Beruflich Dokumente
Kultur Dokumente
Marzo 2012
GTAG - Introduccin
El propsito de esta GTAG es explicar los riesgos y controles en un formato que permita a los CAE y a los auditores internos entender y comunicar la necesidad de mejores controles de TI. Est organizada para que el lector pueda moverse a travs del marco de trabajo para la evaluacin de los controles de TI y para abordar temas especficos basados en las necesidades. Esta GTAG ofrece una visin general de los componentes clave de la evaluacin de control de TI con nfasis en las funciones y responsabilidades de los componentes constituyentes de la organizacin que pueden conducir la gobernabilidad de los recursos de TI. Algunos lectores ya estarn familiarizados con algunos aspectos de esta GTAG, pero algunos segmentos ofrecern nuevas perspectivas sobre cmo abordar los riesgos y controles de TI. Uno de los objetivos de esta GTAG, y otros de la serie, es que los componentes de evalua-cin del control se pueden utilizar para educar a otros acerca de lo que son los riesgos y controles de TI, y por qu la gerencia y auditora interna deben garantizar la atencin adecuada a los riesgos y controles fundamentales de TI para permitir y mantener un sistema eficaz de control del entorno de TI. Aunque la tecnologa ofrece oportunidades para el crecimiento y el desarrollo, tambin representa amenazas, como la perturbacin, el engao, el robo y el fraude. La investigacin demuestra que los atacantes externos amenazan a las organizaciones, sin embargo, gente interna de confianza son una amenaza mucho mayor. Afortunadamente, la tecnologa tambin puede proporcionar proteccin contra las amenazas, como esta gua va a demostrar. Los ejecutivos deben conocer las preguntas correctas y lo que significan las respuestas. Por ejemplo: Por qu debera entender los riesgos y controles de TI? Dos palabras: garanta y fiabilidad. Los ejecutivos desempean un papel clave para asegurar la fiabilidad de la informacin. El aseguramiento proviene principalmente de un conjunto interdependiente de controles del negocio, as como la evidencia de que los controles son continuos y suficientes. La gerencia debe evaluar la evidencia proporcionada por los controles y auditoras, as como la conclusin de que s proporcionan una seguridad razonable. Qu hay que proteger? La confianza, ya que garantiza los negocios y la eficiencia. Los controles proporcionan la base para la confianza, aunque a menudo no se ven. La tecnologa proporciona la base para muchos - quizs la mayora - de los controles del negocio. La fiabilidad de la informacin financiera y los procesos - ahora obligatorios para muchas organizaciones - tratan sobre la confianza. Dnde se aplican los controles de TI? En todas partes. TI incluye componentes de tecnologa, procesos, personas, organizacin y la arquitectura, as como la propia informacin. Muchos controles de TI son de carcter tcnico, y la TI suministra herramientas para los controles de muchos negocios.
1. Introduccin
Quin es responsable? Todos. Sin embargo, la propiedad y las responsabilidades de control deben ser definidas y difundidas por la gerencia. De lo contrario, nadie es responsable, y los resultados podran ser severos. Cundo se evaluaran los riesgos y controles de TI? Siempre. TI es un ambiente que cambia rpidamente, promoviendo el proceso y el cambio organizacional. Surgen nuevos riesgos a un ritmo veloz. Los controles deben presentar evidencia continua de su eficacia, y la evidencia debe ser evaluada constantemente. Qu tanto control es suficiente? La gerencia debe decidir sobre la base del apetito por el riesgo, la tolerancia y la normativa obligatoria. Los controles no son el objetivo, stos existen para ayudar a cumplir los objetivos de negocio. Los controles son un precio por hacer negocios y pueden ser costosos, pero ni cercanamente tan caro como las posibles consecuencias de la insuficiencia de controles. Los controles de TI son esenciales para proteger a los activos, clientes, equipos e informacin importante, demostrando un comportamiento seguro, eficiente y tico; preservando la marca, la reputacin y la confianza. En el actual mercado global y entorno regulatorio, estos detalles son muy fciles de perder. Un CAE puede utilizar esta gua como una base para evaluar el marco de una organizacin y las prcticas de auditora interna de riesgos y control de TI, cumplimiento y seguridad. Tambin se puede utilizar para responder a los desafos del cambio constante, aumentando la complejidad, la rpida evolucin de las amenazas, y la necesidad de mejorar la eficiencia. Los controles de TI no existen en aislamiento. Forman una cadena interdependiente de proteccin, pero tambin pueden estar comprometidos debido a los enlaces dbiles. Los controles de TI estn sujetos a error y falta de vigilancia, variando de simples a muy tcnicos, y existen en un entorno dinmico. Los controles de TI tienen dos elementos importantes: la automatizacin de los controles de negocios (que apoyan la gestin de empresas y el gobierno) yel control del entorno de TI y de operaciones (que soportan las aplicaciones de TI e infraestructuras). El CAE tieneque considerar y evaluar ambos elementos. El CAE puede ver los controles del negocio automatizados, donde los controles y las habilidades de auditora de TI trabajan juntos en una capacidad de auditora integrada. Si el CAE lo desea, puede separar los controles generales de computacin (CGC) o los controles de TI, en general, sobre la base de las habilidades tcnicas y competencias necesarias para evaluar las solicitudes de carcter ms tcnico, la infraestructura y operaciones. Por ejemplo, una aplicacin para la planificacin de recursos empresariales (Enterprise Resource Planning - ERP) requiere ms conocimientos tcnicos para comprender y evaluar los controles sobre las estructuras de base de datos de ERP, el acceso del usuario, la configuracin del sistema y los informes financieros. El CAE encontrar que la evaluacin de la infraestructura, como redes, routers, cortafuegos y dispositivos inalmbricos y mviles requieren conocimientos especializados y experiencia. El papel del auditor interno en los controles de TI comienza con la comprensin conceptual, y
3
GTAG - Introduccin
culmina con el suministro de los resultados y de las evaluaciones de riesgo y de control. La auditora interna consiste en una interaccin significativa con las personas que ocupan puestos de responsabilidad por los controles y requiere el aprendizaje continuo y la reevaluacin, a medida que emergen nuevas tecnologas y que cambian las oportunidades, los usos, las dependencias, estrategias, riesgos y necesidades de la organizacin. Los controles de TI ofrecen garanta relacionada a la fiabilidad de la informacin y los servicios de informacin. Los controles de TI ayudan a mitigar los riesgos asociados con el uso de tecnologa en una organizacin. Van desde las polticas corporativas hasta la implementacin fsica dentro de las insstrucciones codificadas; desde la proteccin del acceso fsico a travs de la capacidad de rastrear acciones y transacciones de las personas responsables; y del anlisis automtico de las modificaciones a la razonabilidad de los grandes cuerpos de datos. Los siguientes son ejemplos de los conceptos claves de control: El aseguramiento es proporcionado por los controles de TI dentro del sistema de controles internos. Este debe ser continuo y proporcionar una pista fiable de pruebas. El aseguramiento del auditor interno es una evaluacin independiente y objetiva de que los controles relacionados con la TI estn funcionando como deben. Esta seguridad se basa en la comprensin, exmen y evaluacin de los controles clave relacionados con los riesgos que se manejan y la realizacin de suficientes pruebas para asegurar que los controles estn diseados de manera adecuada y funcionando de forma efectiva y continua. Existen varios marcos para la categorizacin de los controles de TI y sus objetivos. Esta gua recomienda que cada organizacin utilice los componentes aplicables de los marcos existentes para clasificar y evaluar los riesgos y controles de TI.