Definición de auditoría de TI – Una auditoría de TI se puede definir como cualquier auditoría que abarque la revisión y evaluación de sistemas automatizados de procesamiento de información, procesos no automatizados relacionados y las interfaces entre ellos. La planificación de la auditoría de TI implica dos pasos principales. El primer paso es recopilar información y planificar un poco el segundo paso es comprender la estructura de control interno existente. Cada vez más organizaciones están adoptando un enfoque de auditoría basado en el riesgo que se utiliza para evaluar el riesgo y ayuda a un auditor de TI a tomar la decisión de realizar pruebas de cumplimiento o pruebas sustantivas. En un enfoque basado en el riesgo, los auditores de TI confían en los controles internos y operativos, así como en el conocimiento de la empresa o el negocio. Este tipo de decisión de evaluación de riesgos puede ayudar a relacionar el análisis de costo-beneficio del control con el riesgo conocido. En el paso «Recopilación de información», el auditor de TI debe identificar cinco elementos:
- Conocimiento de negocios e industria
- Resultados de auditorías del año anterior
- Información financiera reciente
- Estatutos reglamentarios
- Evaluaciones de riesgos inherentes
Una nota al margen sobre «Riesgos inherentes» es definirlo como el riesgo de que exista un error que podría ser importante o significativo cuando se combina con otros errores encontrados durante la auditoría, suponiendo que no haya controles compensatorios relacionados. Por ejemplo, es más probable que las actualizaciones de bases de datos complejas se escriban mal que las simples, y es más probable que las unidades usb sean robadas (malversadas) que los servidores blade en un gabinete de servidores. Los riesgos inherentes existen independientemente de la auditoría y pueden ocurrir debido a la naturaleza del negocio.
En el paso «Comprender la Estructura de Control Interno Existente», el auditor de TI debe identificar otras cinco áreas / elementos:
- Entorno de control
- Procedimientos de control
- Evaluación de riesgos de detección
- Evaluación de riesgos de control
- Igualar el riesgo total
Una vez que el auditor de TI haya «Recopilado Información» y «Comprenda el Control», estará listo para comenzar la planificación o la selección de áreas a auditar. Recuerde que una de las piezas clave de información que necesitará en los pasos iniciales es un Análisis de Impacto Empresarial (BIA) actual, para ayudarlo a seleccionar la aplicación que admite las funciones empresariales más críticas o sensibles.
Objetivos de una auditoría de TI
En la mayoría de los casos, los objetivos de la auditoría de TI se concentran en demostrar que los controles internos existen y funcionan según lo esperado para minimizar el riesgo empresarial. Estos objetivos de auditoría incluyen garantizar el cumplimiento de los requisitos legales y reglamentarios, así como la confidencialidad, integridad y disponibilidad (CIA – no, no es la agencia federal, sino la seguridad de la información) de los sistemas de información y los datos.
Estrategias de auditoría de TI
Hay dos áreas de las que hablar aquí, la primera es si debo hacer pruebas de cumplimiento o sustantivas y la segunda es «¿Cómo obtengo la evidencia que me permite auditar la aplicación y hacer mi informe a la administración?»Entonces, ¿cuál es la diferencia entre el cumplimiento y las pruebas sustantivas? Las pruebas de cumplimiento son la recopilación de pruebas para comprobar si una organización está siguiendo sus procedimientos de control. Por otra parte, las pruebas sustantivas consisten en reunir pruebas para evaluar la integridad de los datos individuales y otra información. Por ejemplo, las pruebas de conformidad de los controles se pueden describir con el siguiente ejemplo. Una organización tiene un procedimiento de control que establece que todos los cambios de la aplicación deben pasar por el control de cambios. Como auditor de TI, puede tomar la configuración en ejecución actual de un enrutador, así como una copia de la generación -1 del archivo de configuración para el mismo enrutador, ejecutar una comparación de archivos para ver cuáles eran las diferencias; y luego tomar esas diferencias y buscar documentación de control de cambios compatible. No se sorprenda al descubrir que los administradores de red, cuando simplemente son reglas de re-secuenciación, se olvidan de someter el cambio a control de cambios. Para pruebas sustantivas, digamos que una organización tiene una política / procedimiento con respecto a las cintas de respaldo en el lugar de almacenamiento externo que incluye 3 generaciones (abuelo, padre, hijo). Un auditor de TI haría un inventario físico de las cintas en el lugar de almacenamiento externo y compararía ese inventario con el inventario de la organización, además de asegurarse de que las 3 generaciones estuvieran presentes.
La segunda área trata sobre «¿Cómo obtengo las pruebas que me permiten auditar la solicitud y hacer mi informe a la administración?»No debería ser una sorpresa que necesites:
- Revisar la estructura organizacional de TI
- Revisar las políticas y procedimientos de TI
- Revisar los estándares de TI
- Revisar la documentación de TI
- Revisar la BIA de la organización
- Entrevistar al personal apropiado
- Observar los procesos y el desempeño de los empleados
- Examen, que incorpora por necesidad, la prueba de controles, y por lo tanto incluye los resultados de las pruebas.
Como comentario adicional de la recopilación de evidencia, la observación de lo que un individuo realmente hace versus lo que se supone que debe hacer, puede proporcionar al auditor de TI evidencia valiosa cuando se trata de controlar la implementación y la comprensión por parte del usuario. También realizar un recorrido puede proporcionar información valiosa sobre cómo se está realizando una función en particular.
Aplicación frente a controles generales
Los controles generales se aplican a todas las áreas de la organización, incluidos la infraestructura de TI y los servicios de soporte. Algunos ejemplos de controles generales son:
- Controles contables internos
- Controles operativos
- Controles administrativos
- Políticas y procedimientos de seguridad organizacionales
- Políticas generales para el diseño y uso de documentos y registros adecuados
- Procedimientos y prácticas para garantizar garantías adecuadas sobre el acceso
- Políticas de seguridad física y lógica para todos los centros de datos y recursos de TI
Los controles de aplicaciones se refieren a las transacciones y, son específicos para cada aplicación . Los objetivos de los controles de aplicación son garantizar la integridad y exactitud de los registros y la validez de las entradas que se les hagan. Los controles de aplicación son controles sobre las funciones de salida a bolsa (entrada, procesamiento, salida) e incluyen métodos para garantizar que:
- Solo se ingresan y actualizan datos completos, precisos y válidos en un sistema de aplicación
- El procesamiento cumple la tarea diseñada y correcta
- Los resultados del procesamiento cumplen con las expectativas
- Los datos se mantienen
Como auditor de TI, sus tareas al realizar una auditoría de control de aplicaciones deben incluir:
- Identificar los componentes significativos de la aplicación; el flujo de transacciones a través de la aplicación (sistema); y para obtener una comprensión detallada de la aplicación revisando toda la documentación disponible y entrevistando al personal apropiado, como el propietario del sistema, el propietario de los datos, el custodio de los datos y el administrador del sistema.
- Identificar las fortalezas del control de la aplicación y evaluar el impacto, si lo hubiera, de las debilidades que encuentre en los controles de la aplicación
- Desarrollar una estrategia de pruebas
- Probar los controles para garantizar su funcionalidad y eficacia
- Evaluar los resultados de sus pruebas y cualquier otra evidencia de auditoría para determinar si se alcanzaron los objetivos de control
- Evaluar la aplicación contra los objetivos de la administración para el sistema para garantizar la eficiencia y la eficacia.
Revisiones de control de auditoría de TI
Después de recopilar toda la evidencia, el auditor de TI la revisará para determinar si las operaciones auditadas están bien controladas y son efectivas. Ahora bien, aquí es donde su juicio subjetivo y experiencia entran en juego. Por ejemplo, puede encontrar una debilidad en un área que se compensa con un control muy fuerte en otra área adyacente. Es su responsabilidad como auditor de TI informar ambos hallazgos en su informe de auditoría.
El entregable de auditoría
Por lo tanto, qué se incluye en la documentación de auditoría y qué debe hacer el auditor de TI una vez finalizada su auditoría. Aquí está la lista de lavandería de lo que debe incluirse en su documentación de auditoría:
- Planificación y preparación del alcance y los objetivos de la auditoría
- Descripción y/o tutoriales sobre el área de auditoría con alcance
- Programa de auditoría
- Pasos de auditoría realizados y evidencia de auditoría recopilada
- Si se utilizaron los servicios de otros auditores y expertos y sus contribuciones
- Resultados, conclusiones y recomendaciones de la auditoría
- Documentación de auditoría relación con la identificación de documentos y las fechas (su referencia cruzada de la evidencia al paso de auditoría)
- Una copia del informe emitido como resultado de la labor de auditoría
- Evidencia de supervisión de auditoría revisar
Cuando comunique los resultados de la auditoría a la organización, por lo general se hará en una entrevista de salida, donde tendrá la oportunidad de discutir con la administración cualquier conclusión y recomendación. Debe estar absolutamente seguro de:
- Los hechos presentados en el informe son correctos
- Las recomendaciones son realistas y rentables, o se han negociado alternativas con la dirección de la organización
- Las fechas de implementación recomendadas se acordarán para las recomendaciones que tiene en su informe.
Su presentación en esta entrevista de salida incluirá un resumen ejecutivo de alto nivel(como el Sargento Friday solía decir, solo los hechos, por favor, solo los hechos). Y por cualquier razón, una imagen vale más que mil palabras, así que haga algunas diapositivas de PowerPoint o gráficos en su informe.
Su informe de auditoría debe estructurarse de manera que incluya:
- Una introducción (resumen ejecutivo)
- Los resultados se encuentran en una sección separada y agrupados por destinatario
- Su conclusión general y opinión sobre la adecuación de los controles examinados y cualquier riesgo potencial identificado
- Cualquier reserva o reserva con respecto a la auditoría
- Conclusiones y recomendaciones detalladas
Finalmente, hay algunas otras consideraciones que debe tener en cuenta al preparar y presentar su informe final. Quién es el público? Si el informe va al comité de auditoría, es posible que no necesiten ver los detalles que figuran en el informe de la unidad de negocio local. Deberá identificar los criterios organizacionales, profesionales y gubernamentales aplicados, como GAO-Libro Amarillo, CobiT o NIST SP 800-53. Su informe querrá ser oportuno para alentar una acción correctiva rápida.