Documentos de Académico
Documentos de Profesional
Documentos de Cultura
LA FÁBRICA DE PENSAMIENTO
INSTITUTO DE AUDITORES INTERNOS DE ESPAÑA
LA FÁBRICA DE PENSAMIENTO
INSTITUTO DE AUDITORES INTERNOS DE ESPAÑA
Quiero agradecer una vez más a los miembros de esta Comisión la elaboración
de este trabajo de enorme calidad que ayudará a entender la importancia de TI
en el mundo del aseguramiento y, en concreto, de la Auditoría Interna.
3
AUDITORÍA INTERNA
Índice
RESUMEN EJECUTIVO 06
INTEGRACIÓN DE LA COBERTURA DE TI
14
EN AUDITORÍA INTERNA
Objetivos de la integración de la Auditoría Interna de TI ................................. 14
ANEXOS 26
Anexo 1. Glosario · Acrónimos ................................................................................ 26
5
AUDITORÍA INTERNA
Resumen Ejecutivo
Las organizaciones dependen cada vez más Auditoría Interna de TI específica dentro de la
de la Tecnología de la Información (TI1, en Dirección de Auditoría Interna; el 64% tienen
adelante), pero no todas las organizaciones sólo “uno” o “ningún” auditor interno de TI
perciben ni actúan de igual forma ante la ur- en su organización, y sólo el 15% tiene pre-
La dependencia gencia de los riesgos asociados al progreso visto incorporar “algún” auditor interno de TI
respecto a la tecnología tecnológico. Cada vez resulta más relevante en los próximos años.
en la toma de
poder confiar tanto en la información almace-
decisiones hace La encuesta de Instituto de Auditores Internos
nada en los sistemas como sustento en una
imprescindible la
efectiva y adecuada toma de decisiones, como de España identifica los diferentes enfoques
valoración de los
en el propio funcionamiento de los sistemas de la Auditoría Interna de TI: desde su inte-
riesgos tecnológicos.
que dan soporte. gración total en la Dirección de Auditoría In-
terna, hasta su total externalización, pasando
Las diferencias en la percepción del riesgo
por un sistema mixto. La encuesta también
suelen deberse a la distinta penetración de la
tecnología y al diferente impacto en los nego- permite observar los diferentes grados de ma-
cios, o bien a que no hay una clara conciencia durez de la función de Auditoría Interna de TI:
sobre el impacto que estos riesgos provocan. desde su enfoque totalmente aislado, hasta
Según una encuesta del Instituto de Auditores las “auditorías integradas”, que combinan los
Internos de España, el 31% de las organiza- recursos de la auditoría del negocio con los
ciones no cuentan con un área / unidad de propios de la Auditoría Interna de TI.
1. Esta acepción es usada en este documento también como equivalente a “sistemas de información”. Ambas expresio-
nes son utilizadas habitualmente como sinónimos en distintos documentos, normas, legislación, etc.
6
AUDITORÍA INTERNA
7
AUDITORÍA INTERNA
NÚMERO DE AUDITORES INTERNOS DE TI EN PLANTILLA DENTRO DE GRADO DE EXPERIENCIA DE LOS AUDITORES INTERNOS DE TI
LA FUNCIÓN DE AUDITORÍA INTERNA EN LA FUNCIÓN DE AUDITORÍA INTERNA
15%
21% 46%
Entre 2 y 5 27%
33%
8
AUDITORÍA INTERNA
Gobierno de TI 56%
9
AUDITORÍA INTERNA
2. The business risk associated with the use, ownership, operation, involvement, influence and adoption of IT within an
enterprise.
10
AUDITORÍA INTERNA
das por personas, cuyas motivaciones y capa- riesgo sea el propio usuario, ya sea por erro-
cidades son totalmente heterogéneas: esta di- res involuntarios o por actividades malinten-
versidad provoca que, a menudo, el mayor cionadas.
11
AUDITORÍA INTERNA
Algunos riesgos relacionados con el gobierno Así puede controlar de forma eficaz los ries-
de TI son: gos organizativos y de gestión como:
12
AUDITORÍA INTERNA
PROCESOS
DE NEGOCIO
UNIDADES APLICACIONES
ORGANIZATIVAS
HARDWARE/
PROCESOS SOFTWARE
DE TI BASE
CPD
13
AUDITORÍA INTERNA
Sistemas de Información
Riesgos identificados
Integración de la Cobertura de TI
en Auditoría Interna
OBJETIVOS DE LA INTEGRACIÓN DE LA AUDITORÍA INTERNA DE TI
Auditoría Interna de TI es cualquier proceso cuado control de la tecnología y los sistemas
de auditoría que revisa y evalúa los sistemas de información. También busca que se mejore
automáticos de procesamiento de la informa- la eficiencia operacional y administrativa, te-
ción. La misión del auditor interno de TI es niendo en cuenta tanto los requisitos legales
proporcionar las recomendaciones necesarias como los objetivos de negocio de la organiza-
a la Dirección para mejorar y lograr un ade- ción.
14
AUDITORÍA INTERNA
Los principales objetivos de Auditoría Interna - Analizar la seguridad de los datos, el hard-
al integrar Auditoría Interna de TI3 son: ware, el software y las instalaciones, así co-
- Evaluar los mecanismos que aseguran la mo la concienciación en seguridad de los
integridad, confidencialidad y confiabilidad usuarios.
de la información, identificando riesgos y - Analizar el grado de satisfacción de los
proponiendo controles. usuarios de los sistemas de información.
A la hora definir el
- Proporcionar apoyo a la Dirección del área Esta lista no trata de ser una relación exhaus- enfoque un trabajo, es
de TI y de la organización para lograr los tiva de elementos a considerar a la hora de la importante remarcar el
objetivos estratégicos. definición del universo auditable de Auditoría nivel de integración
Interna de TI, pudiendo ser incorporados existente entre las
- Analizar la relación coste-beneficio de los
otros muchos en función de la naturaleza de Auditorías Internas de
sistemas de información y recomendar al-
la compañía, del sector en el que opere y de
ternativas para su mejora. TI y el resto de
la evolución y madurez propia de la Dirección
auditorías para
- Evaluar los mecanismos para minimizar de Auditoría Interna en cuestión.
determinar su alcance.
riesgos en los sistemas de información.
Procesos de Negocio
- Operacionales
Auditorías Internas de Negocio Auditorías Internas de Negocio Auditoría Interna Integrada
- Financieros
- Cumplimiento
Aplicaciones y Software
Auditoría Interna
- Controles de Aplicaciones Auditoría Interna Integrada Auditoría Interna Integrada
de TI exclusivamente
- Controles Generales
Controles de Infraestructura
- Base de Datos Auditoría Interna Auditoría Interna
Auditoría Interna Integrada
- Sistemas Operativos de TI exclusivamente de TI exclusivamente
- Elementos de Red
3. Consejos para la Práctica IAI 2010-1 y 2210-1del Marco Internacional para la Práctica Profesional de la Auditoría Interna.
Instituto de Auditores Internos.
15
AUDITORÍA INTERNA
Un enfoque de baja integración entre los tra- analizar la relación existente entre los dife-
bajos de Auditoría Interna de TI y el del resto rentes procesos de negocio, y los distintos
de las áreas de Auditoría Interna, conlleva a procesos y activos de tecnología que sopor-
una evaluación aislada de los riesgos relacio- tan su funcionamiento. Así, será posible abar-
nados con TI, dificultando la interrelación de car de manera conjunta todos los riesgos que
Una visión integral del los resultados obtenidos (por ejemplo: ¿Có- afectan a un determinado proceso o área de
Plan de Auditoría mo afecta al proceso de ventas que el entor- negocio, obteniendo una visión más completa
interna permite al no Windows esté mal securizado, o que el di- de su situación y de su exposición real, au-
Director de Auditoría seño funcional de la base de datos esté mal mentando, por tanto, el nivel de asegura-
Interna analizar la diseñado o gestionado?) y dando como resul- miento arrojado por las conclusiones que se
relación existente entre tado un menor nivel de certeza en las conclu- obtendrán de los trabajos.
los diferentes procesos siones obtenidas a nivel global.
Hay que tener en cuenta que esta aproxima-
de negocio y los Este nivel de certeza se irá incrementando se- ción no descarta la ejecución de ciertas audi-
procesos y activos gún se aumente el nivel de integración entre torías puras (tanto de TI como de negocio),
de TI. el Plan de Auditoría Interna de TI y el de ne- siempre y cuando exista una justificación su-
gocio, alcanzando su máximo nivel una vez ficiente para ello (por ejemplo: resultado del
que los trabajos de Auditoría Interna de TI se análisis de riesgos o petición expresa de la
integran o se relacionan con las otras audito- Dirección).
rías del negocio. Esto permite obtener una vi-
sión integral y completa de los riesgos bajo En todo caso, siempre es importante definir
análisis. de antemano la interrelación que los resulta-
dos de estos trabajos tendrán con el resto de
Esta visión integral del Plan de Auditoría In- riesgos o procesos del universo de Auditoría
terna permite al Director de Auditoría Interna Interna.
PROCESOS DE NEGOCIO
Procesos Operativos Procesos de Soporte Procesos de Proyectos
Producción Finanzas Gestión de caja
Ventas IT Diseño
Distribución, … Nóminas, … Análisis económico/
Rentabilidad, …
APLICACIONES
Controles Generales Aplicación A Aplicación B Aplicación C Controles
de TI de Aplicación
Desarrollo de Sistemas Autorización
Gestión de cambios Integridad
Accesos lógicos INFRAESTRUCTURA DE TI
Controles físicos Disponibilidad
Seguridad Elementos Confidencialidad
Base Sistema
Backup y recuperación de Datos Operativo de Red / Segregación
Service Desk Instalaciones de Funciones
16
AUDITORÍA INTERNA
- Posibilidad de abordar proyectos cuyo conocimiento - Posibilidad de aumentar las horas invertidas
no dispone la función de Auditoría Interna de TI. en los proyectos de auditoría si no se aplica
- Transferencia de la carga de trabajo del equipo inter- un protocolo estricto de supervisión y con-
Enfoque mixto no a personal externo. trol de las distintas participaciones.
- Transferencia de conocimientos al personal interno. - Incorporar un aspecto de desmoralización
en el personal interno si no existe una real
- Auditoría Interna siempre retiene las labores de super- transferencia de conocimientos.
visión.
17
AUDITORÍA INTERNA
18
AUDITORÍA INTERNA
Una de las decisiones más importantes de los tro de las Direcciones de Auditoría Interna,
Directores de Auditoría Interna y de las Comi- decidir el nivel de integración de dicha fun-
siones de Auditoría para minimizar los riesgos ción (básico, medio o alto), y fijar la adecuada
asociados a la cobertura de los procesos tec- dotación de recursos humanos, técnicos y
nológicos de la organización, es la creación económicos.
de la función de Auditoría Interna de TI den-
19
AUDITORÍA INTERNA
METODOLOGÍA DE TRABAJO
La Auditoría Interna de TI debe encuadrase nan la ética profesional de la auditoría, la in-
dentro de las normas generales de la organi- dependencia, objetividad y diligencia. La Au-
zación para Auditoría Interna, con el referen- ditoría Interna de TI sigue la metodología de
te específico del Marco Internacional para la trabajo definida por la propia Dirección de
Práctica Profesional de la Auditoría Interna Auditoría Interna, en cuanto a directrices y
del Instituto de Auditores Internos, y comple- procedimientos (modo de documentar, elabo-
mentariamente, las normas y estándares pro- ración de entregables, etc...).
movidas por la ISACA. Estas normas determi-
20
AUDITORÍA INTERNA
CONTROLES CORRECTIVOS
AC LE
RA LE
N
S
LIC TRO
NE RO
GE ONT
AP ON
CONTROLES DETECTIVOS
C
C
ciera de TI.
RN
BIE
GO
Políticas
Estándares
Auditorías Internas de la capa técnica
ÓN
Organización y Gestión
STI
GE
Controles de la Infraestructura
nocimientos específicos de la plataforma tec-
S
ICO
21
AUDITORÍA INTERNA
bién pueden incluir la revisión de aquellos de, SAS99). Estos trabajos han recaído históri-
controles de determinada aplicación que re- camente bajo la responsabilidad de los audi-
quiera un conocimiento profundo y “técnico” tores internos de TI, aunque, recientemen-
de su funcionamiento. te –debido al mayor conocimiento en siste-
Adicionalmente, y aunque no sean Auditorías mas y a la formación específica recibida por
Internas de TI, habría que considerar los tra- las nuevas generaciones de los auditores de
bajos de análisis masivo de datos mediante el negocio– la ejecución de dichos trabajos va,
uso de herramientas tales como ACL o IDEA poco a poco, pasando a ser responsabilidad
(por ejemplo: apoyo a investigaciones de frau- de estos últimos.
Herramientas de Soporte
a las Auditorías Internas de TI
En este apartado se realiza una catalogación · Planificación y seguimiento de los traba-
y breve descripción de las herramientas soft- jos en curso, en términos de calendario,
ware que puede utilizar una Dirección de Au- recursos asignados, tiempo y costes.
ditoría Interna para la gestión, planificación y
ejecución de Auditorías Internas de TI. · Seguimiento de la implantación de los
aspectos de mejora detectados en los
trabajos.
Herramientas para la gestión de la Di-
rección de Auditoría Interna · Gestión de personal del equipo, en térmi-
• Herramientas que facilitan la gestión del nos de:
Departamento de Auditoría Interna incor- - Formación.
porando funcionalidades como:
- Evaluación anual y por trabajo.
· Definición del Plan Auditoría Interna ba-
• Herramientas de análisis de riesgos auto-
sado riesgos.
matizado. Son inestimables para toda la Di-
· Interrelación con la herramienta de ges- rección de Auditoría Interna ya que permi-
tión de riesgos corporativos. ten realizar análisis en entornos de TI com-
22
AUDITORÍA INTERNA
plejos, que no suelen ser fáciles sin la ayu- · Materialización de los riesgos.
da de herramientas automatizadas. Deben
incorporar funcionalidades como: · Gestión centralizada de los papeles de
trabajo manteniendo una trazabilidad so-
· Integración con la herramienta de ges- bre la documentación.
tión de riesgos corporativos.
· Cierre electrónico del trabajo y emisión
· Posibilidad de creación y definición de del informe.
riesgos.
· Seguimiento del progreso de la implanta-
· Definición del universo auditable de TI. ción de los plantes correctivos –previa
· Facilidad para incorporar la valoración de asignación de los responsables– de la
los riesgos por parte de las personas in- documentación a entregar y de las fe-
teresadas. chas de comprometidas.
23
AUDITORÍA INTERNA
24
AUDITORÍA INTERNA
25
AUDITORÍA INTERNA
BASES DE DATOS Programa informático que permite el almacenaje y posterior acceso a datos de
manera rápida y estructurada.
CORTAFUEGOS Firewall. Elemento de red cuya función principal es el filtrado de las comunicacio-
nes entre las diferentes redes, autorizándolas o denegándolas en función de las
reglas que le hayan sido configuradas.
COBIT Control Objectives for Information and Related Technology (Objetivos de Control
para Información y Tecnologías Relacionadas) es un marco de gobierno para las
tecnologías de la información, publicado por ISACA.
DMZ Demilitarized Zone. Zona de la red de una compañía en la que se suelen ubicar
aquellos servidores que pueden ser accesibles desde el exterior, estando éstos, por
lo tanto, expuestos a un mayor riesgo.
ELEMENTOS DE RED Dispositivos que permiten la comunicación entre los diferentes sistemas informáti-
cos y que conforman las redes de comunicaciones (por ejemplo, router).
ERP (SAP) Enterprise Resource Planning o Sistema de Planificación de Recursos. Sistemas in-
formáticos que integran y dan soporte a los procesos de negocio de manera con-
junta y coordinada (por ejemplo, SAP).
GTAG Global Technology Audit Guidelines - Guías publicadas por el IIA para la Auditoría
Interna de los sistemas de información.
HACKING Cualquier acción encaminada a obtener acceso, de forma ilegal y sin el consenti-
miento del propietario, a un sistema informático con el objetivo de sustraer infor-
mación. Se conoce como “hacking ético” los accesos de este tipo autorizados pa-
ra la realización de auditorías de seguridad.
26
AUDITORÍA INTERNA
SISTEMAS OPERATIVOS Software de base instalado en un sistema informático que interactúa con el hard-
ware y permite la ejecución de las aplicaciones instaladas en él (por ejemplo: Win-
dows 8 o Red Hat Enterprise Linux).
27
AUDITORÍA INTERNA
Anexo 2 · Bibliografía
28
AUDITORÍA INTERNA
29
LA FÁBRICA DE PENSAMIENTO
INSTITUTO DE AUDITORES INTERNOS DE ESPAÑA