Auditoría de tecnología de la información.

Examen de un sistema de información.

Una auditoría de tecnología de la información , o auditoría de sistemas de información , es un examen de los controles de gestión dentro de una infraestructura de tecnología de la información (TI) y aplicaciones comerciales. La evaluación de la evidencia obtenida determina si los sistemas de información están salvaguardando los activos, manteniendo la integridad de los datos y operando de manera efectiva para lograr las metas u objetivos de la organización. Estas revisiones pueden realizarse junto con una auditoría de estados financieros , una auditoría interna u otra forma de compromiso de certificación.

Las auditorías de TI también se conocen como auditorías de procesamiento automatizado de datos ( auditorías ADP ) y auditorías informáticas .

Antiguamente se denominaban auditorías de procesamiento electrónico de datos ( auditorías EDP ).

Objetivo

Una auditoría de TI es diferente de una auditoría de estados financieros . Mientras que el propósito de una auditoría financiera es evaluar si los estados financieros presentan razonablemente, en todos los aspectos importantes, la situación financiera, los resultados de las operaciones y los flujos de efectivo de una entidad de conformidad con las prácticas contables estándar , el propósito de una auditoría de TI es evaluar la calidad del sistema. Diseño y efectividad del control interno. Esto incluye, entre otros, protocolos de eficiencia y seguridad, procesos de desarrollo y gobernanza o supervisión de TI. La instalación de controles es necesaria pero no suficiente para proporcionar una seguridad adecuada. Las personas responsables de la seguridad deben considerar si los controles están instalados según lo previsto, si son efectivos o si se ha producido alguna violación de la seguridad y, de ser así, qué acciones se pueden tomar para evitar futuras violaciones. Estas consultas deben ser respondidas por observadores independientes e imparciales. Estos observadores realizan la tarea de auditoría de los sistemas de información. En un entorno de Sistemas de Información (SI), una auditoría es un examen de los sistemas de información, sus entradas, salidas y procesamiento. ^[1]

A medida que la tecnología continúa avanzando y prevaleciendo en nuestras vidas y en las empresas, aumenta las amenazas e interrupciones de TI. Estos afectan a todas las industrias y se presentan en diferentes formas, como filtraciones de datos, amenazas externas y problemas operativos. Estos riesgos y la necesidad de altos niveles de garantía aumentan la necesidad de auditorías de TI para verificar el desempeño de los sistemas de TI de las empresas y reducir la probabilidad y el impacto de las amenazas e interrupciones tecnológicas. ^[2]

Las funciones principales de una auditoría de TI son evaluar los sistemas implementados para proteger la información de una organización. Específicamente, las auditorías de tecnología de la información se utilizan para evaluar la capacidad de la organización para proteger sus activos de información y distribuir información adecuadamente a las partes autorizadas. ^[3] La auditoría de TI tiene como objetivo evaluar lo siguiente:

¿Los sistemas informáticos de la organización estarán disponibles para el negocio en todo momento cuando sea necesario? (conocido como disponibilidad) ¿La información en los sistemas se divulgará únicamente a usuarios autorizados? (conocido como seguridad y confidencialidad) ¿La información proporcionada por el sistema será siempre precisa, confiable y oportuna? (mide la integridad) De esta manera, la auditoría espera evaluar el riesgo para el activo valioso de la empresa (su información) y establecer métodos para minimizar esos riesgos.

Más específicamente, las organizaciones deberían considerar tres requisitos principales: confidencialidad, integridad y disponibilidad para etiquetar sus necesidades de seguridad y confianza en sus sistemas de TI.

• Confidencialidad: El propósito es mantener la información privada restringida al acceso de usuarios no autorizados.
• Integridad: El objetivo es garantizar que la información sea modificada de manera autorizada.
• Disponibilidad: El propósito es garantizar que solo los usuarios autorizados tengan acceso a información específica.

Estos tres requisitos deben enfatizarse en todas las industrias y organizaciones con un entorno de TI, pero cada requisito y control para respaldarlos variará. ^[4]

clasificación de las auditorías de TI

Varias autoridades han creado diferentes taxonomías para distinguir los distintos tipos de auditorías de TI. Goodman & Lawless afirman que existen tres enfoques sistemáticos específicos para llevar a cabo una auditoría de TI: ^[5]

• Auditoría del proceso de innovación tecnológica . Esta auditoría construye un perfil de riesgo para proyectos nuevos y existentes. La auditoría evaluará la duración y profundidad de la experiencia de la empresa en las tecnologías elegidas, así como su presencia en los mercados relevantes, la organización de cada proyecto y la estructura de la parte de la industria que se ocupa de este proyecto o producto, organización. y estructura de la industria.
• Auditoría comparativa innovadora . Esta auditoría es un análisis de las capacidades innovadoras de la empresa auditada, en comparación con sus competidores. Esto requiere un examen de las instalaciones de investigación y desarrollo de la empresa, así como de su historial en la producción real de nuevos productos.
• Auditoría de posición tecnológica : Esta auditoría revisa las tecnologías que tiene actualmente el negocio y que necesita agregar. Las tecnologías se caracterizan por ser "básicas", "clave", "de ritmo" o "emergentes".

Otros describen el espectro de auditorías de TI con cinco categorías de auditorías:

• Sistemas y aplicaciones : una auditoría para verificar que los sistemas y aplicaciones son apropiados, eficientes y adecuadamente controlados para garantizar entradas, procesamiento y salidas válidas, confiables, oportunas y seguras en todos los niveles de la actividad de un sistema. Las auditorías de garantía de sistemas y procesos forman un subtipo que se centra en los sistemas de TI empresariales centrados en los procesos de negocio. Estas auditorías tienen el objetivo de ayudar a los auditores financieros. ^[6]

• Instalaciones de procesamiento de información : una auditoría para verificar que las instalaciones de procesamiento estén controladas para garantizar el procesamiento oportuno, preciso y eficiente de las solicitudes en condiciones normales y potencialmente disruptivas.
• Desarrollo de sistemas : una auditoría para verificar que los sistemas en desarrollo cumplan con los objetivos de la organización y para garantizar que los sistemas se desarrollen de acuerdo con estándares generalmente aceptados para el desarrollo de sistemas .
• Gestión de TI y Arquitectura Empresarial : Una auditoría para verificar que la gestión de TI haya desarrollado una estructura organizacional y procedimientos para garantizar un entorno controlado y eficiente para el procesamiento de la información .
• Cliente/Servidor, Telecomunicaciones, Intranets y Extranets : Una auditoría para verificar que los controles de telecomunicaciones estén implementados en el cliente (computadora que recibe servicios), el servidor y en la red que conecta los clientes y servidores.

Y algunos agrupan todas las auditorías de TI como de dos únicos tipos: auditorías de " revisión de control general " o auditorías de " revisión de control de aplicaciones ".

Un número ^{[ ¿quién? ]} de los profesionales de auditoría de TI del ámbito de Aseguramiento de la Información consideran que existen tres tipos fundamentales de controles independientemente del tipo de auditoría a realizar, especialmente en el ámbito de TI. Muchos marcos y estándares intentan dividir los controles en diferentes disciplinas o áreas, denominándolas "Controles de seguridad", "Controles de acceso", "Controles IA" en un esfuerzo por definir los tipos de controles involucrados. En un nivel más fundamental, se puede demostrar que estos controles constan de tres tipos de controles fundamentales: controles de protección/preventivos, controles de detección y controles reactivos/correctivos.

En un SI existen dos tipos de auditores y auditorías: internas y externas. La auditoría de SI suele ser parte de la auditoría interna contable y, con frecuencia, la realizan auditores internos corporativos. Un auditor externo revisa los hallazgos de la auditoría interna, así como las entradas, el procesamiento y las salidas de los sistemas de información. La auditoría externa de los sistemas de información es realizada principalmente por auditores certificados de Sistemas de Información, como CISA, certificado por ISACA, Information System Audit and Control Association, EE. UU., Information System Auditor (ISA) certificado por ICAI (Instituto de Contadores Públicos de la India), y otros certificados por una organización de renombre para auditoría de SI. Eliminar --> ( con frecuencia forma parte de la auditoría externa general realizada por una firma de Contadores Públicos Certificados (CPA). ^[1] ) La auditoría de SI considera todos los peligros y controles potenciales en los sistemas de información. Se centra en cuestiones como operaciones, datos, integridad, aplicaciones de software, seguridad, privacidad, presupuestos y gastos, control de costos y productividad. Hay directrices disponibles para ayudar a los auditores en su trabajo, como las de la Asociación de Control y Auditoría de Sistemas de Información. ^[1]

Historia de la auditoría de TI

El concepto de auditoría de TI se formó a mediados de los años 1960. Desde entonces, la auditoría de TI ha pasado por numerosos cambios, en gran parte debido a los avances tecnológicos y la incorporación de la tecnología a los negocios.

Actualmente, hay muchas empresas dependientes de TI que dependen de la tecnología de la información para operar sus negocios, por ejemplo, empresas de telecomunicaciones o bancarias. Para los otros tipos de negocios, TI juega un papel importante en la empresa, incluida la aplicación de un flujo de trabajo en lugar de utilizar el formulario de solicitud en papel, el uso del control de aplicaciones en lugar del control manual, que es más confiable, o la implementación de la aplicación ERP para facilitar la organización mediante el uso. solo 1 aplicación. Según estos, la importancia de la Auditoría de TI aumenta constantemente. Una de las funciones más importantes de la auditoría de TI es auditar el sistema crítico para respaldar la auditoría financiera o respaldar las regulaciones específicas anunciadas, por ejemplo, SOX.

Principios de una auditoría de TI

Los siguientes principios de una auditoría deberían encontrar un reflejo: ^[7]

• Puntualidad: Sólo cuando los procesos y la programación se inspeccionan continuamente con respecto a su posible susceptibilidad a fallas y debilidades, pero también con respecto a la continuación del análisis de las fortalezas encontradas, o mediante un análisis funcional comparativo con aplicaciones similares, se puede obtener un marco actualizado. continuará.
• Apertura del código fuente: Requiere una referencia explícita en la auditoría de programas cifrados, cómo se debe entender el manejo del código abierto. Por ejemplo, los programas que ofrecen una aplicación de código abierto, pero que no consideran el servidor de mensajería instantánea como código abierto, deben considerarse críticos. Un auditor debería adoptar una posición propia ante el paradigma de la necesidad de la naturaleza de código abierto dentro de las aplicaciones criptológicas.
• Elaboración: Los procesos de auditoría deben estar orientados a ciertos estándares mínimos. Los recientes procesos de auditoría de software de cifrado a menudo varían mucho en calidad, alcance y eficacia, y también en la experiencia en la recepción de los medios, a menudo en percepciones diferentes. Debido a la necesidad de tener conocimientos especiales, por un lado, poder leer códigos de programación y, por otro lado, también tener conocimientos de procedimientos de cifrado, muchos usuarios confían incluso en las declaraciones más breves de confirmación formal. Por lo tanto, el compromiso individual como auditor, por ejemplo con respecto a la calidad, la escala y la eficacia, debe evaluarse reflexivamente por uno mismo y documentarse durante la auditoría.
• El contexto financiero: Se necesita mayor transparencia para aclarar si el software ha sido desarrollado comercialmente y si la auditoría fue financiada comercialmente (auditoría pagada). Hace la diferencia si se trata de un proyecto comunitario o de hobby privado o si detrás de él hay una empresa comercial.
• Referencia científica de las perspectivas de aprendizaje: Cada auditoría debe describir los hallazgos en detalle dentro del contexto y también resaltar el progreso y las necesidades de desarrollo de manera constructiva. Un auditor no es el padre del programa, pero al menos desempeña el papel de mentor, si se le considera parte de un círculo de aprendizaje PDCA ( PDCA = Planificar-Hacer-Verificar-Actuar). Junto a la descripción de las vulnerabilidades detectadas debería haber también una descripción de las oportunidades innovadoras y el desarrollo de los potenciales.
• Inclusión de literatura: un lector no debe confiar únicamente en los resultados de una revisión, sino también juzgar de acuerdo con un ciclo de un sistema de gestión (por ejemplo, PDCA, ver arriba), para garantizar que el equipo de desarrollo o el revisor estuvo y está preparado. para llevar a cabo análisis adicionales, y también en el proceso de desarrollo y revisión está abierto a aprendizajes y a considerar notas de otros. En cada caso de auditoría se deberá acompañar una lista de referencias.
• Inclusión de manuales de usuario y documentación: Además se debe comprobar si existen manuales y documentación técnica y si están ampliados.
• Identificar referencias a innovaciones: Aplicaciones que permiten enviar mensajes a contactos en línea y fuera de línea, por lo que considerar el chat y el correo electrónico en una sola aplicación, como también es el caso de GoldBug, debe probarse con alta prioridad (criterio de presencia de chats además a la función de correo electrónico). El auditor también debería resaltar las referencias a innovaciones y respaldar nuevas necesidades de investigación y desarrollo.

Esta lista de principios de auditoría para aplicaciones criptográficas describe, más allá de los métodos de análisis técnico, valores fundamentales en particular que deben tenerse en cuenta.

Cuestiones emergentes

También hay nuevas auditorías impuestas por varias juntas estándar que deben realizarse, dependiendo de la organización auditada, que afectarán a TI y garantizarán que los departamentos de TI estén desempeñando ciertas funciones y controles de manera adecuada para ser considerados conformes. Ejemplos de dichas auditorías son SSAE 16 , ISAE 3402 e ISO27001:2013 .

Auditorías de presencia web

La extensión de la presencia corporativa de TI más allá del firewall corporativo (por ejemplo, la adopción de las redes sociales por parte de la empresa junto con la proliferación de herramientas basadas en la nube como los sistemas de gestión de redes sociales ) ha elevado la importancia de incorporar auditorías de presencia web en la TI/IS. auditoría. Los propósitos de estas auditorías incluyen garantizar que la empresa esté tomando las medidas necesarias para:

• controlar el uso de herramientas no autorizadas (por ejemplo, "TI en la sombra")
• minimizar el daño a la reputación
• mantener el cumplimiento normativo
• prevenir la fuga de información
• mitigar el riesgo de terceros
• minimizar el riesgo de gobernanza ^{[8] [9]}

El uso de herramientas desarrolladas por departamentos o usuarios ha sido un tema controvertido en el pasado. Sin embargo, con la disponibilidad generalizada de herramientas de análisis de datos, paneles y paquetes estadísticos, los usuarios ya no necesitan hacer cola esperando que los recursos de TI satisfagan solicitudes aparentemente interminables de informes. La tarea de TI es trabajar con grupos empresariales para que el acceso autorizado y la presentación de informes sean lo más sencillos posible. Para usar un ejemplo simple, los usuarios no deberían tener que hacer su propia comparación de datos para que las tablas puramente relacionales estén vinculadas de manera significativa. TI necesita poner a disposición de los usuarios archivos de tipo almacén de datos no normalizados para simplificar su trabajo de análisis. Por ejemplo, algunas organizaciones actualizan un almacén periódicamente y crean tablas "planas" fáciles de usar que pueden cargarse fácilmente mediante un paquete como Tableau y usarse para crear paneles.

Auditorías de comunicaciones empresariales

El aumento de las redes VOIP y problemas como BYOD y las crecientes capacidades de los sistemas de telefonía empresarial modernos provocan un mayor riesgo de que la infraestructura de telefonía crítica esté mal configurada, dejando a la empresa abierta a la posibilidad de fraude en las comunicaciones o reducción de la estabilidad del sistema. Los bancos, las instituciones financieras y los centros de contacto suelen establecer políticas que se aplicarán en todos sus sistemas de comunicaciones. La tarea de comprobar que los sistemas de comunicaciones cumplen la política recae en auditores especializados en telecomunicaciones. Estas auditorías aseguran que los sistemas de comunicación de la empresa:

• adherirse a la política establecida
• seguir políticas diseñadas para minimizar el riesgo de piratería o phreaking
• mantener el cumplimiento normativo
• prevenir o minimizar el fraude de peajes
• mitigar el riesgo de terceros
• minimizar el riesgo de gobernanza ^{[10] [11]}

Las auditorías de comunicaciones empresariales también se denominan auditorías de voz, ^[12] pero el término está cada vez más obsoleto a medida que la infraestructura de comunicaciones se vuelve cada vez más orientada y dependiente de los datos. El término "auditoría de telefonía" ^[13] también está en desuso porque la infraestructura de comunicaciones moderna, especialmente cuando se trata con clientes, es omnicanal, donde la interacción se lleva a cabo a través de múltiples canales, no solo por teléfono. ^[14] Uno de los problemas clave que afecta a las auditorías de comunicación empresarial es la falta de estándares definidos por la industria o aprobados por el gobierno. Las auditorías de TI se basan en el cumplimiento de estándares y políticas publicadas por organizaciones como NIST y PCI , pero la ausencia de tales estándares para las auditorías de comunicaciones empresariales significa que estas auditorías deben basarse en los estándares y políticas internos de una organización, en lugar de en la industria. estándares. Como resultado, las auditorías de las comunicaciones empresariales todavía se realizan manualmente, con controles de muestreo aleatorios. Las herramientas de automatización de auditoría de políticas para las comunicaciones empresariales apenas están disponibles recientemente.

Dilemas éticos en las auditorías de TI

El uso de la inteligencia artificial (IA) en las auditorías de TI está creciendo rápidamente: el 30% de todas las auditorías corporativas se realizarán utilizando IA para 2025, según informó el Foro Económico Mundial de 2015. La IA en las auditorías de TI plantea muchas cuestiones éticas. ^[15]

1. El uso de inteligencia artificial provoca sesgos no deseados en los resultados.
   Un problema que enfrenta la IA al completar auditorías de TI para corporaciones es que pueden ocurrir sesgos no deseados a medida que la IA filtra los datos. La IA no tiene un elemento humano ni la capacidad de comprender diferentes situaciones en las que se esperan o no ciertos datos. La IA solo comprende los datos que ha visto antes y, por lo tanto, no puede evolucionar dada cada situación única. Esto provoca sesgos no deseados y, por lo tanto, consecuencias no deseadas si se confía demasiado en los sistemas de IA y no se los monitorea cuidadosamente por el ojo humano. Como resultado surgen cuestiones éticas, legales y económicas. ^[15]
2. La tecnología reemplaza el papel de los humanos
   Las cuatro grandes empresas han invertido importantes cantidades de dinero en tecnologías emergentes en el espacio de la auditoría de TI. La IA ahora se utiliza en prácticas de aseguramiento que realizan tareas como "procedimientos de auditoría y contabilidad, como revisión de libros mayores, cumplimiento tributario, preparación de documentos de trabajo, análisis de datos, cumplimiento de gastos, detección de fraude y toma de decisiones". ^[15] Esto esencialmente reemplaza la necesidad de auditores y relega a quienes trabajan en aseguramiento a roles de “supervisores” de la tecnología.
   Sin embargo, las empresas todavía necesitan auditores para realizar análisis de los resultados de IA de la auditoría de TI. Los auditores que no comprenden los algoritmos que se utilizan en la auditoría pueden permitir que estos programas imperfectos cometan errores. Por lo tanto, los auditores con amplia experiencia y títulos en tecnología son muy codiciados por las empresas que utilizan IA para realizar auditorías.

Efecto de la auditoría de TI en las empresas y las auditorías financieras

La globalización, combinada con el crecimiento de los sistemas de tecnología de la información, ha provocado que las empresas adopten un entorno de trabajo cada vez más digitalizado. Las ventajas que ofrecen estos sistemas incluyen una reducción del tiempo de trabajo, la capacidad de probar grandes cantidades de datos, reducir el riesgo de auditoría y proporcionar información analítica más flexible y completa. Con un aumento del tiempo, los auditores pueden implementar pruebas de auditoría adicionales, lo que lleva a una gran mejora en el proceso de auditoría en general. El uso de técnicas de auditoría asistidas por computadora (CAAT) ha permitido a las empresas examinar muestras más grandes de datos y revisiones más exhaustivas de todas las transacciones, lo que permite al auditor probar y comprender mejor cualquier problema dentro de los datos. ^[dieciséis]

El uso de sistemas de TI en las auditorías ha transformado la forma en que los auditores realizan importantes funciones de auditoría, como la gestión de bases de datos, la garantía y los controles de riesgos, e incluso la gobernanza y el cumplimiento. Además, los sistemas de auditoría de TI mejoran la eficiencia operativa y ayudan en la toma de decisiones que, de otro modo, se dejarían en manos de cálculos manuales. Los sistemas de TI ayudan a eliminar el error humano en las auditorías y, si bien no resuelven completamente el problema, los sistemas de TI han demostrado ser útiles en las auditorías realizadas tanto por las 4 grandes como por las pequeñas empresas. Estos sistemas han reducido en gran medida el margen de error en las auditorías y proporcionan una mejor visión de los datos que se analizan.

Como resultado del mayor uso de sistemas de TI en las auditorías, organismos autorizados como el Instituto Americano de Contadores Públicos Certificados (AICPA) y la Asociación de Control de Auditoría de Sistemas de Información (ISACA) han establecido pautas sobre cómo utilizar adecuadamente los sistemas de TI para realizar auditorías. . ^[17] Los auditores ahora deben cumplir con las directrices establecidas al utilizar sistemas de TI en las auditorías.

Beneficios de utilizar sistemas de TI en auditorías financieras

El uso de sistemas de TI y técnicas de inteligencia artificial en auditorías financieras está comenzando a mostrar enormes beneficios para las empresas contables líderes. En un estudio realizado por una de las 4 grandes firmas de contabilidad, se espera que el uso de sistemas de TI y técnicas de inteligencia artificial genere un aumento de 6,6 billones de dólares en ingresos ^[15] como resultado del aumento de la productividad. Como resultado, las firmas de auditoría líderes están realizando enormes inversiones con el objetivo de aumentar la productividad y, por lo tanto, los ingresos mediante el desarrollo o la subcontratación de sistemas de TI y técnicas de inteligencia artificial para ayudar en las auditorías financieras.

PwC, una de las firmas de auditoría más grandes del mundo, ha seleccionado tres tipos diferentes de sistemas de TI y técnicas de inteligencia artificial que las empresas pueden desarrollar e implementar para lograr mayores ingresos y productividad. El primer sistema se crea de manera que los sistemas tecnológicos desempeñen un papel complementario en la toma de decisiones de los auditores humanos. Esto permite al auditor humano conservar la autonomía sobre las decisiones y utilizar la tecnología para respaldar y mejorar su capacidad para realizar un trabajo preciso, lo que en última instancia ahorra a la empresa costos de productividad. A continuación, PwC afirma que los sistemas con capacidad de resolución de problemas son imprescindibles para producir los resultados más precisos. PwC reconoce el mayor margen de error debido a sesgos no deseados y, por tanto, la necesidad de crear sistemas que sean capaces de adaptarse a diferentes escenarios. Este tipo de sistema requiere que la toma de decisiones sea compartida entre el auditor humano y el sistema de TI para producir el máximo rendimiento al permitir que el sistema se haga cargo del trabajo informático que no podría realizar un auditor humano solo. Finalmente, PwC reconoce que existen escenarios donde la tecnología necesita tener autonomía para tomar decisiones y actuar de forma independiente. Esto permite a los auditores humanos centrarse en tareas más importantes mientras la tecnología se encarga de tareas que requieren mucho tiempo y que no requieren tiempo humano. ^[15]

La utilización de sistemas de TI y técnicas de inteligencia artificial en auditorías financieras va más allá del objetivo de maximizar la productividad y aumentar los ingresos. Las empresas que utilizan estos sistemas para ayudar a completar las auditorías pueden identificar datos que pueden constituir fraude con mayor eficiencia y precisión. Por ejemplo, los cuatro grandes ^[15] han aprobado sistemas como los drones para ayudar a obtener cálculos de inventario más precisos, mientras que el reconocimiento facial y de voz está sumando empresas en los casos de fraude. ^[15]

Ver también

• Procesamiento electrónico de datos

Informática forense

• Informática forense
• Análisis de los datos

Operaciones

• Servicio de asistencia técnica y auditoría de informes de incidentes.
• Auditoría de gestión de cambios
• Recuperación ante desastres y auditoría de continuidad del negocio
• ISAE 3402

Misceláneas

• Garantía XBRL

Irregularidades y actos ilegales

• Estándar AICPA: SAS 99 Consideración del fraude en una auditoría de estados financieros
• Estudios de casos de fraude informático

Referencias

1. Rainer, R. Kelly y Casey G. Cegielski. Introducción a los sistemas de información. 3ª edición. Hoboken, Nueva Jersey: Wiley;, 2011. Imprimir.
2. Stoel, M. Dale; Havelka, Douglas (18 de febrero de 2020). "Calidad de la auditoría de tecnologías de la información: una investigación del impacto de los factores individuales y organizacionales". Revista de sistemas de información . 35 (1): 135-154. doi :10.2308/isys-18-043. ISSN  0888-7985.
3. Gantz, Stephen D. (2014). Los fundamentos de la auditoría de TI: propósitos, procesos e información práctica . Syngress, una huella de Elsevier.
4. Lea "Computadoras en riesgo: Computación segura en la era de la información" en NAP.edu.
5. Richard A. Goodman; Michael W. Sin ley (1994). Tecnología y estrategia: modelos conceptuales y diagnósticos . Prensa de la Universidad de Oxford EE. UU. ISBN 978-0-19-507949-4. Consultado el 9 de mayo de 2010 .
6. K. Julisch et al., Cumplimiento por diseño: cerrar el abismo entre auditores y arquitectos de TI. Computadoras y seguridad, Elsevier. Volumen 30, números 6-7, septiembre-octubre. 2011.
7. Referencias a otros principios básicos de auditoría, en: Adams, David / Maier, Ann-Kathrin (2016): Estudio BIG SEVEN, criptomensajeros de código abierto para comparar - o: Revisión y auditoría integral de confidencialidad de GoldBug, cifrado de correo electrónico -Client & Secure Instant Messenger, descripciones, pruebas y revisiones de análisis de 20 funciones de la aplicación GoldBug basadas en los campos esenciales y métodos de evaluación de los 8 principales manuales de auditoría internacionales para investigaciones de seguridad de TI, incluidos 38 cifras y 87 tablas., URL: https://sf.net/projects/goldbug/files/bigseven-crypto-audit.pdf - Idioma inglés/alemán, versión 1.1, 305 páginas, junio de 2016 (ISBN: DNB 110368003X - 2016B14779)
8. Jürgens, Michael. "Los riesgos de las redes sociales crean una función ampliada para la auditoría interna". Wall Street Journal . Consultado el 10 de agosto de 2015 .
9. "Programa de garantía/auditoría de redes sociales". ISACA . ISACA . Consultado el 10 de agosto de 2015 .
10. Lingo, Steve. "Una auditoría de comunicaciones: el primer paso en el camino hacia las comunicaciones unificadas". El blog de XO . Consultado el 17 de enero de 2016 .
11. "Servicio de Auditoría del Sistema Telefónico". 1º Servicios de Comunicaciones . 1º Servicios de Comunicaciones. Archivado desde el original el 1 de abril de 2019 . Consultado el 14 de diciembre de 2018 .
12. "Auditoría de voz". www.securelogix.com . Consultado el 20 de enero de 2016 .
13. "Pautas de auditoría y diseño de telefonía IP" (PDF) . www.eurotelecom.ro . Archivado desde el original (PDF) el 27 de marzo de 2014.
14. "¿Qué es omnicanal? - Definición de WhatIs.com". BuscarCIO . Consultado el 20 de enero de 2016 .
15. Munoko, Ivy; Brown-Liburd, Helen L.; Vasarhelyi, Miklos (1 de noviembre de 2020). "Las implicaciones éticas del uso de la inteligencia artificial en la auditoría". Revista de Ética Empresarial . 167 (2): 209–234. doi :10.1007/s10551-019-04407-1. ISSN  1573-0697.
16. Elefteria, Liana (2016). "El impacto de las tecnologías de la información en el proceso de auditoría". Economía, Gestión y Mercados Financieros . 11 : 303–309.
17. Yang, David C.; Guan, Liming (1 de enero de 2004). "La evolución de las normas de control interno y auditoría informática en las auditorías de estados financieros: el caso de Estados Unidos". Revista de Auditoría Gerencial . 19 (4): 544–555. doi :10.1108/02686900410530547. ISSN  0268-6902.

enlaces externos

• Una carrera como auditor de sistemas de información, por Avinash Kadam (Network Magazine)
• Consejo Federal de Examen de Instituciones Financieras (FFIEC)
• La necesidad de la tecnología CAAT
• Arquitectura de seguridad abierta: controles y patrones para proteger los sistemas de TI
• Instituto Americano de Contadores Públicos Certificados (AICPA)
• Biblioteca de servicios de TI (ITIL)