Una auditoría de tecnología de la información , o auditoría de sistemas de información , es un examen de los controles de gestión dentro de una infraestructura de tecnología de la información (TI) y aplicaciones comerciales. La evaluación de la evidencia obtenida determina si los sistemas de información están salvaguardando los activos, manteniendo la integridad de los datos y operando de manera efectiva para lograr las metas u objetivos de la organización. Estas revisiones pueden realizarse junto con una auditoría de estados financieros , una auditoría interna u otra forma de compromiso de certificación.
Las auditorías de TI también se conocen como auditorías de procesamiento automatizado de datos ( auditorías ADP ) y auditorías informáticas .
Antiguamente se denominaban auditorías de procesamiento electrónico de datos ( auditorías EDP ).
Una auditoría de TI es diferente de una auditoría de estados financieros . Mientras que el propósito de una auditoría financiera es evaluar si los estados financieros presentan razonablemente, en todos los aspectos importantes, la situación financiera, los resultados de las operaciones y los flujos de efectivo de una entidad de conformidad con las prácticas contables estándar , el propósito de una auditoría de TI es evaluar la calidad del sistema. Diseño y efectividad del control interno. Esto incluye, entre otros, protocolos de eficiencia y seguridad, procesos de desarrollo y gobernanza o supervisión de TI. La instalación de controles es necesaria pero no suficiente para proporcionar una seguridad adecuada. Las personas responsables de la seguridad deben considerar si los controles están instalados según lo previsto, si son efectivos o si se ha producido alguna violación de la seguridad y, de ser así, qué acciones se pueden tomar para evitar futuras violaciones. Estas consultas deben ser respondidas por observadores independientes e imparciales. Estos observadores realizan la tarea de auditoría de los sistemas de información. En un entorno de Sistemas de Información (SI), una auditoría es un examen de los sistemas de información, sus entradas, salidas y procesamiento. [1]
A medida que la tecnología continúa avanzando y prevaleciendo en nuestras vidas y en las empresas, aumenta las amenazas e interrupciones de TI. Estos afectan a todas las industrias y se presentan en diferentes formas, como filtraciones de datos, amenazas externas y problemas operativos. Estos riesgos y la necesidad de altos niveles de garantía aumentan la necesidad de auditorías de TI para verificar el desempeño de los sistemas de TI de las empresas y reducir la probabilidad y el impacto de las amenazas e interrupciones tecnológicas. [2]
Las funciones principales de una auditoría de TI son evaluar los sistemas implementados para proteger la información de una organización. Específicamente, las auditorías de tecnología de la información se utilizan para evaluar la capacidad de la organización para proteger sus activos de información y distribuir información adecuadamente a las partes autorizadas. [3] La auditoría de TI tiene como objetivo evaluar lo siguiente:
¿Los sistemas informáticos de la organización estarán disponibles para el negocio en todo momento cuando sea necesario? (conocido como disponibilidad) ¿La información en los sistemas se divulgará únicamente a usuarios autorizados? (conocido como seguridad y confidencialidad) ¿La información proporcionada por el sistema será siempre precisa, confiable y oportuna? (mide la integridad) De esta manera, la auditoría espera evaluar el riesgo para el activo valioso de la empresa (su información) y establecer métodos para minimizar esos riesgos.
Más específicamente, las organizaciones deberían considerar tres requisitos principales: confidencialidad, integridad y disponibilidad para etiquetar sus necesidades de seguridad y confianza en sus sistemas de TI.
Estos tres requisitos deben enfatizarse en todas las industrias y organizaciones con un entorno de TI, pero cada requisito y control para respaldarlos variará. [4]
Varias autoridades han creado diferentes taxonomías para distinguir los distintos tipos de auditorías de TI. Goodman & Lawless afirman que existen tres enfoques sistemáticos específicos para llevar a cabo una auditoría de TI: [5]
Otros describen el espectro de auditorías de TI con cinco categorías de auditorías:
Y algunos agrupan todas las auditorías de TI como de dos únicos tipos: auditorías de " revisión de control general " o auditorías de " revisión de control de aplicaciones ".
Un número [ ¿quién? ] de los profesionales de auditoría de TI del ámbito de Aseguramiento de la Información consideran que existen tres tipos fundamentales de controles independientemente del tipo de auditoría a realizar, especialmente en el ámbito de TI. Muchos marcos y estándares intentan dividir los controles en diferentes disciplinas o áreas, denominándolas "Controles de seguridad", "Controles de acceso", "Controles IA" en un esfuerzo por definir los tipos de controles involucrados. En un nivel más fundamental, se puede demostrar que estos controles constan de tres tipos de controles fundamentales: controles de protección/preventivos, controles de detección y controles reactivos/correctivos.
En un SI existen dos tipos de auditores y auditorías: internas y externas. La auditoría de SI suele ser parte de la auditoría interna contable y, con frecuencia, la realizan auditores internos corporativos. Un auditor externo revisa los hallazgos de la auditoría interna, así como las entradas, el procesamiento y las salidas de los sistemas de información. La auditoría externa de los sistemas de información es realizada principalmente por auditores certificados de Sistemas de Información, como CISA, certificado por ISACA, Information System Audit and Control Association, EE. UU., Information System Auditor (ISA) certificado por ICAI (Instituto de Contadores Públicos de la India), y otros certificados por una organización de renombre para auditoría de SI. Eliminar --> ( con frecuencia forma parte de la auditoría externa general realizada por una firma de Contadores Públicos Certificados (CPA). [1] ) La auditoría de SI considera todos los peligros y controles potenciales en los sistemas de información. Se centra en cuestiones como operaciones, datos, integridad, aplicaciones de software, seguridad, privacidad, presupuestos y gastos, control de costos y productividad. Hay directrices disponibles para ayudar a los auditores en su trabajo, como las de la Asociación de Control y Auditoría de Sistemas de Información. [1]
El concepto de auditoría de TI se formó a mediados de los años 1960. Desde entonces, la auditoría de TI ha pasado por numerosos cambios, en gran parte debido a los avances tecnológicos y la incorporación de la tecnología a los negocios.
Actualmente, hay muchas empresas dependientes de TI que dependen de la tecnología de la información para operar sus negocios, por ejemplo, empresas de telecomunicaciones o bancarias. Para los otros tipos de negocios, TI juega un papel importante en la empresa, incluida la aplicación de un flujo de trabajo en lugar de utilizar el formulario de solicitud en papel, el uso del control de aplicaciones en lugar del control manual, que es más confiable, o la implementación de la aplicación ERP para facilitar la organización mediante el uso. solo 1 aplicación. Según estos, la importancia de la Auditoría de TI aumenta constantemente. Una de las funciones más importantes de la auditoría de TI es auditar el sistema crítico para respaldar la auditoría financiera o respaldar las regulaciones específicas anunciadas, por ejemplo, SOX.
Los siguientes principios de una auditoría deberían encontrar un reflejo: [7]
Esta lista de principios de auditoría para aplicaciones criptográficas describe, más allá de los métodos de análisis técnico, valores fundamentales en particular que deben tenerse en cuenta.
También hay nuevas auditorías impuestas por varias juntas estándar que deben realizarse, dependiendo de la organización auditada, que afectarán a TI y garantizarán que los departamentos de TI estén desempeñando ciertas funciones y controles de manera adecuada para ser considerados conformes. Ejemplos de dichas auditorías son SSAE 16 , ISAE 3402 e ISO27001:2013 .
La extensión de la presencia corporativa de TI más allá del firewall corporativo (por ejemplo, la adopción de las redes sociales por parte de la empresa junto con la proliferación de herramientas basadas en la nube como los sistemas de gestión de redes sociales ) ha elevado la importancia de incorporar auditorías de presencia web en la TI/IS. auditoría. Los propósitos de estas auditorías incluyen garantizar que la empresa esté tomando las medidas necesarias para:
El uso de herramientas desarrolladas por departamentos o usuarios ha sido un tema controvertido en el pasado. Sin embargo, con la disponibilidad generalizada de herramientas de análisis de datos, paneles y paquetes estadísticos, los usuarios ya no necesitan hacer cola esperando que los recursos de TI satisfagan solicitudes aparentemente interminables de informes. La tarea de TI es trabajar con grupos empresariales para que el acceso autorizado y la presentación de informes sean lo más sencillos posible. Para usar un ejemplo simple, los usuarios no deberían tener que hacer su propia comparación de datos para que las tablas puramente relacionales estén vinculadas de manera significativa. TI necesita poner a disposición de los usuarios archivos de tipo almacén de datos no normalizados para simplificar su trabajo de análisis. Por ejemplo, algunas organizaciones actualizan un almacén periódicamente y crean tablas "planas" fáciles de usar que pueden cargarse fácilmente mediante un paquete como Tableau y usarse para crear paneles.
El aumento de las redes VOIP y problemas como BYOD y las crecientes capacidades de los sistemas de telefonía empresarial modernos provocan un mayor riesgo de que la infraestructura de telefonía crítica esté mal configurada, dejando a la empresa abierta a la posibilidad de fraude en las comunicaciones o reducción de la estabilidad del sistema. Los bancos, las instituciones financieras y los centros de contacto suelen establecer políticas que se aplicarán en todos sus sistemas de comunicaciones. La tarea de comprobar que los sistemas de comunicaciones cumplen la política recae en auditores especializados en telecomunicaciones. Estas auditorías aseguran que los sistemas de comunicación de la empresa:
Las auditorías de comunicaciones empresariales también se denominan auditorías de voz, [12] pero el término está cada vez más obsoleto a medida que la infraestructura de comunicaciones se vuelve cada vez más orientada y dependiente de los datos. El término "auditoría de telefonía" [13] también está en desuso porque la infraestructura de comunicaciones moderna, especialmente cuando se trata con clientes, es omnicanal, donde la interacción se lleva a cabo a través de múltiples canales, no solo por teléfono. [14] Uno de los problemas clave que afecta a las auditorías de comunicación empresarial es la falta de estándares definidos por la industria o aprobados por el gobierno. Las auditorías de TI se basan en el cumplimiento de estándares y políticas publicadas por organizaciones como NIST y PCI , pero la ausencia de tales estándares para las auditorías de comunicaciones empresariales significa que estas auditorías deben basarse en los estándares y políticas internos de una organización, en lugar de en la industria. estándares. Como resultado, las auditorías de las comunicaciones empresariales todavía se realizan manualmente, con controles de muestreo aleatorios. Las herramientas de automatización de auditoría de políticas para las comunicaciones empresariales apenas están disponibles recientemente.
El uso de la inteligencia artificial (IA) en las auditorías de TI está creciendo rápidamente: el 30% de todas las auditorías corporativas se realizarán utilizando IA para 2025, según informó el Foro Económico Mundial de 2015. La IA en las auditorías de TI plantea muchas cuestiones éticas. [15]
La globalización, combinada con el crecimiento de los sistemas de tecnología de la información, ha provocado que las empresas adopten un entorno de trabajo cada vez más digitalizado. Las ventajas que ofrecen estos sistemas incluyen una reducción del tiempo de trabajo, la capacidad de probar grandes cantidades de datos, reducir el riesgo de auditoría y proporcionar información analítica más flexible y completa. Con un aumento del tiempo, los auditores pueden implementar pruebas de auditoría adicionales, lo que lleva a una gran mejora en el proceso de auditoría en general. El uso de técnicas de auditoría asistidas por computadora (CAAT) ha permitido a las empresas examinar muestras más grandes de datos y revisiones más exhaustivas de todas las transacciones, lo que permite al auditor probar y comprender mejor cualquier problema dentro de los datos. [dieciséis]
El uso de sistemas de TI en las auditorías ha transformado la forma en que los auditores realizan importantes funciones de auditoría, como la gestión de bases de datos, la garantía y los controles de riesgos, e incluso la gobernanza y el cumplimiento. Además, los sistemas de auditoría de TI mejoran la eficiencia operativa y ayudan en la toma de decisiones que, de otro modo, se dejarían en manos de cálculos manuales. Los sistemas de TI ayudan a eliminar el error humano en las auditorías y, si bien no resuelven completamente el problema, los sistemas de TI han demostrado ser útiles en las auditorías realizadas tanto por las 4 grandes como por las pequeñas empresas. Estos sistemas han reducido en gran medida el margen de error en las auditorías y proporcionan una mejor visión de los datos que se analizan.
Como resultado del mayor uso de sistemas de TI en las auditorías, organismos autorizados como el Instituto Americano de Contadores Públicos Certificados (AICPA) y la Asociación de Control de Auditoría de Sistemas de Información (ISACA) han establecido pautas sobre cómo utilizar adecuadamente los sistemas de TI para realizar auditorías. . [17] Los auditores ahora deben cumplir con las directrices establecidas al utilizar sistemas de TI en las auditorías.
El uso de sistemas de TI y técnicas de inteligencia artificial en auditorías financieras está comenzando a mostrar enormes beneficios para las empresas contables líderes. En un estudio realizado por una de las 4 grandes firmas de contabilidad, se espera que el uso de sistemas de TI y técnicas de inteligencia artificial genere un aumento de 6,6 billones de dólares en ingresos [15] como resultado del aumento de la productividad. Como resultado, las firmas de auditoría líderes están realizando enormes inversiones con el objetivo de aumentar la productividad y, por lo tanto, los ingresos mediante el desarrollo o la subcontratación de sistemas de TI y técnicas de inteligencia artificial para ayudar en las auditorías financieras.
PwC, una de las firmas de auditoría más grandes del mundo, ha seleccionado tres tipos diferentes de sistemas de TI y técnicas de inteligencia artificial que las empresas pueden desarrollar e implementar para lograr mayores ingresos y productividad. El primer sistema se crea de manera que los sistemas tecnológicos desempeñen un papel complementario en la toma de decisiones de los auditores humanos. Esto permite al auditor humano conservar la autonomía sobre las decisiones y utilizar la tecnología para respaldar y mejorar su capacidad para realizar un trabajo preciso, lo que en última instancia ahorra a la empresa costos de productividad. A continuación, PwC afirma que los sistemas con capacidad de resolución de problemas son imprescindibles para producir los resultados más precisos. PwC reconoce el mayor margen de error debido a sesgos no deseados y, por tanto, la necesidad de crear sistemas que sean capaces de adaptarse a diferentes escenarios. Este tipo de sistema requiere que la toma de decisiones sea compartida entre el auditor humano y el sistema de TI para producir el máximo rendimiento al permitir que el sistema se haga cargo del trabajo informático que no podría realizar un auditor humano solo. Finalmente, PwC reconoce que existen escenarios donde la tecnología necesita tener autonomía para tomar decisiones y actuar de forma independiente. Esto permite a los auditores humanos centrarse en tareas más importantes mientras la tecnología se encarga de tareas que requieren mucho tiempo y que no requieren tiempo humano. [15]
La utilización de sistemas de TI y técnicas de inteligencia artificial en auditorías financieras va más allá del objetivo de maximizar la productividad y aumentar los ingresos. Las empresas que utilizan estos sistemas para ayudar a completar las auditorías pueden identificar datos que pueden constituir fraude con mayor eficiencia y precisión. Por ejemplo, los cuatro grandes [15] han aprobado sistemas como los drones para ayudar a obtener cálculos de inventario más precisos, mientras que el reconocimiento facial y de voz está sumando empresas en los casos de fraude. [15]