[go: up one dir, main page]
Scribd
Cargar
165 vistas5 páginas

Auditoría TI: Enfoque y Riesgos

El documento describe la importancia de que los auditores tengan conocimientos de tecnología de la información para auditar sistemas computarizados y entornos digitales. Explica que la auditoría ha evolucionado a un enfoque basado en riesgos que requiere que los auditores puedan identificar y evaluar riesgos tecnológicos emergentes. También destaca las habilidades requeridas de los auditores en áreas como seguridad de TI, desarrollo de aplicaciones e infraestructura, y cuando es necesario involucrar a un especialista en

Cargado por

Jinett Brito
Derechos de autor
© © All Rights Reserved
Nos tomamos en serio los derechos de los contenidos. Si sospechas que se trata de tu contenido, reclámalo aquí.
Formatos disponibles
Descarga como DOCX, PDF, TXT o lee en línea desde Scribd
165 vistas5 páginas

Auditoría TI: Enfoque y Riesgos

El documento describe la importancia de que los auditores tengan conocimientos de tecnología de la información para auditar sistemas computarizados y entornos digitales. Explica que la auditoría ha evolucionado a un enfoque basado en riesgos que requiere que los auditores puedan identificar y evaluar riesgos tecnológicos emergentes. También destaca las habilidades requeridas de los auditores en áreas como seguridad de TI, desarrollo de aplicaciones e infraestructura, y cuando es necesario involucrar a un especialista en

Cargado por

Jinett Brito
Derechos de autor
© © All Rights Reserved
Nos tomamos en serio los derechos de los contenidos. Si sospechas que se trata de tu contenido, reclámalo aquí.
Formatos disponibles
Descarga como DOCX, PDF, TXT o lee en línea desde Scribd
Está en la página 1/ 5

Foro 6.1 Auditoria y Tecnología de la Información.

La Norma Internacional de Auditoría (NIA) 401 Auditoría de un ambiente de


sistemas de información por computadora, establece que el auditor debería
tener suficiente conocimiento de los sistemas de información computarizada
para planear, dirigir, supervisar y revisar el trabajo desarrollado, también
establece que el auditor debería considerar si se necesitan habilidades
especializadas en sistemas de información computarizado y que en caso de la
necesidad de habilidades especializadas, el auditor buscaría la ayuda de un
profesional con dichas habilidades, quien puede pertenecer al personal del
auditor o ser un profesional externo.
A medida que los negocios iban evolucionando, el volumen de información y de
las transacciones se incrementaba, por lo que las organizaciones tuvieron la
necesidad de recurrir a la automatización de sus sistemas de información. Pero
así como la tecnología ha ido evolucionando, los fraudes y delitos informáticos
han ido a la par, a tal punto que en la actualidad un delincuente informático
puede sustraer recursos económicos de una organización desde la comodidad
de su hogar, sin dejar rastro alguno, o estructurar grandes delitos desde el
interior de la organización.
Esta situación sumados a los grandes desfalcos financieros ocurridos a nivel
mundial, incluyendo delitos informáticos, han obligado al auditor un cambio de
enfoque y la necesidad de que el auditor cuente con nuevas habilidades y
conocimientos, sobre todo el área de tecnología.
El nuevo enfoque de auditoría se la denomina "auditoría basada en riesgos", el
cual pretende enfocar y centrar los esfuerzos en aquello que es realmente
importante y que sean un riesgo para la organización en el logro de sus
objetivos. Este enfoque de auditoría se caracteriza principalmente por ser un
enfoque "de arriba hacia abajo", lo cual repercute en una menor cantidad de
auditores, realizar evaluaciones de negocio y riesgo, mayor énfasis en criterio
profesional, diseñar y ejecutar auditorías a medida y el uso de las técnicas de
auditoría con ayuda del computador (TAAC). Por lo cual, el auditor debe ser
capaz de analizar y evaluar cualquier tipo de riesgo.

Según Nahum Frett (2016), hoy en día, van apareciendo una serie de riesgos
productos de las nuevas tendencias en tecnología, como ser:

•   Social Commerce.

•   Internet de las cosas.

•   Drones/Robótica.

•   Big Data.

•   Nube.

•   Vehículos autónomos/conectados.
•   Ciberseguridad.

•   Impresión 3D.

•   Pago Móvil.

•   Publicidad en Medios Sociales.

El enfoque basado en riesgos aplicado por el auditor debe ser capaz de


identificar y analizar estos riesgos.

Habilidades y competencias requeridas por el auditor

- Seguridad de TI.

1. •     Seguridad física y seguridad de sistemas

2. •    Protección de la información

3. •    Autenticación y encriptación

- Desarrollo de aplicaciones.

1. •    Informática de usuario final

2. •    Control sobre los cambios de programa

3. •    Metodología de desarrollo de sistemas

4. •    Desarrollo de aplicaciones

5. •    Desarrollo de sistemas de información

- Infraestructura del sistema

1. •    Estaciones de trabajo

2. •    Bases de datos

3. •    Marcos de control de TI (eSAC, COBIT)

4. •    Áreas funcionales de operaciones de TI (operaciones de centro de


datos)

5. •     Software de planificación de recursos empresariales (ERP) (SAP


R/3)

6. •    Datos, voz, y comunicaciones/conexiones de red (LAN, VAN,


yWAN)
7. •     Servidor

8. •    Licencias de software

9. •    Ordenador central

10. •     Sistemas operativos

11. •    Infraestructura de la Web

- Continuidad del negocio

1. • Planeación de contingencias de TI

El auditor debe considerar si se necesitan habilidades especializadas para


realizar la auditoría. Por ejemplo, el auditor puede necesitar involucrar el uso de
un especialista en tecnología de la información (TI) para:

• Determinar el efecto de TI en la auditoría.

• Comprender los controles de TI.

• Diseñar y realizar pruebas de controles de TI o procedimientos sustantivos.

Para determinar si se necesita un profesional de TI, el auditor debe considerar


factores como los siguientes:

• La complejidad del sistema de la entidad y los controles de TI y la manera en


que se utilizan para llevar a cabo los negocios de la entidad.

• La importancia de los cambios realizados en los sistemas existentes o la


implementación de nuevos sistemas.

• El grado en que los datos se comparten entre los sistemas.

• El alcance de la participación de la entidad en el comercio electrónico.

• El uso de las tecnologías emergentes por parte de la entidad.

• La importancia de la evidencia de auditoría que está disponible solo en


formato electrónico.

El auditor deberá ver como se puede conseguir la máxima eficacia y


rentabilidad de los medios informáticos de la empresa auditada, estando
obligado a presentar recomendaciones acerca del reforzamiento del sistema y
el estudio de las soluciones más idóneas según los problemas detectados en el
sistema informático de la organización.
AUDITORÍA DE TECNOLOGÍAS DE LA INFORMACIÓN Y LA COMUNICACIÓN
Es el examen objetivo, crítico, metodológico y selectivo de evidencia
relacionada con políticas, prácticas, procesos y procedimientos en materia de
Tecnologías de la Información y la Comunicación, para expresar una opinión
independiente respecto:

i) A la confidencialidad, integridad, disponibilidad y confiabilidad de la


información.

ii) Al uso eficaz de los recursos tecnológicos.

iii) A la efectividad del sistema de control interno asociado a las Tecnologías de


la Información y la Comunicación.

La auditoría de Tecnologías de la Información y la Comunicación está definida


principalmente por sus objetivos y puede ser orientada hacia uno o varios de
los siguientes enfoques:

a) Enfoque a las Seguridades: Consiste en evaluar las seguridades


implementadas en los sistemas de información con la finalidad de
mantener la confidencialidad, integridad y disponibilidad de la
información.

b) Enfoque a la Información: Consiste en evaluar la estructura, integridad


y confiabilidad de la información gestionada por el sistema de
información.

c) Enfoque a la Infraestructura tecnológica: Consiste en evaluar la


correspondencia de los recursos tecnológicos en relación a los objetivos
previstos.

d) Enfoque al Software de Aplicación: Consiste en evaluar la eficacia de


los procesos y controles inmersos en el software de aplicación, que el
diseño conceptual de éste cumpla con el ordenamiento jurídico
administrativo vigente.

e) Enfoque a las Comunicaciones y Redes: Consiste en evaluar la


confiabilidad y desempeño del sistema de comunicación para mantener
la disponibilidad de la información.

Diferencias de la Auditoría de TI con la auditoría financiera .

El objetivo de una auditoría financiera es evaluar si los estados financieros presentan de


manera razonable, en todos los aspectos materiales, la posición financiera, los resultados
de las operaciones y los flujos de efectivo de una entidad de conformidad con un marco
de reporte contable.

El objetivo de una auditoría de TI es evaluar el diseño y efectividad del control interno


del sistema. Esto incluye, entre otros, protocolos de eficiencia y seguridad, procesos de
desarrollo y gobierno o supervisión de TI.

La instalación de controles es necesaria pero no Las personas responsables de la


seguridad deben considerar si los controles se instalan según lo previsto, si son efectivos
o si se ha producido una violación de la seguridad y, de ser así, qué acciones se pueden
tomar para evitar futuras violaciones.

Estas preguntas deben ser respondidas por observadores imparciales. Estos


observadores son los que realizan la auditoría de sistemas de información.

En un entorno de Sistemas de Información (SI), una auditoría es un examen de los


sistemas de información, sus entradas, salidas y procesamiento de datos. suficiente para
proporcionar seguridad adecuada.

También podría gustarte