Una auditoría de tecnología de la información , o auditoría de sistemas de información , es un examen de los controles de gestión dentro de una infraestructura de tecnología de la información (TI) y aplicaciones comerciales. La evaluación de la evidencia obtenida determina si los sistemas de información están salvaguardando los activos, manteniendo la integridad de los datos y operando de manera efectiva para lograr las metas u objetivos de la organización. Estas revisiones pueden realizarse junto con una auditoría de estados financieros , una auditoría interna u otra forma de compromiso de certificación.
Las auditorías de TI también se conocen como auditorías de procesamiento automatizado de datos ( auditorías ADP ) y auditorías informáticas .
Antiguamente se denominaban auditorías de tratamiento electrónico de datos ( auditorías EDP ).
Una auditoría de TI es diferente de una auditoría de estados financieros . Mientras que el propósito de una auditoría financiera es evaluar si los estados financieros presentan de manera justa, en todos los aspectos materiales, la posición financiera, los resultados de las operaciones y los flujos de efectivo de una entidad de conformidad con las prácticas contables estándar , el propósito de una auditoría de TI es evaluar el diseño y la eficacia del control interno del sistema. Esto incluye, pero no se limita a, protocolos de eficiencia y seguridad, procesos de desarrollo y gobernanza o supervisión de TI. La instalación de controles es necesaria pero no suficiente para proporcionar una seguridad adecuada. Las personas responsables de la seguridad deben considerar si los controles están instalados como se pretende, si son efectivos o si se ha producido alguna violación de la seguridad y, de ser así, qué acciones se pueden realizar para evitar futuras violaciones. Estas indagaciones deben ser respondidas por observadores independientes e imparciales. Estos observadores están realizando la tarea de auditoría de sistemas de información. En un entorno de sistemas de información (SI), una auditoría es un examen de los sistemas de información, sus entradas, salidas y procesamiento. [1]
A medida que la tecnología avanza y se vuelve más frecuente en nuestras vidas y en las empresas, se produce un aumento de las amenazas y las interrupciones de TI. Estas afectan a todas las industrias y se presentan en diferentes formas, como violaciones de datos, amenazas externas y problemas operativos. Estos riesgos y la necesidad de altos niveles de garantía aumentan la necesidad de auditorías de TI para verificar el rendimiento de los sistemas de TI de las empresas y reducir la probabilidad y el impacto de las amenazas y las interrupciones tecnológicas. [2]
Las principales funciones de una auditoría de TI son evaluar los sistemas que se encuentran en funcionamiento para proteger la información de una organización. En concreto, las auditorías de tecnología de la información se utilizan para evaluar la capacidad de la organización para proteger sus activos de información y para proporcionar información de forma adecuada a las partes autorizadas. [3] La auditoría de TI tiene como objetivo evaluar lo siguiente:
¿Los sistemas informáticos de la organización estarán disponibles para el negocio en todo momento cuando sea necesario? (conocido como disponibilidad) ¿La información de los sistemas se divulgará sólo a los usuarios autorizados? (conocido como seguridad y confidencialidad) ¿La información proporcionada por el sistema será siempre precisa, confiable y oportuna? (mide la integridad) De esta manera, la auditoría espera evaluar el riesgo al valioso activo de la empresa (su información) y establecer métodos para minimizar esos riesgos.
Más específicamente, las organizaciones deben considerar tres requisitos principales: confidencialidad, integridad y disponibilidad para etiquetar sus necesidades de seguridad y confianza en sus sistemas de TI.
Estos tres requisitos deben enfatizarse en cada industria y cada organización con un entorno de TI, pero cada requisito y control para respaldarlos variará. [4]
Diversas autoridades han creado diferentes taxonomías para distinguir los distintos tipos de auditorías de TI. Goodman y Lawless afirman que existen tres enfoques sistemáticos específicos para llevar a cabo una auditoría de TI: [5]
Otros describen el espectro de auditorías de TI con cinco categorías de auditorías:
Y algunos agrupan todas las auditorías de TI en uno de solo dos tipos: auditorías de " revisión de control general " o auditorías de " revisión de control de aplicaciones ".
Un número de profesionales de auditoría de TI del ámbito de la seguridad de la información considera que existen tres tipos fundamentales de controles independientemente del tipo de auditoría que se realice, especialmente en el ámbito de TI. Muchos marcos y estándares intentan dividir los controles en diferentes disciplinas o áreas, denominándolos "controles de seguridad", "controles de acceso" y "controles de seguridad de la información" en un esfuerzo por definir los tipos de controles involucrados. En un nivel más fundamental, se puede demostrar que estos controles consisten en tres tipos de controles fundamentales: controles de protección/prevención, controles de detección y controles reactivos/correctivos.
En un SI, hay dos tipos de auditores y auditorías: internas y externas. La auditoría de SI suele ser parte de la auditoría interna de contabilidad y, con frecuencia, la realizan auditores internos corporativos. Un auditor externo revisa los hallazgos de la auditoría interna, así como las entradas, el procesamiento y las salidas de los sistemas de información. La auditoría externa de los sistemas de información la realizan principalmente auditores de sistemas de información certificados, como CISA, certificado por ISACA, Information System Audit and Control Association, EE. UU., Information System Auditor (ISA) certificado por ICAI (Institute of Chartered Accountants of India) y otros certificados por una organización de renombre para la auditoría de SI. Eliminar --> ( con frecuencia, una parte de la auditoría externa general realizada por una firma de Contadores Públicos Certificados (CPA). [1] La auditoría de SI considera todos los riesgos y controles potenciales en los sistemas de información. Se centra en cuestiones como operaciones, datos, integridad, aplicaciones de software, seguridad, privacidad, presupuestos y gastos, control de costos y productividad. Hay pautas disponibles para ayudar a los auditores en sus trabajos, como las de la Asociación de Auditoría y Control de Sistemas de Información. [1]
El concepto de auditoría de TI se formó a mediados de la década de 1960. Desde entonces, la auditoría de TI ha experimentado numerosos cambios, en gran medida debido a los avances en la tecnología y la incorporación de la tecnología a las empresas.
En la actualidad, existen muchas empresas que dependen de las TI para operar sus negocios, por ejemplo, las empresas de telecomunicaciones o bancarias. Para los demás tipos de negocios, las TI desempeñan un papel importante, incluida la aplicación del flujo de trabajo en lugar de utilizar el formulario de solicitud en papel, el uso del control de aplicaciones en lugar del control manual, que es más confiable, o la implementación de la aplicación ERP para facilitar la organización mediante el uso de una sola aplicación. De acuerdo con estos factores, la importancia de la auditoría de TI aumenta constantemente. Una de las funciones más importantes de la auditoría de TI es la auditoría de los sistemas críticos para respaldar la auditoría financiera o para respaldar las regulaciones específicas anunciadas, por ejemplo, SOX.
Los siguientes principios de una auditoría deben reflejarse: [7]
Esta lista de principios de auditoría para aplicaciones criptográficas describe, más allá de los métodos de análisis técnico, valores fundamentales que deben tenerse en cuenta.
También existen nuevas auditorías impuestas por diversas juntas de normalización que se deben realizar, según la organización auditada, que afectarán a TI y garantizarán que los departamentos de TI estén realizando ciertas funciones y controles de manera adecuada para ser considerados en cumplimiento. Ejemplos de tales auditorías son SSAE 16 , ISAE 3402 e ISO27001:2013 .
La ampliación de la presencia de TI corporativa más allá del firewall corporativo (por ejemplo, la adopción de las redes sociales por parte de la empresa junto con la proliferación de herramientas basadas en la nube, como los sistemas de gestión de redes sociales ) ha aumentado la importancia de incorporar auditorías de presencia web en la auditoría de TI/SI. Los objetivos de estas auditorías incluyen garantizar que la empresa esté tomando las medidas necesarias para:
El uso de herramientas departamentales o desarrolladas por el usuario ha sido un tema controvertido en el pasado. Sin embargo, con la amplia disponibilidad de herramientas de análisis de datos, paneles de control y paquetes estadísticos, los usuarios ya no necesitan hacer cola esperando que los recursos de TI satisfagan las aparentemente interminables solicitudes de informes. La tarea de TI es trabajar con los grupos empresariales para que el acceso autorizado y la generación de informes sean lo más sencillos posible. Para utilizar un ejemplo sencillo, los usuarios no deberían tener que hacer su propia comparación de datos para que las tablas relacionales puras se vinculen de forma significativa. TI necesita poner a disposición de los usuarios archivos de tipo almacén de datos no normalizados para que su trabajo de análisis se simplifique. Por ejemplo, algunas organizaciones actualizarán un almacén de datos periódicamente y crearán tablas "planas" fáciles de usar que se pueden cargar fácilmente mediante un paquete como Tableau y utilizar para crear paneles de control.
El aumento de las redes VOIP y de cuestiones como BYOD y las crecientes capacidades de los sistemas de telefonía empresarial modernos provocan un mayor riesgo de que la infraestructura de telefonía crítica se configure incorrectamente, lo que deja a la empresa expuesta a la posibilidad de fraude en las comunicaciones o de una menor estabilidad del sistema. Los bancos, las instituciones financieras y los centros de contacto suelen establecer políticas que se deben aplicar en todos sus sistemas de comunicaciones. La tarea de auditar que los sistemas de comunicaciones cumplan con la política recae en auditores especializados en telecomunicaciones. Estas auditorías garantizan que los sistemas de comunicaciones de la empresa:
Las auditorías de comunicaciones empresariales también se denominan auditorías de voz [12] , pero el término está cada vez más en desuso a medida que la infraestructura de comunicaciones se orienta cada vez más a los datos y depende de ellos. El término "auditoría de telefonía" [13] también está en desuso porque la infraestructura de comunicaciones moderna, especialmente cuando se trata con clientes, es omnicanal, donde la interacción se lleva a cabo a través de múltiples canales, no solo por teléfono [14] . Uno de los problemas clave que afecta a las auditorías de comunicaciones empresariales es la falta de estándares definidos por la industria o aprobados por el gobierno. Las auditorías de TI se construyen sobre la base de la adhesión a los estándares y políticas publicadas por organizaciones como NIST y PCI , pero la ausencia de tales estándares para las auditorías de comunicaciones empresariales significa que estas auditorías deben basarse en los estándares y políticas internas de una organización, en lugar de los estándares de la industria. Como resultado, las auditorías de comunicaciones empresariales todavía se realizan manualmente, con controles de muestreo aleatorios. Las herramientas de automatización de auditoría de políticas para comunicaciones empresariales solo han estado disponibles recientemente.
El uso de inteligencia artificial (IA) en auditorías de TI está creciendo rápidamente: el 30 % de todas las auditorías corporativas se realizarán utilizando IA en 2025, según lo informado por el Foro Económico Mundial en 2015. La IA en las auditorías de TI plantea muchos problemas éticos. [15]
La globalización, en combinación con el crecimiento de los sistemas de tecnología de la información, ha hecho que las empresas cambien a un entorno de trabajo cada vez más digitalizado. Las ventajas que ofrecen estos sistemas incluyen una reducción del tiempo de trabajo, la capacidad de probar grandes cantidades de datos, reducir el riesgo de auditoría y proporcionar información analítica más flexible y completa. Con un aumento del tiempo, los auditores pueden implementar pruebas de auditoría adicionales, lo que conduce a una gran mejora en el proceso de auditoría en general. El uso de técnicas de auditoría asistidas por computadora (CAAT) ha permitido a las empresas examinar muestras más grandes de datos y revisiones más exhaustivas de todas las transacciones, lo que permite al auditor probar y comprender mejor cualquier problema dentro de los datos. [16]
El uso de sistemas de TI en las auditorías ha transformado la forma en que los auditores llevan a cabo importantes funciones de auditoría, como la gestión de bases de datos, la garantía y los controles de riesgos, e incluso la gobernanza y el cumplimiento normativo. Además, los sistemas de TI de auditoría mejoran la eficiencia operativa y ayudan en la toma de decisiones que, de otro modo, se dejarían en manos de cálculos manuales. Los sistemas de TI ayudan a eliminar el error humano en las auditorías y, si bien no resuelven por completo el problema, han demostrado ser útiles en las auditorías realizadas por las cuatro grandes empresas y las pequeñas empresas por igual. Estos sistemas han reducido en gran medida el margen de error en las auditorías y proporcionan una mejor visión de los datos que se analizan.
Como resultado del mayor uso de sistemas de TI en auditorías, organismos autorizados como el Instituto Americano de Contadores Públicos Certificados (AICPA) y la Asociación de Control de Auditoría de Sistemas de Información (ISACA) han establecido pautas sobre cómo utilizar adecuadamente los sistemas de TI para realizar auditorías. [17] Los auditores ahora deben adherirse a las pautas establecidas al utilizar sistemas de TI en auditorías.
El uso de sistemas de TI y técnicas de IA en las auditorías financieras está empezando a mostrar enormes beneficios para las firmas de contabilidad líderes. En un estudio realizado por una de las 4 grandes firmas de contabilidad, se espera que el uso de sistemas de TI y técnicas de IA genere un aumento de $6.6 billones en ingresos [15] como resultado del aumento de la productividad. Como resultado, las firmas de auditoría líderes están haciendo enormes inversiones con el objetivo de aumentar la productividad y, por lo tanto, los ingresos a través del desarrollo o la subcontratación de sistemas de TI y técnicas de IA para ayudar en las auditorías financieras.
PwC, una de las mayores firmas de auditoría del mundo, ha identificado tres tipos diferentes de sistemas de TI y técnicas de IA que las empresas pueden desarrollar e implementar para lograr mayores ingresos y productividad. El primer sistema se crea de manera que los sistemas tecnológicos desempeñen un papel complementario en la toma de decisiones de los auditores humanos. Esto permite que el auditor humano conserve la autonomía sobre las decisiones y utilice la tecnología para respaldar y mejorar su capacidad de realizar un trabajo preciso, lo que en última instancia le permite a la empresa ahorrar costos de productividad. A continuación, PwC afirma que los sistemas con capacidades de resolución de problemas son imperativos para producir los resultados más precisos. PwC reconoce el mayor margen de error debido a sesgos no deseados y, por lo tanto, la necesidad de crear sistemas que puedan adaptarse a diferentes escenarios. Este tipo de sistema requiere que la toma de decisiones se comparta entre el auditor humano y el sistema de TI para producir el máximo resultado al permitir que el sistema se haga cargo del trabajo informático que no podría realizar un auditor humano solo. Finalmente, PwC reconoce que existen escenarios en los que la tecnología debe tener la autonomía de la toma de decisiones y actuar de forma independiente. Esto permite que los auditores humanos se concentren en tareas más importantes mientras la tecnología se encarga de tareas que consumen mucho tiempo y que no requieren tiempo humano. [15]
La utilización de sistemas de TI y técnicas de IA en las auditorías financieras va más allá del objetivo de alcanzar la máxima productividad y mayores ingresos. Las empresas que utilizan estos sistemas para ayudar a completar las auditorías pueden identificar fragmentos de datos que pueden constituir fraude con mayor eficiencia y precisión. Por ejemplo, los sistemas como los drones han sido aprobados por las cuatro grandes [15] para ayudar a obtener cálculos de inventario más precisos, mientras que el reconocimiento de voz y facial está sumando firmas en los casos de fraude. [15]