Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Tema 7. Gobierno y Gestión de La Función de Auditoría
Tema 7. Gobierno y Gestión de La Función de Auditoría
Ideas clave
A fondo
CIS
Banco de España
Test
Esquema
hoy más que nunca, las empresas y sus ejecutivos se esfuerzan en:
▸ Mantener información de alta calidad para soportar las decisiones del negocio.
▸ Generar valor al negocio con las inversiones en TI, por ejemplo, alcanzando
fiable y eficiente.
Una auditoría tradicional se define como un proceso sistemático por el que una
con el fin de formarse una opinión e informar sobre el grado en que dicha
en 1969, que cuenta con más de 115 000 integrantes en 180 países y cuyo objetivo
como:
ciberamenazas.
de información.
▸ Por el potencial que tienen las tecnologías para cambiar radicalmente las
costes.
que pueden estar afectando a las operaciones y a los objetivos del negocio.
auditoría.
La función de auditoría debe ser gestionada y conducida en una forma que asegure
que las diversas tareas realizadas y logradas por el equipo de auditoría, cuyos
aprobado por la alta dirección. La auditoría puede ser parte de la auditoría interna,
financiera o similar.
auditoría, si existe alguno, tendrían que aprobar este estatuto. Una vez establecido,
justificado.
que cubre toda la gama de actividades de auditoría en una entidad, mientras que una
donde se busca que sea iniciado en una organización con un objetivo específico en
mente. Si los servicios de auditoría son provistos por una empresa auditora externa,
servicio.
aspectos relacionados con riesgos que necesiten considerarse. Este plan debería
revisarse de manera periódica para asegurar que los esfuerzos y los resultados de
▸ Que cuente con una jerarquía suficiente para poder inmiscuirse en cualquier unidad
administrativa de la empresa.
control y la coordinación.
una compañía:
Tabla 1. Estructura y participantes dentro de la auditoría en una compañía. Fuente: elaboración propia.
Tabla 2. Estructura y atribuciones de las funciones de una unidad de auditoría interna. Fuente: elaboración propia.
forma considerable.
Para los equipos de trabajo, uno de los elementos fundamentales que se tiene que
naturaleza.
▸ Responsabilidad profesional.
una auditoría, así como evaluar los resultados y presentar los informes
correspondientes.
adquiridas.
juicios o caer en omisiones que alteren de alguna manera los resultados que
obtenga.
▸ Honestidad: aceptar su condición y tratar de dar su mejor esfuerzo con sus propios
práctica deberá:
▸ Llevar a cabo sus labores con objetividad, debida diligencia y rigor profesional, de
▸ Servir a los intereses de las partes interesadas de manera leal, manteniendo altos
▸ Informar a las partes correspondientes los resultados del trabajo realizado, revelando
todos los hechos significativos que conozcan que, si no fueran revelados, podrían
distorsionar el reporte de los resultados.
impacto de los eventos no deseados que ponen en riesgo a los activos de una
organización.
En una clasificación general de los controles, podemos decir que estos pueden ser:
▸ Voluntarios: cuando la organización los diseña con el fin de mejorar los procesos.
automatizados.
Se debe tener en cuenta que hay tantos controles como riesgos queramos gestionar.
• Puertas.
• Cerraduras.
• Ventanas.
• Criptografía.
• Antimalware.
• Cortafuegos (firewalls).
• Política de seguridad.
• Gestión de privilegios.
detectivos y correctivos:
Controles defensivos
Salvaguardas
• Acuerdos de confidencialidad.
• Avisos de advertencia.
▸ Preventivos: este tipo de controles son la primera línea de acción frente a una
• Vallas de seguridad.
• Cortafuegos (firewalls).
• Formularios de autenticación.
Contramedidas
siguientes controles:
organización. Esto permite contener y analizar las acciones del atacante mientras
que se optimizan las propias defensas. Ejemplos:
• Honeypots y honeynets.
• Sensores de movimiento.
• Extintores de fuego.
• Terminación de conexiones.
decir, un control puede operar bajo una o múltiples categorías. Por ejemplo, un
control defensivo de tipo detectivo, ya que genera una notificación del ataque, y
conexiones subsiguientes.
Controles ofensivos
verídica posible, las técnicas que podrían usar los atacantes. Su ejecución debe ser
Pasivos
Controles que, de forma explícita, no violan ningún control defensivo, por lo que sus
• Ingeniería social.
Activos
disponibilidad de los activos, por lo que deben ser gestionados de forma muy
simuladas. Ejemplos:
• Escáneres de vulnerabilidades.
• Controles antiforenses.
Los controles correctivos suelen ser más costosos, porque actúan cuando ya se
Alternativos o compensatorios
Controles generales
aplicación.
operación.
Son los controles de los que se dota una organización para regular el qué, cómo y
identifican:
leyes y regulaciones.
entre los que destacan los controles de seguridad lógica y de seguridad física. Se
información.
completos.
Como ejemplo de modelos de control se tienen los incluidos en la norma ISO 27001
Controles de aplicación
pruebas de penetración.
Son los controles que cubren las áreas funcionales ya definidas para una ubicación
Son los controles que debe tener un producto informático comercial, de forma que
• Coste del impacto que tiene el riesgo sobre la organización en el caso de que
impacto de los eventos no deseados que ponen en riesgo a los activos de una
organización. En este vídeo (Los controles internos de los sistemas como el motor de
Accede al vídeo:https://unir.cloud.panopto.eu/Panopto/Pages/Embed.aspx?
id=003d9562-0f36-46b7-883e-adf700cfedb3
Los 20 controles críticos de seguridad han sido priorizados para ser implementados
por las organizaciones que comprenden el riesgo que existe alrededor de los
siguiente pregunta: «¿Qué necesito hacer ahora mismo para proteger mi empresa de
conformidad y mitigar más del 90 % de las amenazas a las que se puede enfrentar
Accede al vídeo:https://unir.cloud.panopto.eu/Panopto/Pages/Embed.aspx?
id=4d86b125-36ef-4f19-b311-adf700cfed36
ISACA. (2019). CISA. Review manual. 27.° ed. ISACA. Organización Internacional de
https://www.isotools.org/normas/riesgos-y-seguridad/iso-27001/
revision-de-los-controles-generales-en-un-entorno-informatizado.html
Este artículo detalla los controles generales y de aplicación, así como algunas
E d i c i o n e s . https://www.ecoeediciones.com/wp-
content/uploads/2018/04/Auditori%CC%81a-del-Control-Interno-4ed.pdf
CIS
Banco de España
Guías. https://www.bde.es/bde/es/secciones/normativas/Guias/Guias.html
compañía?
A. Su situación no es relevante.
Seguridad.
manera independiente.
detectivos y correctivos.
organización y operación:
presupuestos.
A. Estar implantados.
C. Ser efectivos.
de funciones adecuada:
mismo entorno.
entorno y en otro.
disponibilidad y seguridad.
y confidencialidad.
disponibilidad y confidencialidad.
Los controles de hardware y software de sistemas, entre los que destacan los
integridad y disponibilidad).