GUA DE AUDITORA DE TECNOLOGA GLOBAL

MIPP - Guas para la Prctic aa

Riesgo y Controles de Tecnologa de la Informacin

2 Edicin

Gua de Auditora de Tecnologa Global (GTAG ) 1 Riesgo y Controles de Tecnologa de la Informacin

2 Edicin

Marzo 2012

TRADUCIDO SOLO PARA FINES DOCENTES. PROHIBIDA SU COMERCIALIZACIN

GTAG - Tabla de contenidos

rESumEn EJEcutivo ................................................................................................................................... 2 1. introduccin......................................................................................................................................... 3 2. introduccin a riESgoS y controlES dEl nEgocio rElacionadoS con ti . ............... 5 3. rESponSaBilidadES dE laS partES intErESadaS intErnaS y ti . ........................................ 8 4. analizando riESgoS. .......................................................................................................................... 10 5. Evaluando ti - una viSin gEnEral . ......................................................................................... 13 6. comprEndiEndo la importancia dE loS controlES dE ti ................................................ 16 7. compEtEnciaS y haBilidadES dE auditora ti........................................................................ 22 8. uSo dE marco dE control................................................................................................................ 23 9. concluSin............................................................................................................................................. 25 10. autorES y rEviSorES ........................................................................................................................ 26 11. apndicE: liSta dE vErificacion dEl marco dE control dE ti . ................................... 27

TRADUCIDO SOLO PARA FINES DOCENTES. PROHIBIDA SU COMERCIALIZACIN

GTAG - Resumen Ejecutivo Resumen Ejecutivo

Esta GTAG ayuda a los directores ejecutivos de auditora (CAE) y a los auditores internos a mantener el ritmo con el mundo siempre cambiante y complejo de la TI al proporcionar recursos escritos para ejecutivos de negocios - no para ejecutivos de TI.Tanto la administracin como el Consejo tienen la expectativa de que la actividad de auditora interna proporcione seguridad en torno a todos los riesgos importantes, incluyendo los introducidos o habilitados por la aplicacin de la TI. La serie GTAG ayuda a los auditores internos y CAEs a ampliar conocimientos sobre temas de riesgo, control y gobernabilidad alrededor de la tecnologa. El objetivo de esta GTAG es ayudar a que los auditores internos se sientan ms cmodos con los controles generales de TI para que puedan hablar con su Consejo e intercambiar ideas de riesgo y control con el director ejecutivo de informacion (CIO) y la gerencia de TI. Esta GTAG describe cmo los miembros de los rganos de gobierno, ejecutivos, profesionales de TI y los auditores internos enfrentan temas importantes sobre riesgos y control relacionados con TI, as como tambien presenta marcos pertinentes para la evaluacin de riesgos y controles de TI. Por otra parte, establece el escenario para otras GTAGs que cubren con mayor detalle los temas especficos de TI, as como los roles y responsabilidades relacionados con el negocio. Esta gua es la segunda edicin de la primera entrega de la serie GTAG - GTAG 1: Controles de Tecnologa de la Informacin - que fue publicada en marzo de 2005. Su objetivo era, y es, ofrecer una visin general del tema de los riesgos y controles relacionados con TI.

TRADUCIDO SOLO PARA FINES DOCENTES. PROHIBIDA SU COMERCIALIZACIN

GTAG - Introduccin
El propsito de esta GTAG es explicar los riesgos y controles en un formato que permita a los CAE y a los auditores internos entender y comunicar la necesidad de mejores controles de TI. Est organizada para que el lector pueda moverse a travs del marco de trabajo para la evaluacin de los controles de TI y para abordar temas especficos basados en las necesidades. Esta GTAG ofrece una visin general de los componentes clave de la evaluacin de control de TI con nfasis en las funciones y responsabilidades de los componentes constituyentes de la organizacin que pueden conducir la gobernabilidad de los recursos de TI. Algunos lectores ya estarn familiarizados con algunos aspectos de esta GTAG, pero algunos segmentos ofrecern nuevas perspectivas sobre cmo abordar los riesgos y controles de TI. Uno de los objetivos de esta GTAG, y otros de la serie, es que los componentes de evalua-cin del control se pueden utilizar para educar a otros acerca de lo que son los riesgos y controles de TI, y por qu la gerencia y auditora interna deben garantizar la atencin adecuada a los riesgos y controles fundamentales de TI para permitir y mantener un sistema eficaz de control del entorno de TI. Aunque la tecnologa ofrece oportunidades para el crecimiento y el desarrollo, tambin representa amenazas, como la perturbacin, el engao, el robo y el fraude. La investigacin demuestra que los atacantes externos amenazan a las organizaciones, sin embargo, gente interna de confianza son una amenaza mucho mayor. Afortunadamente, la tecnologa tambin puede proporcionar proteccin contra las amenazas, como esta gua va a demostrar. Los ejecutivos deben conocer las preguntas correctas y lo que significan las respuestas. Por ejemplo: Por qu debera entender los riesgos y controles de TI? Dos palabras: garanta y fiabilidad. Los ejecutivos desempean un papel clave para asegurar la fiabilidad de la informacin. El aseguramiento proviene principalmente de un conjunto interdependiente de controles del negocio, as como la evidencia de que los controles son continuos y suficientes. La gerencia debe evaluar la evidencia proporcionada por los controles y auditoras, as como la conclusin de que s proporcionan una seguridad razonable. Qu hay que proteger? La confianza, ya que garantiza los negocios y la eficiencia. Los controles proporcionan la base para la confianza, aunque a menudo no se ven. La tecnologa proporciona la base para muchos - quizs la mayora - de los controles del negocio. La fiabilidad de la informacin financiera y los procesos - ahora obligatorios para muchas organizaciones - tratan sobre la confianza. Dnde se aplican los controles de TI? En todas partes. TI incluye componentes de tecnologa, procesos, personas, organizacin y la arquitectura, as como la propia informacin. Muchos controles de TI son de carcter tcnico, y la TI suministra herramientas para los controles de muchos negocios.

1. Introduccin

Quin es responsable? Todos. Sin embargo, la propiedad y las responsabilidades de control deben ser definidas y difundidas por la gerencia. De lo contrario, nadie es responsable, y los resultados podran ser severos. Cundo se evaluaran los riesgos y controles de TI? Siempre. TI es un ambiente que cambia rpidamente, promoviendo el proceso y el cambio organizacional. Surgen nuevos riesgos a un ritmo veloz. Los controles deben presentar evidencia continua de su eficacia, y la evidencia debe ser evaluada constantemente. Qu tanto control es suficiente? La gerencia debe decidir sobre la base del apetito por el riesgo, la tolerancia y la normativa obligatoria. Los controles no son el objetivo, stos existen para ayudar a cumplir los objetivos de negocio. Los controles son un precio por hacer negocios y pueden ser costosos, pero ni cercanamente tan caro como las posibles consecuencias de la insuficiencia de controles. Los controles de TI son esenciales para proteger a los activos, clientes, equipos e informacin importante, demostrando un comportamiento seguro, eficiente y tico; preservando la marca, la reputacin y la confianza. En el actual mercado global y entorno regulatorio, estos detalles son muy fciles de perder. Un CAE puede utilizar esta gua como una base para evaluar el marco de una organizacin y las prcticas de auditora interna de riesgos y control de TI, cumplimiento y seguridad. Tambin se puede utilizar para responder a los desafos del cambio constante, aumentando la complejidad, la rpida evolucin de las amenazas, y la necesidad de mejorar la eficiencia. Los controles de TI no existen en aislamiento. Forman una cadena interdependiente de proteccin, pero tambin pueden estar comprometidos debido a los enlaces dbiles. Los controles de TI estn sujetos a error y falta de vigilancia, variando de simples a muy tcnicos, y existen en un entorno dinmico. Los controles de TI tienen dos elementos importantes: la automatizacin de los controles de negocios (que apoyan la gestin de empresas y el gobierno) yel control del entorno de TI y de operaciones (que soportan las aplicaciones de TI e infraestructuras). El CAE tieneque considerar y evaluar ambos elementos. El CAE puede ver los controles del negocio automatizados, donde los controles y las habilidades de auditora de TI trabajan juntos en una capacidad de auditora integrada. Si el CAE lo desea, puede separar los controles generales de computacin (CGC) o los controles de TI, en general, sobre la base de las habilidades tcnicas y competencias necesarias para evaluar las solicitudes de carcter ms tcnico, la infraestructura y operaciones. Por ejemplo, una aplicacin para la planificacin de recursos empresariales (Enterprise Resource Planning - ERP) requiere ms conocimientos tcnicos para comprender y evaluar los controles sobre las estructuras de base de datos de ERP, el acceso del usuario, la configuracin del sistema y los informes financieros. El CAE encontrar que la evaluacin de la infraestructura, como redes, routers, cortafuegos y dispositivos inalmbricos y mviles requieren conocimientos especializados y experiencia. El papel del auditor interno en los controles de TI comienza con la comprensin conceptual, y
3

TRADUCIDO SOLO PARA FINES DOCENTES. PROHIBIDA SU COMERCIALIZACIN

GTAG - Introduccin
culmina con el suministro de los resultados y de las evaluaciones de riesgo y de control. La auditora interna consiste en una interaccin significativa con las personas que ocupan puestos de responsabilidad por los controles y requiere el aprendizaje continuo y la reevaluacin, a medida que emergen nuevas tecnologas y que cambian las oportunidades, los usos, las dependencias, estrategias, riesgos y necesidades de la organizacin. Los controles de TI ofrecen garanta relacionada a la fiabilidad de la informacin y los servicios de informacin. Los controles de TI ayudan a mitigar los riesgos asociados con el uso de tecnologa en una organizacin. Van desde las polticas corporativas hasta la implementacin fsica dentro de las insstrucciones codificadas; desde la proteccin del acceso fsico a travs de la capacidad de rastrear acciones y transacciones de las personas responsables; y del anlisis automtico de las modificaciones a la razonabilidad de los grandes cuerpos de datos. Los siguientes son ejemplos de los conceptos claves de control: El aseguramiento es proporcionado por los controles de TI dentro del sistema de controles internos. Este debe ser continuo y proporcionar una pista fiable de pruebas. El aseguramiento del auditor interno es una evaluacin independiente y objetiva de que los controles relacionados con la TI estn funcionando como deben. Esta seguridad se basa en la comprensin, exmen y evaluacin de los controles clave relacionados con los riesgos que se manejan y la realizacin de suficientes pruebas para asegurar que los controles estn diseados de manera adecuada y funcionando de forma efectiva y continua. Existen varios marcos para la categorizacin de los controles de TI y sus objetivos. Esta gua recomienda que cada organizacin utilice los componentes aplicables de los marcos existentes para clasificar y evaluar los riesgos y controles de TI.

TRADUCIDO SOLO PARA FINES DOCENTES. PROHIBIDA SU COMERCIALIZACIN