñe como funcionario o director de una empresa pública si la persona ha cometido
fraude de valores.
Parece que los métodos y técnicas de seguridad tradicionales simplemente no funcionan. De hecho, la literatura sostiene que el uso
actual de herramientas y tecnologías de seguridad de la información (por ejemplo, cifrado, cortafuegos, administración de acceso, etc.) por
sí solo no es suficiente para proteger la información y abordar los desafíos de seguridad de la información. De manera similar, la
legislación de seguridad actual, aunque aborda los problemas de entrada no deseada a una red, puede permitir formas en las que los
delincuentes puedan escapar de las sanciones más severas por violar el acceso autorizado a un sistema informático. La industria de las
redes informáticas cambia continuamente. Debido a esto, las leyes, políticas, procedimientos y pautas deben cambiar constantemente con
él; de lo contrario, tenderán a volverse obsoletos, ineficaces y obsoletos.
En el pasado, la industria privada se ha mostrado reacia a implementar estas leyes del gobierno federal de los EE. UU.
Debido al temor del impacto negativo que podría traer a la empresa actual y
Legislación relevante para la tecnología de la información • 39
ganancias futuras e imagen para el público. A continuación, se describen algunas de las leyes del gobierno federal de los EE. UU. Que
regulan la seguridad de TI.
La Ley de Abuso y Fraude Informático (CFAA) se redactó por primera vez en 1984 como respuesta a los delitos informáticos. La
respuesta del gobierno a la seguridad de la red y los delitos relacionados con la red fue revisar la ley en 1994 bajo la Ley de
Enmiendas al Abuso de Computadoras para cubrir delitos como la entrada ilegal (entrada no autorizada) a un sistema en línea,
exceder el acceso autorizado e intercambiar información sobre cómo para obtener acceso no autorizado. Aunque la ley tenía como
objetivo proteger contra ataques en un entorno de red, también tiene su parte justa de fallas.
La ley requiere que existan ciertas condiciones para que el delito sea una violación de la CFAA. Solo si estas
condiciones están presentes, el delito será una violación de la CFAA. Los tres tipos de ataques que están cubiertos por
la Ley y las condiciones que deben cumplirse incluyen:
• Allanamiento fraudulento. Esto es cuando se comete una infracción con la intención de defraudar que resulta en
Cada una de las definiciones anteriores está orientada a un tipo particular de ataque. La intrusión fraudulenta fue una respuesta contra
los delitos relacionados con el fraude telefónico que se comete a través de un sistema informático, como el uso de la computadora de una
compañía telefónica para obtener servicio telefónico gratuito. Esta condición ayuda a procesar a las personas responsables de las
grandes pérdidas financieras sufridas por empresas como AT&T. El fraude telefónico se ha convertido en un problema de más de mil
millones de dólares al año para las compañías telefónicas. Los otros dos generalmente se aplican a sistemas en línea y se han
implementado para abordar problemas de piratas informáticos o crackers, gusanos, virus y prácticamente cualquier otro tipo de intruso
que pueda dañar, alterar o destruir información. Estos dos ataques son similares en muchos aspectos, pero la clave para diferenciarlos
son las palabras "intencional", que serían, por supuesto, significa un ataque deliberado con la intención de causar daño, mientras que
“imprudente” puede cubrir un ataque en el que el daño fue causado por negligencia. Las sanciones bajo la Sección 1030 (c) de la CFAA
varían desde un año de prisión por allanamiento destructivo imprudente en una computadora no federal hasta 20 años por un ataque
intencional a una computadora federal donde la información obtenida se utiliza para "el daño de los Estados Unidos o en beneficio de
cualquier nación extranjera ”(es decir, casos de espionaje).
Otro acto de importancia es la Ley de Seguridad Informática de 1987, que fue redactada debido a las preocupaciones del Congreso y la
conciencia pública sobre temas relacionados con la seguridad informática y debido a disputas sobre el control de información no
clasificada. El propósito general de la ley fue una declaración del gobierno de que mejorar la seguridad de la información confidencial
en los sistemas informáticos federales es de interés público. La Ley estableció un programa de seguridad informática del gobierno
federal que
40 • Control y auditoría de tecnologías de la información
protegería la información confidencial en los sistemas informáticos del gobierno federal. También desarrollaría estándares y pautas
para sistemas informáticos federales no clasificados y facilitaría dicha protección. *
La Ley de Seguridad Informática de 1987 también asignó la responsabilidad de desarrollar estándares, directrices y programas de
capacitación en seguridad de sistemas informáticos para todo el gobierno a la Oficina Nacional de Estándares (ahora NIST). Además,
estableció una Junta Asesora de Seguridad y Privacidad de Sistemas de Computación dentro del Departamento de Comercio, y requirió que
las agencias federales identificaran los sistemas de computadoras que contienen información confidencial y desarrollen planes de seguridad
para esos sistemas. Finalmente, brindó capacitación periódica en seguridad informática para todos los empleados y contratistas federales
que administraban, usaban u operaban sistemas informáticos federales.
La Ley de Seguridad Informática de 1987 es particularmente importante porque es fundamental para el desarrollo de
estándares federales para salvaguardar información no clasificada y establecer un equilibrio entre la seguridad nacional y otras
cuestiones no clasificadas en la implementación de políticas de seguridad dentro del gobierno federal. También es importante para
abordar cuestiones relativas al control gubernamental de criptografía.
Los eventos del ataque terrorista del 11 de septiembre de 2001 provocaron la aprobación de la Ley de Seguridad
Nacional de 2002, cuyo propósito era prevenir ataques terroristas dentro de los Estados Unidos y reducir la
vulnerabilidad de los Estados Unidos al terrorismo. Desempeña un papel importante en la seguridad del
ciberespacio porque impone muchas limitaciones y restricciones a los usuarios de Internet. Por ejemplo, uno de
los objetivos de la ley es establecer un sistema basado en Internet que solo permitirá a las personas autorizadas
el acceso a determinada información o servicios. Debido a esta restricción, las posibilidades de vulnerabilidad y
ataques pueden disminuir. El impacto de esta Ley definitivamente contribuirá a la seguridad del ciberespacio
porque su función principal es proteger a la gente de los Estados Unidos de cualquier forma de ataque, incluidos
los ataques de Internet. la seguridad cibernética es asunto de todos.
La CSEA (HR 3482) se incorporó a la Ley de Seguridad Nacional de 2002. La CSEA exige cadenas perpetuas para aquellos piratas
informáticos que imprudentemente pongan en peligro vidas. La Ley también incluyó disposiciones que buscan permitir que la vigilancia de la
red recopile números de teléfono, direcciones de Protocolo de Internet (IP) y localizadores de recursos universales (URL) o información de
correo electrónico sin recurrir a un tribunal cuando haya una "amenaza inmediata a un interés de seguridad nacional " se sospecha.
Finalmente, los proveedores de servicios de Internet (ISP) deben entregar los registros de los usuarios a las autoridades policiales,
derogando la legislación actual que prohíbe tal comportamiento.
La Ley de Seguridad Nacional de 2002 agregó una redacción que busca prohibir la publicación en cualquier lugar de detalles de herramientas
como Pretty Good Privacy, que codifican los correos electrónicos para que los fisgones no puedan leerlos. Esta disposición permite a la policía
realizar escuchas telefónicas o por Internet de forma aleatoria sin necesidad de pedir permiso al tribunal primero. Esta ley tiene una disposición que
exige un castigo de hasta cadena perpetua para los piratas informáticos electrónicos que sean declarados culpables de causar la muerte a otros a
través de sus acciones. Cualquier pirata informático condenado por causar lesiones a otras personas podría enfrentar penas de prisión de hasta 20
años según las disposiciones sobre delitos cibernéticos, que se encuentran en la Sección 225 de la disposición de la CSEA de la Ley de Seguridad
Nacional.
*
Office of Technology Assessment, Issue Update on Information Security and Privacy in Networked Environments, pág. 105.
Legislación relevante para la tecnología de la información • 41
Los estándares de seguridad de datos de la industria de tarjetas de pago (PCI DSS) se refieren a los requisitos técnicos y operativos
aplicables a las entidades que almacenan, procesan o transmiten datos de titulares de tarjetas, con la intención de proteger dichos datos a
fin de reducir el fraude con tarjetas de crédito. Las PCI DSS son mantenidas, administradas y promovidas por el PCI Security Standards
Council (Council) en todo el mundo para proteger los datos de los titulares de tarjetas. El Consejo fue fundado en 2006 por las principales
empresas de tarjetas de crédito, como American Express, Discover, JCB International, MasterCard y Visa, Inc. Estas empresas comparten
por igual la gobernanza, la ejecución y el cumplimiento del trabajo del Consejo.
Todos los comerciantes que aceptan o procesan pagos mediante tarjetas deben cumplir con las PCI DSS. Algunos objetivos
y requisitos específicos de PCI DSS incluyen los siguientes:
• Crear y mantener una red segura: implementar una configuración de firewall sólida;
Evite el uso de valores predeterminados proporcionados por el proveedor para las contraseñas del sistema que son fáciles de descifrar
• Protección de los datos almacenados del titular de la tarjeta: utilice técnicas de cifrado en todas las transmisiones de
los datos del titular al nivel mínimo posible de acuerdo con las necesidades comerciales, las tareas y responsabilidades relacionadas (es
decir, el principio de privilegio mínimo); restringir el acceso físico a los datos del titular de la tarjeta
• Monitorear y probar redes: monitorear todo el acceso a los recursos de red donde la tarjeta
se están transmitiendo datos del titular; probar periódicamente los sistemas de seguridad que transmiten y procesan los datos del titular de
la tarjeta
• Mantener una política de seguridad de la información: especificar las características de seguridad requeridas y aceptar
pautas de uso capaz para los usuarios; definir las expectativas, responsabilidades y derechos de acceso y privilegios del usuario
La Ley Federal de Gestión de Seguridad de la Información (FISMA) fue promulgada como parte de la Ley de Gobierno Electrónico de 2002
para "proporcionar un marco integral para garantizar la efectividad de los controles de seguridad de la información sobre los recursos de
información que respaldan las operaciones y activos federales y para proporcionar desarrollo y mantenimiento de los controles mínimos
necesarios para proteger la información y los sistemas de información federales ”. En otras palabras, FISMA requiere que las agencias
federales desarrollen, documenten y pongan en marcha programas de seguridad de la información con el propósito de proteger tanto la
información como los sistemas implementados para respaldar las operaciones y los activos de las agencias, incluidos los proporcionados o
administrados. por otra agencia, contratista u otra fuente. Específicamente, FISMA requiere que las agencias federales:
• Asegurarse de que se asigne seguridad a los funcionarios adecuados (por ejemplo, director de información, etc.)
responsabilidad y autoridad para asegurar el cumplimiento de los requisitos impuestos por FISMA
• planificar e implementar programas de seguridad de la información
• tener evaluaciones independientes anuales (es decir, libres de cualquier sesgo o influencia) de su información
Es fundamental que las agencias comprendan y, lo más importante, implementen las tareas enumeradas anteriormente para mitigar los
riesgos a niveles aceptables y otros factores que podrían afectar negativamente sus misiones. Las agencias deben monitorear y evaluar
constantemente sus programas de seguridad de la información para salvaguardar la información (y los sistemas que la generan) de
eventos que puedan resultar del acceso no autorizado, así como del uso, divulgación, interrupción, modificación o destrucción de la
información.
Un área de preocupación para muchas empresas son las firmas electrónicas. Al igual que el almacenamiento en línea, las firmas electrónicas
pueden mejorar significativamente las operaciones comerciales, aunque "se debe tener cuidado para evitar comprometer los datos confidenciales
Existen al menos dos leyes principales con respecto a las leyes de firma electrónica que las empresas deben conocer: la Ley
Uniforme de Transacciones Electrónicas (UETA) y la Ley de Firmas Electrónicas en el Comercio Nacional y Global (ESIGN). Con estas
dos leyes, las empresas pueden acelerar significativamente los tiempos de respuesta de las transacciones comerciales al declarar su
acuerdo con los términos contractuales con solo un clic del mouse (es decir, reemplazando los documentos tradicionales de firma en
papel con formularios electrónicos).
UETA es una de las varias Leyes Uniformes de los Estados Unidos propuestas por la Conferencia Nacional de Comisionados sobre
Leyes Estatales Uniformes. Existe para armonizar las leyes estatales sobre la retención de registros en papel (especialmente cheques) y la
validez de las firmas electrónicas. UETA se introdujo en 1999 y ha sido adoptado por 47U.S. estados, así como el Distrito de Columbia,
Puerto Rico y las Islas Vírgenes de EE. UU. En pocas palabras, UETA hace que las firmas electrónicas sean válidas y de conformidad con los
requisitos de la ley cuando las partes que están listas para realizar una transacción han acordado proceder electrónicamente.
ESIGN, por otro lado, es una ley federal aprobada por el Congreso de los Estados Unidos en 2000. Al igual que UETA, ESIGN
reconoce las firmas electrónicas y los registros otorgados a todas las partes contratantes que optan por usar documentos electrónicos y
firmarlos electrónicamente. En otras palabras, con ESIGN, los documentos con firmas y registros electrónicos son tan buenos como sus
equivalentes en papel estándar y, por lo tanto, están sujetos al mismo examen legal de autenticidad que se aplica a los documentos
tradicionales en papel y las firmas con tinta húmeda.
Para que una firma electrónica sea reconocida como válida bajo la ley de los EE. UU. (ESIGN y UETA), debe ocurrir lo
siguiente:
• Debe haber una clara intención de firmar por todas las partes involucradas.
• Las partes de la transacción deben dar su consentimiento para hacer negocios electrónicamente.
• El sistema de aplicación utilizado para la captura de la firma electrónica debe estar configurado y
listo para retener (con fines de validación) todos los pasos de procesamiento realizados para generar la firma electrónica, así
como los registros de firma electrónica necesarios para su reproducción o restauración precisa y oportuna, si es necesario.
Legislación de privacidad
Sobre el tema de la privacidad, en 2009, el Departamento de Salud Pública de California (CDPH) descubrió que un Hospital de Niños del
Condado de Orange envió por error registros de pacientes a un taller de automóviles.
Legislación relevante para la tecnología de la información • 43
El negocio de talleres de automóviles recibió seis faxes que contenían información sobre atención médica, incluida información que
identificaba el nombre del paciente, la fecha de nacimiento y detalles sobre las visitas. El personal del hospital le dijo al CDPH que primero se
debería haber enviado un fax de prueba, según la política del hospital. Este es un ejemplo de violación de la privacidad. La privacidad, según
la definición de ISACA, implica la "libertad de la intrusión o divulgación no autorizada de información sobre un individuo". La privacidad se
centra en proteger la información personal sobre clientes, empleados, proveedores o socios comerciales. Las organizaciones tienen la
obligación ética y moral de implementar controles para proteger la información personal que recopilan.
Los delincuentes también han accedido a la privacidad de la información en el mundo en línea. Parte de la legislación aprobada
protege al usuario contra la invasión de la privacidad. Sin embargo, algunas de las leyes observadas contienen demasiadas
excepciones y exclusiones hasta el punto de que su eficacia se resiente. Además, el gobierno continúa utilizando técnicas de
vanguardia con el propósito de acceder a la información en aras de la “seguridad nacional” justificada actualmente bajo la Ley de
Seguridad Nacional. Los nuevos proyectos de ley y la legislación continúan intentando encontrar una solución a estos problemas, pero
es necesario establecer nuevas pautas, políticas y procedimientos, y las leyes deben aplicarse en toda su extensión para que los
ciudadanos disfruten de su derecho a la privacidad garantizado por la Constitución.
Además del derecho básico a la privacidad al que tiene derecho un individuo según los Estados Unidos. Constitución, el gobierno
también promulgó la Ley de Privacidad de 1974. El propósito de esto es proporcionar ciertas salvaguardas a un individuo contra una
invasión de la privacidad personal. Esta ley impone ciertos requisitos a las agencias federales, como permitir que las personas *:
La Ley también requiere que las agencias federales recopilen, mantengan y usen cualquier información privada de una manera que
asegure que dicha acción sea para un propósito necesario y legal, que la información sea actual y precisa, y que se proporcionen
salvaguardas para prevenir el mal uso de la información. información.
Aunque la Ley de Privacidad de 1974 es una parte importante de la protección de los derechos de privacidad individual, es
importante que el auditor de TI reconozca que existen muchas exenciones bajo las cuales puede ser legal que se divulgue cierta
información. Esto podría, en algunos casos, permitir a las agencias federales y no federales los medios por los cuales pueden obtener
y divulgar información sobre cualquier individuo simplemente porque pueden estar cubiertos por una de las muchas exenciones que
permite la Ley de Privacidad. Por ejemplo, la subsecuente Ley de Libertad de Información proporciona al gobierno federal una forma
de divulgar información histórica al público de manera controlada. La Ley de Privacidad de 1974 también se ha actualizado con el
tiempo mediante el proceso de enmienda.
En el área de las redes informáticas, la Ley de privacidad de las comunicaciones electrónicas de 1986 es una de las primeras
leyes principales contra la violación de la información privada según se aplique a
*
Archivo de información / privacidad de RSE, Ley de privacidad de 1974 y enmiendas.
44 • Control y auditoría de tecnologías de la información
sistemas en línea. La ley prohíbe específicamente la interceptación y divulgación de comunicaciones por cable, orales o
electrónicas, así como la fabricación o posesión de dispositivos de interceptación.
La Ley de Decencia en las Comunicaciones (CDA) de 1996 prohíbe la puesta a disposición de menores de material "indecente" o
"evidentemente ofensivo" a través de redes informáticas. La ley impone una multa de hasta 250.000 dólares y una pena de prisión de
hasta 2 años. La CDA exime específicamente de responsabilidad a cualquier persona que proporcione acceso o conexión o forme una
instalación, sistema o red que no esté bajo el control de la persona que viola la Ley. La CDA también establece que un empleador no
será responsable de las acciones de un empleado a menos que la conducta del empleado esté dentro del alcance de su empleo. La
aplicación más reciente de esta ley se ha utilizado para proteger el uso de las redes sociales por parte de menores y ser presa de
depredadores / acosadores.
Esta es otra ley aprobada por el Congreso después de la CDA, vigente en abril de 2000. La Ley de Protección de la Privacidad Infantil
en Línea (COPPA) de 1998 se aplica a la recopilación en línea de información personal de niños menores de 13 años. Las nuevas
reglas explican lo que un operador de sitio web debe incluir en una política de privacidad cuándo y cómo buscar el consentimiento
verificable de un padre, y qué responsabilidades tiene un operador para proteger la privacidad y seguridad de los niños en línea. Los
operadores o propietarios de un sitio web comercial o un servicio en línea dirigido a niños menores de 13 años deben cumplir con la
COPPA al recopilar información personal de dichos niños.
Para determinar si un sitio web está dirigido a niños, la Comisión Federal de Comercio (FTC) considera
varios factores, incluido el tema; contenido visual o de audio; la edad de los modelos en el sitio; idioma; si la
publicidad en el sitio web está dirigida a niños; información sobre la edad de la audiencia real o prevista; y si un
sitio utiliza personajes animados u otras funciones para niños.
Para determinar si una entidad es un "operador" con respecto a la información recopilada en un sitio, la FTC
considerará quién posee y controla la información, quién paga por la recopilación y mantenimiento de la información,
cuáles son las relaciones contractuales preexistentes en conexión con la información y qué papel juega el sitio web en la
recopilación o el mantenimiento de la información.
En 2008, el Congreso enmendó esta Ley y la incluyó como Título II “Protección de los niños” de la Ley de mejora de datos
de banda ancha de 2008, Ley pública 110-385, 10 de octubre de 2008. La enmienda define específicamente la información
personal de un niño. La información personal se define como información de identificación individual sobre un niño que se
recopila en línea, como nombre completo, domicilio, dirección de correo electrónico, número de teléfono o cualquier otra
información que permita a alguien identificar o contactar al niño. La Ley también cubre otros tipos de información, por ejemplo,
pasatiempos, intereses e información recopilada a través de cookies u otros tipos de mecanismos de seguimiento, cuando están
vinculados a información de identificación individual.
Los estándares nacionales para transacciones electrónicas fomentan el comercio electrónico en la industria de la salud y, en última instancia,
simplifican los procesos involucrados. Esto se traduce en ahorros por la reducción de las cargas administrativas de los proveedores de atención
y los planes de salud que realizan negocios electrónicamente deben usar muchos formatos diferentes para transacciones electrónicas. Por ejemplo,
en la actualidad existen alrededor de 400 formatos diferentes para reclamos de atención médica. Con un estándar nacional para reclamos
electrónicos y otras transacciones, los proveedores de atención médica pueden enviar la misma transacción a cualquier plan de salud en los Estados
Unidos y el plan de salud debe aceptarla. Los planes de salud también pueden enviar transacciones electrónicas estándar, como avisos de remesas
y autorizaciones de remisión a los proveedores de atención médica. Estos estándares nacionales hacen del intercambio de datos electrónicos una
alternativa viable y preferible al procesamiento en papel para proveedores y planes de salud por igual.
La Ley de Portabilidad y Responsabilidad de Seguros de Salud (HIPAA) de 1996, los primeros estándares federales de privacidad
para proteger los registros médicos de los pacientes y otra información de salud proporcionada a planes de salud, médicos, hospitales y
otros proveedores de atención médica entraron en vigencia el 14 de abril de 2003. Desarrollado por el Departamento de Salud y Servicios
Humanos, estos nuevos estándares brindan a los pacientes acceso a sus registros médicos y más control sobre cómo se usa y divulga su
información médica personal. Representan un piso federal uniforme de protección de la privacidad para los consumidores de todo el país.
Las leyes estatales que brindan protecciones adicionales a los consumidores no se ven afectadas por esta nueva regla.
HIPAA exige una estricta protección de seguridad en la información de salud electrónica mientras se mantiene y transmite. Para
los directores de TI, cumplir con los requisitos de privacidad de la HIPAA es principalmente una cuestión de seguridad informática que
protege la confidencialidad de la información médica del paciente y estandariza los procesos de presentación de informes y facturación
para toda la información médica y médica. La confidencialidad se refiere a la protección de cualquier tipo de información sensible
contra el acceso no autorizado. Es fundamental para la reputación de una organización y también para cumplir con las regulaciones de
privacidad. Los riesgos asociados con la confidencialidad incluyen permitir el acceso no autorizado o la divulgación de datos sensibles
y valiosos de la organización (por ejemplo, planes estratégicos corporativos, información de los titulares de pólizas, etc.). Desde el
punto de vista de una organización,
• Planes estrategicos
• Secretos comerciales
• Información de costos
• Documentos legales
• Mejoras de proceso
La Ley de Tecnología de la Información de Salud para la Salud Clínica y Económica (HITECH) de 2009 fue promulgada como parte
de la Ley de Recuperación y Reinversión Estadounidense de 2009. HITECH promueve la adopción y el uso significativo de la TI de
salud en los Estados Unidos. HITECH otorga al Departamento de Salud y Servicios Humanos de EE. UU. La autoridad para
establecer programas para mejorar
46 • Control y auditoría de tecnologías de la información
calidad, seguridad y eficiencia de la atención médica a través del “uso significativo” y la promoción de la tecnología de la información sanitaria,
incluidos los registros médicos electrónicos y el intercambio electrónico de información de salud privado y seguro. El uso significativo se refiere al
mínimo de EE. UU. estándares gubernamentales para el uso de registros médicos electrónicos y para el intercambio de datos clínicos de pacientes
entre proveedores de atención médica, proveedores de atención médica y aseguradoras, y proveedores de atención médica y pacientes. Las
• Subtítulo D: Privacidad
Los objetivos del Subtítulo A incluyen la protección y salvaguarda de la información médica de cada paciente de acuerdo con la ley; mejora de la
calidad de la asistencia sanitaria; y reducción de errores médicos y costes sanitarios derivados de la ineficiencia; entre otros. El Subtítulo B
enumera las descripciones y los requisitos para: (1) probar e implementar los estándares de Tecnología de la Información de Salud (HIT); (2)
pruebas de la infraestructura HIT (por ejemplo, bancos de pruebas técnicas, etc.); y (3) ayudar a las instituciones de educación superior a
establecer Centros multidisciplinarios para la Integración de Empresas de Información de Atención de Salud. El Subtítulo C implementa
subvenciones, préstamos y programas de demostración como incentivos para utilizar las tecnologías de la información para la salud. Por último, el
Subtítulo D se ocupa de las preocupaciones de privacidad y seguridad relacionadas con las transmisiones electrónicas de información médica.
Tanto HITECH como HIPAA, aunque son leyes separadas y no relacionadas, se complementan entre sí de alguna manera. Por
ejemplo, HITECH exige que sus tecnologías y estándares relacionados con TI no comprometan las leyes de privacidad y seguridad de
HIPAA. HITECH también estipula que los médicos y hospitales que den fe de un uso significativo, deben haber realizado previamente una
evaluación de riesgos de seguridad, como lo requiere HIPAA. HITECH además establece reglas de notificación para instancias de violación
de datos, que también son reflejadas por HIPAA.
Para cumplir con la Ley, las instituciones financieras deben evaluar, administrar y controlar el riesgo; supervisar a los proveedores de
servicios; y ajustar los programas de seguridad según sea necesario en función del riesgo cambiante. Una disposición específica requiere que las
instituciones financieras identifiquen las amenazas internas y / o externas que pueden resultar en divulgaciones no autorizadas, así como en el uso
El propósito de la Ley USA PATRIOT de 2001 es disuadir y castigar los actos terroristas en los Estados Unidos y en todo el
mundo, mejorar las herramientas de investigación de las fuerzas del orden y otros fines, algunos de los cuales incluyen:
Legislación relevante para la tecnología de la información • 47
• Fortalecer las medidas estadounidenses para prevenir, detectar y enjuiciar lanzamiento de dinero
dering y financiación de terrorismo
• Someter a escrutinio especial jurisdicciones extranjeras, instituciones financieras extranjeras y clases
de transacciones internacionales o tipos de cuentas susceptibles de abuso criminal
• Exigir que todos los elementos apropiados de la industria de servicios financieros informen posibles
lavado de dinero
• Fortalecer las medidas para prevenir el uso del sistema financiero estadounidense para beneficio personal por parte de
romper con funcionarios extranjeros y facilitar la repatriación de activos robados a los ciudadanos de países a los que pertenecen dichos
activos
Lamentablemente, el terrorismo sigue ocurriendo y no hay muchas señales de que vaya a desaparecer pronto. Por ejemplo, el
Congreso debe monitorear continuamente la empresa de contraterrorismo estadounidense y determinar si se necesitan otras
medidas para mejorarla. Como se menciona en un artículo de 2015 de The Heritage Foundation, y en relación con los temas
tratados en este libro de texto, el Congreso debe priorizar las capacidades de investigación cibernética. Con tanta actividad
relacionada con el terrorismo que ocurre en Internet, las fuerzas del orden deben ser capaces de identificar, monitorear y rastrear
dicha actividad violenta de manera efectiva y oportuna. Los ciberataques severos, como el ciberterrorismo, son capaces de
apagar centrífugas nucleares, sistemas de defensa aérea y redes eléctricas. Para algo, Estos tipos de ataques deben tratarse
como actos de guerra, ya que representan una grave amenaza para la seguridad nacional. Algunos de los recientes
ciberterrorismos notables en los Estados Unidos incluyen:
• Ciberataques y ciberespionaje llevados a cabo por China contra los EE. UU. Y su explotación
redes gubernamentales y privadas (2016)
• Ciberataques y ciberataques llevados a cabo por Rusia contra periodistas en Nueva York
Times y otras organizaciones de noticias de EE. UU. (2016)
• Ciberataques contra instituciones financieras estadounidenses (por ejemplo, American Express, JP Morgan Chase,
etc.) instigados por los gobiernos de Irán y Corea del Norte (2013)
• Ciberataques e infracciones cibernéticas reclamadas por un grupo de hackers sirios en organizaciones de medios
Lo anterior representa solo algunos de los ataques ciberterroristas perpetrados contra el gobierno de los Estados Unidos y entidades privadas.
En el Anexo 2.3 se incluye un resumen de todas las leyes federales de EE. UU. Descritas en esta sección.
Leyes estatales
La legislación de TI a nivel estatal es igualmente relevante para los auditores de TI encargados de examinar aplicaciones, datos, redes y
controles, y el riesgo asociado con el incumplimiento. A continuación se describen ejemplos de estas leyes estatales, que incluyen leyes de
notificación de infracciones de seguridad, legislación sobre ciberseguridad, leyes estatales de privacidad en las redes sociales y otras.
En la actualidad, 47 estados, el Distrito de Columbia, Guam, Puerto Rico y las Islas Vírgenes han promulgado leyes de notificación de
violaciones de seguridad que requieren entidades en el sector privado, gubernamental,
48 • Control y auditoría de tecnologías de la información
Figura 2.3 Resumen de las leyes federales de EE. UU. Relevantes para los auditores de TI
Financiero Federal Sarbanes-Oxley • Paquete de reforma importante que exige los cambios de mayor
Integridad (SOX) de 2002 alcance que el Congreso ha impuesto al mundo empresarial desde la
Ley de Prácticas Corruptas en el Extranjero de 1977 y la Ley de la
SEC de la década de 1930.
Seguridad Federal Fraude informático y • Protege contra la entrada ilegal (entrada no autorizada);
Ley de abuso de 1984 exceder el acceso autorizado; traspaso destructivo
intencional e imprudente; e intercambiar información sobre
cómo obtener acceso no autorizado.
Seguridad Federal La seguridad informática • Protege la información confidencial en los sistemas del
gobierno federal.
Ley de 1987
• Estableció un programa de seguridad informática del gobierno
federal, NIST, para ayudar
( Continuado)
Legislación relevante para la tecnología de la información • 49
Figura 2.3 ( Continuado) Resumen de las leyes federales de EE. UU. Relevantes para los auditores de TI
Seguridad Federal Seguridad nacional • Previene ataques terroristas en los Estados Unidos; reduce la
Ley de 2002 vulnerabilidad de los Estados Unidos al terrorismo; e incluye
la Ley de mejora de la seguridad cibernética, que:
legislación actual.
Seguridad Federal Tarjeta de pago • Las PCI DSS son requisitos técnicos y operativos que se aplican a las
entidades que almacenan, procesan o transmiten datos de titulares de
Datos de la industria
tarjetas.
Estándares de seguridad
(PCI DSS) de 2004 • El objetivo principal de PCI DSS es proteger los datos de los titulares
de tarjetas para reducir el fraude con tarjetas de crédito.
Seguridad Federal Información federal • FISMA requiere que las agencias federales desarrollen,
Seguridad documenten y pongan en marcha programas de seguridad de la
información con el propósito de proteger tanto la información
Ley de gestión
como los sistemas / aplicaciones implementados para
(FISMA) de 2002
( Continuado)
50 • Control y auditoría de tecnologías de la información
Figura 2.3 ( Continuado) Resumen de las leyes federales de EE. UU. Relevantes para los auditores de TI
Seguridad Federal firma electronica • Dos leyes principales con respecto a las leyes de firma
Leyes de 1999 y 2000 electrónica son: la Ley Uniforme de Transacciones
Electrónicas (UETA) y la Ley de Firmas Electrónicas en el
Comercio Nacional y Global (ESIGN).
electrónicos otorgados a todas las partes contratantes que optan por utilizar
1996
• Los empleadores no son responsables de las acciones de un
empleado a menos que esté dentro del alcance de su empleo.
( Continuado)
Legislación relevante para la tecnología de la información • 51
Figura 2.3 ( Continuado) Resumen de las leyes federales de EE. UU. Relevantes para los auditores de TI
Intimidad Gram-Leach-Bliley • Requiere que las instituciones financieras evalúen, gestionen y controlen
el riesgo; supervisar a los proveedores de servicios; y ajustar los
Ley de 1999
programas de seguridad en función del riesgo.
Intimidad Ley Patriota de Estados • Disuade y castiga los actos terroristas en los Estados
Unidos y en todo el mundo.
Unidos de 2001
y / o industrias educativas para notificar a las personas sobre violaciones de seguridad relacionadas con su PII. Normalmente, las leyes sobre
• ¿Quién debe cumplir con la ley (por ejemplo, empresas, corredores de datos / información,
entidades, etc.)
• ¿Cómo se define la "información personal" (p. Ej., Nombre combinado con números de seguro social,
licencia de conducir o identificación estatal, números de cuenta, etc.)
• Qué constituye una brecha de seguridad (por ejemplo, adquisición no autorizada de datos)
52 • Control y auditoría de tecnologías de la información
• Requisitos de notificación (por ejemplo, tiempo o método de notificación, a quién se debe notificar)
• Exenciones (por ejemplo, para información encriptada)
La legislación sobre ciberseguridad es otro ejemplo de leyes estatales vigentes para proteger contra las amenazas cibernéticas y sus vastas
implicaciones para la seguridad del gobierno y la industria privada, la prosperidad económica y la seguridad pública. Los estados han empleado
legislación con un número significativo de enfoques para abordar específicamente la ciberseguridad. Ejemplos de estos métodos incluyen exigir
a las agencias gubernamentales que establezcan prácticas de seguridad, así como ofrecer incentivos a la industria de la ciberseguridad. Los
procedimientos adicionales para combatir la ciberseguridad incluyen proporcionar exenciones de las leyes de registros públicos para la
información de seguridad y crear comisiones, estudios o grupos de trabajo de ciberseguridad para promover la educación en ciberseguridad.
Otras leyes estatales comunes y relevantes incluyen las leyes estatales de privacidad en las redes sociales, las leyes de eliminación
de datos y los estatutos sobre delitos informáticos. Con respecto a las redes sociales, en 2012 se introdujo una legislación estatal para
evitar que los empleadores soliciten contraseñas a cuentas personales de Internet (incluidas las cuentas de redes sociales) para obtener o
mantener un trabajo. Una legislación similar prohíbe que las facultades y universidades requieran acceso a las cuentas de redes sociales
de los estudiantes. El razonamiento aquí fue que tanto los empleados como los estudiantes consideraban que tales solicitudes eran una
invasión de su privacidad. Se han promulgado leyes de eliminación de datos en al menos 31 estados y Puerto Rico que exigen a las
empresas y entidades gubernamentales que eliminen toda la PII recopilada y almacenada, tanto en formato electrónico como en papel. En
concreto y con el fin de cumplir con las leyes establecidas, las empresas y el gobierno deben "destruir, eliminar o hacer que la información
personal sea ilegible o indescifrable". Por último, existen estatutos sobre delitos informáticos que prohíben "acciones que destruyan o
interfieran con el funcionamiento normal de un sistema informático", como piratear, obtener acceso no autorizado sin consentimiento y
establecer o transmitir instrucciones informáticas maliciosas (p. Ej. virus, malware, etc.) para modificar, dañar o destruir registros de
información dentro de un sistema informático o red sin el permiso del propietario.
La protección de datos consiste en salvaguardar dicha información privada, que se recopila, procesa y almacena por medios
electrónicos, o se destina a formar parte de los sistemas de archivo. Deben existir leyes de protección de datos para controlar
y dar forma a tales actividades, especialmente aquellas realizadas por empresas y gobiernos. Estas instituciones han
demostrado una y otra vez que, a menos que las reglas y leyes restrinjan sus acciones, intentarán recopilar, examinar y
conservar todos esos datos sin notificar adecuadamente a las personas sobre el uso y el propósito de acceder a sus datos.
A partir de 2014, más de 100 países de todo el mundo han promulgado leyes de protección de datos o privacidad, y varios
otros países están en proceso de aprobar dicha legislación. Por ejemplo, la Unión Europea ha implementado algunas de las leyes
de privacidad de datos más estrictas y completas (es decir, la Directiva de protección de datos de 1995). Canadá es otro ejemplo
destacado con legislación tanto a nivel nacional como provincial (por ejemplo, la Ley de Protección de Información Personal y
Documentos Electrónicos de 2000, etc.). El Anexo 2.4 resume estas y otras leyes internacionales de protección de datos y
privacidad relevantes como la Ley de Protección de Datos Personales en Posesión de Particulares de México de 2010 y la Ley de
Puerto Seguro de 1998.
Legislación relevante para la tecnología de la información • 53
Figura 2.4 Resumen de las leyes de privacidad internacionales relevantes para los auditores de TI
Protección de información personal Uno de los principales propósitos de PIPEDA es apoyar y promover el
y la Ley de Documentos Electrónicos de comercio electrónico al "proteger la información personal que se recopila,
2000 (Ley PIPED, o utiliza o divulga en determinadas circunstancias". una Los siguientes 10
PIPEDA) —Canadá principios, establecidos por PIPEDA, rigen la recopilación, el uso y la
divulgación de información personal si:
1. Responsabilidad
2. Identificación de propósitos
3. Consentimiento
4. Limitación de la colección
Ley de Protección de Datos Personales en La ley requiere que las organizaciones empresariales mexicanas (así como
Posesión de Particulares de 2010 — cualquier empresa que opere o anuncie en México o utilice centros de llamadas
México en español y otros servicios de apoyo ubicados en México) tengan
consentimiento u obligación legal para / al recolectar, procesar, usar y divulgar
información de identificación personal (PII). Las organizaciones que se ocupan
de la PII deben informar a las personas sobre dicho uso y, lo que es más
importante, notificar a todas las personas afectadas en caso de que se produzca
una infracción de seguridad. si La ley también incluye ocho principios generales
que las organizaciones empresariales mexicanas deben seguir en el manejo de
datos personales. C:
• Legalidad
• Consentimiento
• Aviso
• Calidad
• Limitación de propósito
• Fidelidad
• Proporcionalidad
• Responsabilidad
Datos de la Unión Europea La Directiva establece límites rigurosos sobre la recopilación y el uso de datos
Directiva de protección de 1995 personales y exige que cada estado miembro instituya un organismo
nacional independiente responsable de la protección de dichos datos. si La
Directiva afecta a las empresas europeas (así como a las empresas no
europeas a las que se exportan datos) e incluye los siete principios rectores
que se describen a continuación. re:
( Continuado)
54 • Control y auditoría de tecnologías de la información
Figura 2.4 ( Continuado) Resumen de las leyes de privacidad internacionales relevantes para los auditores de TI
Datos de la Unión Europea 1. aviso debe darse a todos los interesados afectados cuando se
Directiva de protección de 1995 recopilen sus datos.
2. Los datos solo deben usarse para propósito fijado.
3. Los datos no deben divulgarse sin la autorización del sujeto
consentimiento.
Ley de puerto seguro de 1998 Según la Ley, se prohíbe la transferencia de datos personales a países no pertenecientes a la
Unión Europea (por ejemplo, empresas estadounidenses) que no cumplan con el estándar
empresas estadounidenses que hacen negocios en Europa) tenía la intención de unir los
Estados Unidos y Europa, lo que permite a las empresas estadounidenses participar de manera
segura en transacciones transatlánticas sin enfrentar interrupciones o incluso enjuiciamiento por
parte de las autoridades europeas. si
C
www.dof.gob.mx/nota_detalle.php?codigo=5150631&fecha=05/07/2010.
re
http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2001:008:0001:0022:EN:PDF.
mi
http://europa.eu/rapid/pressReleasesAction.do?reference=IP/00/865&format=HTML&aged=1 & language = EN &
guiLanguage = en.
Legislación relevante para la tecnología de la información • 55
Conclusión
Las operaciones comerciales están cambiando a un ritmo rápido debido a la rápida mejora continua de la tecnología.
Internet en particular ahora incluye todo, desde fines de marketing, ventas y entretenimiento hasta correo electrónico,
investigación y comercio, y prácticamente cualquier otro tipo de intercambio de información. Al igual que con cualquier
avance tecnológico, los avances también han dado lugar a varios problemas nuevos y cuestiones de delitos informáticos
que deben abordarse. Estos problemas a menudo se señalan a la atención del especialista en control y auditoría de TI.
Debe existir legislación que regule el uso y mal uso de TI, incluida la seguridad y privacidad de la información.
Se cree que la legislación federal ha tenido un impacto duradero en la comunidad en línea (gobierno, empresas y público), que
es algo que deben conocer quienes ingresan a la profesión de auditoría y aseguramiento de la información de TI. La legislación
federal sobre integridad financiera, como la SOX de 2002, cambió drásticamente el mundo de la auditoría financiera y enfatizó la
importancia del debido cuidado profesional. De manera similar, se implementó la legislación federal de seguridad para evitar que los
delincuentes escapen a las sanciones por violar el acceso autorizado a un sistema informático. Con respecto a la legislación sobre
privacidad, el gobierno de los Estados Unidos promulgó la Ley de Privacidad de 1974 para brindar ciertas garantías a un individuo
contra una invasión de la privacidad personal. La ley también impone ciertos requisitos a las agencias federales.
El auditor de TI no puede ignorar las leyes tanto a nivel estatal como internacional. Los auditores de TI deben estar
familiarizados con esta legislación específica y asegurarse de que existan procedimientos al examinar aplicaciones, datos, redes y
controles, por ejemplo, para abordar los riesgos y cumplir con estas leyes de TI relevantes.
Preguntas de revisión
6. Diferenciar entre la Ley Uniforme de Transacciones Electrónicas (UETA) y la Ley de Firmas Electrónicas en el
Comercio Nacional y Global (ESIGN). Proporcione ejemplos de transacciones específicas en las que una firma
electrónica puede ser válida según la ley de EE. UU. Sugerencia: para esto, debe revisar los requisitos para una
firma electrónica válida que se enumeran en el capítulo.
7. ¿Qué es la Ley de Privacidad de 1974? ¿Qué requisitos impone a las agencias federales?
8. ¿Qué es la Ley de Privacidad de Comunicaciones Electrónicas de 1986 y qué prohíbe?
9. ¿A qué se aplica la Ley de Protección de la Privacidad Infantil en Línea de 1998? ¿Qué factores considera la
Comisión Federal de Comercio (FTC) para determinar si un sitio web está dirigido a niños?
10. ¿Qué significa HIPAA y qué protege? Enumere los tres factores que deben existir para cumplir con
HIPAA.
11. ¿Por qué se implementó la Ley USA PATRIOT de 2001?
56 • Control y auditoría de tecnologías de la información
Ejercicios
1. Con un navegador web de Internet, busque y examine cinco sitios web sobre cada uno de los temas siguientes. En un formato de
tabla de tres columnas, documente el nombre del sitio web examinado en la primera columna, el enlace de la fuente en la
segunda columna y un breve resumen de la información proporcionada por el sitio web en la tercera columna.
a. Crimen informático
si. Privacidad informática
C. Derecho informático
2. Explique por qué cree que es importante que los auditores de TI conozcan cada tipo de legislación a
continuación. Su explicación para cada tipo de legislación debe tener no menos de tres párrafos e incorporar
ejemplos de apoyo. También se le anima a buscar fuentes externas.
a. Legislación Federal
si. Legislación estatal
C. Legislación internacional
3. Usted fue contratado como consultor por un cliente que acababa de comenzar a hacer negocios. Algunos de los servicios que brinda
su cliente incluyen el almacenamiento, procesamiento y / o transmisión de datos de tarjetas de crédito. Su cliente desconoce las
leyes o regulaciones relacionadas con los servicios antes mencionados. Sabe desde el principio que su cliente debe cumplir con los
estándares PCI DSS. Utilizando un formato de nota, prepare la comunicación para su cliente, incluyendo lo siguiente:
a. Resuma qué son las PCI DSS y por qué son relevantes para su cliente. Se le anima a buscar fuentes
externas.
si. Utilizando las seis metas y requisitos (viñetas) de las PCI DSS enumeradas en el capítulo como objetivos, desarrolle un
plan para cumplir con cada objetivo. Tu plan debe incluir el objetivo específico junto con una breve explicación de la
actividad o procedimiento que aconsejarás a tu cliente implementar para cumplir con el objetivo específico. Por ejemplo,
para una de las metas u objetivos, "Protección de los datos almacenados del titular de la tarjeta", debe explicar cómo se
protegerán específicamente los datos del titular de la tarjeta y qué técnicas de cifrado se deben implementar (es posible
que desee ampliar aquí ya que su cliente había expresado para usted que no está muy familiarizada con la tecnología).
En última instancia, su comunicación debe brindar comodidad a su cliente y garantizar que todas las transmisiones de
datos del titular de la tarjeta estén realmente protegidas.
4. Identifique dos ciberataques recientes (no mencionados en el libro) llevados a cabo en los Estados Unidos o
internacionalmente. Resuma ambos ciberataques de acuerdo con el Anexo 2.2 (es decir, Compañía, Industria y
Descripción del Ciberataque) y esté listo para presentarlos a la clase en una presentación de 5 minutos.
Otras lecturas
1. Autor desconocido. (Marzo de 2016). Informe sobre delitos en Internet de 2009, Centro de quejas de delitos en Internet IC3,
Oficina del Inspector General del Departamento de Justicia, www.justice.gov/oig/reports/plus/a1021.pdf (consultado el 2 de junio de 2010).
3. CIPHER — Boletín electrónico del Comité Técnico de Seguridad y Privacidad, Comité Técnico de la Sociedad de
Computación del IEEE, www.ieee-security.org/cipher.html
Legislación relevante para la tecnología de la información • 57
4. División de seguridad informática, Centro de recursos de seguridad informática. NIST, http://csrc.nist.gov/groups/ SMA / fisma / overview.html
(consultado en octubre de 2016).
5. Estatutos sobre delitos informáticos. Conferencia Nacional de Legislaturas Estatales, www.ncsl.org/research/tele-
communications-and-information-technology / computer-hacking-and-unuthorized-access-leyes. aspx (consultado en enero de 2017).
6. Violación de la confidencialidad: el hospital envió los registros de los pacientes al taller de automóviles. Questex LLC, www.fiercehealthcare. com / story /
2017).
7. Legislación en ciberseguridad. (2016). Conferencia Nacional de Legislaturas Estatales, www.ncsl.org/research/
telecommunications-and-information-technology / cybersecurity -law-2016.aspx (consultado en octubre de 2016).
8. China continúa con los ataques cibernéticos a las redes estadounidenses. La baliza libre de Washington, http: // freebeacon.
11. Oficina Federal de Investigaciones. Los delincuentes alojan sitios web de servicios gubernamentales falsos para adquirir información personal
identificable y cobrar tarifas fraudulentas, anuncio de servicio público. www.ic3. gov / media / 2015 / 150407-2.aspx (consultado en diciembre
de 2015).
12. Gallegos, F. (2001). Leyes federales que afectan a los profesionales de auditoría y control de SI, Serie de auditoría de EDP
17. Recursos legales de HG.org. Ley de tecnología de la información — Guía de la ley de TI, www.hg.org/information-technology-law.html # 1
(consultado en octubre de 2016).
18. Comisión Federal de Comercio, (2002). Cómo cumplir con la regla de privacidad de la información financiera del consumidor de la
Ley Gramm-Leach-Bliley. www.ftc.gov/tips-advice/business-center/guidance/
how-compliance-privacy-consumer-financial-information-rule-gramm # whois
19. Inserra, D. 69 ° complot terrorista islamista: el aumento continuo del terrorismo debería obligar al Congreso a enfrentarse finalmente al
21. Privacidad médica: estándares nacionales para proteger la privacidad de la información médica personal, www. hhs.gov/ocr/hipaa/
22. New York Times, Twitter pirateado por un grupo sirio. The Daily Star, www.thedailystar.net/news/new-
york-times-twitter-hacked-by-syrian-group (consultado en febrero de 2016).
23. Seguridad PCI. PCI Security Standards Council, www.pcisecuritystandards.org/pci_security/ (consultado en diciembre de 2016).
27. Rusia sospechosa de ciberataques a medios de comunicación estadounidenses. New York Post, http://nypost.com/2016/08/23/
31. Senft, S., Gallegos, F. y Davis, A. (2012). Control y auditoría de tecnologías de la información, Prensa CRC /
Taylor y Francis, Boca Raton, FL.
32. Conferencia Nacional de Legislaturas Estatales. Leyes estatales de privacidad de las redes sociales, www.ncsl.org/research/
telecommunications-and-information-technology / state-law-prohibiting-access-to-social-media-usernames-and-passwords.aspx (consultado
en octubre de 2016).
33. Ley UETA y ESIGN. DocuSign Inc, www.docusign.com/learn/esign-act-ueta (consultado en diciembre
2016).
34. Congreso de Estados Unidos. Ley de seguridad informática de 1987, compilada por el Centro de información de privacidad electrónica,
www.epic.org/crypto/csa
35. Departamento de Salud y Servicios de EE. UU. Oficina de Derechos Civiles — HIPAA, http://aspe.hhs.gov/ admnsimp / pL104191.htm
36. Departamento de Justicia de Estados Unidos, Oficina Federal de Investigaciones. 2016. Informe sobre delitos en Internet, https: // pdf.
37. Departamento de Justicia de los Estados Unidos, Oficina Federal de Investigaciones. 2015. Informe sobre delitos en Internet, https: // pdf.
38. Departamento de Justicia de los Estados Unidos, Oficina Federal de Investigaciones. 2014. Informe sobre delitos en Internet, https: // pdf.
39. Departamento de Justicia de los Estados Unidos, Oficina de Programas de Justicia, Oficina de Asistencia Judicial. Ley de gobierno electrónico de 2002,
40. Estados Unidos acusa formalmente a los piratas informáticos rusos de ciberataques políticos. Reuters, www.reuters.com/ article /
us-usa-cyber-russia-idUSKCN12729B (consultado en diciembre de 2016).
41. Oficina de Responsabilidad del Gobierno de EE. UU. (14 de febrero de 2008). Testimonio ante Subcomités de Seguridad de la
Información del Congreso.
Capítulo 3
El proceso de auditoría de TI
OBJETIVOS DE APRENDIZAJE
4. Describa un plan de auditoría y sus componentes. Ilustre ejemplos de documentación de auditoría de TI que respalden una auditoría de
estados financieros.
El papel de la auditoría de TI continúa siendo un mecanismo crítico para asegurar la integridad de los sistemas de información y la
presentación de informes de las finanzas de la organización para prevenir futuros fiascos financieros como Enron (2001) y WorldCom
(2002). Desafortunadamente, estos fiascos continúan ocurriendo. Las economías globales son más interdependientes que nunca y los
riesgos geopolíticos afectan a todos. La infraestructura electrónica y el comercio están integrados en los procesos comerciales de todo el
mundo. La necesidad de controlar y auditar TI nunca ha sido tan grande.
El auditor de TI de hoy se enfrenta a muchas preocupaciones sobre la exposición de los sistemas de información a una multitud
de riesgos. De estas preocupaciones surgen los objetivos para el proceso y la función de auditoría. Este capítulo analiza el proceso de
auditoría de TI y las demandas que se impondrán a la profesión en el futuro.
Universo de auditoría
Una de las mejores prácticas para una función de auditoría es tener un universo de auditoría. El universo de auditoría es un inventario de todas las
áreas de auditoría potenciales dentro de una organización. Las áreas básicas de auditoría funcional dentro de una organización incluyen ventas,
marketing, servicio al cliente, operaciones, investigación y desarrollo, finanzas, recursos humanos, tecnología de la información y legal. Un universo
59
60 • Control y auditoría de tecnologías de la información
procesos de negocio y riesgos de una organización. La documentación de los procesos y, en particular, los riesgos ha demostrado ser una de las
mejores prácticas para las organizaciones. La Norma de Desempeño 2010 del IIA fomenta el establecimiento de planes basados en riesgos para
Un universo de auditoría incluye el área funcional básica de auditoría, los objetivos de la organización, los procesos comerciales clave que
respaldan esos objetivos de la organización, los objetivos de auditoría específicos, los riesgos de no lograr esos objetivos y los controles que
mitigan los riesgos. La vinculación del universo de auditoría a los objetivos de la organización vincula todo el proceso de auditoría con los objetivos y
riesgos comerciales, lo que facilita la comunicación del impacto de las deficiencias de control. El Cuadro 3.1 muestra un ejemplo de un universo de
El universo de auditoría también es un componente esencial para un proceso de auditoría interna adecuadamente basado en riesgos. Por lo
general, los grupos de auditoría interna preparan programas de auditoría anuales para determinar la cantidad de horas disponibles y la cantidad de
auditorías que se pueden realizar. El universo de la auditoría es un proceso continuo; a medida que cambia una organización, surgen nuevos riesgos
o cambian los riesgos existentes, y se introducen nuevas regulaciones. Las organizaciones pueden eliminar las auditorías de menor prioridad del
Las auditorías de TI, por ejemplo, tienen procesos de TI específicos para incluir en el universo de auditoría. Control Objectives for
Information and Related Technology (COBIT) proporciona una lista completa de procesos críticos de TI, que se puede utilizar como
punto de partida.
COBIT
COBIT es un conjunto internacional autorizado de prácticas de TI generalmente aceptadas u objetivos de control que ayudan a los
empleados, gerentes, ejecutivos y auditores a: comprender los sistemas de TI, descargar responsabilidades fiduciarias y decidir los
niveles adecuados de seguridad y controles.
COBIT respalda la necesidad de investigar, desarrollar, publicitar y promover objetivos actualizados de control de TI
internacionalmente aceptados. El énfasis principal del marco COBIT emitido por la Information Systems Audit and Control
Foundation en 1996 es asegurar que la tecnología brinde a las empresas información relevante, oportuna y de calidad
para la toma de decisiones. El marco COBIT, ahora en su quinta edición (COBIT 5), ha evolucionado a lo largo de los
años y cada vez que hay cambios importantes en el marco, el marco se numera a su versión actual.
El beneficio de un marco estándar para los controles de TI, como COBIT, es que permite a la gerencia comparar su
entorno y compararlo con otras organizaciones. Los auditores de TI también pueden utilizar COBIT para fundamentar sus
evaluaciones y opiniones de control interno. Debido a que el marco es completo, proporciona garantías de que existen
controles y seguridad de TI.
COBIT 5, que se puede descargar de www.isaca.org, ayuda a las organizaciones a crear un valor óptimo de TI al mantener
un equilibrio entre obtener beneficios y optimizar los niveles de riesgo y el uso de recursos. COBIT5 se basa en cinco principios
(ver Figura 3.2). COBIT5 considera las necesidades de TI de las partes interesadas internas y externas (Principio 1), al tiempo que
cubre por completo el gobierno y la gestión de la información y la tecnología relacionada de la organización (Principio 2). COBIT 5
proporciona un marco integrado que se alinea e integra fácilmente con otros marcos (por ejemplo, Comité de Organizaciones
Patrocinadoras de la Comisión Treadway-Gestión de Riesgos Empresariales (COSO-ERM), etc.), estándares y mejores prácticas
utilizadas (Principio 3). COBIT 5 permite que la TI sea gobernada y administrada de manera integral para toda la organización
(Principio 4) a través de:
Figura 3.1 Ejemplo de un universo de auditoría relacionado con el área de TI de una organización
Área de auditoría funcional básica: Organización de tecnologías de la información ' s Objetivo: Brindar acceso seguro a
información, tecnología y servicios financieros para todos los empleados autorizados.
Negocio clave
Proceso Objetivo de auditoría de TI Riesgo de TI Control de mitigación de TI
Acceso La seguridad del sistema es Los usuarios poseen privilegios Privilegios de acceso de usuario
administración Los datos están apropiadamente Informes financieros Las copias de seguridad se archivan
Centrar, Garantía razonable los datos contables no pueden riesgo de pérdida de datos.
Red, esos datos financieros recuperarse en caso de falla
y apoyo permanecer completo, del sistema, que afecte la
exacto y válido
durante el capacidad para informar
1. Reunión
Interesado
necesidades
5. Separar
2. Cubriendo el
gobernancia
fin de empresa
de
para terminar
administración
3. Aplicar un
4. Habilitación de
soltero,
holístico
integrado
Acercarse
marco de referencia
C. Poner en marcha estructuras organizativas con capacidades clave para la toma de decisiones.
re. Promover la buena cultura, la ética y el comportamiento en la organización.
mi. Reconocer que la información es omnipresente en cualquier organización y, a menudo, es el producto clave de la
propia organización.
F. Teniendo en cuenta la infraestructura, tecnología y aplicaciones que brindan a la organización
procesamiento y servicios de TI.
gramo. Reconocer que se requieren personas, habilidades y competencias para completar con éxito todas las actividades y
tomar decisiones correctas.
COBIT 5 ayuda a las organizaciones a separar adecuadamente la gobernanza de los objetivos de gestión (Principio 5). Tanto la
gobernanza como la gestión se describen a continuación.
a. Gobernancia —Optimiza el uso de los recursos de la organización para abordar los riesgos de manera eficaz. El gobierno
asegura que la Junta Directiva ("junta"):
yo. evalúa las necesidades de las partes interesadas para identificar objetivos,
El marco de COBIT 5 es valioso para organizaciones de todo tipo, incluidas las comerciales, sin fines de lucro o en el sector
público. El marco integral proporciona un conjunto de objetivos de control que no solo ayuda a los profesionales de gestión y
gobierno de TI a administrar sus operaciones de TI, sino también a los auditores de TI en su búsqueda por examinar esos
objetivos.
Los procesos de COBIT se pueden personalizar para el entorno de la organización. Los auditores de TI pueden ayudar a la
gestión de auditoría a identificar las aplicaciones asociadas con el negocio crítico y
El proceso de auditoría de TI • 63
procesos financieros, así como los controles necesarios para que el área auditada esté libre de exposiciones significativas al
riesgo. Este objetivo también abarca la validación de la adherencia de los sistemas de aplicación bajo examen a los estándares
apropiados (por ejemplo, la contabilidad financiera debe cumplir con los PCGA, etc.).
El siguiente paso en el proceso de planificación es realizar una evaluación de riesgos para cada elemento del universo del Cuadro 3.1. La
evaluación de riesgos analizará las exposiciones y ayudará a priorizar los proyectos de auditoría de “alto riesgo”.
Evaluación de riesgos
Las evaluaciones de riesgos se consideran la base de la función de auditoría, ya que ayudan a desarrollar el proceso de planificación de
• mejorar la calidad, cantidad y accesibilidad de los datos de planificación, como áreas de riesgo,
auditorías y resultados e información presupuestaria;
• examinar posibles proyectos de auditoría en el universo de auditoría y elegir aquellos que tengan la
la mayor exposición al riesgo debe realizarse primero; y
• proporcionar un marco para la asignación de recursos de auditoría para lograr los máximos beneficios.
Dado el gran número de auditorías potenciales que se pueden realizar y, a menudo, la cantidad limitada de recursos de auditoría, es
importante centrarse en las auditorías adecuadas. El enfoque de evaluación de riesgos proporciona criterios explícitos para evaluar y
seleccionar sistemáticamente estas auditorías.
En el entorno actual, es difícil mantenerse al día con los cambios organizativos y regulatorios para proporcionar información oportuna sobre
los controles internos. El cambio aumenta el universo de auditoría, el número de socios comerciales (es decir, proveedores) y el número de
proyectos en los que se necesita una perspectiva objetiva e independiente. Un proceso de planificación de la evaluación de riesgos eficaz permite
que la auditoría sea más flexible y eficiente para satisfacer las necesidades de una organización cambiante, tales como:
Las áreas de auditoría se pueden evaluar mediante un mecanismo de puntuación ponderado. Sin embargo, la dirección de auditoría debe evaluar
los resultados utilizando su conocimiento de los objetivos y el entorno de la organización para asegurarse de que las prioridades reflejen la realidad.
Las áreas de auditoría también pueden agruparse para mejorar la eficiencia de la auditoría al revisar procesos similares. La función de auditoría es
cíclica en el sentido de que utiliza información histórica y actual para la evaluación de riesgos, evalúa los controles, comunica resultados e
En una evaluación de riesgos de TI, por ejemplo, las aplicaciones financieras son auditorías / proyectos comunes que deben clasificarse. Sus
riesgos se pueden identificar, evaluar y priorizar. También se identifican controles (salvaguardas) que se implementarán para abordar y mitigar
dichos riesgos. Los riesgos de TI relacionados con las aplicaciones financieras se pueden identificar a través de:
La seguridad absoluta frente a subprocesos y riesgos en los entornos tecnológicos actuales no es realista. Las evaluaciones de
riesgo, según la publicación especial 800-30 del Instituto Nacional de Estándares y Tecnología (NIST), se utilizan para ayudar a
las organizaciones a determinar el alcance de las amenazas potenciales y los riesgos asociados con los sistemas y aplicaciones
de TI. Los resultados de lo anterior ayudan a la administración a identificar e implementar controles de TI apropiados para reducir
o eliminar esas amenazas y riesgos durante el proceso de mitigación. NIST recomienda que para una evaluación de riesgos, es
importante que las organizaciones sigan estos pasos:
1. Disponga de un proceso para identificar o caracterizar los activos (por ejemplo, aplicaciones financieras, etc.).
2. Defina las vulnerabilidades de esos activos y las fuentes de amenazas que pueden desencadenarlos.
3. Determine la probabilidad o los niveles de probabilidad (por ejemplo, muy alto, alto, medio, etc.) de que se puedan ejercer
las vulnerabilidades. Por ejemplo, se pueden asignar probabilidades de muy alta = 1,00, alta = 0,75, media = 0,50, baja =
0,25 y muy baja = 0,10 para cada vulnerabilidad según la estimación de la organización de su nivel de probabilidad.
4. Asigne una magnitud de impacto para determinar qué tan sensible puede ser el activo frente a las amenazas ejercidas con éxito.
La administración suele asignar las magnitudes de impacto y los valores de nivel de impacto para cada amenaza exitosa que
pueda ejercer una vulnerabilidad.
5. Asociar activos con TI correspondiente y / o riesgos comerciales.
6. Calcule la calificación de riesgo multiplicando la probabilidad asignada en el Paso 3 anterior (por ejemplo,
1,00, 0,75, etc.) multiplicado por el valor del nivel de impacto asignado en el Paso 4.
7. Recomendar los controles necesarios para mitigar los riesgos según su prioridad o ranking.
Depende de la organización determinar cómo lidiar con los riesgos que han identificado: arriesgarse y vivir con ellos o tomar medidas
para proteger sus activos. Al mismo tiempo, deben considerar los costos asociados con la implementación de los controles, su
impacto en los usuarios, la mano de obra necesaria para implementarlos y administrarlos, y el alcance de la acción. El Cuadro 3.3
muestra un ejemplo de una evaluación de riesgos de TI realizada para identificar y priorizar los riesgos dentro de las aplicaciones
financieras. La evaluación de riesgos se trata con más detalle en un capítulo posterior.
Plan de auditoria
La función de auditoría debe formular planes anuales y a largo plazo. La planificación es una función básica necesaria para describir lo que se
debe lograr, incluir presupuestos de tiempo y costos y establecer prioridades de acuerdo con las metas y políticas de la organización. El objetivo
de la planificación de la auditoría es optimizar el uso de los recursos de auditoría. Para asignar eficazmente los recursos de auditoría, los
departamentos de auditoría interna deben obtener una comprensión integral del universo de auditoría y los riesgos asociados con cada elemento
del universo. No seleccionar los elementos apropiados puede resultar en la pérdida de oportunidades para mejorar los controles y la eficiencia
operativa. Los departamentos de auditoría interna que desarrollan y mantienen los archivos del universo de auditoría se proporcionan a sí
La intención del plan de auditoría es proporcionar un enfoque general dentro del cual se puedan realizar los encargos de
auditoría. Proporciona la guía para auditar los procesos integrales de la organización.
e e te n s, u le
rs) s, d s d rce
d fo
r
H M Lik Lik th
ig e e
h d Le e e
iu lih lih IT
ve
m l o o
o o Fu
d d
D n
ctio
e
P te
A ro
ssig rm n
0.75 0.50 b
ab in alA
n atio
e ility
d u
n d
it
H H o M A
ig ig fIm ag rea
h h n
p itu
Im
act
d p
e act
V L Im
75 75 alu e
vp
e ea
l ct
FA
to u upa c p aar p S re re e in fi ab C im sy th re c
nol o sa
tacco o f n
q p o p e vesteeoc a 1
Fs a t le o n p e a er c ai
A er u w fi ro n m ri a u u o b rm n li mt a m e o n iv n n
1. acce th n g t ire rt lisr d c y p ctin f n r t fo R
o t ii n upo i
rrtey te m n h in a ia to lan e b rm
isk
ri lag fo ed ai g e g ti o y g a t
ss ze rs e d to n
re ’s t il o d e a p
r , te ly n h u f in tio
ts.
d o e re
r , n
t
R
56.25 37.5 at R
in is
gk
a
T B
an lo p p m c in P pi co p FA is h th to arch fi a
asswe as ass e n ck R
d ck s e c ar n d 1a e
ironii on c atd m an
fi o s u ct u n thu it d u co
co o ive
u d m g rp w r ic s s s w in ciald p C
m o i e t ir te o r ro he en ata
im s o m
tth rd c u u o o i ra dr vty sy d n m
p c m ra d unt o
le re h h le t i t smal mbn t s g t iticateyf are ize o fFA tro
e
u i es w h o ff-siteata
l n
isto a n
xity. sh n gn o e ue d
imt i th lo risk 1
o ry e t
g ss
t. du are e
ld , h fo, r u tose
st. d
m rs
(C ,,
o H M
n P A
tin ig e rio ctio
h d
u iu rity
e m n
d
)
et e e te , u
se rs s, d rce
)d d d en
)
t
V V Li Lik Exam
e e
ry ry Lk e
ee lih
H H v li
ig ig eh o p
lo o le
h h o
d d
D fo
P
e r
A te
ro th
ssig rm e
1.00 1.00 b
ab in
n IT
e ility atio
d Fu
n
n
ctio
H H o M
ig ig fIm ag
h h n n
p itu a
Im l
act
d A
e p u
act
d
V it
LI
75 75 alu em A
vp
e ea rea
l ct
T U
in fi m a acceu e in m b d m c m o u a fu th c ar p s
fo n
n se rm ae awt o or nl l neo
a od d o s il s e i c a n u
f
s
h
ic F d i ao ct ir s
n e r e ivile rs
rm n rs in r e d s ag e i n uw
civ ss ma h A 2 fi c th i io j i n R
i fy i e can ate
at d u ion e c ’s c o teo t e g p o isk
o d a r re o n nos
atio a to
l it w in o p
s m
t r g sb n ss
so d io u ata, ni , s
n r
FA g n
g
n e l o c ize tw th e
. ain
.
n d t
2 t s d ith a ss
t
R
at R
75 75
in is
gk
a
T
th ch im e e jo co ap r e acceo a re p F p U
e an m p m priv te rha m noad h e wp R
mv b npm
n p v e iA iv e r e
ir ile
pt s re si r a co
d el o i eb loi fime in e c ss e l e ri 2 r s
n g n qso d r i
r ic w o a le e g ca C
e ed ia y g at e
e
ye d is u
u t pe in p sa o m
w ee tra ri i t tioe d ica ec n m
to e et e s eo ir n r rivile o ses
statu o dn s f tt y e t aw t e vnbl yyl ws
tro
e
re lys a fsu . A
re
w o
r
m e it l n d
h eia g ri h
fl cce
o is
n th n d e f e
s. e ch
sy
in d
ct t
ss s.
(C
o
n HV HV P A
tin rio
ig re ig re ctio
u hy hy rity
e n
d
)
i
o
an
n
u
ility rce
n d d en
s
A t
Lo Lik Lik Exam
ssig
w e
Le
lih
e
lih
n ve
e l o o p
d o o le
” d d
an D fo
d P
e r
A te
ro th
th ssig rm e
0.25 b
e ab in
“Im n IT
e ility atio
d Fu
p n
actLe n
ctio
H o M
ig fIm ag
ve h n n
p itu a
lV Im l
act
d A
alu e p u
act
d
e V LI it
.” em
75 alu
vp A
e ea rea
l ct
FA
m in co o Im au n
is v fsu
u p to2
le a ld lehot pc h
a li ch
mrra R
dd re
e i ze o p n g
isk
in o su ch
gr nde
ltin an ta . r sely ar
d t
ata. g io e
e n
s
R
18.75 at R
in is
gk
a
re te ac p im to m a t C s ts c er h
R
aps e
u oo ta
lt p rdp ltnpen co
l a cd u e h m ei g o vd g
a r e C
s. a
n e o m
s n tio e r n m edans t n m
ebdo tro
ac e
l n
n e n ta n y F
d w i n t io t
A d
it p 2 e
h n ri ar d
i
n
o e
r
Lo
P A
w rio ctio
rity
n
68 • Control y auditoría de tecnologías de la información
La organización y su dirección deben participar y apoyar plenamente este esfuerzo. Se puede ganar compromiso si los
participantes reconocen que un buen plan puede ayudar a identificar problemas en un entorno de TI altamente dinámico y
automatizado, por ejemplo. Por tanto, debería ser responsabilidad de todos los participantes no sólo ayudar a identificar tales
problemas, sino también ayudar en la medición y cuantificación de los problemas.
Es difícil identificar, medir y cuantificar problemas en el área de TI. El campo de las TI es tecnológicamente complejo y tiene un
lenguaje propio. Los participantes en la formulación de un plan de auditoría de TI, y en particular los propios auditores de TI, deben tener
suficiente experiencia y capacitación en asuntos técnicos para poder captar conceptos clave y abstracciones sobre los sistemas de
aplicación. Por ejemplo, las abstracciones sobre TI pueden incluir aspectos importantes que son susceptibles de nombrar, contar o
conceptualizar. La comprensión de los sistemas en este nivel puede conducir a la identificación de áreas problemáticas importantes. La
concentración de la auditoría, entonces, puede dirigirse a las áreas de problemas principales con mayor probabilidad de producir
resultados significativos.
Con base en esta identificación de problemas, el auditor de TI determina qué datos adicionales podrían ser necesarios para tomar
decisiones de evaluación. El proceso de auditoría, por lo tanto, debe ser lo suficientemente flexible como para combinar personal calificado,
nueva tecnología y técnicas de auditoría de nuevas formas para adaptarse a cada situación. Sin embargo, esta flexibilidad de enfoque requiere
documentación en pasos planificados y dirigidos. Los sistemas que no se entienden bien (o que se han diseñado sin los controles adecuados)
pueden provocar una pérdida de ingresos, un aumento de los costos y tal vez un desastre o un fraude.
Durante la fase de planificación de la auditoría, el gerente de auditoría de TI debe reunirse con el director de información (CIO) y los
miembros superiores de la administración de TI para obtener sus aportes y su conformidad con la evaluación de riesgos de los procesos
de TI en el universo de auditoría. Si hay un comité directivo de TI, el universo de auditoría también debe revisarse con él. Esto ayudará a
asegurar la alineación entre TI, negocios y auditoría en las áreas clave de riesgo. La reunión con el CIO y los gerentes de TI también debe
presentar al personal de auditoría y comunicar el alcance, los objetivos, el cronograma, el presupuesto y el proceso de comunicación que
se utilizará durante todo el trabajo. Esta también es una oportunidad para una discusión abierta sobre la percepción de la gerencia de TI de
las áreas de riesgo, los cambios significativos en el área bajo revisión y la identificación de los contactos apropiados en TI.
Un plan de auditoría de TI divide la auditoría en segmentos discretos que describen los sistemas de aplicación como una serie de
compromisos y pasos de auditoría manejables. En el nivel detallado de planificación o participación, estos segmentos tendrán objetivos
personalizados para implementar metas y objetivos organizacionales dentro de las circunstancias de la auditoría. Por lo tanto, la
auditoría de TI no requiere enfoques "enlatados". No existe una única serie de pasos detallados que puedan describirse una vez y
luego repetirse en cada auditoría. El plan de auditoría, por lo tanto, es un intento de proporcionar un enfoque ordenado dentro del cual
se pueda ejercer la flexibilidad. Como mínimo, un plan de auditoría de TI, después de recopilar una comprensión completa del universo
de auditoría y los riesgos asociados con cada elemento del universo, debe:
4. Enumere los miembros del equipo de auditoría, describa las tareas de auditoría, determine los plazos
Objetivos y contexto
El objetivo y el contexto del trabajo son elementos clave en cualquier entorno de auditoría y no deben pasarse por alto. Son
simplemente la base por la cual se deben abordar todas las auditorías. los objetivo
El proceso de auditoría de TI • 69
es lo que se intenta lograr. los contexto es el entorno en el que se realizará el trabajo. Por tanto, todo depende en última instancia tanto
del objetivo como del contexto del trabajo a realizar. Es decir, las decisiones tomadas sobre el alcance, la naturaleza y el momento del
trabajo de auditoría dependen de lo que el auditor esté tratando de hacer (por ejemplo, obtener seguridad de un saldo de cuentas por
cobrar, asegurarse de que una aplicación financiera recién implementada funcionará correctamente , evaluar si el sitio web de un cliente
es seguro, etc.) y el entorno en el que está trabajando (por ejemplo, una empresa grande frente a una pequeña, una organización
nacional con un sistema centralizado frente a una multinacional con múltiples divisiones, una empresa con sede en Nueva York
organización versus una con sede en Dakota del Norte, etc.).
Tenga en cuenta que lo que funciona bien para una organización, puede no funcionar tan bien en otra en
función de muchas combinaciones de objetivos y contexto. Por ejemplo, si el auditor de TI tiene una Evaluación
de Controles Generales, los objetivos de la auditoría pueden ser verificar que todos los controles que rodean las
aplicaciones financieras y relacionados con el centro de datos, las operaciones de los sistemas de información,
la seguridad de la información y la gestión del control de cambios son adecuados. Por lo tanto, el auditor de TI
necesita verificar los controles porque los auditores financieros confiaban en dicho sistema informático financiero
para proporcionarles la información financiera correcta. El contexto es donde entran en juego las verdaderas
habilidades analíticas del auditor. Aquí, el entorno es en su mayor parte siempre diferente de una tienda a otra.
Al definir los objetivos y el contexto del trabajo adecuados, la dirección puede garantizar que la auditoría verificará el correcto funcionamiento
y control de todas las áreas clave de la auditoría. Un objetivo / contexto común establecido para las auditorías de TI es respaldar las auditorías de
estados financieros.
Una vez que el auditor se ha familiarizado en general con los procedimientos contables y financieros del cliente, se deben
identificar áreas específicas de interés de auditoría. El auditor debe decidir qué aplicaciones deberán examinarse a un nivel más
detallado. Para las aplicaciones que se usan para respaldar procesos comerciales importantes, el auditor debe determinar su
sofisticación y extensión de uso. Este estudio preliminar es lo suficientemente profundo como para que el auditor evalúe la
complejidad y sofisticación de las aplicaciones y determine los procedimientos a seguir para evaluar sus controles internos.
Comprender las aplicaciones financieras y determinar si existen controles de TI para protegerlas de manera efectiva y la información
generada representa un proceso importante en lo que se refiere a la auditoría general de los estados financieros. Los resultados de una
auditoría de TI sobre aplicaciones financieras tienen una relación directa con las pruebas sustantivas realizadas por los auditores
financieros. Las pruebas sustantivas implican los procedimientos de auditoría necesarios para examinar y respaldar los estados
financieros (por ejemplo, confirmar los saldos de las cuentas, examinar la documentación, volver a realizar los procedimientos, consultar u
observar una transacción, etc.). Estos procedimientos proporcionan la evidencia necesaria para respaldar la afirmación de que los
registros financieros de la organización son válidos, precisos y completos.
Los resultados o hallazgos de una auditoría de TI generalmente determinan la cantidad de pruebas sustantivas que
realizarán los auditores financieros. Si los resultados son efectivos (es decir, se encuentra que los controles de TI están en su
lugar y funcionando correctamente), el trabajo del auditor financiero probablemente sería menor en esa parte particular de la
auditoría. Por otro lado, si no existen controles de TI que protejan las aplicaciones financieras, o si los controles de TI
existentes no funcionan de manera efectiva, la cantidad de pruebas sustantivas realizadas por el auditor financiero será
mucho mayor. Esto puede tener implicaciones importantes para la auditoría, como el tiempo que lleva completar la auditoría,
el aumento de los costos para el cliente, etc. El resto de este capítulo se centra en las auditorías de TI realizadas para
respaldar las auditorías de estados financieros.
70 • Control y auditoría de tecnologías de la información
Programa de auditoría
Los departamentos de auditoría interna crean programas de auditoría anuales para obtener el acuerdo de la junta sobre las áreas de auditoría,
comunicar las áreas de auditoría con los departamentos funcionales y crear un plan de proyecto / recursos para el año. El programa de auditoría
debe estar vinculado a los objetivos y riesgos comerciales actuales en función de su costo relativo en términos de pérdida potencial de fondo de
La creación de un cronograma anual es el proceso de determinar el total de horas de auditoría disponibles y luego asignar elementos del
universo (áreas de auditoría) para completar el tiempo disponible. Como se mencionó anteriormente, para maximizar el proceso de evaluación de
riesgos, los elementos del universo de “alto riesgo” deben recibir la máxima prioridad de auditoría. La creación del cronograma debe realizarse junto
con el proceso anual de evaluación de riesgos; esto permitirá a los departamentos de auditoría interna dar cuenta de los cambios en las
clasificaciones de riesgo y realizar las adiciones o eliminaciones necesarias en el universo de auditoría. Por supuesto, el programa de auditoría
también deberá acordarse con el comité de auditoría como parte del proceso general de planificación de la auditoría. Una vez que se determinan las
horas de auditoría disponibles, la gerencia de auditoría puede continuar preparando el plan de auditoría.
La planificación y la programación son tareas continuas a medida que cambian los riesgos, las prioridades, los recursos disponibles y
los plazos. Cuando se producen estos cambios, es importante comunicarlos al comité de auditoría, la junta y todos los demás departamentos
funcionales afectados.
Idealmente, el presupuesto de auditoría debe crearse después de que se determina el programa de auditoría. Sin embargo, la mayoría de las
organizaciones tienen limitaciones de recursos y presupuesto. Puede ser necesario un enfoque alternativo al elaborar el cronograma de auditoría.
Después de determinar las prioridades de auditoría, la gerencia de auditoría determinará la cantidad de horas disponibles para decidir cuántas
auditorías pueden completar en un año. Para una auditoría de TI en particular, las horas disponibles se enumeran por área, personal, etc. El
El alcance de una auditoría define el área o áreas (por ejemplo, aplicaciones financieras relevantes, bases de datos, sistemas
operativos, redes, etc.) que se revisarán. Los nombres de las aplicaciones financieras y las bases de datos también deben describirse junto
con la información de su alojamiento (por ejemplo, ubicación del servidor, etc.). El alcance debe identificar claramente el proceso comercial
crítico respaldado por la aplicación financiera seleccionada. Esta asociación generalmente justifica la relevancia de la solicitud y, por lo tanto,
su inclusión como parte de la auditoría. El alcance debe indicar además las áreas de control general, los objetivos de control y las actividades
de control que se someterían a revisión. El Cuadro 3.5a, b muestra ejemplos de alcance para aplicaciones y objetivos de control,
respectivamente, en una auditoría de TI.
El plan de auditoría debe incluir una sección que enumere los miembros de la auditoría, sus títulos y cargos, y las tareas generales que
tendrán. Por ejemplo, una auditoría típica involucra a miembros del personal, altos cargos, gerentes o gerentes senior, y un socio, director o
director (PPD) que supervisará toda la auditoría. A nivel del personal (generalmente los auditores con menos de 3 años de experiencia), la
mayor parte del trabajo de campo se realiza, incluida la recopilación de documentación, la reunión con el personal y la creación de auditorías. papeles
de trabajo, entre otros. Los auditores de nivel superior no solo supervisan el trabajo de los auditores del personal, sino que los guían en la
realización del trabajo (por ejemplo, acompañan a los auditores del personal a reunirse con los usuarios, ayudan al personal a seleccionar
qué información específica debe recopilarse, cómo documentar dicha información en el papeles de trabajo, etc.). A continuación están los
gerentes o gerentes senior (senior
El proceso de auditoría de TI • 71
nombre de empresa
Presupuesto de TI
Profesional de Auditoría
Personal/ Total
Área de auditoría Mayor Gerente Compañero Horas
Planificación
Revise los documentos de trabajo del año anterior, si 3,0 1.0 0.0 4.0
corresponde; preparar presupuesto de TI; realizar
reuniones de planificación; preparar memorando de
planificación; preparar la solicitud inicial de información y
enviarla al personal de la empresa, etc.
Primer año. Reúna y documente una comprensión 3,0 1.0 0.0 4.0
de la organización y su entorno de TI, incluida la
forma en que la organización utiliza el sistema
informático y qué aplicaciones afectan los procesos
comerciales / financieros críticos, entre
otros.
Años subsecuentes. Revisar y actualizar la
comprensión de la organización y su entorno de
TI obtenida del año anterior.
Trabajo de campo
( Continuado)
72 • Control y auditoría de tecnologías de la información
nombre de empresa
Presupuesto de TI
Profesional de Auditoría
Personal/ Total
Área de auditoría Mayor Manager Partner Horas
Revisar y documentar las acciones tomadas por la gerencia de la 2.0 0.0 0.0 2.0
empresa para corregir los hallazgos de la auditoría de TI del año
pasado /
deficiencies.
Draft IT Management letter listing all IT audit 0.0 1.0 1.0 2.0
findings/deficiencies and
opportunities to improve existing controls.
Forward letter to IT Management for review.
Address and clear review notes from audit 11.0 2.0 0.0 13.0
management (Manager and Partner) and
conclude audit.
Partner 6.0 6%
t e
ciatioxam m
r
ith
O O M Fin
ap
racle racle S an D B
o n p p u an
ftw aa le in sin
gt typ , cialA
e ab g
are ma th th
ess
icallye
es e
ne S m P
t A ro
p
P to
[lo HC S C Lo [lo HCS
Lo
an ju
ap
cesses p
e ec
A stifi th licatio
eo e o ce C e c d p Lo p
catioad m co na catioad m o n a e
n t lD
e eD D p cHP
li a o
h
e licatioir
qp d qpntl atab ca ti s y s
n u a r, ata
n u a t o t i ic s th
co
] a n Flo a
] r yF n d r, a a ti n n n
ry ase o l e n
rre
s
te ’s te ’s lo
o o n – g– a re is sp
rs r; r r;
s le u o
R Fin
van se n
e d d
p in
X o an ce b g
rtin
o y
cial
(o b
fth u
g r sin
Exp e su
ap p e
ss
p
e p o p
n licatiorts)thro
X d
itu ce
re ss(e
n e
s an Fin
P s).A
e P d an
rso ayro B ,h
X u e cialRn
n ll&
sin n “X
n ce
e ess ”
l , e in
p
M P its o th
ro
an In in rtin e
ve cess
ag clu tab
g
X e n sio ,Exp le
m to S
u
e ry p n o
n p e n
t o as n th
In
rted p d itu e
arto
ve re rig
stm s,In h
fth tid
e e ve
n e
t au n n
tifi
to
R d
e it. ry e
ve s
X M th
n an
(C u e
e ag b
o u
n e sin
tin A Fixe m
sse
u e e
e n ss
ts d t,
d
)