I N T E R N A
LA FBRICA DE PENSAMIENTO
INSTITUTO DE AUDITORES INTERNOS DE ESPAA
Auditora Interna
de TI Integrada
A U D I T O R A
I N T E R N A
LA FBRICA DE PENSAMIENTO
INSTITUTO DE AUDITORES INTERNOS DE ESPAA
Auditora Interna
de TI Integrada
MIEMBROS DE LA COMISIN TCNICA
COORDINACIN: Marina Tourio Troitio, CIA, CRMA, CISA.
MARINA TOURIO & ASOCIADOS, S.L.
AUDITORA INTERNA
AUDITORA INTERNA
ndice
RESUMEN EJECUTIVO
06
07
07
10
............................................................................. 10
........................................................................ 11
........................................................................ 13
INTEGRACIN DE LA COBERTURA DE TI
EN AUDITORA INTERNA
14
................................. 14
................................... 17
.................................. 17
................................................................................. 19
............................................................................................. 20
....................... 20
21
22
ANEXOS
26
................................................................................ 26
.................................................................................................. 28
AUDITORA INTERNA
Resumen Ejecutivo
La dependencia
respecto a la tecnologa
en la toma de
decisiones hace
imprescindible la
valoracin de los
riesgos tecnolgicos.
1. Esta acepcin es usada en este documento tambin como equivalente a sistemas de informacin. Ambas expresiones son utilizadas habitualmente como sinnimos en distintos documentos, normas, legislacin, etc.
AUDITORA INTERNA
Este documento
propone un esquema
para integrar la
Auditora Interna de TI
dentro de la Direccin
de Auditora Interna.
AUDITORA INTERNA
Entre 5 y 10
Ninguno
8%
2%
5%
Cobertura externalizada
Entre 10 y 20
Entre 7 y 15 aos
12%
Menos
de 3 aos
31%
15%
46%
21%
Entre 2 y 5
27%
33%
Uno
Entre 3 y 6 aos
AUDITORA INTERNA
- 63% ERPs.
77%
56%
Gobierno de TI
Procesos de negocio. Anlisis de aplicaciones informticas. Normativa relacionada con TI
Metodologas de desarrollo. Comunicaciones. Hacking y Forensic. Administracin de Sistemas
50%
41%
AUDITORA INTERNA
Las organizaciones cada vez tienen una mayor dependencia de las Tecnologas de la Informacin Su rpido desarrollo ha motivado
la creacin de nuevos modelos de negocio
impensables hace muy pocos aos. Algunos
de los nuevos modelos de negocio, basados
en esta evolucin de la tecnologa de la informacin, se basan en el acceso y la disponibilidad de informacin y servicios desde cualquier dispositivo.
2. The business risk associated with the use, ownership, operation, involvement, influence and adoption of IT within an
enterprise.
10
AUDITORA INTERNA
das por personas, cuyas motivaciones y capacidades son totalmente heterogneas: esta diversidad provoca que, a menudo, el mayor
riesgo sea el propio usuario, ya sea por errores involuntarios o por actividades malintencionadas.
El gobierno de TI reside
en que la estructura
organizativa, el
liderazgo y los procesos
garantizan que las
tecnologas de la
informacin soportan
las estrategias y
objetivos de una
organizacin.
soportan las estrategias y objetivos de una organizacin. Los cinco componentes del gobierno de TI son la organizacin y estructuras
de gobierno, el liderazgo ejecutivo y soporte,
la planificacin estratgica y operacional, la
entrega y medicin del servicio y la organizacin y gestin de riesgos de TI. Las polticas y
estndares establecidos por la organizacin,
deben establecer las formas de trabajo para
alcanzar los objetivos. La adopcin y cumplimiento de estas normas promueve la eficiencia y asegura la consistencia del entorno operativo de TI.
11
AUDITORA INTERNA
- Falta de un proceso adecuado de aprovisionamiento y gestin de usuarios, que entorpezca el desarrollo de la operativa.
AUDITORA INTERNA
La definicin del
universo de Auditora
Interna de TI es el
punto de partida para
llevar a cabo una
evaluacin de riesgos y
establecer un plan de
Auditora Interna sobre
los mismos.
UNIDADES
ORGANIZATIVAS
PROCESOS
DE NEGOCIO
APLICACIONES
PROCESOS
DE TI
CPD
HARDWARE/
SOFTWARE
BASE
13
AUDITORA INTERNA
- Identificar los procesos de TI empleados para la gestin de todos los elementos bsicos de tecnologa (equipos, centros de procesos de datos, aplicaciones, sistemas operativos, bases de datos, comunicaciones y
seguridad).
- Definir los riesgos asociados a estos elementos, tanto tecnolgicos como de otra
naturaleza.
Sistemas de Informacin
Procesos de negocio
Riesgos identificados
Integracin de la Cobertura de TI
en Auditora Interna
OBJETIVOS DE LA INTEGRACIN DE LA AUDITORA INTERNA DE TI
Auditora Interna de TI es cualquier proceso
de auditora que revisa y evala los sistemas
automticos de procesamiento de la informacin. La misin del auditor interno de TI es
proporcionar las recomendaciones necesarias
a la Direccin para mejorar y lograr un ade14
AUDITORA INTERNA
- Analizar la seguridad de los datos, el hardware, el software y las instalaciones, as como la concienciacin en seguridad de los
usuarios.
- Analizar el grado de satisfaccin de los
usuarios de los sistemas de informacin.
Esta lista no trata de ser una relacin exhaustiva de elementos a considerar a la hora de la
definicin del universo auditable de Auditora
Interna de TI, pudiendo ser incorporados
otros muchos en funcin de la naturaleza de
la compaa, del sector en el que opere y de
la evolucin y madurez propia de la Direccin
de Auditora Interna en cuestin.
A la hora definir el
enfoque un trabajo, es
importante remarcar el
nivel de integracin
existente entre las
Auditoras Internas de
TI y el resto de
auditoras para
determinar su alcance.
Aplicaciones y Software
- Controles de Aplicaciones
- Controles Generales
Auditora Interna
de TI exclusivamente
Controles de Infraestructura
- Base de Datos
- Sistemas Operativos
- Elementos de Red
Auditora Interna
de TI exclusivamente
Auditora Interna
de TI exclusivamente
3. Consejos para la Prctica IAI 2010-1 y 2210-1del Marco Internacional para la Prctica Profesional de la Auditora Interna.
Instituto de Auditores Internos.
15
AUDITORA INTERNA
Un enfoque de baja integracin entre los trabajos de Auditora Interna de TI y el del resto
de las reas de Auditora Interna, conlleva a
una evaluacin aislada de los riesgos relacionados con TI, dificultando la interrelacin de
los resultados obtenidos (por ejemplo: Cmo afecta al proceso de ventas que el entorno Windows est mal securizado, o que el diseo funcional de la base de datos est mal
diseado o gestionado?) y dando como resultado un menor nivel de certeza en las conclusiones obtenidas a nivel global.
analizar la relacin existente entre los diferentes procesos de negocio, y los distintos
procesos y activos de tecnologa que soportan su funcionamiento. As, ser posible abarcar de manera conjunta todos los riesgos que
afectan a un determinado proceso o rea de
negocio, obteniendo una visin ms completa
de su situacin y de su exposicin real, aumentando, por tanto, el nivel de aseguramiento arrojado por las conclusiones que se
obtendrn de los trabajos.
Hay que tener en cuenta que esta aproximacin no descarta la ejecucin de ciertas auditoras puras (tanto de TI como de negocio),
siempre y cuando exista una justificacin suficiente para ello (por ejemplo: resultado del
anlisis de riesgos o peticin expresa de la
Direccin).
Esta visin integral del Plan de Auditora Interna permite al Director de Auditora Interna
Soporte
Proyectos
PROCESOS DE NEGOCIO
Procesos Operativos
Procesos de Soporte
Produccin
Ventas
Distribucin,
Finanzas
IT
Nminas,
Procesos de Proyectos
Gestin de caja
Diseo
Anlisis econmico/
Rentabilidad,
APLICACIONES
Controles Generales
de TI
Desarrollo de Sistemas
Gestin de cambios
Accesos lgicos
Controles fsicos
Seguridad
Backup y recuperacin
Service Desk
16
Aplicacin A
Aplicacin B
Aplicacin C
INFRAESTRUCTURA DE TI
Base
de Datos
Sistema
Operativo
Elementos
de Red /
Instalaciones
Controles
de Aplicacin
Autorizacin
Integridad
Disponibilidad
Confidencialidad
Segregacin
de Funciones
AUDITORA INTERNA
Estrategia
Incorporacin
de personal en plantilla
Beneficios
- Adquisicin de un mayor conocimiento de los flujos
de negocio de la organizacin, procesos de TI y plataformas tecnolgicas de la misma.
- Mayor integracin con el equipo actual de Auditora
Interna.
- Lograr la incorporacin de un perfil polivalente que
puede dinamizar la prctica de Auditora Interna.
Contratacin de
un proveedor externo
- Aportacin de conocimientos externos por la ejecucin de trabajos en distintas organizaciones y conocimientos tecnolgicos ms actualizados.
- Flexibilidad de contratacin segn necesidades, sin
coste fijo.
- Reduccin del riesgo en el proceso de contratacin o
incorporacin interna, si el perfil no es el adecuado.
- Posibilidad de abordar proyectos cuyo conocimiento
no dispone la funcin de Auditora Interna de TI.
Enfoque mixto
Inconvenientes
- Posible desactualizacin de los conocimientos en determinadas tecnologas emergentes a lo largo del tiempo en caso de no
exista un proceso de formacin continua en
TI.
- Dependiendo de la complejidad del negocio, pueden aparecer dificultades para entender la actividad de la organizacin y sus
procesos de negocio.
- Posibilidad de que el conocimiento adquirido durante el proyecto se pierda al finalizar
la prestacin del servicio.
lidad, cobrando cada vez un mayor peso especfico. Existen tres niveles de integracin de
Auditora Interna de TI, en funcin de la ma17
AUDITORA INTERNA
AVANZADO
MEDIO
- Auditores TI tcnicos
- Riesgos tecnolgicos (Gobierno de TI), servicios de TI y de capa tcnica
- Auditoras Internas de TI
BSICO
- Auditores no TI
- Riesgos tecnolgicos (Gobierno de TI)
- Revisiones alto nivel
18
AUDITORA INTERNA
Conocimientos tcnicos
- Normas y estndares para la prctica de la
Auditora Interna.
- Tcnicas de evaluacin de riesgos.
- Conocimientos de tecnologa: programacin, redes y comunicaciones, explotacin,
seguridad informtica, planes de continuidad, etc
- Recopilacin y tratamiento de grandes cantidades de informacin.
Cada da ms auditores
internos de TI obtienen
la certificacin CIA del
IIA (Institute of Internal
Auditors).
Habilidades
- Dotes de expresin oral y escrita para una
presentacin clara y objetiva de informes y
opiniones.
- Habilidad para el trabajo en equipo, capacidad analtica y sntesis, autonoma, y proactividad.
- Habilidad para relacionarse con grupos de
trabajo de diferentes niveles jerrquicos y
conocimiento de la organizacin.
- Habilidades de negociacin que le permitan
argumentar sus puntos de vista.
19
AUDITORA INTERNA
METODOLOGA DE TRABAJO
La Auditora Interna de TI debe encuadrase
dentro de las normas generales de la organizacin para Auditora Interna, con el referente especfico del Marco Internacional para la
Prctica Profesional de la Auditora Interna
del Instituto de Auditores Internos, y complementariamente, las normas y estndares promovidas por la ISACA. Estas normas determi-
nan la tica profesional de la auditora, la independencia, objetividad y diligencia. La Auditora Interna de TI sigue la metodologa de
trabajo definida por la propia Direccin de
Auditora Interna, en cuanto a directrices y
procedimientos (modo de documentar, elaboracin de entregables, etc...).
AUDITORA INTERNA
CONTROLES DE GESTIN
CONTROLES CORRECTIVOS
CONTROLES DE GOBIERNO
CONTROLES DETECTIVOS
C
AP ON
LIC TRO
AC LE
I S
CONTROLES PREVENTIVOS
N
C
GE ONT
NE RO
RA LE
LE S
S
CN
ICO
GE
STI
GO
BIE
RN
CONTROLES TCNICOS
Polticas
Estndares
Organizacin y Gestin
Controles Fsicos
y del Entorno
Controles de la Infraestructura
Controles en el Desarrollo/Adquisicin
Controles de la Aplicacin
Engloban aquellos trabajos que requieren conocimientos especficos de la plataforma tecnolgica (sistemas operativos, bases de datos, elementos de comunicaciones). Tam21
AUDITORA INTERNA
camente bajo la responsabilidad de los auditores internos de TI, aunque, recientemente debido al mayor conocimiento en sistelas nuevas generaciones de los auditores de
negocio la ejecucin de dichos trabajos va,
poco a poco, pasando a ser responsabilidad
de estos ltimos.
Herramientas de Soporte
a las Auditoras Internas de TI
En este apartado se realiza una catalogacin
y breve descripcin de las herramientas software que puede utilizar una Direccin de Auditora Interna para la gestin, planificacin y
ejecucin de Auditoras Internas de TI.
trabajos.
Gestin de personal del equipo, en trminos de:
- Formacin.
- Evaluacin anual y por trabajo.
Herramientas de anlisis de riesgos automatizado. Son inestimables para toda la Direccin de Auditora Interna ya que permiten realizar anlisis en entornos de TI com-
AUDITORA INTERNA
plejos, que no suelen ser fciles sin la ayuda de herramientas automatizadas. Deben
incorporar funcionalidades como:
Integracin con la herramienta de gestin de riesgos corporativos.
Posibilidad de creacin y definicin de
riesgos.
Definicin del universo auditable de TI.
Facilidad para incorporar la valoracin de
los riesgos por parte de las personas interesadas.
Definicin de factores de ponderacin de
los riesgos definidos.
Reportes grficos de las reas con ms
riesgos.
Propuesta de trabajos a realizar en base
el anlisis de riesgos realizado.
Herramientas que facilitan la gestin del
ciclo de vida de una Auditora Interna incorporando funcionalidades como:
Planificacin del trabajo (desglose de tareas, asignacin de recursos, evaluacin
de riesgos).
Apertura y comunicacin del inicio del
trabajo.
Control y seguimiento de la ejecucin del
trabajo relativo a progreso, imputaciones
de horas, desviaciones, etc.
Progreso de las tareas.
Imputaciones de tiempo por recurso y/o
tarea.
Desviaciones en alcance, tiempo y coste
del trabajo.
AUDITORA INTERNA
La existencia de un
Auditor Interno de TI
experto en
determinadas
herramientas de
software, no implica
tener implantada la
funcin de Auditora
Interna de TI.
24
AUDITORA INTERNA
Las herramientas de
software de Auditora
Interna deben estar
correctamente
gestionadas y
securizadas, debido a la
importancia de la
informacin que
almacenan.
25
AUDITORA INTERNA
26
ACL
BASES DE DATOS
CIA
CISA
Certified Information Systems Auditor (Auditor de Sistema de Informacin Certificado). Certificacin profesional emitida por ISACA.
CORTAFUEGOS
Firewall. Elemento de red cuya funcin principal es el filtrado de las comunicaciones entre las diferentes redes, autorizndolas o denegndolas en funcin de las
reglas que le hayan sido configuradas.
COBIT
COSO
Committee of Sponsoring Organizations of the Treadway Commission. Entidad formada por una unin de entidades del sector privado, incluido el IIA, emisora de los
marcos de control interno (Internal Control-Integrated framework) y gestin de
riesgos (Enterprise Risk Management-Integrated framework).
DMZ
ELEMENTOS DE RED
Dispositivos que permiten la comunicacin entre los diferentes sistemas informticos y que conforman las redes de comunicaciones (por ejemplo, router).
ERP (SAP)
Enterprise Resource Planning o Sistema de Planificacin de Recursos. Sistemas informticos que integran y dan soporte a los procesos de negocio de manera conjunta y coordinada (por ejemplo, SAP).
GTAG
Global Technology Audit Guidelines - Guas publicadas por el IIA para la Auditora
Interna de los sistemas de informacin.
HACKING
Cualquier accin encaminada a obtener acceso, de forma ilegal y sin el consentimiento del propietario, a un sistema informtico con el objetivo de sustraer informacin. Se conoce como hacking tico los accesos de este tipo autorizados para la realizacin de auditoras de seguridad.
IDEA
AUDITORA INTERNA
ISACA
ROI
SAS99
Statement on Auditing Standards n 99. Consideraciones sobre fraude en auditoras de los estados financieros, emitido por The American Institute of Certified Public
Accountants.
SISTEMAS OPERATIVOS Software de base instalado en un sistema informtico que interacta con el hardware y permite la ejecucin de las aplicaciones instaladas en l (por ejemplo: Windows 8 o Red Hat Enterprise Linux).
TONE AT THE TOP
UNIX
27
AUDITORA INTERNA
Anexo 2 Bibliografa
Guas Globales de Auditora Interna de Tecnologas de la Informacin (GTAG) (www.globaliia.org).
- GTAG-1 Information Technology Risks and Control - 2nd Edition
- GTAG-2 Change and Patch Management Controls: Critical for Organizational Success - 2nd
Edition
- GTAG-3 Continuous Auditing: Implications for Assurance, Monitoring, and Risk Assessment
- GTAG-4 Management of IT Auditing. 2nd Edition
- GTAG 5 Auditing Privacy Risks - 2nd Edition
- GTAG-7 Information Technology Outsourcing
- GTAG-8 Auditing Application Controls
- GTAG-9 Identity and Access Management
- GTAG-10 Business Continuity Management
- GTAG-11 Developing the IT Audit Plan
- GTAG-12 Auditing IT Projects
- GTAG-13 Fraud Prevention and Detection in an Automated World
- GTAG-14 Auditing User-developed Applications
- GTAG-15 Information Security Governance
- GTAG-16 Data Analysis Technologies
- GTAG-17 Auditing IT Governance
AUDITORA INTERNA
29
LA FBRICA DE PENSAMIENTO
INSTITUTO DE AUDITORES INTERNOS DE ESPAA