Auditoría de tecnología de la información.

Una auditoría de tecnología de la información, o una auditoría de sistemas de información, es un examen de los controles de gestión dentro de una infraestructura de tecnología de la información (TI) y aplicaciones comerciales. La evaluación de la evidencia obtenida determina si los sistemas de información están salvaguardando los activos, manteniendo la integridad de los datos y operando de manera efectiva para lograr las metas u objetivos de la organización. Estas revisiones pueden realizarse junto con una auditoría de estados financieros, una auditoría interna u otra forma de trabajo de certificación.

las auditorías de TI también se conocen como auditorías de procesamiento automatizado de datos (auditorías ADP) y auditorías informáticas.

Anteriormente se denominaban auditorías de procesamiento electrónico de datos (auditorías EDP).

Propósito

Una auditoría de TI es diferente de una auditoría de estados financieros. Si bien el propósito de una auditoría financiera es evaluar si los estados financieros presentan razonablemente, en todos los aspectos importantes, la situación financiera de una entidad, sus resultados de operaciones y flujos de efectivo de conformidad con las prácticas contables estándar, el propósito de una auditoría de TI es evaluar el diseño y la eficacia del control interno del sistema. Esto incluye, entre otros, protocolos de eficiencia y seguridad, procesos de desarrollo y gobernanza o supervisión de TI. La instalación de controles es necesaria pero no suficiente para proporcionar una seguridad adecuada. Las personas responsables de la seguridad deben considerar si los controles están instalados según lo previsto, si son efectivos o si se ha producido alguna violación de la seguridad y, de ser así, qué acciones se pueden tomar para evitar futuras violaciones. Estas consultas deben ser respondidas por observadores independientes e imparciales. Estos observadores realizan la tarea de auditoría de los sistemas de información. En un entorno de Sistemas de Información (SI), una auditoría es un examen de los sistemas de información, sus entradas, salidas y procesamiento.

A medida que la tecnología continúa avanzando y prevaleciendo en nuestras vidas y en las empresas, aumenta las amenazas e interrupciones de TI. Estos afectan a todas las industrias y se presentan en diferentes formas, como filtraciones de datos, amenazas externas y problemas operativos. Estos riesgos y la necesidad de altos niveles de garantía aumentan la necesidad de auditorías de TI para verificar el desempeño de los sistemas de TI de las empresas y reducir la probabilidad y el impacto de las amenazas e interrupciones tecnológicas.

Las funciones principales de una auditoría de TI son evaluar los sistemas que existen para proteger la información de una organización. Específicamente, las auditorías de tecnología de la información se utilizan para evaluar la capacidad de la organización para proteger sus activos de información y distribuir información adecuadamente a las partes autorizadas. La auditoría de TI tiene como objetivo evaluar lo siguiente:

¿Los sistemas informáticos de la organización estarán disponibles para la empresa en todo momento cuando sea necesario? (conocido como disponibilidad) ¿La información de los sistemas se divulgará únicamente a usuarios autorizados? (conocido como seguridad y confidencialidad) ¿La información proporcionada por el sistema será siempre precisa, confiable y oportuna? (mide la integridad) De esta manera, la auditoría espera evaluar el riesgo para el activo valioso de la empresa (su información) y establecer métodos para minimizar esos riesgos.

Más específicamente, las organizaciones deben considerar tres requisitos principales: confidencialidad, integridad y disponibilidad para etiquetar sus necesidades de seguridad y confianza en sus sistemas de TI.

• Confidencialidad: El propósito es mantener la información privada restringida de usuarios no autorizados.
• Integridad: El propósito es garantizar que la información sea modificada de manera autorizada
• Disponibilidad: El objetivo es garantizar que sólo los usuarios autorizados tengan acceso a información específica

Estos tres requisitos deben enfatizarse en todas las industrias y organizaciones con un entorno de TI, pero cada requisito y control para respaldarlos variará.

Tipos de auditorías de TI

Varias autoridades han creado diferentes taxonomías para distinguir los distintos tipos de auditorías de TI. Goodman & Lawless afirma que existen tres enfoques sistemáticos específicos para llevar a cabo una auditoría de TI:

• Auditoría del proceso de innovación tecnológica. Esta auditoría construye un perfil de riesgo para los proyectos existentes y nuevos. La auditoría evaluará la duración y profundidad de la experiencia de la empresa en sus tecnologías elegidas, así como su presencia en mercados relevantes, la organización de cada proyecto, y la estructura de la parte de la industria que se ocupa de este proyecto o producto, organización y estructura industrial.
• Auditoría innovadora de comparación. Esta auditoría es un análisis de las capacidades innovadoras de la empresa que está siendo auditada, en comparación con sus competidores. Esto requiere examinar las instalaciones de investigación y desarrollo de la empresa, así como su historial en la producción de productos nuevos.
• Auditoría de la situación tecnológica: Esta auditoría revisa las tecnologías que el negocio tiene actualmente y que necesita añadir. Las tecnologías se caracterizan por ser "base", "key", "pacing" o "emerging".

Otros describen el espectro de auditorías de TI con cinco categorías de auditorías:

• Sistemas y aplicaciones: Una auditoría para verificar que los sistemas y las aplicaciones sean apropiados, sean eficientes y estén debidamente controladas para garantizar una entrada, procesamiento y producción válidas, fiables, oportunas y seguras en todos los niveles de la actividad de un sistema. Las auditorías de seguridad de sistemas y procesos forman un subtipo, centrándose en los sistemas de TI empresarial centrados en procesos institucionales. Esas auditorías tienen el objetivo de prestar asistencia a los auditores financieros.

• Instalaciones de procesamiento de información: Una auditoría para verificar que la instalación de procesamiento esté controlada para asegurar el procesamiento oportuno, preciso y eficiente de las aplicaciones en condiciones normales y potencialmente disruptivas.
• Desarrollo de sistemas: Una auditoría para verificar que los sistemas en desarrollo cumplan los objetivos de la organización y para asegurar que los sistemas se desarrollen de conformidad con las normas generalmente aceptadas para el desarrollo de sistemas.
• Gestión de TI y Arquitectura Empresarial: Una auditoría para verificar que la gestión de la tecnología de la información ha elaborado una estructura y procedimientos institucionales para garantizar un entorno controlado y eficiente para el procesamiento de la información.
• Cliente/Server, Telecomunicaciones, Intranets y Extranets: Una auditoría para verificar que los controles de telecomunicaciones están en marcha en el cliente (servicios de recepción de ordenador), servidor y en la red que conecta a los clientes y servidores.

Y algunas sumas de todas las auditorías de TI como uno de sólo dos tipos: "Examen general del control" auditorías o "examen del control de la aplicación" auditorías.

Varios profesionales de auditoría de TI del ámbito de la Seguridad de la Información consideran que existen tres tipos fundamentales de controles, independientemente del tipo de auditoría que se realice, especialmente en el ámbito de la TI. Muchos marcos y estándares intentan romper los controles en diferentes disciplinas o arenas, calificándolos “Controles de Seguridad”, “Controles de Acceso”, en un esfuerzo por definir los tipos de controles involucrados. A un nivel más fundamental, se puede demostrar que estos controles consisten en tres tipos de controles fundamentales: Controles Protectivos/Preventativos, Controles de Detectives y Controles Reactivos/Correctivos.

En un SI, existen dos tipos de auditores y auditorías: internas y externas. La auditoría de SI suele ser parte de la auditoría interna contable y, con frecuencia, la realizan auditores internos corporativos. Un auditor externo revisa los hallazgos de la auditoría interna, así como las entradas, el procesamiento y las salidas de los sistemas de información. La auditoría externa de los sistemas de información la llevan a cabo principalmente auditores de sistemas de información certificados, como CISA, certificado por ISACA, Information System Audit and Control Association USA, Information System Auditor (ISA) certificado por ICAI (Instituto de Contadores Públicos de la India) y otros certificados por una organización de renombre para la auditoría de SI. Eliminar --> (frecuentemente una parte de la auditoría externa general realizada por una firma de Contadores Públicos Certificados (CPA). ) La auditoría de SI considera todos los peligros y controles potenciales en los sistemas de información. Se centra en cuestiones como operaciones, datos, integridad, aplicaciones de software, seguridad, privacidad, presupuestos y gastos, control de costos y productividad. Hay directrices disponibles para ayudar a los auditores en su trabajo, como las de la Asociación de Control y Auditoría de Sistemas de Información.

Historia de la auditoría de TI

El concepto de auditoría de TI se formó a mediados de la década de 1960. Desde entonces, la auditoría de TI ha pasado por numerosos cambios, en gran parte debido a los avances tecnológicos y la incorporación de la tecnología a los negocios.

Actualmente, hay muchas empresas dependientes de TI que dependen de la tecnología de la información para operar sus negocios, p. Empresa de telecomunicaciones o bancaria. Para los otros tipos de negocios, TI juega un papel importante en la empresa, incluida la aplicación de un flujo de trabajo en lugar de utilizar el formulario de solicitud en papel, el uso del control de aplicaciones en lugar del control manual, que es más confiable, o la implementación de la aplicación ERP para facilitar la organización mediante el uso. solo 1 aplicación. Según estos, la importancia de la Auditoría de TI aumenta constantemente. Una de las funciones más importantes de la auditoría de TI es auditar el sistema crítico para respaldar la auditoría financiera o para respaldar las regulaciones específicas anunciadas, por ejemplo. SOX.

Principios de una auditoría de la TI

Los siguientes principios de una auditoría deben encontrar un reflejo:

• Timeliness: Sólo cuando los procesos y la programación se inspeccionan continuamente en cuanto a su posible susceptibilidad a fallas y debilidades, pero también con respecto a la continuación del análisis de las fortalezas encontradas, o mediante un análisis funcional comparativo con aplicaciones similares se puede continuar un marco actualizado.
• Apertura de la fuente: Requiere una referencia explícita en la auditoría de programas cifrados, cómo debe entenderse el manejo de código abierto. Por ejemplo, los programas, ofreciendo una aplicación de código abierto, pero no considerando el servidor IM como fuente abierta, tienen que ser considerados críticos. Un auditor debe tomar una posición propia al paradigma de la necesidad de la naturaleza de código abierto dentro de las aplicaciones criptológicas.
• Elaboración: Los procesos de auditoría deben orientarse a ciertas normas mínimas. Los recientes procesos de auditoría del software de cifrado a menudo varían mucho en la calidad, en el alcance y la eficacia y también la experiencia en la recepción de los medios de comunicación a menudo diferentes percepciones. Debido a la necesidad de conocimientos especiales por un lado y de poder leer el código de programación y, por otro lado, también tener conocimiento de los procedimientos de cifrado, muchos usuarios incluso confían en las declaraciones más cortas de confirmación formal. El compromiso individual como auditor, por ejemplo, por la calidad, la escala y la eficacia, se evaluará con flexibilidad y se documentará dentro de la auditoría.
• El contexto financiero: Se necesita más transparencia para aclarar si el software se ha desarrollado comercialmente y si la auditoría se financió comercialmente (pago de auditoría). Hace una diferencia si es un proyecto privado de hobby / comunidad o si una empresa comercial está detrás de él.
• Referencia científica de las perspectivas de aprendizaje: Cada auditoría debe describir detalladamente las conclusiones en el contexto y destacar también las necesidades de progreso y desarrollo constructivamente. Un auditor no es el padre del programa, pero al menos él o ella está en un papel de mentor, si el auditor es considerado como parte de un círculo de aprendizaje PDCA (PDCA = Plan-Do-Check-Act). Debe haber junto a la descripción de las vulnerabilidades detectadas también una descripción de las oportunidades innovadoras y el desarrollo de los potenciales.
• Inclusión de la literatura: Un lector no debe depender únicamente de los resultados de un examen, sino también juzgar según un bucle de un sistema de gestión (p. ej. PDCA, véase supra), para asegurar, que el equipo de desarrollo o el revisor estaba y está preparado para realizar más análisis, y también en el proceso de desarrollo y examen está abierto a los aprendizajes y a considerar notas de otros. Debe acompañarse una lista de referencias en cada caso de una auditoría.
• Inclusión de manuales de usuario " documentación: Además, debe hacerse un cheque, si existen manuales y documentos técnicos, y, si se amplían.
• Identificar referencias a las innovaciones: Las aplicaciones que permiten tanto, mensajería a contactos en línea y fuera de línea, por lo que considerar chat y correo electrónico en una aplicación - como también es el caso con GoldBug - se deben probar con alta prioridad (criteción de chats de presencia además de la función de correo electrónico). El auditor también debe destacar las referencias a las innovaciones y apoyar nuevas necesidades de investigación y desarrollo.

Esta lista de principios de auditoría para aplicaciones criptográficas describe, más allá de los métodos de análisis técnico, valores fundamentales en particular que deben tenerse en cuenta.

Nuevas cuestiones

También hay nuevas auditorías impuestas por varias juntas estándar que deben realizarse, dependiendo de la organización auditada, que afectarán a TI y garantizarán que los departamentos de TI estén desempeñando ciertas funciones y controles de manera adecuada para ser considerados conformes. Ejemplos de este tipo de auditorías son SSAE 16, ISAE 3402 e ISO27001:2013.

Auditorías de presencia web

La extensión de la presencia corporativa de TI más allá del firewall corporativo (por ejemplo, la adopción de las redes sociales por parte de la empresa junto con la proliferación de herramientas basadas en la nube como los sistemas de gestión de redes sociales) ha elevado la importancia de incorporar auditorías de presencia web en la Auditoría TI/SI. Los propósitos de estas auditorías incluyen garantizar que la empresa esté tomando las medidas necesarias para:

• reincorporación en el uso de herramientas no autorizadas (por ejemplo, "shadow IT")
• minimizar el daño a la reputación
• mantener el cumplimiento reglamentario
• prevenir fugas de información
• mitiga el riesgo de terceros
• minimizar el riesgo de gobernanza

El uso de herramientas desarrolladas por departamentos o usuarios ha sido un tema controvertido en el pasado. Sin embargo, con la disponibilidad generalizada de herramientas de análisis de datos, paneles y paquetes estadísticos, los usuarios ya no necesitan hacer cola esperando que los recursos de TI satisfagan solicitudes aparentemente interminables de informes. La tarea de TI es trabajar con grupos empresariales para que el acceso autorizado y la presentación de informes sean lo más sencillos posible. Para usar un ejemplo simple, los usuarios no deberían tener que hacer su propia comparación de datos para que las tablas puramente relacionales estén vinculadas de manera significativa. TI necesita poner a disposición de los usuarios archivos de tipo almacén de datos no normalizados para simplificar su trabajo de análisis. Por ejemplo, algunas organizaciones actualizarán un almacén periódicamente y crearán almacenes "planos" fáciles de usar. tablas que se pueden cargar fácilmente mediante un paquete como Tableau y usarse para crear paneles.

Auditorías de comunicaciones empresariales

El aumento de las redes VOIP y problemas como BYOD y las crecientes capacidades de los sistemas de telefonía empresarial modernos provocan un mayor riesgo de que la infraestructura de telefonía crítica se desconfigure, dejando a la empresa abierta a la posibilidad de fraude en las comunicaciones o reducción de la estabilidad del sistema. Los bancos, las instituciones financieras y los centros de contacto suelen establecer políticas que se aplicarán en todos sus sistemas de comunicaciones. La tarea de comprobar que los sistemas de comunicaciones cumplen la política recae en auditores especializados en telecomunicaciones. Estas auditorías aseguran que los sistemas de comunicación de la empresa:

• adhesión a la política declarada
• seguir las políticas diseñadas para minimizar el riesgo de piratería o phreaking
• mantener el cumplimiento reglamentario
• prevenir o minimizar el fraude de peaje
• mitiga el riesgo de terceros
• minimizar el riesgo de gobernanza

Las auditorías de comunicaciones empresariales también se denominan auditorías de voz, pero el término está cada vez más obsoleto a medida que la infraestructura de comunicaciones se vuelve cada vez más orientada y dependiente de los datos. El término "auditoría telefónica" También está en desuso porque la infraestructura de comunicaciones moderna, especialmente cuando se trata con clientes, es omnicanal, donde la interacción se lleva a cabo a través de múltiples canales, no solo por teléfono. Uno de los problemas clave que afecta a las auditorías de comunicaciones empresariales es la falta de estándares definidos por la industria o aprobados por el gobierno. Las auditorías de TI se basan en el cumplimiento de estándares y políticas publicadas por organizaciones como NIST y PCI, pero la ausencia de dichos estándares para las auditorías de comunicaciones empresariales significa que estas auditorías deben basarse en los estándares y políticas internos de una organización. , en lugar de los estándares de la industria. Como resultado, las auditorías de las comunicaciones empresariales todavía se realizan manualmente, con controles de muestreo aleatorios. Las herramientas de automatización de auditoría de políticas para las comunicaciones empresariales apenas están disponibles recientemente.

Dilemas éticos en las auditorías de TI

El uso de la inteligencia artificial (IA) en las auditorías de TI está creciendo rápidamente: el 30% de todas las auditorías corporativas se realizarán utilizando IA para 2025, según informó el Foro Económico Mundial de 2015. La IA en las auditorías de TI plantea muchas cuestiones éticas .

1. El uso de Inteligencia Artificial causa sesgos no deseados en los resultados
   Un problema que AI enfrenta al completar las auditorías de TI para las empresas es que los sesgos no deseados pueden ocurrir a medida que los filtros de IA se filtran a través de datos. La IA no tiene un elemento humano ni la capacidad de comprender situaciones diferentes en las que se espera o no se esperan ciertos datos. AI sólo entiende los datos en los que ha visto antes y por lo tanto no puede evolucionar dada cada situación única. Esto causa sesgos no deseados y, por lo tanto, consecuencias no deseadas si los sistemas de IA reciben demasiada confianza y no son cuidadosamente supervisados por el ojo humano. Como resultado surgen cuestiones éticas, jurídicas y económicas.
2. La tecnología que reemplaza el papel de los seres humanos
   Grandes 4 empresas han invertido grandes cantidades de dinero en tecnologías emergentes en el espacio de auditoría de TI. En la actualidad, la AI se utiliza en prácticas de seguridad que realizan tareas tales como " procedimientos de auditoría y contabilidad, como el examen de los libros de contabilidad generales, el cumplimiento de impuestos, la preparación de documentos de trabajo, análisis de datos, el cumplimiento de los gastos, la detección del fraude y la adopción de decisiones " . Esto esencialmente sustituye la necesidad de auditores y relega a quienes trabajan en seguridad a los roles como “oversores” de la tecnología.
   Sin embargo, las empresas todavía necesitan auditores para realizar análisis sobre los resultados de la auditoría de la tecnología de la información. Los auditores que no entienden los algoritmos que se utilizan en la auditoría pueden permitir que estos programas imperfectos cometan errores. Así, los auditores con amplios antecedentes tecnológicos y grados en tecnología son altamente codiciados por las empresas que utilizan AI para realizar auditorías.

Efecto de la auditoría de TI en las empresas y las auditorías financieras

La globalización, combinada con el crecimiento de los sistemas de tecnología de la información, ha provocado que las empresas adopten un entorno de trabajo cada vez más digitalizado. Las ventajas que ofrecen estos sistemas incluyen una reducción del tiempo de trabajo, la capacidad de probar grandes cantidades de datos, reducir el riesgo de auditoría y proporcionar información analítica más flexible y completa. Con un aumento del tiempo, los auditores pueden implementar pruebas de auditoría adicionales, lo que lleva a una gran mejora en el proceso de auditoría en general. El uso de técnicas de auditoría asistidas por computadora (CAAT) ha permitido a las empresas examinar muestras más grandes de datos y revisiones más exhaustivas de todas las transacciones, lo que permite al auditor probar y comprender mejor cualquier problema dentro de los datos.

El uso de sistemas de TI en las auditorías ha transformado la forma en que los auditores realizan importantes funciones de auditoría, como la gestión de bases de datos, la garantía y los controles de riesgos, e incluso la gobernanza y el cumplimiento. Además, los sistemas de auditoría de TI mejoran la eficiencia operativa y ayudan en la toma de decisiones que, de otro modo, se dejarían en manos de cálculos manuales. Los sistemas de TI ayudan a eliminar el error humano en las auditorías y, si bien no resuelven completamente el problema, los sistemas de TI han demostrado ser útiles en las auditorías realizadas tanto por las 4 grandes como por las pequeñas empresas. Estos sistemas han reducido en gran medida el margen de error en las auditorías y proporcionan una mejor visión de los datos que se analizan.

Como resultado del mayor uso de sistemas de TI en las auditorías, organismos autorizados como el Instituto Americano de Contadores Públicos Certificados (AICPA) y la Asociación de Control de Auditoría de Sistemas de Información (ISACA) han establecido pautas sobre cómo utilizar correctamente los sistemas de TI. para realizar auditorías. Los auditores ahora deben cumplir con las pautas establecidas al utilizar sistemas de TI en las auditorías.

Beneficios de utilizar sistemas de TI en auditorías financieras

El uso de sistemas de TI y técnicas de inteligencia artificial en auditorías financieras está empezando a mostrar enormes beneficios para las empresas contables líderes. En un estudio realizado por una de las 4 grandes firmas de contabilidad, se espera que el uso de sistemas de TI y técnicas de inteligencia artificial genere un aumento de 6,6 billones de dólares en ingresos como resultado del aumento de la productividad. Como resultado, las firmas de auditoría líderes están realizando enormes inversiones con el objetivo de aumentar la productividad y, por lo tanto, los ingresos mediante el desarrollo o la subcontratación de sistemas de TI y técnicas de inteligencia artificial para ayudar en las auditorías financieras.

PwC, una de las firmas de auditoría más grandes del mundo, ha seleccionado tres tipos diferentes de sistemas de TI y técnicas de inteligencia artificial que las empresas pueden desarrollar e implementar para lograr mayores ingresos y productividad. El primer sistema se crea de manera que los sistemas tecnológicos desempeñen un papel complementario en la toma de decisiones de los auditores humanos. Esto permite al auditor humano conservar la autonomía sobre las decisiones y utilizar la tecnología para respaldar y mejorar su capacidad para realizar un trabajo preciso, lo que en última instancia ahorra a la empresa costos de productividad. A continuación, PwC afirma que los sistemas con capacidad de resolución de problemas son imprescindibles para producir los resultados más precisos. PwC reconoce el mayor margen de error debido a sesgos no deseados y, por tanto, la necesidad de crear sistemas que sean capaces de adaptarse a diferentes escenarios. Este tipo de sistema requiere que la toma de decisiones sea compartida entre el auditor humano y el sistema de TI para producir el máximo rendimiento al permitir que el sistema se haga cargo del trabajo informático que no podría realizar un auditor humano solo. Finalmente, PwC reconoce que existen escenarios donde la tecnología necesita tener autonomía para tomar decisiones y actuar de forma independiente. Esto permite a los auditores humanos centrarse en tareas más importantes mientras la tecnología se encarga de tareas que requieren mucho tiempo y que no requieren tiempo humano.

La utilización de sistemas de TI y técnicas de inteligencia artificial en auditorías financieras va más allá del objetivo de maximizar la productividad y aumentar los ingresos. Las empresas que utilizan estos sistemas para ayudar a completar las auditorías pueden identificar datos que pueden constituir fraude con mayor eficiencia y precisión. Por ejemplo, los cuatro grandes han aprobado sistemas como los drones para ayudar a obtener cálculos de inventario más precisos, mientras que el reconocimiento facial y de voz está sumando empresas en casos de fraude.