(Otero, 2019, Cap. 1) Information Technology Control and Audit - En.es

Traducido del inglés al español - www.onlinedoctranslator.
com
Capítulo 1
Tecnologías de la información
Auditoría Medioambiental y TI
OBJETIVOS DE APRENDIZAJE
1. Discuta cómo la tecnología evoluciona constantemente y da forma a los entornos empresariales (TI) actuales.
2. Discutir la profesión de auditoría y la auditoría financiera.
3. Diferenciar entre los dos tipos de funciones de auditoría que existen en la actualidad (interna y
externa).
4. Explique qué es la auditoría de TI y resuma sus dos grandes grupos.
5. Describir las tendencias actuales de auditoría de TI e identificar las necesidades de tener una auditoría de TI.
6. Explique las diversas funciones del auditor de TI.
7. Sustentar por qué la auditoría de TI se considera una profesión.
8. Describa el perfil de un auditor de TI en términos de experiencia y habilidades requeridas.
9. Analice las oportunidades profesionales disponibles para los auditores de TI.
Las organizaciones de hoy dependen más de la información y son más conscientes de la naturaleza omnipresente
de la tecnología en toda la empresa comercial. La mayor conectividad y disponibilidad de sistemas y entornos
abiertos ha demostrado ser el sustento de la mayoría de las entidades comerciales. La tecnología de la información
(TI) ahora se usa más ampliamente en todas las áreas del comercio en todo el mundo.
Entorno de TI
La necesidad de mejorar el control sobre TI, especialmente en el comercio, se ha planteado a lo largo de los
años en estudios anteriores y continuos de muchas organizaciones nacionales e internacionales.
Esencialmente, la tecnología ha impactado varias áreas significativas del entorno empresarial, incluido el uso
y procesamiento de la información, el proceso de control y la profesión de auditoría.
3
4◾Control y Auditoría de Tecnologías de la Información
◾ La tecnología ha mejorado la capacidad de capturar, almacenar, analizar y procesar enormes cantidades de

datos e información, ampliando el empoderamiento del tomador de decisiones comerciales. También se ha
convertido en un habilitador principal para los procesos de producción y servicio. Hay un efecto residual en
el sentido de que el mayor uso de la tecnología ha resultado en mayores presupuestos, mayores éxitos y
fracasos, y una mayor conciencia de la necesidad decontrol.
◾ La tecnología ha impactado significativamente laproceso de controlalrededor de los sistemas. Aunque los
objetivos de control generalmente se han mantenido constantes, excepto algunos que son específicos de la
tecnología, la tecnología ha alterado la forma en que se deben controlar los sistemas. salvaguardia activos,
como objetivo de control, sigue siendo el mismo ya sea que se realice de forma manual o automatizada. Sin
embargo, la forma en que se cumple el objetivo de control ciertamente se ve afectada.
◾ La tecnología ha impactado la profesión de auditoría en términos de cómo se realizan las auditorías (captura
y análisis de información, preocupaciones de control) y el conocimiento requerido para sacar conclusiones
con respecto a la efectividad, eficiencia y generación de informes operativos o del sistema. integridad.
Inicialmente, el impacto se centró en hacer frente a un entorno de procesamiento modificado. como la
necesidad deauditorescon habilidades tecnológicas especializadas creció, al igual que la profesión de
auditoría de TI.
La tecnología evoluciona constantemente y encuentra formas de dar forma al entorno de TI actual en la

organización. Las siguientes secciones describen brevemente varias tecnologías recientes que han revolucionado y
ciertamente seguirán revolucionando las organizaciones, la forma en que se hacen negocios y la dinámica del lugar
de trabajo.
Planificación de recursos empresariales (ERP)
Según la edición de junio de 2016 de Apps Run the World, una empresa de investigación de mercado de tecnología
dedicada al espacio de las aplicaciones, el mercado mundial de sistemas ERP alcanzará los 84 100 millones de
dólares para 2020 frente a los 82 100 millones de dólares de 2015. ERP es un software que proporciona una
funcionalidad comercial estándar en un sistema integrado de entorno de TI (por ejemplo, compras, inventario,
contabilidad, y recursos humanos [RRHH]). Consulte el Anexo 1.1 para ver una ilustración del sistema modular ERP.
Los ERP permiten que múltiples funciones accedan a una base de datos común, lo que reduce los costos de
almacenamiento y aumentaconsistenciayprecisiónde datos de una sola fuente. Además, los ERP:
◾ Disponer de métodos estándar para la automatización de procesos (es decir, la información del sistema de recursos
humanos puede ser utilizada por la nómina, la mesa de ayuda, etc.).
◾ Comparta información en tiempo real de los módulos (finanzas, recursos humanos, etc.) que residen en una base
de datos común, por lo tanto,estados financieros,análisis e informes se generan más rápido y con mayor frecuencia.
Algunos de los principales proveedores de ERP en la actualidad incluyen SAP, FIS Global, Oracle, Fiserv, Intuit,
Inc., Cerner Corporation, Microsoft, Ericsson, Infor y McKesson.
A pesar de las muchas ventajas de los ERP, no son muy diferentes de los sistemas comprados o empaquetados y, por
lo tanto, pueden requerir amplias modificaciones en los procesos comerciales nuevos o existentes. Las modificaciones de
ERP (es decir, versiones de software) requieren una programación considerable para actualizar todo el código específico de
la organización. Dado que los sistemas empaquetados son genéricos por naturaleza, es posible que las organizaciones
necesiten modificar sus operaciones comerciales para que coincidan con el método de procesamiento del proveedor, por
ejemplo. Los cambios en las operaciones comerciales pueden no encajar bien en la cultura u otros procesos de la
organización, y también pueden ser costosos debido a la capacitación. Además, como los ERP son ofrecidos por un solo
Entorno de Tecnologías de la Información y Auditoría TI◾5
Financiero
recurso
administración
Humano
Cadena de suministro
recurso
administración
Empresa administración
recurso
planificación
(BD común)
Fabricación Cliente
recurso relación
planificación administración
Figura 1.1 Sistema modular de planificación de recursos empresariales.
vendedor,riesgosasociado con la aplicación de un solo proveedor (por ejemplo, dependiendo de un solo proveedor
para mantenimiento y soporte, requisitos específicos de hardware o software, etc.).
Computación en la nube
La computación en la nube sigue teniendo un impacto cada vez mayor en el entorno de TI. Según ISACA
(anteriormente conocida como la Asociación de Auditoría y Control de Sistemas de Información), el crecimiento
exponencial de la computación en la nube ya no debe considerarse una tecnología emergente. La computación en
la nube ha dado forma a los negocios en todo el mundo, y algunas organizaciones la utilizan para realizar procesos
comerciales críticos. Según el informe Innovation Insights de ISACA de julio de 2015, la computación en la nube se
considera una de las tendencias clave que impulsan los negocios.estrategia.e International Data Corporation, en su
publicación de 2015, también predice que la computación en la nube crecerá un 19,4 % anual durante los próximos
5 años. Además, el informe (informe) sobre computación en la nube de Perspective 2016 de Deloitte indica que para
las empresas privadas, la computación en la nube seguirá siendo un factor dominante.
La computación en la nube, tal como la define PC Magazine, se refiere al uso de Internet (en lugar del disco duro de la
computadora) para almacenar y acceder a datos y programas. De una manera más formal, el Instituto Nacional de
Estándares y Tecnología (NIST, por sus siglas en inglés) define la computación en la nube como un “modelo para permitir el
acceso a la red ubicuo, conveniente y bajo demanda a un grupo compartido de recursos informáticos configurables (por
ejemplo, redes, servidores, almacenamiento , aplicaciones y servicios) que se pueden aprovisionar y lanzar rápidamente
con un mínimo esfuerzo de gestión o interacción con el proveedor de servicios”. NIST también enfatiza que este modelo
particular (en la nube) promueve significativamente la disponibilidad.
Los servicios altamente flexibles que se pueden administrar en el entorno virtual hacen que la computación en la nube
sea muy atractiva para las organizaciones empresariales. No obstante, las organizaciones aún no se sienten
completamente cómodo al almacenar su información y aplicaciones en sistemas que residen fuera de sus
instalaciones en el sitio. La migración de información a una infraestructura compartida (como un entorno de nube)
expone la información confidencial/crítica de las organizaciones a riesgos de posible acceso y exposición no
autorizados, entre otros. Deloitte, una de las principales firmas mundiales de contabilidad y auditoría, también
respalda la importancia de la seguridad y la privacidad mencionada anteriormente y agregó, según su informe, que
la información almacenada en la nube relacionada con datos de pacientes, detalles bancarios y registros de
personal, por nombrar algunos pocos, es vulnerable y susceptible de mal uso si cae en las manos equivocadas.
Gestión de dispositivos móviles (MDM)

MDM, también conocido como Enterprise Mobility Management, es un término relativamente nuevo, pero que ya da forma
al entorno de TI en las organizaciones. MDM es responsable de gestionar y administrar los dispositivos móviles (por
ejemplo, teléfonos inteligentes, computadoras portátiles, tabletas, impresoras móviles, etc.) proporcionados a los
empleados como parte de sus responsabilidades laborales. En concreto, y según PC Magazine, MDM asegura a estos
dispositivos móviles:
◾ se integran bien dentro de la organización y se implementan para cumplir con las políticas y procedimientos
de la organización
◾ proteger la información corporativa (por ejemplo, correos electrónicos, documentos corporativos, etc.) y la
configuración de todos los dispositivos móviles dentro de la organización
Los dispositivos móviles también son utilizados por los empleados por motivos personales. Es decir, los empleados traen su
propio dispositivo móvil (personal) a la organización (también conocido como traer su propio dispositivo o BYOD) para
realizar su trabajo. Permitir que los empleados utilicen dispositivos móviles proporcionados por la organización por
motivos laborales y personales ha demostrado ser atractivo para el empleado medio. Sin embargo, las organizaciones
deben monitorear y controlar las tareas realizadas por los empleados cuando usan dispositivos móviles y garantizar que los
empleados permanezcan enfocados y productivos. Representa un riesgo para la seguridad de la organización y una
distracción para los empleados cuando los dispositivos móviles se utilizan para fines personales y laborales. Además,
permitir el acceso directo a la información corporativa siempre representa un riesgo permanente, además de aumentar la
seguridad ycumplimientopreocupaciones a la organización.
Otros sistemas tecnológicos que afectan el entorno de TI

El Internet de las cosas (IoT) tiene un efecto transformador potencial en entornos de TI, centros de datos,
proveedores de tecnología, etc. Gartner, Inc. estima que para el año 2020, IoT incluirá 26 mil millones de unidades
instaladas y los ingresos superarán los $300 mil millones generados principalmente por proveedores de productos
y servicios de IoT.
IoT, tal como lo define Gartner, Inc., es un sistema que permite que activos remotos de "cosas" (por ejemplo,
dispositivos, sensores, objetos, etc.) interactúen y se comuniquen entre ellos y con otros sistemas de red. Los
activos, por ejemplo, comunican información sobre su estado real, ubicación y funcionalidad, entre otros. Esta
información no solo proporciona una comprensión más precisa de los activos, sino que también maximiza su
utilización y productividad, lo que resulta en un mejor proceso de toma de decisiones. Los enormes volúmenes de
datos sin procesar o conjuntos de datos (también denominados Big Data) generados como resultado de estas
interacciones masivas entre dispositivos y sistemas deben procesarse y analizarse de manera efectiva para generar
información significativa y útil en la toma de decisiones. proceso de fabricación.
Big Data, tal como lo define la Comisión Federal de Big Data de la Fundación TechAmerica (2012),
“describe grandes volúmenes de datos variables, complejos y de alta velocidad que requieren
técnicas y tecnologías que permitan la captura, el almacenamiento, la distribución, la gestión y el análisis de

la información”. Gartner, Inc. lo define además como “… activos de información de gran volumen, alta
velocidad y/o gran variedad que exigen formas rentables e innovadoras de procesamiento de la información
que permiten una mejor comprensión, toma de decisiones y automatización de procesos”.
Si bien Big Data preciso puede conducir a un proceso de toma de decisiones más seguro, y mejores decisiones
a menudo dan como resultado una mayor eficiencia operativa, reducción de costos y reducción de riesgos,
actualmente existen muchos desafíos y deben abordarse.
Los desafíos de Big Data incluyen, por ejemplo, análisis, captura, conservación de datos, búsqueda,
intercambio, almacenamiento, transferencia, visualización, consulta y actualización. Ernst & Young, en su
publicación EY Center for Board Matters de septiembre de 2015, afirma que los desafíos para los auditores
incluyen el acceso limitado aauditoríadatos relevantes, la escasez de personal disponible y calificado para
procesar y analizar dichos datos en particular, y la integración oportuna de análisis en la auditoría. El IoT
también ofrece datos de rápido movimiento de sensores y dispositivos en todo el mundo y, por lo tanto,
genera desafíos similares para muchas organizaciones al dar sentido a todos esos datos.
Otras tecnologías recientes enumeradas en el informe Hype Cycle for Emerging Technologies de 2015 de
Gartner que actualmente están impactando en los entornos de TI incluyen dispositivos portátiles (por ejemplo,
relojes inteligentes, etc.), vehículos autónomos, criptomonedas, impresión 3D de consumo y traducción de voz a
voz, entre otros. .
Entorno de TI como parte de la estrategia de la organización
En el entorno actual, las organizaciones deben integrar su TI con las estrategias comerciales para lograr sus
objetivos generales, obtener el máximo valor de su información y capitalizar las tecnologías disponibles para ellos.
Donde anteriormente se consideraba a la TI como un habilitador de la estrategia de una organización, ahora se
considera una parte integral de esa estrategia para lograr la rentabilidad y el servicio. Al mismo tiempo, cuestiones
como el gobierno de TI, la infraestructura de información internacional, la seguridad y la privacidad y el control de
la información pública y de la organización han impulsado la necesidad de autoevaluación y seguridad en uno
mismo.
Para el gerente de TI, las palabras "auditoría" y "auditor" le provocan escalofríos. Sí, el auditor o la auditoría se
ha considerado un mal que tiene que ser tratado por todos los directivos. En el campo de TI, los auditores en el
pasado tenían que recibir capacitación u orientación en conceptos y operaciones del sistema para evaluar las
prácticas y aplicaciones de TI. Los administradores de TI se estremecen ante la capacidad del auditor para evaluar
de manera efectiva y eficiente las complejidades y comprender los problemas. Hoy en día, se espera que los
auditores de TI conozcan bien la infraestructura, las políticas y las operaciones de TI de la organización antes de
embarcarse en sus revisiones y exámenes. Más importante aún, los auditores de TI deben ser capaces de
determinar si elcontroles de TIestablecidos por la organización garantizan la protección de datos y se alinean
adecuadamente con los objetivos generales de la organización.
Asociaciones profesionales y organizaciones como ISACA, laInstituto Americano de Contadores
Públicos Certificados (AICPA),el Instituto Canadiense de Contadores Públicos (CICA), el Instituto de
Auditores Internos (IIA), la Asociación de Examinadores de Fraude Certificados (ACFE) y otros han
emitido guías, instrucciones y han respaldado estudios e investigaciones en áreas de auditoría.
La Profesión de Auditoría
Las computadoras han estado en uso comercial desde 1952. Los delitos relacionados con la informática se
denunciaron ya en 1966. Sin embargo, no fue hasta 1973, cuando los problemas significativos en Equity Funding
Corporation of America (EFCA), que la profesión de auditoría consideró seriamente la falta de controles en los
sistemas informáticos de información (SI). En 2002, casi 30 años después, otro importante frauderesultado de
escándalos corporativos y contables (Enron y WorldCom), que trajeron escepticismoy caída de los mercados
financieros. Con el tiempo, ni las principales firmas de contabilidad ni los negocios regulados por valores y cambios
en las principales bolsas pudieron evitar la indignación pública, la falta de confianza de los inversores y el aumento
de la regulación gubernamental que afectó a la economía estadounidense. Una vez más, en 2008, la economía de
los EE. UU. sufrió debido a que la banca hipotecaria y las compañías de inversión hipotecaria (como Countrywide,
IndyMac, etc.) incumplieron debido a estrategias crediticias poco sólidas y una gestión de riesgo deficiente.
Cuando EFCA se declaró en bancarrota en 1973, se informó que el impacto directo mínimo y las pérdidas por
actividades ilegales ascendían a $200 millones. Estimaciones adicionales de este importante fraude financiero
escalaron hasta $ 2 mil millones, con costos indirectos como honorarios legales y depreciación incluidos. Estas
pérdidas fueron el resultado de un “fraude asistido por computadora” en el que una corporación falsificó los
registros de su seguro de vida.subsidiariopara indicar la emisión de nuevas pólizas. Además de las pólizas de
seguro, otros activos, tales comocuentas por cobraryValores negociables,fueron registrados falsamente. Estos
activos ficticios deberían haberse revelado como inexistentes durante las auditorías regulares de fin de año de la
corporación, pero nunca fueron descubiertos. Como la computadora se usaba para manipular archivos como un
medio para encubrir el fraude, la profesión contable se dio cuenta de que las técnicas manuales convencionales
podrían no ser adecuadas para los trabajos de auditoría que involucraban aplicaciones informáticas.
En 1973, la AICPA (principal organización profesional nacional de contadores públicos autorizados), en
respuesta a los acontecimientos de la EFCA, nombró un comité especial para estudiar si los estándares de
auditoría del momento eran adecuados en tales situaciones. Se solicitó al comité evaluar los procedimientos
específicos a ser utilizados y las normas generales a ser aprobadas. En 1975, el comité emitió suhallazgosSi
bien el comité especial encontró que los estándares de auditoría eran adecuados y que no se requerían
cambios importantes en los procedimientos utilizados por los auditores, se emitieron varias observaciones y
recomendaciones relacionadas con el uso de programas de computadora diseñados para ayudar a los
auditores.examende estados financieros. Otra revisión crítica de los estándares de auditoría existentes se
inició en 1974, cuando AICPA creó sus primeros estándares que cubrían esta área. Entonces, 29 años
después, el asco de Enron-Arthur Andersen de 2002 nos llevó de vuelta a 1973.
la edición de “debido cuidado profesional"ha llegado a la vanguardia de la comunidad de auditoría
como resultado de los principales escándalos financieros de EE. UU. y la mala gestión, incluidos, entre
otros, Waste Management (1998), Enron (2001), Worldcom (2002), American Insurance Group (2005),
Lehman Brothers (2008), Bernard L. Mado Securities LLC (2008), MF Global (2011), Anthem Inc. (2015),
Wells Fargo (2016) y otros. El escándalo de la EFCA de 1973 condujo al desarrollo de una fuerte
regulación estatal y federal de las industrias de seguros y la contabilidad corporativa creativa en la
industria aeroespacial, que brindó apoyo a la Ley de Prácticas Corruptas en el Extranjero (FCPA) de
1977. Tal vez hoy, laLey Sarbanes-Oxley de 2002 (SOX)será un vívido recordatorio de la importancia del
debido cuidado profesional. SOX es un importante paquete de reformas, que ordena los cambios de
mayor alcance que el Congreso ha impuesto en el mundo empresarial desde la FCPA de 1977 y la
Comisión de Bolsa y Valores (SEC)Ley de 1934. Ejemplos de algunos de estos cambios significativos
incluyen la creación de unJunta de Supervisión Contable de Empresas Públicas,*así como el aumento
de las sanciones penales por violaciones a las leyes de valores. SOX se discutirá con más detalle en el
próximo capítulo.
* La PCAOB es una corporación sin fines de lucro instituida por el Congreso para supervisar las auditorías de las empresas públicas
a fin de proteger los intereses de los inversionistas y fomentar el interés público en la preparación de informes de auditoría
informativos, precisos e independientes. http://pcaobus.org/Pages/default.aspx.
Auditoría Financiera
La auditoría financiera abarca todas las actividades y responsabilidades relacionadas con la emisión de una opinión sobre la
razonabilidad de los estados financieros. Las reglas básicas que rigen las opiniones de auditoría indican claramente que la
alcancede una auditoría cubre todos los equipos y procedimientos utilizados en el procesamiento de datos significativos.
La auditoría financiera, tal como la lleva a cabo hoy el auditor independiente, fue impulsada por la legislación
de 1933 y 1934 que creó la SEC. Esta legislación exige que las empresas cuyos valores se vendieron públicamente
sean auditadas anualmente por un Contador Público Certificado (CPA). Los CPA, entonces, estaban encargados de
dar fe de la imparcialidad de los estados financieros emitidos por las empresas que informaban a la SEC. e AICPA
emitió en 1993 un documento denominado “Información sobre la estructura de control interno de una entidad
sobre la información financiera (Declaración sobre las normas para los compromisos de atestación 2)”para definir
aún más la importancia decontrol internoen elcompromiso de atestación.
Dentro de la profesión de CPA en los Estados Unidos, se han desarrollado dos grupos de principios y
normas que afectan la preparación de estados financieros por parte de empresas que cotizan en bolsa y los
procedimientos para su examen de auditoría por CPA rms:Principios de Contabilidad Generalmente
Aceptados (PCGA)yNormas de Auditoría Generalmente Aceptadas (GAAS).
GAAP establece lineamientos consistentes para los informes financieros de los gerentes corporativos.
Como parte del requisito de información, también se establecen normas para el mantenimiento de registros
financieros en los que se basan los estados periódicos. Un auditor, al emitir una opinión que indica que los
estados financieros se expresan correctamente, estipula que los estados financieros se ajustan a los GAAP.
Estos principios contables han sido formulados y revisados periódicamente por organizaciones del sector
privado establecidas para este propósito. El actual órgano de gobierno es elJunta de Normas de Contabilidad
Financiera (FASB).La implementación de GAAP es responsabilidad de la gerencia de la entidad que informa.
GAAS, el segundo grupo de estándares, fue adoptado en 1949 por AICPA para auditorías. Estas normas
de auditoría cubren tres categorías:
◾ Normas Generalesse relacionan con la competencia profesional y técnica,independencia,y el debido cuidado

profesional.
◾ Estándares de Trabajo de Campoabarcan la planificación, la evaluación del control interno, la
suficiencia de la evidencia o la evidencia documental en la que se basan los hallazgos.
◾ Normas de presentación de informesestipular el cumplimiento de todas las normas de auditoría aceptadas,
la coherencia con el período contable anterior, la idoneidad de la divulgación y, en caso de que no se pueda
llegar a una opinión, el requisito de expresar la afirmación de manera explícita.
Los GAAS proporcionan pautas generales, pero no una guía específica. La profesión ha complementado las
normas emitiendo declaraciones de pronunciamientos autorizados sobre auditoría. La más completa de ellas
es la serie SAS. Las publicaciones de SAS brindan orientación sobre procedimientos relacionados con muchos
aspectos de la auditoría. En 1985, AICPA publicó una codificación del SAS No. 1–49. Hoy, el número de
declaraciones supera las 120.
Un tercer grupo de normas, denominadoNormas Internacionales de Información Financiera (NIIF), ha
sido creado recientemente por elConsejo de Normas Internacionales de Contabilidad (IASB)*para responder
al creciente entorno empresarial global y abordar la necesidad de comparar estados financieros
* El propósito del IASB es desarrollar un conjunto único de estándares de información financiera de alta calidad, comprensibles,
exigibles y aceptados a nivel mundial, basados en principios claramente articulados.

preparados en diferentes países. El AICPA define las NIIF como el “conjunto de normas contables desarrolladas por
el IASB que se está convirtiendo en la norma mundial para la preparación de los estados financieros de las
empresas públicas”. Si bien muchas de las organizaciones globales ya han migrado a las NIIF, Estados Unidos aún
no lo ha hecho. Sin embargo, debido al tamaño de los Estados Unidos y su presencia significativa a nivel mundial,
los US GAAP todavía tienen un impacto global significativo. Esto da como resultado los dos mayores esfuerzos de
establecimiento de normas contables en el mundo: US GAAP e IFRS. Sin embargo, todas las naciones importantes
ahora han establecido líneas de tiempo para converger o adoptar los estándares IFRS en un futuro cercano.
Funciones de auditoría interna versus externa

Hay dos tipos de funciones de auditoría que existen en la actualidad. Tienen roles muy importantes para asegurar lavalidez
e integridad de los sistemas financieros de contabilidad y presentación de informes. Son las funciones de auditoría interna
y externa.
Función de Auditoría Interna
El IIA define la auditoría interna (IA) como “una entidad independiente y objetivagarantíay actividad de
consultoría diseñada para agregar valor y mejorar las operaciones de una organización”. IA brinda a las
organizaciones un enfoque sistemático y disciplinado para evaluar y mejorar sugestión de riesgos,procesos
de control y gobierno, así como para lograr sus metas y objetivos.
Los departamentos de IA suelen estar dirigidos por unDirector Ejecutivo de Auditoría (CAE),quien reporta
directamente alComité de AuditoríadelJunta Directiva.El CAE también reporta a la organizaciónDirector
Ejecutivo (CEO).El propósito principal de la función de IA es asegurar que los controles autorizados por la
administración se apliquen de manera efectiva. La función de AI, aunque no es obligatoria, existe en la
mayoría de las empresas privadas o entidades corporativas y en el gobierno (como los gobiernos federal,
estatal, del condado y de la ciudad). La misión, el carácter y la fuerza de una función de AI varían
ampliamente dentro del estilo de los altos ejecutivos y las tradiciones de las empresas y organizaciones. Las
auditorías de TI es una de las áreas de soporte para IA.
El grupo de IA, si cuenta con los recursos adecuados, realiza durante todo el año un seguimiento y
prueba de las actividades de TI dentro del control de la organización. De particular interés para las empresas
privadas es el procesamiento de datos y la generación de información de relevancia financiera o
materialidad.
Dado el gran papel que juega la gerencia en la efectividad de una función de AI, su preocupación por la
fiabilidady la integridad de la información generada por computadora a partir de la cual se toman las
decisiones es fundamental. En organizaciones donde la gerencia muestra y demuestra preocupación por los
controles internos, el papel del AI crece en estatura. A medida que la función de AI madura a través de la
experiencia, la capacitación y el desarrollo profesional, la función de auditoría externa y el público pueden
confiar en la calidad del trabajo del auditor interno. Con una buena gestión y personal de AI en constante
mejora, el Comité de Auditoría de la Junta Directiva no duda en asignar responsabilidades adicionales de
revisión, consulta y prueba al auditor interno. Estas responsabilidades suelen tener un alcance más amplio
que las del auditor externo.
Dentro de los Estados Unidos, los auditores internos de las agencias gubernamentales a menudo se reúnen e
intercambian experiencias a través de conferencias o foros. Por ejemplo, el Foro de Auditoría Intergubernamental
es un ejemplo de un evento en el que los auditores se reúnen de los entornos de la ciudad, el condado, el estado y
el gobierno federal para intercambiar experiencias y proporcionar nueva información sobre técnicas y métodos de
auditoría. El IIA también lleva a cabo una conferencia nacional que atrae a una población de auditores
de todo el mundo, tanto privados como gubernamentales, para compartir experiencias y discutir nuevos métodos y
técnicas de auditoría.
Función de Auditoría Externa
La función de auditoría externa evalúa la confiabilidad y la validez de los controles de sistemas en todas sus
formas. El objetivo principal de dicha evaluación es minimizar la cantidad de auditorías o pruebas
sustanciales de transacciones requeridas para emitir una opinión sobre los estados financieros.
Los auditores externos son proporcionados por empresas de contabilidad pública y también existen en el
gobierno. Por ejemplo, la Oficina de Responsabilidad Gubernamental (GAO) se considera un revisor externo porque
puede examinar el trabajo de organizaciones tanto federales como privadas donde se proporcionan fondos
federales. Los Vigilantes del Gasto del Congreso brindan un servicio al contribuyente al informar directamente al
Congreso sobre problemas de mala administración y controles deficientes. Curiosamente, en países extranjeros,
una Oficina del Inspector General o la Oficina del Auditor General dentro de ese país prepara funciones similares.
Además, la GAO ha sido un firme partidario de la Organización Internacional de Auditoría, que brinda capacitación y
orientación en auditoría gubernamental a sus miembros auditores internacionales que representan a los gobiernos
de todo el mundo.
Desde el punto de vista de una firma de contabilidad pública, firmas como Deloitte, Ernst & Young,
PricewaterhouseCoopers y KPMG (denominadas en conjunto como las "Cuatro Grandes") brindan este tipo de servicios de
auditoría externa en todo el mundo. El auditor externo es responsable de probar la confiabilidad de los sistemas de TI del
cliente y debe tener una combinación especial de habilidades y experiencia. Dicho auditor debe estar completamente
familiarizado con la auditoría.dar fefunción. La función de atestiguar abarca todas las actividades y responsabilidades
asociadas con la emisión de una opinión de auditoría sobre la razonabilidad de los estados financieros. Además de las
habilidades de contabilidad y auditoría involucradas en el desempeño de la función de certificación, estos auditores
externos también deben tener una experiencia sustancial en auditoría de TI. SOX ahora rige su función y los límites de los
servicios que se pueden ofrecer más allá de la auditoría.
¿Qué es la auditoría de TI?

Antes de definir qué es la auditoría de TI, expliquemos la diferencia entre SI y TI. Un SI, representado por tres
componentes (es decir, personas, procesos y TI), es la combinación de actividades estratégicas, gerenciales y
operativas involucradas en el manejo de la información. El componente de TI de un SI involucra el hardware,
el software, la comunicación y otras instalaciones necesarias para administrar (es decir, ingresar, almacenar,
procesar, transmitir y generar) dicha información. Consulte el Anexo 1.2.
El término auditoría, según ISACA, se refiere a la inspección y verificación formal para comprobar si se sigue un
estándar o un conjunto de pautas, si los registros son precisos o si se cumplen los objetivos de eficiencia y eficacia.
Al combinar las dos definiciones anteriores, la auditoría de TI se puede definir como laexamen formal,
independiente y objetivo de la infraestructura de TI de una organización para determinar si las actividades (p. ej.,
procedimientos, controles, etc.) involucradas en la recopilación, el procesamiento, el almacenamiento, la
distribución y el uso de la información cumplen con las pautas, protegen los activos y mantienen la integridad de
los datos y operar con eficacia y eficiencia para lograr los objetivos de la organización.La auditoría de TI
proporcionaGarantía razonable (nunca absoluta) que la información generada por las aplicaciones dentro de la
organización sea precisa, completa y apoye la toma de decisiones efectivas de acuerdo con la naturaleza y el
alcance del compromiso previamente acordado.
La auditoría de TI es necesaria para evaluar la idoneidad de los sistemas de aplicación para satisfacer las necesidades de
procesamiento, evaluar la idoneidad de los controles internos y garantizar que los activos controlados por esos sistemas estén
Estos implican estrategias,

gerenciales y opera-
actividades nacionales que
trabajan juntas para
recolectar, procesar,
Información
almacenar, distribuir y usar
sistemas
información
Tecnologías de la información
Gente Procesos integra hardware,

software, comunicación y
otras instalaciones para:
Ingresando almacenar Procesando Transmitiendo salida

datos datos datos datos datos
Figura 1.2 Sistemas de información versus tecnología de la información.
adecuadamente salvaguardado. En cuanto a los auditores de TI de hoy, sus conocimientos y habilidades avanzados
progresarán de dos maneras. Una dirección es el crecimiento continuo y la habilidad en esta profesión, liderando el
camino en la investigación y el desarrollo de auditorías informáticas y progresando en las trayectorias profesionales
de auditoría externa e interna. La otra dirección implica capitalizar un conocimiento profundo de los sistemas
organizacionales y pasar a áreas de carrera más responsables en la administración general. Hoy, incluso en estos
tiempos económicos, la demanda de auditores de TI calificados supera la oferta. El gobierno de TI ha creado
grandes oportunidades para el auditor de TI.
Aprender nuevas formas de auditoría es siempre una prioridad de los auditores de TI internos y externos. La mayoría
de los auditores quieren herramientas o metodologías de auditoría que les ayuden a realizar su tarea de forma más rápida
y sencilla. Casi todas las grandes organizaciones o empresas tienen algún tipo de función o taller de auditoría de TI que
involucra un departamento de auditoría interna. En la actualidad, las empresas de las “cuatro grandes” han designado
grupos especiales que se especializan en el campo de la auditoría de TI. Todos cuentan con personal que realiza estas
auditorías externas de TI. La mayoría de estos auditores de TI ayudan a los auditores financieros a establecer la exactitud
de los estados financieros de las empresas en las que auditan. Otros se enfocan en proyectos especiales como la seguridad
de Internet que se ocupa de estudios de penetración, evaluaciones de cortafuegos, puentes, enrutadores y configuraciones
de puertas de enlace, entre otros.
Hay dos grupos amplios de auditorías de TI, los cuales son esenciales para garantizar el funcionamiento
adecuado continuo de SI. estos son los siguientes:
◾ Auditoría General de Controles Informáticos.Examina los controles generales de TI ("controles generales" o

"ITGC"), incluidas las políticas y los procedimientos, que se relacionan con muchas aplicaciones y respalda el
funcionamiento efectivo de los controles de la aplicación. Los controles generales cubren la infraestructura
de TI y los servicios de soporte, incluidos todos los sistemas y aplicaciones. Controles generales
comúnmente incluyen controles sobre (1) operaciones de SI; (2) seguridad de la información (ISec); y (3) gestión de
control de cambios (CCM) (es decir, adquisición, cambio y mantenimiento del software del sistema, cambio de
programa y adquisición, desarrollo y mantenimiento del sistema de aplicación). Los ejemplos de controles generales
dentro de las operaciones de SI abordan actividades como copias de seguridad de datos y almacenamiento fuera
del sitio, monitoreo de trabajos y seguimiento de excepciones hasta su finalización y acceso al programador de
trabajos, entre otros. Ejemplos de controles generales dentro de las actividades de direcciones de ISec, como
solicitudes de acceso y administración de cuentas de usuario, terminaciones de acceso y seguridad física. Los
ejemplos de controles generales dentro de CCM pueden incluir aprobaciones de solicitudes de cambio;
actualizaciones de aplicaciones y bases de datos; y monitoreo de infraestructura de red, seguridad y gestión de
cambios.
◾ Auditoría de controles de aplicaciones.Examina los controles de procesamiento específicos de la aplicación.
Los controles de aplicaciones también pueden denominarse "controles automatizados". Se preocupan por la
exactitud, integridad, validez y autorización de los datos capturados, ingresados, procesados, almacenados,
transmitidos y reportados. Los ejemplos de controles de aplicación incluyen verificar la precisión matemática
de los registros, validar la entrada de datos y realizar verificaciones de secuencias numéricas, entre otros. Es
probable que los controles de aplicación sean efectivos cuando los controles generales son efectivos.
Consulte el Anexo 1.3 para ver una ilustración de los controles generales y de aplicación, y cómo deben
implementarse para mitigar los riesgos y salvaguardar las aplicaciones. Observe en la exposición que el sistema de
aplicación está constantemente rodeado de riesgos. Los riesgos están representados en la exposición por símbolos
de explosión. Estos riesgos pueden presentarse en forma de acceso no autorizado, pérdida o robo de equipos e
información, cierre del sistema, etc. Los controles generales, que se muestran en los símbolos hexagonales,
también rodean la aplicación y brindan un "escudo protector" contra los riesgos. Por último, están la aplicación o
los controles automatizados que residen dentro de la aplicación y brindan protección de primera mano sobre la
entrada, el procesamiento y la salida de la información.
Tendencias de auditoría de TI
La informática se ha vuelto indispensable para las actividades de las organizaciones en todo el mundo. El
marco de objetivos de control para la información y la tecnología relacionada (COBIT) fue creado en 1995 por
ISACA. COBIT, ahora en su quinta edición, enfatiza este punto y fundamenta la necesidad de investigar,
desarrollar, publicitar y promover objetivos de control de TI actualizados y aceptados internacionalmente. En
documentos anteriores, como el documento de discusión de 1993 “Niveles mínimos de habilidad en
tecnología de la información para contadores profesionales” y su informe final de 1992 “e Impacto de la
tecnología de la información en la profesión contable”, la Federación Internacional de Contadores (IFAC)
reconoce la necesidad de mejorar educación de nivel universitario para abordar las crecientes
preocupaciones y problemas de control de TI.
Los informes de robo de información, fraude informático, abuso de información y otras preocupaciones de
control relacionadas se escuchan con mayor frecuencia en todo el mundo. Las organizaciones son más conscientes
de la información, las personas están dispersas debido a la descentralización y las computadoras se usan más
ampliamente en todas las áreas del comercio. Debido a la rápida difusión de las tecnologías informáticas y la
facilidad de acceso a la información, se necesitan auditores de TI informados y bien capacitados para garantizar que
se implementen controles más efectivos para mantener la integridad de los datos y administrar el acceso a la
información. La necesidad de mejores controles sobre TI ha sido reflejada en el pasado por estudios anteriores
como el Comité AICPA de Organizaciones Patrocinadoras de la Comisión Treadway (COSO); Internacional
General
control S
Robo o "proteger
daño a escudo"
No autorizado hardware
modificación de
sensible
información
Terminal de acceso Pérdida/robo de
proceso de nación información

Físico
seguridad
implementar-
tación de
solicitud
Vigilancia/ cambios
seguimiento de
Solicitud
trabajo
(Solicitud o
excepciones automatizado
Sistema
control S) Cambio
choque
solicitud
aprobaciones
Fuera del sitio
almacenamiento
Cuenta
administración
Datos
respaldo
No autorizado
revelación de
Inadecuado confidencial
manual datos
intervención
No autorizado
Procesando
Figura 1.3 Relación entre los controles informáticos generales y los controles de aplicación.
Organización para la Estandarización (ISO) 17799 y 27000; el Informe de control y auditabilidad de los sistemas del
IIA; Directrices para la Seguridad de SI de la OCDE; el plan de estudios del Consejo del Presidente de EE. UU. sobre
Integridad y Eficiencia en la Capacitación en Auditoría Informática; y la Estrategia Nacional para Asegurar el
Ciberespacio de los Estados Unidos lanzada en 2002; entre otros.
El Comité Ejecutivo de Servicios de Garantía (ASEC) de AICPA es responsable de actualizar y
mantener los Principios y Criterios de los Servicios de Confianza (TSPC) y de crear un marco de
principios y criterios para garantizar la integridad de la información. TSPC presenta criterios para uso
de los profesionales al proporcionar certificación profesional oconsultivoservicios para evaluar los
controles pertinentes a los siguientes principios:
◾ Seguridad:El sistema está protegido contra accesos no autorizados (tanto físicos como lógicos).
◾ Disponibilidad:El sistema está disponible para su operación y uso según lo comprometido o acordado.
◾ Integridad del procesamiento:El procesamiento del sistema es completo, preciso, oportuno y autorizado.
◾ Confidencialidad:La información designada como confidencial se protege como comprometida o acordada.
◾ Privacidad:La información personal es recopilada, utilizada, retenida, divulgada y destruida de conformidad

con los compromisos del aviso de privacidad de la entidad y con los criterios establecidos en los principios de
privacidad generalmente aceptados emitidos por AICPA y CICA.
La teoría y las metodologías de la auditoría de TI se integran a partir de cinco áreas: una comprensión fundamental de los
negocios, la auditoría tradicional, la gestión de TI, la ciencia del comportamiento y las ciencias de TI. La comprensión y el
conocimiento del negocio son las piedras angulares del proceso de auditoría. La auditoría tradicional contribuye con el
conocimiento de las prácticas de control interno y la filosofía de control general dentro de una empresa comercial. La
gestión de TI proporciona las metodologías necesarias para lograr un diseño e implementación exitosos de los sistemas. La
ciencia del comportamiento indica cuándo y por qué es probable que falle la TI debido a los problemas de las personas. Las
ciencias de TI contribuyen al conocimiento sobre la teoría del control y los modelos formales que subyacen en los diseños
de hardware y software como base para mantener la integridad de los datos.
Desde que se formó ISACA, ha habido una creciente demanda de profesionales de auditoría de TI bien
capacitados y capacitados. publicación electrónicae Asociación de Auditores de EDP: e Primeros Veinticinco Años
documenta las primeras luchas de la asociación y la evolución de las prácticas de auditoría de TI en este campo.
El área de aseguramiento de la información también ha crecido y evolucionado. Los Estados Unidos, al aprobar la Ley
de Investigación y Desarrollo de Seguridad Cibernética, se comprometió con casi mil millones de dólares para el desarrollo
de planes de estudio, investigación y habilidades para los futuros profesionales necesarios en este campo.
Aseguramiento de información
Las organizaciones confían cada vez más en capacidades críticas de información electrónica digital para almacenar,
procesar y mover datos esenciales en la planificación, dirección, coordinación y ejecución de operaciones. Las
amenazas poderosas y sofisticadas pueden explotar las debilidades de seguridad en muchos de estos sistemas.
Subcontratacióndesarrollo tecnológico a países que podrían tener terroristas en su personal de desarrollo provoca
la especulación de que existe la posibilidad de que se implante un código que podría causar interrupciones,
estragos, malversación de fondos, robo, etc. Estas y otras debilidades que pueden ser explotadas se vuelven
vulnerabilidadesque pueden poner en peligro los componentes más sensibles de las capacidades de información.
Sin embargo, podemos emplear defensas profundas y en capas para reducir las vulnerabilidades y disuadir,
derrotar y recuperarnos de una amplia gama de amenazas. Desde una perspectiva de seguridad de la información,
las capacidades que debemos defender se pueden ver en términos generales en términos de cuatro elementos
principales: entornos informáticos locales, sus límites, las redes que los unen y su infraestructura de soporte. La
Estrategia Nacional de EE. UU. para Asegurar el Ciberespacio es una de esas iniciativas.
El término “garantía de la información” se define como la integridad de la información (el nivel de confianza que
se puede depositar en la información) y la disponibilidad del servicio. En todos los contextos, ya sea empresarial o
gubernamental, significa salvaguardar la recopilación, el almacenamiento, la transmisión y el uso de la información.
El objetivo final del aseguramiento de la información es proteger a los usuarios, las unidades comerciales y las
empresas de los efectos negativos de la corrupción de la información o la denegación de servicios. El Departamento
de Seguridad Nacional y las organizaciones de apoyo como la Agencia de Seguridad Nacional (NSA), la Oficina
Federal de Investigaciones (FBI) y la Agencia Central de Inteligencia (CIA) han trabajado para apoyar este objetivo.
A medida que se unen los SI de la nación y sus infraestructuras críticas (gobierno y empresas),
aumentan los puntos de entrada y exposición y, por lo tanto, aumentan los riesgos. e avance
tecnológico hacia comunicaciones de mayor ancho de banda y sistemas de conmutación avanzados
dieciséis◾Control y Auditoría de Tecnologías de la Información
ha reducido el número de líneas de comunicación y ha centralizado aún más las funciones de conmutación.
Los datos de la encuesta indican que el mayor riesgo de estos cambios no es ampliamente reconocido.
Desde el 11 de septiembre, las organizaciones de defensa de EE. UU., como la Agencia de Sistemas de
Información de Defensa, han realizado esfuerzos más coordinados para promulgar estándares para la
Infraestructura de Información de Defensa y la Red Global de Información, que deberían tener un impacto
positivo en la seguridad de la información que se extenderá más allá de la Departamento de Defensa de los
Estados Unidos e impactar todos los segmentos de la economía nacional. La NSA ha redactado y producido
estándares para el personal de seguridad de TI que no solo afectan a las agencias federales sino también a
las entidades corporativas que contratan servicios de TI en apoyo del gobierno federal. NIST, por ejemplo, ha
generado una guía de seguridad para el cumplimiento de la Ley de Portabilidad y Responsabilidad de
Seguros Médicos que impacta a la profesión médica y a todas las corporaciones/negocios que prestan
servicios en el campo de la salud y que manejan información médica. Un ejemplo similar incluye los
Estándares de seguridad de datos de la industria de tarjetas de pago (PCI DSS), mantenidos, administrados y
promovidos por el PCI Security Standards Council (Consejo) en todo el mundo. El Consejo fue fundado en
2006 por las principales empresas de tarjetas de crédito, como American Express, Discover, JCB International,
MasterCard y Visa, Inc. Estas empresas comparten por igual el gobierno, la ejecución y el cumplimiento del
trabajo del Consejo. PCI DSS se refiere a los requisitos técnicos y operativos aplicables específicamente a las
entidades que almacenan, procesan o transmiten datos de titulares de tarjetas,
Necesidad de auditoría de TI
Inicialmente, la auditoría de TI (anteriormente denominada procesamiento electrónico de datos [EDP], sistemas informáticos de
información [CIS] y auditoría de SI) evolucionó como una extensión de la auditoría tradicional. En ese momento, la necesidad de una
auditoría de TI provino de varias direcciones:
◾ Los auditores se dieron cuenta de que las computadoras habían afectado su capacidad para realizar la función de
atestación.
◾ La gerencia corporativa y de procesamiento de la información reconoció que las computadoras eran
recursos clave para competir en el entorno comercial y similares a otros recursos comerciales valiosos
dentro de la organización y, por lo tanto, la necesidad de control y auditabilidad era crítica.
◾ Las asociaciones y organizaciones profesionales y las entidades gubernamentales reconocieron la necesidad de

control y auditabilidad de TI.
Los primeros componentes de la auditoría de TI procedían de varias áreas. En primer lugar, la auditoría tradicional
contribuye con el conocimiento de las prácticas de control interno y la filosofía general de control. Otro contribuyente fue la
gestión de SI, que proporciona las metodologías necesarias para lograr un diseño e implementación exitosos de los
sistemas. El campo de la ciencia del comportamiento proporcionó tales preguntas y análisis sobre cuándo y por qué es
probable que los sistemas de información fracasen debido a los problemas de las personas. Finalmente, el campo de la
informática aporta conocimiento sobre los conceptos de control, la disciplina, la teoría y los modelos formales que
subyacen al diseño de hardware y software como base para mantener la validez, confiabilidad e integridad de los datos.
La auditoría de TI se convirtió en una parte integral de la función de auditoría porque respalda el juicio del auditor
sobre la calidad de la información procesada por los sistemas informáticos. Los auditores con habilidades de auditoría de TI
fueron vistos como el recurso tecnológico para el personal de auditoría. El personal de auditoría a menudo recurría a ellos
en busca de asistencia técnica. El papel del auditor de TI evolucionó para garantizar que
existen controles adecuados y apropiados. Por supuesto, la responsabilidad de garantizar que se

implementen controles internos adecuados recae en la gerencia. La función principal de la auditoría, excepto
en áreas de servicios de asesoramiento de gestión, es proporcionar una declaración de seguridad sobre si se
han implementado controles internos adecuados y confiables y si funcionan de manera eficiente y eficaz. El
rol de la administración es asegurar y el rol de los auditores es asegurar.
Hay varios tipos de necesidades dentro de la auditoría de TI, incluidas las auditorías de TI organizativas (control de
gestión sobre TI), las auditorías técnicas de TI (infraestructura, centros de datos, comunicación de datos) y las auditorías de
TI de aplicaciones (comerciales/financieras/operativas). También existen auditorías de TI de desarrollo/implementación
(fases de especificación/requisitos, diseño, desarrollo y posteriores a la implementación) y auditorías de TI de cumplimiento
que involucran estándares nacionales o internacionales.
Al auditar TI, la amplitud y profundidad del conocimiento requerido es extensa. Por ejemplo, la auditoría
de TI implica:
◾ Aplicación de enfoques de auditoría orientados al riesgo

◾ Uso de herramientas y técnicas de auditoría asistidas por computadora
◾ Aplicación de normas (nacionales o internacionales) como la ISO*para mejorar e implementar sistemas de

calidad en el desarrollo de software y cumplir con los estándares de seguridad de TI
◾ Comprensión de los roles y expectativas comerciales en la auditoría de sistemas en desarrollo,
así como en la compra de paquetes de software y gestión de proyectos.
◾ Evaluaciónde problemas de seguridad, confidencialidad, privacidad y disponibilidad de la información que pueden
poner en riesgo a la organización
◾ Examen y verificación del cumplimiento de la organización con cualquier problema legal relacionado con TI
que pueda poner en peligro o poner en riesgo a la organización
◾ Evaluación de ciclos de vida de desarrollo de sistemas complejos (SDLC) o nuevas técnicas de
desarrollo (es decir, creación de prototipos, computación de usuario final, sistemas rápidos o
desarrollo de aplicaciones)
◾ Informar a la gerencia y realizar una revisión de seguimiento para garantizar las acciones tomadas en el trabajo.
La auditoría de los protocolos de comunicaciones y TI generalmente involucra Internet, intranet, extranet,

intercambio electrónico de datos, servidores de clientes, redes de área local y amplia, comunicaciones de datos,
telecomunicaciones, tecnología inalámbrica, sistemas integrados de voz/datos/video, y el software y el hardware.
que soportan estos procesos y funciones. Algunas de las principales razones para iniciar una auditoría de TI
incluyen la mayor dependencia de la información por parte de las organizaciones, la tecnología que cambia
rápidamente con nuevos riesgos asociados con dicha tecnología y el soporte necesario para las auditorías de
estados financieros.
SOX también requiere la evaluación de los controles internos y lo hace obligatorio para las entidades
registradas en la SEC. Como parte del proceso para evaluar la efectividad de los controles internos sobre los
informes financieros, la gerencia debe considerar los controles relacionados con los SI (incluidas las tecnologías)
que respaldan los procesos comerciales y financieros relevantes. Estos controles se conocen como ITGC (o controles
generales de TI). Como se mencionó anteriormente, los ITGC son procesos, actividades y/o procedimientos de TI
que se realizan dentro del entorno de TI y se relacionan con la forma en que se desarrollan, mantienen,
administran, protegen, acceden y operan las aplicaciones y los sistemas. La figura 1.4 ilustra otras razones
principales para realizar auditorías de TI.
* Los ejemplos de estándares ISO incluyen ISO/IEC 27002, ISO/IEC 27000 e ISO 17799.
Para apoyar el funcionamiento eficaz de

Evaluar el aumento de sofisticados y controles de aplicación
programación “creativa”
Controlar y monitorear el crecimiento significativo de

Para apoyar las auditorías de estados financieros
hackers corporativos, ya sean internos
o externo
Para evaluar la integridad y exactitud de

información Para abordar la tecnología que cambia
rápidamente y los nuevos riesgos asociados
con tal tecnología
Para evaluar la integridad de la información y
seguridad de datos
Para identificar los controles que pueden abordar

riesgos específicos de TI
Para controlar el fácil acceso a las redes de la

organización desde la oficina y personal remoto
ordenadores Para auditar grandes cantidades de datos
Figura 1.4 Razones principales para realizar una auditoría de TI.
Gobernanza de TI
Ha habido muchos cambios en la forma en que las empresas abordan los problemas de TI, lo que ha dado
como resultado un enfoque renovado en los conceptos de gobierno de TI. directores ejecutivos,Directores de
Finanzas, Directores de Operaciones, Directores de Tecnología,yOficiales principales de informaciónacordar
los principios fundamentales del gobierno de TI, que se centran en la alineación estratégica entre TI y los
objetivos de la empresa. es, a su vez, crea cambios en la gestión operativa táctica y cotidiana de TI en la
organización.
El gobierno de TI es el proceso mediante el cual se dirige y controla la TI de una empresa. Como se definió
anteriormente, TI se refiere al hardware, software, comunicación y otras instalaciones utilizadas para ingresar,
almacenar, procesar, transmitir y generar datos en cualquier forma. El gobierno de TI eficaz ayuda a garantizar que
TI respalde los objetivos empresariales, maximice la inversión empresarial en TI y gestione adecuadamente los
riesgos relacionados con TI. El gobierno de TI también ayuda a garantizar el logro de los factores críticos de éxito al
implementar de manera eficiente y efectiva información segura y confiable y tecnología aplicada.
Debido a que la TI impacta la operación de toda una organización, todos dentro de la organización
deben tener un interés y un rol en el control de su uso y aplicación. Esta creciente conciencia ha llevado a las
organizaciones a reconocer que, si quieren aprovechar al máximo su inversión en TI y proteger esa inversión,
necesitan un proceso formal para gobernarla. Las razones para implementar un programa de gobierno de TI
incluyen:
◾ Aumento de la dependencia de la información y de los sistemas que la entregan

◾ Vulnerabilidades crecientes y un amplio espectro de amenazas
◾ Escala y costo de las inversiones actuales y futuras en información y SI
◾ Potencial de las tecnologías para cambiar drásticamente las organizaciones y las prácticas comerciales para
crear nuevas oportunidades y reducir costos
Mientras estos factores sigan siendo parte del negocio, habrá una necesidad de sistemas interdependientes y
efectivos de gobierno empresarial y de TI.
Una herramienta de gobierno de TI de estándar abierto que ayuda a los gerentes y auditores técnicos y
no técnicos a comprender y administrar los riesgos asociados con la información y la TI relacionada es
COBIT, desarrollado por el Instituto de Gobierno de TI y la Fundación de Auditoría y Control de Sistemas de
Información. COBIT es un marco integral de objetivos de control que ayuda a los auditores, gerentes y
ejecutivos de TI a cumplir con sus responsabilidades, comprender los sistemas de TI y decidir qué nivel de
seguridad y control es adecuado. COBIT proporciona un conjunto internacional autorizado de prácticas de TI
generalmente aceptadas para gerentes comerciales y auditores. COBIT se analiza en el Capítulo 3.
Papel del auditor de TI

El auditor que evalúa los sistemas complejos de hoy debe tener habilidades técnicas altamente desarrolladas para
comprender los métodos en evolución del procesamiento de la información. Los sistemas contemporáneos conllevan
riesgos tales como plataformas no compatibles, nuevos métodos para penetrar la seguridad a través de las redes de
comunicación (por ejemplo, Internet) y la rápida descentralización del procesamiento de la información con la consiguiente
pérdida de controles centralizados.
A medida que crece el uso de TI en las organizaciones, la auditoría de los sistemas computarizados debe
realizarse sin muchas de las pautas establecidas para el esfuerzo de auditoría tradicional. Además, los nuevos usos
de TI introducen nuevos riesgos, que a su vez requieren nuevos controles. Los auditores de TI se encuentran en una
posición única para evaluar la relevancia de un sistema en particular para la empresa en su conjunto. Debido a esto,
el auditor de TI a menudo juega un papel en la toma de decisiones de la alta gerencia.
El papel del auditor de TI se puede examinar a través del proceso de gobierno de TI y los estándares
existentes de práctica profesional para esta profesión. Como se mencionó anteriormente, el gobierno de TI
es una participación organizacional en la gestión y revisión del uso de TI para lograr las metas y objetivos
establecidos por la organización.
Auditor de TI como Consejero
En el pasado, los usuarios han renunciado a la responsabilidad de controlar los sistemas informáticos, principalmente
debido a las barreras psicológicas que rodean a la computadora. Como resultado, existen pocos controles y contrapesos, a
excepción del auditor de TI. Los auditores de TI deben desempeñar un papel activo para ayudar a las organizaciones a
desarrollar políticas, procedimientos, estándares y/o mejores prácticas sobre la protección de la información, la
auditabilidad, el control, las pruebas, etc. Una buena política de seguridad de la información, por ejemplo, puede incluir:
◾ Especificación de las características de seguridad requeridas
◾ Definición de "expectativas razonables" de privacidad con respecto a cuestiones como el seguimiento de las actividades de las
personas.
◾ Denegar los derechos y privilegios de acceso y proteger los activos de pérdidas, divulgaciones o daños mediante la
especificación de pautas de uso aceptables para los usuarios
◾ Proporcionar pautas para las comunicaciones externas (redes)
◾ Definición de responsabilidades de todos los usuarios
◾ Establecer confianza a través de una política de contraseñas efectiva

◾ Especificación de procedimientos de recuperación
◾ Requerir que se registren las violaciones

◾ Reconociendo que los propietarios, custodios y clientes de la información deben denunciar las
irregularidades y proteger su uso y difusión
◾ Proporcionar a los usuarios información de soporte.
e SANS Institute proporciona plantillas generales de políticas de seguridad de la información en su sitio web, que se
pueden descargar y son un gran punto de partida para cualquier organización. Una buena política de seguridad
informática variará para cada organización, corporación o individuo dependiendo de las necesidades de seguridad.
Una política de seguridad de la información no garantizará la seguridad de un sistema ni hará que la red esté
completamente a salvo de posibles ataques del ciberespacio. Sin embargo, una política de seguridad, con la ayuda
de productos de seguridad efectivos y un plan de recuperación, puede ayudar a enfocar las pérdidas potenciales a
niveles considerados "aceptables" y minimizar la filtración de información privada. El auditor de TI es parte de un
equipo institucional que ayuda a crear una gobernanza compartida sobre el uso, la aplicación y la garantía de TI
dentro de la organización.
El personal de auditoría de TI en una gran corporación puede hacer una contribución importante al control del sistema
informático al persuadir a los grupos de usuarios para que insistan en una política de pruebas exhaustivas para todos los sistemas
nuevos y todos los cambios en los sistemas existentes. Al revisar los resultados del caso base, los grupos de usuarios pueden
controlar la precisión de los sistemas nuevos o modificados al realizar una función de control completa. Los auditores deben
convencer a los usuarios y al personal de TI de la necesidad de un entorno de TI controlado.
Insistir en que todos los sistemas nuevos se revisen en puntos de control predeterminados a lo largo del ciclo de vida de
desarrollo del sistema también puede mejorar el control de TI. La perspectiva de la revisión de auditoría debería impulsar tanto a los
usuarios como a los grupos de sistemas a definir sus objetivos y suposiciones con más cuidado. Aquí, también, los auditores de TI
pueden extender sutilmente su influencia.
Auditor TI como Socio de la Alta Dirección

Aunque las funciones de consejero y técnico calificado del auditor de TI son vitales para el funcionamiento exitoso
de la empresa, pueden ser irrelevantes si el auditor no ve la auditoría en relación con la organización como un todo.
Un sistema que parece estar bien controlado puede ser inconsistente con la operación de un negocio.
Las decisiones relativas a la necesidad de un sistema pertenecían tradicionalmente a la gerencia, pero debido a
una combinación de factores (principalmente la tecnología compleja de la computadora), las auditorías del sistema
informático no se realizaron con éxito. Al asignar fondos para nuevos sistemas, la gerencia ha tenido que confiar en
el juicio del personal informático. Aunque sus elecciones de sistemas informáticos nuevos y más efectivos no
pueden fallar, el personal informático a menudo no ha logrado satisfacer las verdaderas necesidades comerciales
de la organización.
La gerencia necesita el apoyo de un personal informático capacitado que comprenda los requisitos de la organización,
y los auditores de TI están en condiciones de proporcionar esa información. Pueden proporcionar a la gerencia una
evaluación independiente del efecto de las decisiones de TI en el negocio. Además, el auditor de TI puede verificar que se
hayan considerado todas las alternativas para un proyecto determinado, que todos los riesgos se hayan evaluado con
precisión, que las soluciones técnicas de hardware y software sean correctas, que se satisfagan las necesidades comerciales
y que los costos sean razonables.
Auditor de TI como investigador
Como resultado del aumento de la legislación y el uso de pruebas informáticas en los tribunales, la capacidad de capturar y
documentar la información generada por computadora relacionada con la actividad delictiva es fundamental para los fines
del enjuiciamiento. e conocimiento y uso de herramientas y técnicas asistidas por computadora en
realizar trabajo de apoyo forense ha brindado nuevas oportunidades para el auditor de TI, el personal de seguridad
de TI y aquellos dentro de la aplicación de la ley y la investigación. Para el profesional de auditoría de TI, informática
forensees un campo emocionante y en desarrollo. El auditor de TI puede trabajar en el campo de la informática
forense o trabajar codo a codo con un especialista en informática forense, proporcionando información sobre un
sistema o red en particular. Los especialistas pueden hacer preguntas relacionadas con el sistema a los
profesionales de auditoría de TI y obtener respuestas más rápido que tener que investigar y resolver todo por su
cuenta. Aunque el especialista está altamente capacitado y puede adaptarse a casi cualquier sistema o plataforma,
la colaboración puede hacer que el trabajo del especialista forense y el profesional de TI sea más fácil y eficiente.
Desde su nacimiento a principios de la década de 1970, la informática forense ha evolucionado continuamente hasta
convertirse en lo que ahora es un campo muy amplio. Las nuevas tecnologías y las mejoras en los protocolos están permitiendo a
los ingenieros y desarrolladores crear hardware, software y herramientas más estables y robustos para que los especialistas los
utilicen en investigaciones criminales relacionadas con la informática. A medida que las computadoras se vuelven más avanzadas y
más abundantes, también lo hacen las actividades delictivas. Por lo tanto, el nicho de la informática forense también está en
constante progresión junto con los avances tecnológicos de las computadoras.
Auditoría de TI: la profesión

Con la aprobación de la Ley de Seguridad Nacional, la Ley Patriota y SOX, el papel del auditor (interno y
externo) es más crítico para la verificación y validación de la infraestructura financiera. La profesión de
auditoría de TI puede exponer a una persona a la forma en que fluye la información dentro de una
organización y dar a sus miembros la capacidad de evaluar su validez, confiabilidad y seguridad. La auditoría
de TI involucra personas, tecnología, operaciones y sistemas. Es una profesión dinámica y desafiante con un
futuro que genera crecimiento en nuevas áreas, como la seguridad de TI y la informática forense, por
nombrar algunas.
Hoy en día, los auditores de TI interactúan con gerentes, usuarios y técnicos de todas las áreas de la
mayoría de las organizaciones. Deben tener habilidades interpersonales para interactuar con múltiples
niveles de personal y habilidades técnicas para comprender la variedad de tecnología utilizada en la actividad
de procesamiento de información, especialmente la tecnología utilizada para generar y/o procesar la
información financiera de la empresa (por ejemplo, estados financieros, etc.). El auditor de TI también debe
comprender y familiarizarse con el entorno operativo para evaluar la efectividad delestructura de control
interno.Finalmente, el auditor de TI debe comprender las complejidades tecnológicas de los sistemas
existentes y futuros y el impacto que tienen en las operaciones y decisiones en todos los niveles.
La auditoría de TI es una profesión relativamente nueva y las oportunidades de empleo están presentes en
todos los sectores de la industria privada, la contabilidad pública y el gobierno en todo el mundo. Una profesión es
más que una ocupación. Una profesión tiene ciertas características especiales, que incluyen un conjunto común de
conocimientos, certificaciones, educación continua, asociaciones profesionales y normas éticas, y un currículo
educativo.
Un cuerpo común de conocimientos

Desde 1975, se han realizado varios estudios que identifican un cuerpo común de conocimientos para la
profesión de auditoría de TI. Un cuerpo común de conocimiento consta de áreas claramente identificadas en
las que una persona debe alcanzar un nivel específico de comprensión y competencia necesarios para
ejercer con éxito dentro de la profesión. Estas áreas se clasifican en áreas centrales. Organizaciones como
ISACA, AICPA, IIA, CICA, ISSA, InfoSec y otras en todo el mundo han emitido importantes
estudios y trabajos sobre el tema de los conocimientos, habilidades y destrezas necesarios para auditar sistemas
informáticos. Los estudiantes, especialmente los que tienen especializaciones en negocios e informática, reciben un
grado de capacitación de nivel básico en (1) conceptos y prácticas de auditoría; (2) conceptos y prácticas de gestión;
(3) sistemas informáticos, telecomunicaciones, operaciones y software; (4) técnicas de procesamiento de
información por computadora; y (5) comprensión de los negocios a escala local e internacional. Estas son algunas
de las principales áreas centrales de competencia identificadas por varios estudios independientes para el individuo
que ingresa al campo de auditoría, control y seguridad de TI.
Certificación
La certificación es un componente vital de una profesión. Mientras se prepara para ingresar a su profesión,
ya sea contabilidad, SI u otros campos comerciales, la certificación será la medida de su nivel de
conocimiento, habilidades y destrezas en la profesión. Por ejemplo, el logro de la designación de CPA es un
hito importante en la carrera del contador en ejercicio. En la auditoría de TI, el Certificado de Auditor de
Sistemas de Información (CISA) es uno de los principales niveles de reconocimiento y logro. Existen ciertos
requisitos para que los candidatos obtengan la certificación CISA, tales como:
◾ Aprobar un riguroso examen escrito.

◾ Acreditar un mínimo de 5 años de experiencia laboral profesional en auditoría, control o
seguridad de SI
◾ Cumplir con el Código de Ética Profesional de ISACA y los Estándares de Auditoría de Sistemas de
Información adoptados por ISACA
◾ Aceptar cumplir con la Política de Educación Continua de CISA
El examen CISA cubre áreas (o dominios) dentro del proceso de auditoría de SI; gobierno y gestión de
TI; adquisición, desarrollo e implementación de SI; Gestión de operaciones, mantenimiento y servicios
de SI; y la protección de los activos de información. Para nosotros, la educación universitaria juega un
papel importante en proporcionar las bases para el proceso de certificación. Otras licencias y
certificaciones relevantes para el auditor de TI incluyen las siguientes: CPA, Contador público
certificado (CA), Auditor interno certificado (CIA), Profesional informático certificado (CCP), Gerente
financiero gubernamental certificado (CGFM), Profesional de seguridad de sistemas de información
certificado ( CISSP), Gerente Certificado de Seguridad de la Información (CISM), Certificado en Control
de Riesgos y Sistemas de Información (CRISC), Profesional Certificado en Tecnología de la Información
(CITP) de AICPA y Examinador de Fraude Certificado (CFE).
La certificación es importante y una medida del logro de habilidades dentro de la profesión. La obtención de
más de una certificación mejorará sus conocimientos, habilidades y capacidades dentro del dominio de la auditoría.
La competencia en la aplicación de habilidades proviene de la experiencia y la educación continua. Los cambios
dinámicos en los negocios (comercio), la TI y los eventos mundiales continúan dando forma al futuro de esta
apasionante profesión.
Educación continua
La certificación requiere educación continua para que aquellos que están certificados mantengan un nivel de
competencia y continúen con su certificación. La educación continua es un elemento importante para el crecimiento
profesional. A medida que los graduados ingresen a su profesión, descubrirán que su educación académica es la
base para el desarrollo continuo de conocimientos, habilidades y destrezas que mejoran su carrera. Existe un
requisito de educación continua para apoyar el programa CISA. El auditor de TI de la
el futuro se enfrentará constantemente a cambios con respecto a los sistemas existentes y la dinámica del
entorno (es decir, reorganización, nueva tecnología, cambio operativo y requisitos cambiantes).
La amplitud y profundidad del conocimiento requerido para auditar TI es extensa. Por ejemplo, la auditoría de
TI implica la aplicación de enfoques de auditoría orientados al riesgo; el uso de herramientas y técnicas de auditoría
asistidas por computadora (por ejemplo, EnCase, CaseWare, Idea, ACL, Guardant, eTrust, CA-Examine, etc.); la
aplicación de estándares nacionales o internacionales (es decir, ISO 9000/3, ISO 17799, ISO 27000 y enmiendas
relacionadas para mejorar e implementar sistemas de calidad en el desarrollo de software); la auditoría de sistemas
en desarrollo que involucren SDLC complejo o nuevas técnicas de desarrollo (por ejemplo, creación de prototipos,
computación de usuario final, desarrollo rápido de sistemas, etc.); y la auditoría de tecnologías complejas que
implican el intercambio electrónico de datos, servidores de clientes, redes locales y de área amplia, comunicaciones
de datos, telecomunicaciones y sistemas integrados de voz/datos/video.
Debido a que el entorno organizacional en el que opera el auditor de TI es dinámico, es importante que
se entiendan los nuevos desarrollos en la profesión para que puedan aplicarse adecuadamente. Para
nosotros, el requisito de educación continua ayuda al CISA a adquirir nuevos conocimientos y habilidades
para brindar la opinión profesional más informada. Los cursos y programas de capacitación son ofrecidos
por una amplia variedad de asociaciones y organizaciones para ayudarlos a mantener las habilidades
necesarias que necesitan para continuar mejorando y evolucionando. Los métodos para recibir dicha
capacitación pueden incluso ser globales con videoconferencias y teletrabajo e Internet jugando un papel
importante en la entrega de capacitación.
Asociaciones profesionales y normas éticas

Como gerente de cualquier nivel, uno debe recordar que los auditores, ya sean internos o externos, tienen
estándares de práctica que deben seguir. Al igual que los profesionales de TI, los auditores pueden
pertenecer a una o más asociaciones profesionales y tener un código de ética y estándares profesionales de
prácticas y orientación que los ayuden a realizar sus revisiones y auditorías. Si se ve que no realizan su
trabajo de acuerdo con los "estándares de la práctica" de su profesión, saben que podrían estar expuestos a
una posible demanda o incluso ser "descertificados". Algunas de las organizaciones que produjeron dichos
estándares de práctica son AICPA, IIA, IFAC, CICA, GAO e ISACA.
ISACA, creada en 1969, es la asociación profesional líder en gobierno, aseguramiento, seguridad y
control de TI en la actualidad. ISACA:
◾ proporciona conocimiento y educación en áreas como garantía de SI, seguridad de la información, gobierno
empresarial, gestión de riesgos de TI y cumplimiento.
◾ Ofrece certificaciones/designaciones mundialmente conocidas, como CISA, CISM, Certied in
the Governance of Enterprise IT (CGEIT) y Certied in Risk y CRISC.
◾ desarrolla y actualiza con frecuencia los estándares internacionales de auditoría y control de SI, como el
estándar COBIT. COBIT ayuda tanto a los auditores de TI como a la administración de TI en el desempeño de
sus funciones y responsabilidades diarias en las áreas de aseguramiento, seguridad, riesgo y control, y
brinda valor al negocio.
Para actuar como auditor, se debe tener un alto nivel de ética moral. términoauditores latín para alguien que
escucha quejas y toma decisiones o actúa como un juez. Para actuar como juez, uno definitivamente debe
ser moralmente ético o se frustra el propósito. La ética es una base muy importante para nuestra cultura en
su conjunto. Si el auditor pierde el favor en esta área, es casi imposible recuperar la confianza que el auditor
alguna vez tuvo con la dirección de auditoría y los auditados. Ya sea que un auditor sea ético al principio o
no, todos deben comenzar con la misma cantidad de confianza y buen favor del cliente o
auditado. Si el vínculo no se rompe, el auditor establece un buen nombre como alguien en quien se puede
confiar con material sensible.
En la economía mundial actual, la confianza es una palabra desconocida. Nadie puede confiar en nadie en estos días y
por esta razón es imperativo que la alta ética esté en lo más alto de la lista de temas a tratar por parte del gerente con los
nuevos equipos de auditoría. Los tiempos están cambiando y también los clientes que solicitan servicios de auditoría. La
mayoría de los gerentes afirmarán que aprecian este aspecto llamado ética porque los distingue de otros que no lo tienen.
Por ejemplo, digamos que un presupuesto requiere varias horas. No es ético anotar las horas no
trabajadas. Tampoco es ético pasar por alto algo durante la auditoría porque el cliente dice que no es
importante. Existe una fina línea entre lo que es ético y lo que es legal. Algo puede ser éticamente incorrecto
pero aún legal. Sin embargo, dicho esto, algunas cosas que inicialmente se pensaba que no eran éticas se
vuelven ilegales con el tiempo. Si hay una población lo suficientemente grande que se opone a algo
éticamente incorrecto, se introducirá una legislación para hacerlo ilegal.
Cuando los auditores de TI obtienen su certificación CISA, también se suscriben a un Código de Ética
Profesional. Este código se aplica no solo a la conducta profesional sino también a la conducta personal de los
auditores de TI. El código en realidad no está en conflicto con los códigos de ética de otros dominios relacionados
con la auditoría/garantía (p. ej., IIA, AICPA, etc.). Requiere que se respeten las normas de ISACA, se mantenga la
confidencialidad, se informe cualquier actividad ilegal o impropia, se mantenga la competencia del auditor, se
utilice el debido cuidado en el curso de la auditoría, se comuniquen los resultados del trabajo de auditoría y se
mantienen altos estándares de conducta y carácter.
Currículos Educativos
La auditoría de TI es una profesión con conducta, objetivos y cualidades que se caracterizan por estándares técnicos
y éticos mundiales. Requiere conocimientos especializados y, a menudo, una preparación académica larga e
intensiva. La mayoría de las sociedades profesionales de contabilidad, auditoría y TI creen que las mejoras en la
investigación y la educación definitivamente proporcionarán una "base de conocimientos teóricos y empíricos
mejor desarrollados para la función de auditoría de TI". Sienten que se debe poner énfasis en la educación obtenida
a nivel universitario.
Las comunidades académicas tanto en los Estados Unidos como en el extranjero han comenzado a incorporar partes
del cuerpo común de conocimientos y los dominios del examen CISA en los cursos que se imparten a nivel universitario.
Varios estudios recientes indican el crecimiento de los cursos de auditoría informática que surgen en los planes de estudios
universitarios en todo el mundo.
Varias universidades han desarrollado planes de estudios adaptados para apoyar la profesión de auditoría de
TI. Aunque los planes de estudios de estas universidades evolucionan constantemente, actualmente existen en
instituciones como la Universidad de Bentley (Massachusetts), la Universidad Estatal de Bowling Green (Ohio), la
Universidad Politécnica del Estado de California, la Universidad de Mississippi, la Universidad de Texas, la
Universidad Estatal de Georgia, la Universidad de Maryland , Universidad de Tennessee, Universidad Tecnológica
Nacional (Argentina), Universidad de Columbia Británica (Canadá), Universidad de York (Canadá) y la Universidad de
Ciencia y Tecnología de Hong Kong, entre otras. Los graduados de estos programas califican para 1 año de
experiencia laboral hacia su certificación CISA.
Un plan de estudios modelo para la educación de pregrado y posgrado en SI y educación en auditoría de TI se
publicó inicialmente en marzo de 1998 y se actualizó en 2004, 2009 y 2011 por la Asociación y Fundación de
Auditoría y Control de SI. El propósito del Modelo es proporcionar a los colegios, universidades y/o instituciones
educativas las herramientas necesarias para educar a los estudiantes y prepararlos para ingresar a la profesión de
auditoría de TI. La educación a través del modelo se enfoca en los componentes fundamentales del curso de
auditoría y control de TI, y se mantiene al día con el rápido ritmo de la tecnología.
cambio. Dicha educación también está en línea con los eventos recientes, las regulaciones gubernamentales y los cambios
en los procesos comerciales, todo lo cual ha afectado el rol de la auditoría de TI y las metodologías utilizadas por los
auditores de TI.
Perfil del auditor de TI: experiencia y habilidades

Imprescindible experiencia en auditoría informática. Nada en este mundo se puede comparar con las experiencias reales
en el trabajo y en el mundo real. La teoría también es valiosa y, en su mayor parte, un auditor de TI debe basarse en la
teoría para avanzar en una auditoría. Por ejemplo, si los auditores de TI desean demostrar su nivel de compromiso y
conocimiento del campo, pueden seleccionar un área para ser probada. Existe una serie de certificaciones profesionales
que pueden beneficiar al auditor. En el área de auditoría de TI, por ejemplo, para aprobar el examen CISA, se debe conocer,
comprender y ser capaz de aplicar la teoría de la auditoría de TI moderna a todas las preguntas del examen. Hay otras
licencias y certificaciones relevantes, como se mencionó anteriormente, que pueden ser muy útiles para la carrera y los
planes futuros de un auditor de TI.
La comprensión de la teoría es definitivamente esencial para el éxito del auditor de TI. Sin embargo, la teoría sólo
puede tomar uno hasta ahora. Este libro de texto y otros disponibles deben verse como una guía. En este campo, debido a
la complejidad y situación de la tecnología, llega un momento en que un auditor de TI tiene que apoyarse en la experiencia
para enfrentarse a una situación nueva, nunca antes encontrada. La experiencia en el campo es una ventaja definitiva, pero
tener experiencia en una variedad de otros campos a veces puede ser más beneficioso. Por ejemplo, un gerente de
auditoría de TI que trabaja para una firma de contabilidad pública Big Four estará expuesto a una amplia variedad de
situaciones y escenarios de auditoría de TI. Dicha experiencia ayudará a ampliar los horizontes y aumentar el conocimiento
en el campo de la auditoría de TI. Otro ejemplo sería un supervisor de auditoría interna que haya realizado auditorías de
cumplimiento y centradas en el riesgo para todos los departamentos dentro de una organización. Esta amplia experiencia
no es más que una ventaja y probablemente permitirá que el auditor agregue un valor significativo y superior a las
operaciones de la organización.
El ingreso directo a la profesión, como es la situación actual, puede cambiar con los requisitos de nivel de
entrada, incluida la experiencia en procesos comerciales, sistemas y tecnología, así como un conocimiento
sólido de la teoría general de auditoría complementado con experiencia práctica. Además, los auditores de TI
pueden requerir experiencia en industrias específicas, como banca, telecomunicaciones, transporte o
finanzas y seguros para abordar adecuadamente los problemas de tecnología/negocios específicos de la
industria. Este libro proporciona información actual y enfoques de este campo complejo, que puede ayudar a
los profesionales y aquellos que deseen aprender más.
La experiencia viene con el tiempo y la perseverancia, como es bien sabido, pero los auditores no deben
limitarse a una sola industria, software o sistema operativo. Deben desafiarse a sí mismos y ampliar sus
horizontes con una multitud de exposición en diferentes entornos, si es posible. Cuanto más amplio y
completo sea el auditor de TI, mayores serán las posibilidades de una exitosa carrera de auditoría.
Además de la experiencia, los auditores de TI efectivos deben poseer una variedad de habilidades que les
permitan agregar valor a sus organizaciones o clientes. La experiencia técnica ni la capacitación no necesariamente
preparan completamente a los auditores para las habilidades de comunicación y negociación que se requieren para
el éxito.
Muchas de las habilidades no técnicas o complementarias están relacionadas con la recopilación de información y, de
importancia comparable, la presentación de información a las personas. Como tales, estas habilidades complementarias
son fácilmente transferibles a otras disciplinas, por ejemplo, finanzas, administración y marketing. El producto final que
crean los auditores es un informe de auditoría. Si la información contenida en el informe de auditoría no se entrega de
manera efectiva y eficiente a través de sólidas habilidades de comunicación oral y escrita, todo el valor que se devenga de
laproceso de auditoríapotencialmente podría perderse.
Tener un conjunto diverso de habilidades complementarias o "suaves" nunca está de más cuando uno está trabajando
con un auditado.Por ejemplo, una auditora sénior de TI estaba realizando recientemente una auditoría en la que se
enfrentó a un cliente/auditado que no cooperaba mucho. Durante el proceso de interrogatorio, el auditor sénior de TI
estableció una relación con el cliente mediante el uso de habilidades interpersonales o "habilidades blandas". El papel de
un auditor no es fácil cuando se nos pide que revisemos, cuestionemos y evalúemos el trabajo de otros. Muchas veces, el
auditado debe tener una comprensión clara de nuestro rol y que el enfoque del auditor no es ser crítico con el individuo
sino con las políticas, procedimientos y procesos de la organización. Los objetivos de la auditoría se centran tanto en las
metas como en los objetivos de la organización.
Oportunidades profesionales
Hay una serie de oportunidades de carrera disponibles para el individuo que busca una oportunidad en auditoría de TI.
Para el graduado universitario con el conocimiento, las destrezas y las habilidades de nivel de entrada apropiados, esta
carrera ofrece muchos caminos para el crecimiento y el desarrollo. Además, a medida que se desarrolla y progresa una
carrera, la auditoría de TI también puede brindar movilidad a otras áreas. Los auditores de TI de hoy son empleados por
empresas de contabilidad pública, industrias privadas, empresas de consultoría de gestión y el gobierno.
Firmas de contadores públicos
Las empresas de contabilidad pública ofrecen a las personas la oportunidad de ingresar al campo de la auditoría de TI.
Aunque estas firmas pueden requerir que dichas personas comiencen sus carreras en auditorías financieras para adquirir
experiencia en la comprensión de las metodologías de auditoría de la organización, después de la experiencia inicial de
auditoría, la persona que exprese interés en una especialización particular (por ejemplo, análisis forense, seguridad, etc.)
será transferida a dicha especialidad para su posterior formación y desarrollo profesional. Muchos de los que han tomado
esta carrera profesional han tenido éxito y varios se han convertido en socios, directores o directores dentro de la rma. Las
fuentes primarias para la mayoría de las firmas de contadores públicos son el reclutamiento y el desarrollo dentro de la
universidad. Sin embargo, no es raro que una empresa contrate personal externo para obtener conocimientos
especializados (por ejemplo, informática forense, telecomunicaciones, sistemas de bases de datos, etc.).
Industria privada
Al igual que las empresas de contabilidad pública, la industria privada ofrece puestos profesionales de auditoría de TI de
nivel de entrada. Además, los auditores de TI obtienen experiencia en áreas más especializadas (es decir,
telecomunicaciones, software de sistemas y diseño de sistemas), lo que puede convertirlos en candidatos para puestos de
operaciones de TI, análisis forense de TI y seguridad de TI. Muchos directores ejecutivos ven la experiencia de auditoría
como una función de capacitación gerencial. El auditor de TI tiene fortalezas particulares de formación académica,
experiencia práctica con SI corporativo y comprensión de la toma de decisiones ejecutiva. Algunas empresas han hecho
una distinción entre auditores de TI y auditores operativos y financieros. Otros requieren que todos los auditores internos
sean capaces de auditar los sistemas de TI. Las fuentes de personal para la función de auditoría de TI dentro de una
empresa generalmente pueden provenir de reclutamiento universitario, transferencias internas, promociones,
Empresas de consultoría de gestión
Otra área de oportunidad para el personal de auditoría de TI es la consultoría de gestión. Esta área de carrera
generalmente está disponible para auditores de TI con varios años de experiencia. Muchas consultorías de gestión
prácticas, especialmente aquellas que brindan servicios en el entorno informático de SI, contratan auditores de TI
experimentados. Esta trayectoria profesional permite a estos candidatos utilizar sus conocimientos, habilidades y
destrezas particulares para diagnosticar una variedad de problemas informáticos y de gestión de la información y
luego ayudar a la organización a implementar las soluciones. Los recursos habituales para tales puestos son
personal experimentado de firmas de contabilidad pública CPA, industrias privadas y el gobierno. El análisis forense
de TI es otra área en crecimiento en los servicios de consultoría de gestión.
Gobierno
El gobierno ofrece otra vía para que uno adquiera experiencia en auditoría de TI. En los Estados Unidos, los gobiernos
federal, estatal, del condado y de la ciudad emplean personal para llevar a cabo las responsabilidades relacionadas con la
auditoría de TI. Las organizaciones federales como la NSA, el FBI, el Departamento de Justicia y la CIA emplean personal
que tiene experiencia en auditoría de TI, experiencia en seguridad informática y experiencia en análisis forense de TI. Los
gobiernos de todo el mundo también emplean personal para realizar auditorías de TI.
Los cargos gubernamentales ofrecen capacitación y experiencia al personal responsable de realizar funciones de
auditoría de TI. Las fuentes para los auditores de TI del gobierno son los reclutas universitarios y los empleados que buscan
una promoción o transferencia interna. Hay ocasiones en las que también se pueden contratar recursos experimentados
del exterior.
Conclusión
Las operaciones comerciales están cambiando a un ritmo acelerado debido a la rápida mejora continua de la
tecnología. La tecnología ha impactado varias áreas del entorno comercial, incluido el uso y procesamiento de la
información, los procesos de control existentes y cómo se realizan las auditorías para sacar conclusiones sobre la
eficacia, la eficiencia y la integridad de los informes operativos o del sistema. También se observa que la tecnología
cambia constantemente e identifica formas de dar forma a los entornos de TI actuales en la organización. Se
describieron varias tecnologías recientes que han revolucionado y ciertamente seguirán revolucionando las
organizaciones, en particular la forma en que se hacen negocios y la dinámica del lugar de trabajo.
Debido a los grandes fraudes y escándalos corporativos y contables, la profesión de auditoría, tanto interna
como externa, ahora mira seriamente la falta de controles en los sistemas informáticos de información. Dentro de
la auditoría financiera, por ejemplo, existen principios y normas que rigen la profesión de CPA en los Estados
Unidos (es decir, GAAP y GAAS). Estos buscan la preparación precisa de los estados financieros así como
procedimientos efectivos para sus exámenes de auditoría. Un tipo diferente de auditoría, la auditoría de TI, se ha
convertido en una parte integral de la función de auditoría porque respalda el juicio del auditor sobre la calidad de
la información procesada por los sistemas informáticos. La auditoría de TI proporciona una seguridad razonable
(nunca absoluta) de que la información generada por las aplicaciones dentro de la organización es precisa,
completa, y apoya la toma de decisiones efectivas de acuerdo con la naturaleza y el alcance acordado. Hay dos
grupos amplios de auditorías de TI (es decir, Auditoría de controles informáticos generales y Auditoría de controles
de aplicaciones), ambos esenciales para garantizar el funcionamiento correcto continuo de SI.
Para el auditor de TI, la necesidad de auditoría sigue siendo crítica y exigente. Hay muchos desafíos por
delante; todos deben trabajar juntos para diseñar, implementar y salvaguardar la integración de tecnologías
nuevas y existentes en el lugar de trabajo. Dadas las diversas funciones que pueden desempeñar los
auditores de TI, deben mantenerse actualizados con las revisiones y cambios en las leyes existentes que
rigen el uso de computadoras e Internet. Los auditores de TI pueden ayudar a las organizaciones a
comprender los riesgos a los que se enfrentan y las posibles consecuencias.
Preguntas de revisión
1. La tecnología ha impactado el entorno empresarial en tres áreas. Resume esas áreas.
2. Diferenciar entre los auditores internos y externos en cuanto a sus roles y responsabilidades.
3. ¿Cómo se define la auditoría de TI?
4. La Auditoría General de Controles Informáticos y la Auditoría de Controles de Aplicaciones son los dos grandes
grupos de auditorías de TI. Resuma ambas auditorías y proporcione ejemplos específicos que respalden los
controles evaluados dentro de cada tipo de auditoría.
5. El TSPC, mantenido por el ASEC de AICPA, presenta criterios para que los utilicen los profesionales cuando
brindan certificación profesional o servicios de asesoría para evaluar los controles relevantes para cinco
principios. Describa con sus propias palabras estos principios.
6. Explique qué es el aseguramiento de la información.
7. Una de las funciones del auditor de TI es actuar como Consejero de las organizaciones. Como Consejero, los
auditores de TI pueden ayudar a las organizaciones a desarrollar políticas, procedimientos, estándares y/o mejores
prácticas, como una política de seguridad de la información. Utilizando las características de una buena política de
seguridad de la información enumeradas en el capítulo, desarrolle cinco políticas de seguridad de la información
que compartiría con su cliente.
8. Explique por qué la auditoría de TI se considera una profesión. Describa los requisitos para que los candidatos
obtengan la certificación CISA.
9. ¿Qué es ISACA y cómo ayuda a la profesión de auditoría de TI?
10. ¿Dónde están las oportunidades profesionales actuales para el auditor de TI? Busque en Internet e identifique al
menos un perfil/descripción de trabajo para cada oportunidad de carrera identificada anteriormente. Para cada
perfil de trabajo identificado, enumere lo siguiente en forma de tabla:
una. Descripción del trabajo
b. Deberes, tareas y responsabilidades requeridas

C. Requisitos mínimos de trabajo (o calificaciones)
d. Requisitos mínimos de educación y/o certificación
mi. Conocimientos, destrezas y habilidades requeridas, etc.
Ejercicios
1. Después de leer este capítulo, debería sentirse cómodo con las funciones y responsabilidades
generales de un auditor de TI.
una. Describa con sus propias palabras qué hacen los auditores de TI.
b. ¿Por qué deberían ser parte del equipo de auditoría general al realizar la auditoría financiera anual
de un cliente?
2. Enumere cinco sitios web a los que puede acudir para obtener información sobre:
una. auditoría de TI
b. Problemas de seguridad y privacidad de TI
3. Visite los sitios web de cuatro organizaciones de auditoría externa: dos sitios privados y dos
gubernamentales. Proporcione un resumen de quiénes son y sus funciones, funciones y responsabilidades.
4. Entreviste a un auditor de TI y recopile la siguiente información:
una. Puesto y empresa?
b. ¿Número de años de experiencia en auditoría de TI?
C. ¿Título(s) y certificaciones profesionales?
d. ¿Trayectoria profesional?
mi. ¿Por qué se unió a la auditoría de TI?

F. ¿Lo que le gusta y lo que no le gusta de la auditoría de TI?
gramo. ¿Dónde se ven dentro de 5 años?

5. Su gerente de auditoría de TI le pide que:
una. Prepare una lista de al menos cinco certificaciones/designaciones profesionales que serían útiles para
el personal de auditoría de TI. En un formato de tabla de tres columnas, documente el nombre de la
certificación o designación profesional, el nombre de la organización profesional emisora, las razones
por las que cree que sería relevante para el auditor de TI y el enlace de la fuente del sitio web o la fuente
examinada.
Otras lecturas
1. Recursos IFRS de AICPA.¿Qué son las NIIF?www.ifrs.com/ifrs_faqs.html#q1 (consultado en octubre de 2016).
2. Instituto Americano de Contadores Públicos Certificados (AICPA). (2011).Principales iniciativas
tecnológicas, www.aicpa.org/Interest Areas/InformationTechnology/Resources/
TopTechnologyInitiatives/Pages/2011TopTechInitiatives.aspx
3. Chen, Y., Paxson, V. y Katz, RH (2010).¿Qué hay de nuevo en la seguridad informática en la nube?
Informe técnico UCB/EECS-2010-5, Departamento de EECS, Universidad de California, Berkeley, 2010,
www.eecs.berkeley.edu/Pubs/TechRpts/2010/EECS-2010-5.html
4. Deloitte.Computación en la nube en 2016: problemas y oportunidades de la empresa privada,www2.deloitte.com/us/
en/pages/deloitte-growth-enterprise-services/articles/private-company-cloud-computing.html (consultado en
octubre de 2016).
5. Centro EY para Asuntos de la Junta. (septiembre de 2015).EY Big Data y Analítica en el Proceso de Auditoría,
www.ey.com/Publication/vwLUAssets/ey-big-data-and-analytics-in-the-audit-process/$FILE/eybig-data-and-
analytics-in-the-audit-process.pdf (consultado diciembre de 2015).
6. NIST. Versión final de la definición de computación en la nube del NIST publicada, www.nist.gov/news-events/news/
2011/10/nal-version-nist-cloud-computing-denition-published (consultado en octubre de 2011).
7. Gallegos, F. (2002). Debido cuidado profesional.información sist. control j.,2, 25–28.
8. Gallegos, F. (2003). Carreras de auditor de TI: el gobierno de TI proporciona nuevos roles y oportunidades.ES
Control J.,3, 40–43.
9. Gallegos, F. y Carlin, A. (julio de 2007). Auditoría de TI: un proceso de negocio crítico.computar Revista.,40(7), 87–89.
10. Glosario de TI de Gartner. (Dakota del Norte). www.gartner.com/it-glossary/big-data/ (consultado en octubre de 2016).
11. El ciclo de exageración de 2015 de Gartner para tecnologías emergentes identifica las innovaciones informáticas que las
organizaciones deberían monitorear, www.gartner.com/newsroom/id/3114217 (consultado en julio de 2015).
12. Gartner dice que Internet of ings transformará el centro de datos, www.gartner.com/newsroom/id/2684616
(consultado en octubre de 2014).
13. Asociación de Investigación de Delitos de Alta Tecnología. HTCIA.org
14. Ibrahim, N. Auditoría de TI 101: La auditoría interna es responsable de evaluar si los riesgos de TI se
comprenden, gestionan y controlan adecuadamente.Auditor interno,http://go.galegroup.com/ps/i.do?id=GA
LE%7CA372553480&sid=googleScholar&v=2.1&it=r&linkaccess=fulltext&issn=00205745&p=AO
NE&sw=w&authCount=1&u=melb26933&selfRedirect=true (consultado en junio de 2014).
15. CDI. Se prevé que el gasto mundial en servicios de nube pública alcance los 266.000 millones de dólares en 2021, según IDC.
EE. UU., www.idc.com/getdoc.jsp?containerId=prUS42889917 (consultado en julio de 2017).
16. Fundación de Auditoría y Control de Sistemas de Información.cobit,5ª Edición. Fundación de Auditoría y
Control de Sistemas de Información, Rolling Meadows, IL, www.isaca.org/Knowledge-Center/COBIT/Pages/
Overview.aspx (consultado en junio de 2012).
17. Asociación de Auditoría y Control de Sistemas de Información. (2011).Dominio de examen CISA,Junta de
Certificación de ISACA, Rolling Meadows, IL.
18. ISACA. Perspectivas de innovación: Principales tendencias digitales que afectan la estrategia. www.isaca.org/knowledge-
Center/Research/Pages/isaca-innovation-insights.aspx (consultado en marzo de 2015).
19. ISACA. Perspectivas de innovación de ISACA, www.isaca.org/knowledge-center/research/pages/cloud.aspx

(consultado en septiembre de 2016).
20. ISACA. Perspectivas de innovación de ISACA, www.isaca.org/knowledge-Center/Research/Pages/isaca-innovationinsights.aspx
(consultado en septiembre de 2016).
21. ISACA. Glosario de ISACA, www.isaca.org/Pages/Glossary.aspx?tid=1095&char=A (consultado en octubre de
2016).
22. ISACA. Glosario de ISACA, www.isaca.org/Pages/Glossary.aspx?tid=1490&char=I (consultado en octubre de
2016).
23. ISACA. Glosario de ISACA, www.isaca.org/Pages/Glossary.aspx?tid=1489&char=I (consultado en octubre de
2016).
24. ISACA. e código de ética profesional, sitio web de la Asociación de Control de Auditoría de Sistemas de Información,
www.isaca.org
25. ISACA. Los programas de ISACA alineados con el currículo modelo para auditoría y control de SI, http://www.
isaca.org/Knowledge-Center/Academia/Pages/Programs-Aligned-with-Model-Curriculum-for-IS-Audit-and-
Control.aspx (consultado en octubre de 2016).
26. Nelson, B., Phillips, A. y Steuart, C. (2010).Guía de Informática Forense e Investigaciones,Curso de
Tecnología, Cengage Learning, Boston, MA.
27. Otero, AR (2015). Impacto de la participación de los auditores de TI en las auditorías financieras.En t. Res. J. Autobús.
Tecnología, 6(3), 841–849.
28. Seguridad PCI. PCI Security Standards Council, www.pcisecuritystandards.org/pci_security/ (consultado en
octubre de 2016).
29. Plantillas de políticas de seguridad de la información de SANS. www.sans.org/security-resources/policies/general (consultado
en octubre de 2016).
30. Senft, S., Gallegos, F. y Davis, A. (2012).Control y Auditoría de Tecnologías de la Información.CRC Press/
Taylor & Francis, Boca Raton, FL.
31. Singleton, T. (2003). Las ramificaciones de Sarbanes-Oxley.ES Control J.,3, 11–16.
32. AICPA. Declaraciones sobre normas de auditoría, www.aicpa.org/research/standards/auditattest/pages/sas.
aspx#SAS117 (consultado en octubre de 2016).
33. Takabi, H., Joshi, JBD y Ahn, G. (2011). Desafíos de seguridad y privacidad en entornos de computación en la
nube.Seguridad IEEE. privado,8(6), 24–31.
34. Comisión Federal de Big Data de la Fundación TechAmerica. (2012). Desmitificación de big data: una guía
práctica para transformar el negocio del gobierno, https://bigdatawg.nist.gov/_uploadles/M0068_
v1_3903747095.pdf (consultado en diciembre de 2012).
35. Las mejores soluciones de gestión de dispositivos móviles (MDM) de 2016.revista pc,www.pcmag.com/article/342695/
the-best-mobile-device-management-mdm-software-of-2016 (consultado en noviembre de 2016).
36. Iniciativa Integral Nacional de Ciberseguridad. www.whitehouse.gov/cybersecurity/comprehensivenational-
cybersecurity-initiative (consultado en julio de 2012).
37. Instituto de Auditores Internos. Definición de auditoría interna, www.iia.org.au/aboutIIA/denition-Of IA.aspx
(consultado en octubre de 2016).
38. Los 10 principales proveedores de software ERP y pronóstico del mercado 2015-2020. Las aplicaciones manejan el mundo.
www. appsruntheworld.com/top-10-erp-software-vendors-and-market-forecast-2015-2020/ (consultado en octubre de 2016).
39. Comisión de Bolsa y Valores de EE. UU.La SEC anuncia casos de fraude financiero.Comunicado de prensa,
www.sec.gov/news/pressrelease/2016-74.html (consultado en octubre de 2016).
40. ¿Qué es la computación en la nube?revista pc,www.pcmag.com/article2/0,2817,2372163,00.asp (consultado en
noviembre de 2016).
41. Se prevé que el gasto mundial en servicios de nube pública se duplique para 2019, según IDC, https://
www.informationweek.com/cloud/infrastructure-as-a-service/idc-public-cloud-spending-to-doubleby-2019 /d/
d-id/1324014 (consultado en octubre de 2016).

(Otero, 2019, Cap. 1) Information Technology Control and Audit - En.es

Cargado por

Copyright:

Formatos disponibles

(Otero, 2019, Cap. 1) Information Technology Control and Audit - En.es

Cargado por

Información del documento

Descripción original:

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

(Otero, 2019, Cap. 1) Information Technology Control and Audit - En.es

Cargado por

Copyright:

Formatos disponibles

Traducido del inglés al español - www.onlinedoctranslator.

◾ La tecnología ha mejorado la capacidad de capturar, almacenar, analizar y procesar enormes cantidades de

La tecnología evoluciona constantemente y encuentra formas de dar forma al entorno de TI actual en la

Planificación de recursos empresariales (ERP)

Figura 1.1 Sistema modular de planificación de recursos empresariales.

Gestión de dispositivos móviles (MDM)

Otros sistemas tecnológicos que afectan el entorno de TI

técnicas y tecnologías que permitan la captura, el almacenamiento, la distribución, la gestión y el análisis de

Entorno de TI como parte de la estrategia de la organización

◾ Normas Generalesse relacionan con la competencia profesional y técnica,independencia,y el debido cuidado

exigibles y aceptados a nivel mundial, basados en principios claramente articulados.

Funciones de auditoría interna versus externa

Función de Auditoría Interna

Función de Auditoría Externa

¿Qué es la auditoría de TI?

Estos implican estrategias,

Gente Procesos integra hardware,

Ingresando almacenar Procesando Transmitiendo salida

Figura 1.2 Sistemas de información versus tecnología de la información.

◾ Auditoría General de Controles Informáticos.Examina los controles generales de TI ("controles generales" o

Terminal de acceso Pérdida/robo de

proceso de nación información

◾ Privacidad:La información personal es recopilada, utilizada, retenida, divulgada y destruida de conformidad

◾ Las asociaciones y organizaciones profesionales y las entidades gubernamentales reconocieron la necesidad de

existen controles adecuados y apropiados. Por supuesto, la responsabilidad de garantizar que se

◾ Aplicación de enfoques de auditoría orientados al riesgo

◾ Aplicación de normas (nacionales o internacionales) como la ISO*para mejorar e implementar sistemas de

La auditoría de los protocolos de comunicaciones y TI generalmente involucra Internet, intranet, extranet,

Para apoyar el funcionamiento eficaz de

Controlar y monitorear el crecimiento significativo de

Para evaluar la integridad y exactitud de

Para identificar los controles que pueden abordar

Para controlar el fácil acceso a las redes de la

Figura 1.4 Razones principales para realizar una auditoría de TI.

◾ Aumento de la dependencia de la información y de los sistemas que la entregan

Papel del auditor de TI

Auditor de TI como Consejero

◾ Especificación de las características de seguridad requeridas

◾ Establecer confianza a través de una política de contraseñas efectiva

◾ Requerir que se registren las violaciones

Auditor TI como Socio de la Alta Dirección

Auditor de TI como investigador

Auditoría de TI: la profesión

Un cuerpo común de conocimientos

◾ Aprobar un riguroso examen escrito.

Asociaciones profesionales y normas éticas

Perfil del auditor de TI: experiencia y habilidades

Firmas de contadores públicos

Empresas de consultoría de gestión

b. Deberes, tareas y responsabilidades requeridas

mi. ¿Por qué se unió a la auditoría de TI?

gramo. ¿Dónde se ven dentro de 5 años?

19. ISACA. Perspectivas de innovación de ISACA, www.isaca.org/knowledge-center/research/pages/cloud.aspx

También podría gustarte