Análisis Corporativo de Tics y Su Importancia Para El Auditor Informático

C ien iencia ciass E conó conóm mica icass A dm dminis inis tra rattiva ivass y de C om ome erci rcio o

AUDITORIA INFORMATICA

NOMBRE: Maria Jose Calispa CURSO: A-404

FECHA: 11 de Mayo de 2017

SEMESTRE ABRIL  – AGOSTO 2017 1

Contenido Resumen ........................................................................................................................................................ 3

ANÁLISIS CORPORATIVO DE TICs Y SU IMPORTANCIA PARA EL AUDITOR INFORMÁTICO ........................... 4 GOBIERNO CORPORATIVO TIC .................................................................................................................. 4 Definición gobierno corporativo Tics .................................................................................................... 5 Niveles de gobernanza .......................................................................................................................... 5 El Gobierno Corporativos incluye las siguientes capacidades ............................................................... 6 Importancia en la auditoria informática ................................................................................................... 7 Beneficios en la auditoría informática .................................................................................................. 8 El marco de referencia incluye: ............................................................................................................. 9 Conclusiones ................................................................................................................................................ 12 Bibliografía................................................................................................................................................... 12

2

Resumen

La instrumentación tecnológica es una prioridad en la comunicación de hoy en día, este importante cambio tecnológico marcan la diferencia entre una civilización desarrollada y otra en vías de este gran cambio no ha sido ajeno a nuestras organizaciones humanas, especialmente en las empresas es imposible hoy día ignorar el potencial de las TICs y especialmente el de internet con el paso de un mundo hecho de átomos a otro hecho de bits, asistimos a la aparición de la sociedad de la información y a su expansión mediante el desarrollo de redes informáticas que  permiten que los ciudadanos tengan acceso a fuentes de información inmensas, consolidándose no solamente como consumidores de información y conocimiento, sino también como creadores de fuentes de información y conocimiento mismo La auditoría informática de gobierno de Tic busca revisar y evaluar integralmente si su función está alineada con la organización, con el desempeño de sus funciones, con el uso eficaz y eficiente de los recursos, con el cumplimiento de los requisitos legales, ambientales y de calidad, y con el manejo adecuado de los riesgos asociados a las Tic y el ambiente de control en la organización.

3

ANÁLISIS CORPORATIVO DE TICs Y SU IMPORTANCIA PARA EL AUDITOR INFORMÁTICO GOBIERNO CORPORATIVO TIC Es importante tener en cuenta la creciente complejidad social que se presenta en las relaciones que las organizaciones desarrollan. El gobierno corporativo reconoce a los terceros interesados la importancia que tienen y como afectan a la hora de implantar cualquier sistema. (Fernández, 2014) Las TICs agregan valor a las actividades operacionales y de gestión empresarial en general y  permite a las empresas obtener ventajas competitivas, permanecer en el mercado y centrarse en su negocio. (Lopez, 2013) Las tecnologías de información y comunicación son una parte de las tecnologías emergentes que habitualmente suelen identificarse con las siglas TIC y hacen referencia a la utilización de medios informáticos para almacenar, procesar y difundir todo tipo de información en las distintas unidades o departamentos de cualquier organización. En pocas palabras, las TICs tratan sobre el empleo de computadoras y aplicaciones informáticas para transformar, almacenar, gestionar,  proteger, difundir y localizar los datos necesarios para cualquier actividad humana. (Lopez, 2013) Las organizaciones requieren una aproximación estructurada para abordar éstos y otros desafíos.

4

Definición gobierno corporativo Tics

Un conjunto de responsabilidades y prácticas ejecutadas por la  junta directiva y la administración ejecutiva con el fin de proveer dirección estratégica

estableciendo que los riesgos son administrados apropiadamente y

garantizando que los objetivos sean alcanzados,

verificando que los recursos de la empresa son usados responsablemente.

Niveles de gobernanza

Gobernanza corporativa (COSO)

Gobernanza de la TIC ISO 38500 COBIT / Val IT

•

•

 – 

Gobernanza de la Seguridad de la Información y Tecnologías afines

•

La provisión de la estructura que permita determinar los objetivos de la Organización y supervisar el rendimiento, a fin de asegurar que los objetivos son cumplidos

La especificación del marco de derechos a la toma de decisiones y la alta responsabilidad para favorecer un comportamiento deseable en el uso de las TIC

El establecimiento y mantenimiento de un marco que provea garantía de que las estrategias de seguridad de la información están alineadas con los objetivos del negocio y son conformes a las leyes y regulaciones aplicables

5

El Gobierno Corporativo es un proceso efectuado por el consejo de administración de una entidad, su dirección y restante personal, aplicable a la definición de estrategias en toda la empresa y diseñado para identificar eventos potenciales que puedan afectar a la organización, gestionar sus riesgos dentro del riesgo aceptado y proporcionar una seguridad razonable sobre el logro de los objetivos. (Fernández, 2014)

El Gobierno Corporativos incluye las siguientes capacidades

Alinear el riesgo aceptado y la estrategia Mejorar las decisiones de respuesta a los riesgos. Reducir las sorpresas y pérdidas operativas Identificar y gestionar la diversidad de riesgos para toda la entidad Aprovechar las oportunidades Mejorar la dotación de capital El marco de Gobierno Corporativo está orientado a alcanzar los objetivos de la entidad, que se pueden clasificar en cuatro categorías:

Estrategia: Operaciones Información Cumplimiento

•

•

•

•

objetivos a alto nivel, alineados con la misión de la entidad y dándole apoyo objetivos vinculados al uso eficaz y eficiente de los recursos objetivos de fiabilidad de la información suministrada objetivos relativos al cumplimiento de leyes y normas aplicables.

6

Importancia en la auditoria informática Tradicionalmente en las organizaciones han existido auditorías como la financiera, administrativa, interna y de cumplimiento, entre otras. La incursión de las Tecnologías de Información en las organizaciones y su uso masivo, hizo necesario reconsiderar la forma como se llevan a cabo los procesos de auditoría y pensar en nuevas estrategias y herramientas de revisión y evaluación. Se habla entonces de la auditoría informática o auditoría de sistemas de información. (GÓMEZ-ESTUPIÑÁN, 2013) Inicialmente este nuevo tipo de auditoría se enfocaba exclusivamente al procesamiento electrónico de datos, a la evaluación de las aplicaciones informáticas, particularmente en lo relacionado con los controles de entrada de datos, controles de procesamiento y controles de salida. Actualmente su ámbito se ha expandido y abarca todos los aspectos relacionados con TI. Una definición más amplia, propuesta por ISACA (2011), plantea que la auditoría informática o auditoría de sistemas de información consiste en la revisión y evaluación de todos los aspectos, o  parte de ellos, relacionados con los sistemas automáticos de procesamiento de la información, incluyendo los procedimientos no automáticos asociados con éstos y las interfaces correspondientes. (GÓMEZ-ESTUPIÑÁN, 2013) El área de auditoría de tecnologías de información tiene como uno de sus objetivos; promover y elevar la cultura del aprovechamiento en el uso de las tecnologías de información en los entes a fiscalizar, constatando que se lleven a cabo las mejores prácticas y se sigan los procedimientos que aseguren la veracidad, confidencialidad, confiabilidad y disponibilidad de la información, garantizando de esta manera la prevención ante posibles contingencias que puedan impedir la continuidad del uso de los recursos informáticos. (INFORMACIÓN, 2014) Realizar las actividades correspondientes a la verificación de los controles internos establecidos en el área de sistemas, así como el estudio de seguridad física y lógica, el análisis de los riesgos a que está expuesta la información y los equipos de cómputo. (INFORMACIÓN, 2014) Al igual que cualquier área de la organización, los sistemas de TI deben estar sometidos a controles de calidad y auditoría informática porque las computadoras y los centros de  procesamiento de datos son blancos apetecibles para el espionaje, la delincuencia y el terrorismo. Al perder de vista la naturaleza y calidad de los datos de entrada a los sistemas de TI se genera 7

información errónea, con la posibilidad de que se provoque un efecto cascada y afecte a otras aplicaciones. Asimismo, un sistema de TI mal diseñado puede convertirse en una herramienta muy peligrosa para la gestión y la coordinación de la organización (INFORMACIÓN, 2014)

Beneficios en la auditoría informática Es un proceso evolutivo “que mediante técnicas y procedimientos aplicados en una organización

 por personal independiente a la operación de la misma, evalúa la función de tecnología de información y su aportación al cumplimiento de los objetivos institucionales; emite una opinión al respecto y efectúa recomendaciones para mejorar el nivel de apoyo al cumplimiento de dichos objetivos. (Grajales, 2008)

Genera confianza en los usuarios sobre la seguridad y control de los servicios de TIC

Optimiza las relaciones internas y del clima de trabajo.

Genera un balance de los riesgos en TI

Realiza un control de la inversión en un entorno de TI, a menudo impredecible

La metodología empleada en la auditoría informática es similar a las fases que componen una auditoría tradicional: primero se planea para obtener y entender los procesos de negocio; en segundo lugar se analiza y evalúa el control interno establecido para determinar la probable efectividad y eficiencia del mismo; posteriormente, se aplican pruebas de auditorías para verificar la efectividad de los procedimientos de control (pruebas de cumplimiento), o de los productos de los procesos de trabajo (pruebas sustantivas (Grajales, 2008)

8

Uno de los campos de la auditoría informática tiene que ver con la revisión y evaluación de la gestión de la función informática en la organización. Cuando se habla de gestión necesariamente se hace referencia al gobierno de TI, que incluye los aspectos de la alineación estratégica de Tecnologías de Información con el negocio para apoyar el logro de los objetivos empresariales, el valor agregado que esta área da al negocio, la administración de recursos, la administración de riesgos y la medición del desempeño. El marco de referencia ideal para realizar la auditoría de gobierno de TI es el marco de trabajo para el control COBIT. (Grajales, 2008)

El marco de referencia incluye:

Objetivos de Control

Declaraciones genéricas de alto nivel y detalladas sobre un nivel mínimo de buen control

Prácticas de Control

Directrices de Auditoría

Directrices Gerenciales

Razonamiento práctico y guías sobre cómo implementar los objetivos de control

Guías para cada área de control orientadas hacia una mejor comprensión, cómo evaluar cada control, cómo evaluar el cumplimiento y la estimación del riesgo en caso de que los controles no se cumplan

Guías sobre cómo evaluar y mejorar el desempeño del proceso de Tecnologías de Información, utilizando modelos de madurez, métricas y factores crí-ticos de éxito

La auditoría informática o auditoría de Sistemas de Información es una actividad especializada que requiere la definición de unos estándares que apliquen específicamente a este campo. Con el objetivo de contribuir con este propósito, ISACA (2004a) ha publicado una serie de documentos donde se definen un conjunto de estándares, directrices y procedimientos que se deben tener en cuenta en un proceso de auditoría de SI. (GÓMEZ-ESTUPIÑÁN, 2013) 9

Los estándares definen requisitos obligatorios para la auditoría y establecen los deberes y el nivel mí- nimo de desempeño de los auditores, requeridos para cumplir cabalmente con sus responsabilidades profesionales, establecidas en el código de ética profesional de ISACA (ISACA, 2004b). Las directrices proporcionan guías sobre la aplicación de los estándares de auditoría de SI. Los  procedimientos presentan ejemplos que podría seguir un auditor durante la ejecución de una auditoría de SI, proporcionan información sobre cómo cumplir con los estándares al ejecutar la auditoría, pero no establecen los requisitos correspondientes. Tanto las directrices como los  procedimientos tienen como objetivo principal proveer mayor información sobre cómo cumplir con los Estándares de Auditoría de SI (ISACA, 2004a). (GÓMEZ-ESTUPIÑÁN, 2013) El estándar de auditoría para gobierno de TI propuesto por ISACA (2005) tiene como propósito ofrecer unos lineamientos que el auditor de Sistemas de Información debe tener en cuenta durante el proceso de auditoría. Los deberes que establece esta norma para el auditor, son los siguientes: Revisar y evaluar si la función de SI está alineada con la misión, visión, valores, objetivos y estrategias de la organización. Revisar si la función de SI tiene una declaración clara en cuanto al desempeño esperado  por la empresa (eficacia y eficiencia) y evaluar su cumplimiento. Revisar y evaluar la eficacia de los recursos de SI y el desempeño de los procesos administrativos. Revisar y evaluar el cumplimiento de los requisitos legales, fiduciarios, de seguridad, ambientales y de calidad de la información. Utilizar un enfoque basado en riesgos para evaluar la función de SI. Revisar y evaluar el ambiente de control de la organización. Revisar y evaluar los riesgos que pueden afectar de manera adversa el entorno de SI. La auditoría debe asistir a la organización identificando y evaluando las exposiciones significativas al riesgo y contribuir al mejoramiento de la administración de riesgos y los sistemas de control. 10

Un proceso integral de auditoría informática debería estar soportado en una metodología robusta que incluya aspectos de planeación y ejecución. Se propone el desarrollo de una metodología integral de auditoría de gobierno TI, soportada en el marco de trabajo COBIT, que incluya las Directrices Gerenciales y el Marco Referencial que contiene todos los objetivos de control de los dominios y procesos allí establecidos. También se utilizarían como referencias adicionales las iniciativas Val IT y Risk IT, así como los documentos sobre gobernabilidad de TI publicados por el IT Governance Institute, y los estándares, directrices y procedimientos de auditoría de gobierno de TI definidos en los documentos de ISACA, particularmente los relacionados con la independencia organizacional de la auditoría de SI, ética y competencias profesionales del auditor informático, planeación, evaluación de riesgos, proceso, evidencias y el informe de auditoría de SI. (GÓMEZ-ESTUPIÑÁN, 2013) Conjuntamente con los avances de las tecnologías de información y las comunicaciones, se han implementado

una serie de normas, estándares y marcos de trabajo que tienen como objetivos apoyar

eficazmente a las organizaciones en el gobierno de TI.

Para las organizaciones, además de contar con la infraestructura tecnológica necesaria y el recurso

humano requerido, es indispensable disponer de un proceso de gobierno de TI que permita alinear

estratégicamente los objetivos del área de Tecnologías de la Información con los objetivos corporativos,

para generar el valor agregado que se espera obtener con las inversiones en este campo.

11

Conclusiones 

Las tecnologías de la información y comunicación exigen del mundo empresarial un accionar más efectivo en relación con el ordenamiento de los mecanismos de control interno, ya que con la auditoria informática permite detectar y corregir posibles riesgos en la Gestión Empresarial, con menos costes y de manera más oportuna.



Pensamos que, en un futuro cercano, todos los departamentos de informática deberán tener implantadas buenas prácticas que cubran las diferentes áreas de gobierno y gestión,  para lo cual centrarán sus esfuerzos en definir, medir y analizar los procesos relacionados con las TICS y en su mejora continua.

Fernández, J. M. (2014). ISACA.  Obtenido de http://www.isacamty.org.mx/archivo/Standard_ISO38500.pdf  GÓMEZ-ESTUPIÑÁN, J. F. (17 de Octubre de 2013). Grupo de Investigación GIPROCAS.  Obtenido de file:///C:/Users/Usuario/Downloads/64-182-1-PB%20(3).pdf Grajales, N. F. (13 de Noviembre de 2008). Enterate en linea. Obtenido de http://www.enterate.unam.mx/Articulos/2005/octubre/auditoria.htm INFORMACIÓN, G. D. (2014). Obtenido de http://www.auditoriachihuahua.gob.mx/portal/wpcontent/uploads/2013/08/GUIA_DE_AUDITORIA_DE_TI.pdf Lopez, M. (25 de Junio de 2013). Obtenido de http://mclopezc.blogspot.com/2013/06/las-tics-en-elambiente-corporativo-y.html

12