Auditoría de tecnología de la información

Examen de un sistema de información

Una auditoría de tecnología de la información , o auditoría de sistemas de información , es un examen de los controles de gestión dentro de una infraestructura de tecnología de la información (TI) y aplicaciones comerciales. La evaluación de la evidencia obtenida determina si los sistemas de información están salvaguardando los activos, manteniendo la integridad de los datos y operando de manera efectiva para lograr las metas u objetivos de la organización. Estas revisiones pueden realizarse junto con una auditoría de estados financieros , una auditoría interna u otra forma de compromiso de certificación.

Las auditorías de TI también se conocen como auditorías de procesamiento automatizado de datos ( auditorías ADP ) y auditorías informáticas .

Antiguamente se denominaban auditorías de tratamiento electrónico de datos ( auditorías EDP ).

Objetivo

Una auditoría de TI es diferente de una auditoría de estados financieros . Mientras que el propósito de una auditoría financiera es evaluar si los estados financieros presentan de manera justa, en todos los aspectos materiales, la posición financiera, los resultados de las operaciones y los flujos de efectivo de una entidad de conformidad con las prácticas contables estándar , el propósito de una auditoría de TI es evaluar el diseño y la eficacia del control interno del sistema. Esto incluye, pero no se limita a, protocolos de eficiencia y seguridad, procesos de desarrollo y gobernanza o supervisión de TI. La instalación de controles es necesaria pero no suficiente para proporcionar una seguridad adecuada. Las personas responsables de la seguridad deben considerar si los controles están instalados como se pretende, si son efectivos o si se ha producido alguna violación de la seguridad y, de ser así, qué acciones se pueden realizar para evitar futuras violaciones. Estas indagaciones deben ser respondidas por observadores independientes e imparciales. Estos observadores están realizando la tarea de auditoría de sistemas de información. En un entorno de sistemas de información (SI), una auditoría es un examen de los sistemas de información, sus entradas, salidas y procesamiento. ^[1]

A medida que la tecnología avanza y se vuelve más frecuente en nuestras vidas y en las empresas, se produce un aumento de las amenazas y las interrupciones de TI. Estas afectan a todas las industrias y se presentan en diferentes formas, como violaciones de datos, amenazas externas y problemas operativos. Estos riesgos y la necesidad de altos niveles de garantía aumentan la necesidad de auditorías de TI para verificar el rendimiento de los sistemas de TI de las empresas y reducir la probabilidad y el impacto de las amenazas y las interrupciones tecnológicas. ^[2]

Las principales funciones de una auditoría de TI son evaluar los sistemas que se encuentran en funcionamiento para proteger la información de una organización. En concreto, las auditorías de tecnología de la información se utilizan para evaluar la capacidad de la organización para proteger sus activos de información y para proporcionar información de forma adecuada a las partes autorizadas. ^[3] La auditoría de TI tiene como objetivo evaluar lo siguiente:

¿Los sistemas informáticos de la organización estarán disponibles para el negocio en todo momento cuando sea necesario? (conocido como disponibilidad) ¿La información de los sistemas se divulgará sólo a los usuarios autorizados? (conocido como seguridad y confidencialidad) ¿La información proporcionada por el sistema será siempre precisa, confiable y oportuna? (mide la integridad) De esta manera, la auditoría espera evaluar el riesgo al valioso activo de la empresa (su información) y establecer métodos para minimizar esos riesgos.

Más específicamente, las organizaciones deben considerar tres requisitos principales: confidencialidad, integridad y disponibilidad para etiquetar sus necesidades de seguridad y confianza en sus sistemas de TI.

• Confidencialidad: El propósito es mantener la información privada restringida al acceso de usuarios no autorizados.
• Integridad: El propósito es garantizar que la información sea cambiada de manera autorizada.
• Disponibilidad: El propósito es garantizar que sólo los usuarios autorizados tengan acceso a información específica.

Estos tres requisitos deben enfatizarse en cada industria y cada organización con un entorno de TI, pero cada requisito y control para respaldarlos variará. ^[4]

Clasificación de las auditorías de TI

Diversas autoridades han creado diferentes taxonomías para distinguir los distintos tipos de auditorías de TI. Goodman y Lawless afirman que existen tres enfoques sistemáticos específicos para llevar a cabo una auditoría de TI: ^[5]

• Auditoría del proceso de innovación tecnológica . Esta auditoría construye un perfil de riesgo para proyectos existentes y nuevos. La auditoría evaluará la duración y profundidad de la experiencia de la empresa en las tecnologías elegidas, así como su presencia en los mercados relevantes, la organización de cada proyecto y la estructura de la parte de la industria que se ocupa de este proyecto o producto, la organización y la estructura de la industria.
• Auditoría comparativa de innovación . Esta auditoría es un análisis de las capacidades innovadoras de la empresa auditada, en comparación con sus competidores. Esto requiere examinar las instalaciones de investigación y desarrollo de la empresa, así como su historial en la producción real de nuevos productos.
• Auditoría de posición tecnológica : Esta auditoría revisa las tecnologías con las que cuenta actualmente la empresa y las que necesita incorporar. Las tecnologías se caracterizan como “básicas”, “clave”, “de impulso” o “emergentes”.

Otros describen el espectro de auditorías de TI con cinco categorías de auditorías:

• Sistemas y aplicaciones : auditoría para verificar que los sistemas y aplicaciones sean apropiados, eficientes y estén adecuadamente controlados para garantizar una entrada, procesamiento y salida válidos, confiables, oportunos y seguros en todos los niveles de la actividad de un sistema. Las auditorías de aseguramiento de sistemas y procesos forman un subtipo, que se centra en los sistemas de TI empresariales centrados en los procesos empresariales. Estas auditorías tienen como objetivo ayudar a los auditores financieros. ^[6]

• Instalaciones de procesamiento de información : una auditoría para verificar que las instalaciones de procesamiento estén controladas para garantizar el procesamiento oportuno, preciso y eficiente de las solicitudes en condiciones normales y potencialmente disruptivas.
• Desarrollo de sistemas : una auditoría para verificar que los sistemas en desarrollo cumplen con los objetivos de la organización y para garantizar que los sistemas se desarrollan de acuerdo con los estándares generalmente aceptados para el desarrollo de sistemas .
• Gestión de TI y Arquitectura Empresarial : Una auditoría para verificar que la gestión de TI ha desarrollado una estructura organizacional y procedimientos para asegurar un ambiente controlado y eficiente para el procesamiento de la información .
• Cliente/Servidor, Telecomunicaciones, Intranets y Extranets : Una auditoría para verificar que los controles de telecomunicaciones estén implementados en el cliente (computadora que recibe servicios), el servidor y en la red que conecta a los clientes y servidores.

Y algunos agrupan todas las auditorías de TI en uno de solo dos tipos: auditorías de " revisión de control general " o auditorías de " revisión de control de aplicaciones ".

Un número ^{de profesionales} de auditoría de TI del ámbito de la seguridad de la información considera ^que existen tres tipos fundamentales de controles independientemente del tipo de auditoría que se realice, especialmente en el ámbito de TI. Muchos marcos y estándares intentan dividir los controles en diferentes disciplinas o áreas, denominándolos "controles de seguridad", "controles de acceso" y "controles de seguridad de la información" en un esfuerzo por definir los tipos de controles involucrados. En un nivel más fundamental, se puede demostrar que estos controles consisten en tres tipos de controles fundamentales: controles de protección/prevención, controles de detección y controles reactivos/correctivos.

En un SI, hay dos tipos de auditores y auditorías: internas y externas. La auditoría de SI suele ser parte de la auditoría interna de contabilidad y, con frecuencia, la realizan auditores internos corporativos. Un auditor externo revisa los hallazgos de la auditoría interna, así como las entradas, el procesamiento y las salidas de los sistemas de información. La auditoría externa de los sistemas de información la realizan principalmente auditores de sistemas de información certificados, como CISA, certificado por ISACA, Information System Audit and Control Association, EE. UU., Information System Auditor (ISA) certificado por ICAI (Institute of Chartered Accountants of India) y otros certificados por una organización de renombre para la auditoría de SI. Eliminar --> ( con frecuencia, una parte de la auditoría externa general realizada por una firma de Contadores Públicos Certificados (CPA). ^[1] La auditoría de SI considera todos los riesgos y controles potenciales en los sistemas de información. Se centra en cuestiones como operaciones, datos, integridad, aplicaciones de software, seguridad, privacidad, presupuestos y gastos, control de costos y productividad. Hay pautas disponibles para ayudar a los auditores en sus trabajos, como las de la Asociación de Auditoría y Control de Sistemas de Información. ^[1]

Historia de la auditoría de TI

El concepto de auditoría de TI se formó a mediados de la década de 1960. Desde entonces, la auditoría de TI ha experimentado numerosos cambios, en gran medida debido a los avances en la tecnología y la incorporación de la tecnología a las empresas.

En la actualidad, existen muchas empresas que dependen de las TI para operar sus negocios, por ejemplo, las empresas de telecomunicaciones o bancarias. Para los demás tipos de negocios, las TI desempeñan un papel importante, incluida la aplicación del flujo de trabajo en lugar de utilizar el formulario de solicitud en papel, el uso del control de aplicaciones en lugar del control manual, que es más confiable, o la implementación de la aplicación ERP para facilitar la organización mediante el uso de una sola aplicación. De acuerdo con estos factores, la importancia de la auditoría de TI aumenta constantemente. Una de las funciones más importantes de la auditoría de TI es la auditoría de los sistemas críticos para respaldar la auditoría financiera o para respaldar las regulaciones específicas anunciadas, por ejemplo, SOX.

Principios de una auditoría de TI

Los siguientes principios de una auditoría deben reflejarse: ^[7]

• Oportunidad: Sólo cuando se inspeccionan continuamente los procesos y la programación en cuanto a su potencial susceptibilidad a fallos y debilidades, pero también en cuanto al análisis continuo de las fortalezas encontradas, o mediante análisis funcional comparativo con aplicaciones similares, se puede continuar con un marco actualizado.
• Apertura de código fuente: En la auditoría de programas cifrados se debe incluir una referencia explícita a cómo debe entenderse el manejo del código abierto. Por ejemplo, los programas que ofrecen una aplicación de código abierto pero que no consideran que el servidor de mensajería instantánea sea de código abierto deben considerarse críticos. Un auditor debe adoptar una posición propia respecto del paradigma de la necesidad de la naturaleza de código abierto en las aplicaciones criptológicas.
• Elaboración: Los procesos de auditoría deben estar orientados a un estándar mínimo determinado. Los procesos de auditoría de software de cifrado actuales suelen variar mucho en cuanto a calidad, alcance y eficacia, y también la experiencia en la recepción de los medios de comunicación suele dar lugar a diferentes percepciones. Debido a la necesidad de conocimientos especiales, por un lado, de poder leer códigos de programación y, por otro, de tener conocimientos de procedimientos de cifrado, muchos usuarios incluso confían en las declaraciones formales más breves. El compromiso individual como auditor, por ejemplo en cuanto a calidad, escala y eficacia, debe evaluarse reflexivamente y documentarse en la auditoría.
• Contexto financiero: Es necesaria una mayor transparencia para aclarar si el software se ha desarrollado comercialmente y si la auditoría se ha financiado con fondos comerciales (auditoría pagada). Es diferente si se trata de un proyecto privado o comunitario o si está detrás de él una empresa comercial.
• Referencia científica de las perspectivas de aprendizaje: cada auditoría debe describir los hallazgos en detalle dentro del contexto y también destacar los avances y las necesidades de desarrollo de manera constructiva. Un auditor no es el padre del programa, pero al menos tiene un papel de mentor, si se lo considera parte de un círculo de aprendizaje PDCA ( PDCA = Planificar-Hacer-Verificar-Actuar). Junto a la descripción de las vulnerabilidades detectadas, debe incluirse también una descripción de las oportunidades innovadoras y el desarrollo de los potenciales.
• Inclusión de la bibliografía: el lector no debe basarse únicamente en los resultados de una revisión, sino que también debe juzgar de acuerdo con un ciclo de un sistema de gestión (por ejemplo, PDCA, véase más arriba), para asegurarse de que el equipo de desarrollo o el revisor estaba y está preparado para realizar un análisis más profundo y también para que, durante el proceso de desarrollo y revisión, esté abierto a los aprendizajes y a considerar las notas de los demás. En cada caso de auditoría, se debe incluir una lista de referencias.
• Inclusión de manuales de usuario y documentación: Además se debe verificar si existen manuales y documentación técnica y si estos se amplían.
• Identificar referencias a innovaciones: Las aplicaciones que permiten tanto la mensajería a contactos offline como online, es decir, que contemplan el chat y el correo electrónico en una misma aplicación -como también es el caso de GoldBug- deben ser testadas con alta prioridad (criterio de chats presenciales además de la función de correo electrónico). El auditor también debe destacar las referencias a innovaciones y fundamentar las necesidades de investigación y desarrollo futuras.

Esta lista de principios de auditoría para aplicaciones criptográficas describe, más allá de los métodos de análisis técnico, valores fundamentales que deben tenerse en cuenta.

Cuestiones emergentes

También existen nuevas auditorías impuestas por diversas juntas de normalización que se deben realizar, según la organización auditada, que afectarán a TI y garantizarán que los departamentos de TI estén realizando ciertas funciones y controles de manera adecuada para ser considerados en cumplimiento. Ejemplos de tales auditorías son SSAE 16 , ISAE 3402 e ISO27001:2013 .

Auditorías de presencia web

La ampliación de la presencia de TI corporativa más allá del firewall corporativo (por ejemplo, la adopción de las redes sociales por parte de la empresa junto con la proliferación de herramientas basadas en la nube, como los sistemas de gestión de redes sociales ) ha aumentado la importancia de incorporar auditorías de presencia web en la auditoría de TI/SI. Los objetivos de estas auditorías incluyen garantizar que la empresa esté tomando las medidas necesarias para:

• Controlar el uso de herramientas no autorizadas (por ejemplo, "TI en la sombra")
• Minimizar el daño a la reputación
• Mantener el cumplimiento normativo
• Prevenir fugas de información
• mitigar el riesgo de terceros
• minimizar el riesgo de gobernanza ^{[8] [9]}

El uso de herramientas departamentales o desarrolladas por el usuario ha sido un tema controvertido en el pasado. Sin embargo, con la amplia disponibilidad de herramientas de análisis de datos, paneles de control y paquetes estadísticos, los usuarios ya no necesitan hacer cola esperando que los recursos de TI satisfagan las aparentemente interminables solicitudes de informes. La tarea de TI es trabajar con los grupos empresariales para que el acceso autorizado y la generación de informes sean lo más sencillos posible. Para utilizar un ejemplo sencillo, los usuarios no deberían tener que hacer su propia comparación de datos para que las tablas relacionales puras se vinculen de forma significativa. TI necesita poner a disposición de los usuarios archivos de tipo almacén de datos no normalizados para que su trabajo de análisis se simplifique. Por ejemplo, algunas organizaciones actualizarán un almacén de datos periódicamente y crearán tablas "planas" fáciles de usar que se pueden cargar fácilmente mediante un paquete como Tableau y utilizar para crear paneles de control.

Auditorías de comunicaciones empresariales

El aumento de las redes VOIP y de cuestiones como BYOD y las crecientes capacidades de los sistemas de telefonía empresarial modernos provocan un mayor riesgo de que la infraestructura de telefonía crítica se configure incorrectamente, lo que deja a la empresa expuesta a la posibilidad de fraude en las comunicaciones o de una menor estabilidad del sistema. Los bancos, las instituciones financieras y los centros de contacto suelen establecer políticas que se deben aplicar en todos sus sistemas de comunicaciones. La tarea de auditar que los sistemas de comunicaciones cumplan con la política recae en auditores especializados en telecomunicaciones. Estas auditorías garantizan que los sistemas de comunicaciones de la empresa:

• adherirse a la política establecida
• Seguir políticas diseñadas para minimizar el riesgo de piratería o phreaking.
• Mantener el cumplimiento normativo
• Prevenir o minimizar el fraude de peaje
• mitigar el riesgo de terceros
• minimizar el riesgo de gobernanza ^{[10] [11]}

Las auditorías de comunicaciones empresariales también se denominan auditorías de voz ^[12] , pero el término está cada vez más en desuso a medida que la infraestructura de comunicaciones se orienta cada vez más a los datos y depende de ellos. El término "auditoría de telefonía" ^[13] también está en desuso porque la infraestructura de comunicaciones moderna, especialmente cuando se trata con clientes, es omnicanal, donde la interacción se lleva a cabo a través de múltiples canales, no solo por teléfono ^[14] . Uno de los problemas clave que afecta a las auditorías de comunicaciones empresariales es la falta de estándares definidos por la industria o aprobados por el gobierno. Las auditorías de TI se construyen sobre la base de la adhesión a los estándares y políticas publicadas por organizaciones como NIST y PCI , pero la ausencia de tales estándares para las auditorías de comunicaciones empresariales significa que estas auditorías deben basarse en los estándares y políticas internas de una organización, en lugar de los estándares de la industria. Como resultado, las auditorías de comunicaciones empresariales todavía se realizan manualmente, con controles de muestreo aleatorios. Las herramientas de automatización de auditoría de políticas para comunicaciones empresariales solo han estado disponibles recientemente.

Dilemas éticos en las auditorías de TI

El uso de inteligencia artificial (IA) en auditorías de TI está creciendo rápidamente: el 30 % de todas las auditorías corporativas se realizarán utilizando IA en 2025, según lo informado por el Foro Económico Mundial en 2015. La IA en las auditorías de TI plantea muchos problemas éticos. ^[15]

1. El uso de la inteligencia artificial provoca sesgos no deseados en los resultados
   Un problema al que se enfrenta la IA al realizar auditorías de TI para corporaciones es que pueden producirse sesgos no deseados a medida que la IA filtra los datos. La IA no tiene un elemento humano ni la capacidad de comprender diferentes situaciones en las que se esperan o no ciertos datos. La IA solo entiende los datos que ha visto antes y, por lo tanto, no puede evolucionar dada cada situación única. Esto provoca sesgos no deseados y, por lo tanto, consecuencias no deseadas si se confía demasiado en los sistemas de IA y no se los supervisa cuidadosamente por el ojo humano. Como resultado, surgen problemas éticos, legales y económicos. ^[15]
2. La tecnología reemplaza el papel de los humanos
   Las cuatro grandes empresas han invertido cantidades significativas de dinero en tecnologías emergentes en el espacio de auditoría de TI. La IA ahora se está utilizando en prácticas de aseguramiento que realizan tareas como "procedimientos de auditoría y contabilidad como revisión de libros mayores, cumplimiento tributario, preparación de documentos de trabajo, análisis de datos, cumplimiento de gastos, detección de fraude y toma de decisiones". ^[15] Esto esencialmente reemplaza la necesidad de auditores y relega a quienes trabajan en aseguramiento a roles como "supervisores" de la tecnología.
   Sin embargo, las empresas aún necesitan auditores para realizar análisis sobre los resultados de IA de la auditoría de TI. Los auditores que no entienden los algoritmos que se utilizan en la auditoría pueden permitir que estos programas imperfectos cometan errores. Por lo tanto, los auditores con amplios antecedentes tecnológicos y títulos en tecnología son muy codiciados por las empresas que utilizan IA para realizar auditorías.

Efecto de la auditoría de TI en las empresas y las auditorías financieras

La globalización, en combinación con el crecimiento de los sistemas de tecnología de la información, ha hecho que las empresas cambien a un entorno de trabajo cada vez más digitalizado. Las ventajas que ofrecen estos sistemas incluyen una reducción del tiempo de trabajo, la capacidad de probar grandes cantidades de datos, reducir el riesgo de auditoría y proporcionar información analítica más flexible y completa. Con un aumento del tiempo, los auditores pueden implementar pruebas de auditoría adicionales, lo que conduce a una gran mejora en el proceso de auditoría en general. El uso de técnicas de auditoría asistidas por computadora (CAAT) ha permitido a las empresas examinar muestras más grandes de datos y revisiones más exhaustivas de todas las transacciones, lo que permite al auditor probar y comprender mejor cualquier problema dentro de los datos. ^[16]

El uso de sistemas de TI en las auditorías ha transformado la forma en que los auditores llevan a cabo importantes funciones de auditoría, como la gestión de bases de datos, la garantía y los controles de riesgos, e incluso la gobernanza y el cumplimiento normativo. Además, los sistemas de TI de auditoría mejoran la eficiencia operativa y ayudan en la toma de decisiones que, de otro modo, se dejarían en manos de cálculos manuales. Los sistemas de TI ayudan a eliminar el error humano en las auditorías y, si bien no resuelven por completo el problema, han demostrado ser útiles en las auditorías realizadas por las cuatro grandes empresas y las pequeñas empresas por igual. Estos sistemas han reducido en gran medida el margen de error en las auditorías y proporcionan una mejor visión de los datos que se analizan.

Como resultado del mayor uso de sistemas de TI en auditorías, organismos autorizados como el Instituto Americano de Contadores Públicos Certificados (AICPA) y la Asociación de Control de Auditoría de Sistemas de Información (ISACA) han establecido pautas sobre cómo utilizar adecuadamente los sistemas de TI para realizar auditorías. ^[17] Los auditores ahora deben adherirse a las pautas establecidas al utilizar sistemas de TI en auditorías.

Beneficios de utilizar sistemas de TI en auditorías financieras

El uso de sistemas de TI y técnicas de IA en las auditorías financieras está empezando a mostrar enormes beneficios para las firmas de contabilidad líderes. En un estudio realizado por una de las 4 grandes firmas de contabilidad, se espera que el uso de sistemas de TI y técnicas de IA genere un aumento de $6.6 billones en ingresos ^[15] como resultado del aumento de la productividad. Como resultado, las firmas de auditoría líderes están haciendo enormes inversiones con el objetivo de aumentar la productividad y, por lo tanto, los ingresos a través del desarrollo o la subcontratación de sistemas de TI y técnicas de IA para ayudar en las auditorías financieras.

PwC, una de las mayores firmas de auditoría del mundo, ha identificado tres tipos diferentes de sistemas de TI y técnicas de IA que las empresas pueden desarrollar e implementar para lograr mayores ingresos y productividad. El primer sistema se crea de manera que los sistemas tecnológicos desempeñen un papel complementario en la toma de decisiones de los auditores humanos. Esto permite que el auditor humano conserve la autonomía sobre las decisiones y utilice la tecnología para respaldar y mejorar su capacidad de realizar un trabajo preciso, lo que en última instancia le permite a la empresa ahorrar costos de productividad. A continuación, PwC afirma que los sistemas con capacidades de resolución de problemas son imperativos para producir los resultados más precisos. PwC reconoce el mayor margen de error debido a sesgos no deseados y, por lo tanto, la necesidad de crear sistemas que puedan adaptarse a diferentes escenarios. Este tipo de sistema requiere que la toma de decisiones se comparta entre el auditor humano y el sistema de TI para producir el máximo resultado al permitir que el sistema se haga cargo del trabajo informático que no podría realizar un auditor humano solo. Finalmente, PwC reconoce que existen escenarios en los que la tecnología debe tener la autonomía de la toma de decisiones y actuar de forma independiente. Esto permite que los auditores humanos se concentren en tareas más importantes mientras la tecnología se encarga de tareas que consumen mucho tiempo y que no requieren tiempo humano. ^[15]

La utilización de sistemas de TI y técnicas de IA en las auditorías financieras va más allá del objetivo de alcanzar la máxima productividad y mayores ingresos. Las empresas que utilizan estos sistemas para ayudar a completar las auditorías pueden identificar fragmentos de datos que pueden constituir fraude con mayor eficiencia y precisión. Por ejemplo, los sistemas como los drones han sido aprobados por las cuatro grandes ^[15] para ayudar a obtener cálculos de inventario más precisos, mientras que el reconocimiento de voz y facial está sumando firmas en los casos de fraude. ^[15]

Véase también

• Tratamiento electrónico de datos

Informática forense

• Informática forense
• Análisis de datos

Operaciones

• Auditoría de Helpdesk y reporte de incidentes
• Auditoría de gestión de cambios
• Auditoría de recuperación ante desastres y continuidad de negocio
• Norma ISAE 3402

Misceláneas

• Aseguramiento XBRL

Irregularidades y actos ilegales

• Norma AICPA: SAS 99 Consideración del fraude en una auditoría de estados financieros
• Casos prácticos de fraude informático

Referencias

1. Rainer, R. Kelly y Casey G. Cegielski. Introducción a los sistemas de información. 3.ª ed. Hoboken, NJ: Wiley;, 2011. Impreso.
2. Stoel, M. Dale; Havelka, Douglas (18 de febrero de 2020). "Calidad de la auditoría de tecnologías de la información: una investigación del impacto de los factores individuales y organizacionales". Revista de sistemas de información . 35 (1): 135–154. doi :10.2308/isys-18-043. ISSN  0888-7985.
3. Gantz, Stephen D. (2014). Fundamentos de la auditoría de TI: propósitos, procesos e información práctica . Syngress, una editorial de Elsevier.
4. Lea "Computadoras en riesgo: Computación segura en la era de la información" en NAP.edu.
5. Richard A. Goodman; Michael W. Lawless (1994). Tecnología y estrategia: modelos conceptuales y diagnósticos . Oxford University Press, EE. UU. ISBN 978-0-19-507949-4. Recuperado el 9 de mayo de 2010 .
6. K. Julisch et al., Compliance by Design – Bridging the Chasm between Auditors and IT Architects [Cumplimiento por diseño: cerrando la brecha entre auditores y arquitectos de TI]. Computers & Security, Elsevier. Volumen 30, número 6-7, septiembre-octubre de 2011.
7. Referencias a otros principios básicos de auditoría, en: Adams, David / Maier, Ann-Kathrin (2016): Estudio BIG SEVEN, mensajeros criptográficos de código abierto para comparar - o: Revisión integral de confidencialidad y auditoría de GoldBug, cliente de correo electrónico cifrado y mensajería instantánea segura, descripciones, pruebas y análisis de 20 funciones de la aplicación GoldBug basadas en los campos esenciales y métodos de evaluación de los 8 principales manuales de auditoría internacionales para investigaciones de seguridad de TI, incluidas 38 figuras y 87 tablas., URL: https://sf.net/projects/goldbug/files/bigseven-crypto-audit.pdf - Idioma inglés / alemán, Versión 1.1, 305 páginas, junio de 2016 (ISBN: DNB 110368003X - 2016B14779)
8. Juergens, Michael. "Los riesgos de las redes sociales crean un papel más amplio para la auditoría interna". Wall Street Journal . Consultado el 10 de agosto de 2015 .
9. "Programa de auditoría y aseguramiento de redes sociales". ISACA . ISACA . Consultado el 10 de agosto de 2015 .
10. Lingo, Steve. "Una auditoría de comunicaciones: el primer paso hacia las comunicaciones unificadas". The XO Blog . Consultado el 17 de enero de 2016 .
11. "Servicio de Auditoría de Sistemas Telefónicos". 1st Communications Services . 1st Communications Services. Archivado desde el original el 2019-04-01 . Consultado el 2018-12-14 .
12. "Auditoría de voz". www.securelogix.com . Consultado el 20 de enero de 2016 .
13. "Directrices de auditoría y diseño de telefonía IP" (PDF) . www.eurotelecom.ro . Archivado desde el original (PDF) el 27 de marzo de 2014.
14. "¿Qué es omnicanal? - Definición de WhatIs.com". SearchCIO . Consultado el 20 de enero de 2016 .
15. Munoko, Ivy; Brown-Liburd, Helen L.; Vasarhelyi, Miklos (1 de noviembre de 2020). "Las implicaciones éticas del uso de la inteligencia artificial en la auditoría". Revista de ética empresarial . 167 (2): 209–234. doi :10.1007/s10551-019-04407-1. ISSN  1573-0697.
16. Elefterie, Liana (2016). "El impacto de la tecnología de la información en el proceso de auditoría". Economía, gestión y mercados financieros . 11 : 303–309.
17. Yang, David C.; Guan, Liming (1 de enero de 2004). "La evolución de la auditoría de TI y las normas de control interno en las auditorías de estados financieros: el caso de los Estados Unidos". Revista de auditoría gerencial . 19 (4): 544–555. doi :10.1108/02686900410530547. ISSN  0268-6902.

Enlaces externos

• Una carrera como auditor de sistemas de información Archivado el 12 de julio de 2007 en Wayback Machine , por Avinash Kadam (Network Magazine)
• Consejo de Examen de Instituciones Financieras Federales (FFIEC)
• La necesidad de la tecnología CAAT
• Arquitectura de seguridad abierta: controles y patrones para proteger los sistemas de TI
• Instituto Americano de Contadores Públicos Certificados (AICPA)
• Biblioteca de servicios de TI (ITIL)