Archivo de la categoría: Auditoría Interna

UNIVERSO DE AUDITORÍA DE TI, PARTE I

La efectividad en la elección de qué auditar.

Los Auditores de Sistemas trabajamos con limitados recursos, especialmente de tiempo, para auditar un área que es muy importante, sino vital, para el logro de los objetivos del negocio. Esta situación nos lleva a priorizar qué auditar, teniendo forzosamente que dejar algunos temas para después. Sin embargo, es importante tener una idea clara del estado del uso de las Tecnologías de la Información en la organización a efecto de que la priorización no deje por fuera alcances transcendentes para el cumplimiento de la empresa. Aquí es dónde la tarea de crear el Universo de Auditoría ayuda a enfocar los recursos de Auditoría de la mejor manera.

Definición del Universo de Auditoría.

El Universo de Auditoría se refiere a todas las posibles auditorías que se pueden realizar en una organización. Cada evaluación de auditoría debe tener un alcance que permita al auditor dar a la organización resultados efectivos, esto es, informes que provean las recomendaciones necesarias de manera oportuna.

Previo a la creación del Universo de Auditoría, el Auditor de Sistemas tiene que realizar tareas que le permitan tomar decisiones bien informadas sobre que incluir y que no en el Universo de Auditoría, así como el tener la capacidad de evaluar de la manera más precisa posible los riesgos existentes.

En esta entrada del blog, vamos a tratar sobre la fase de generación de los elementos auditables de una organización, para posteriormente abordar el tema de cómo priorizar.

En la primera parte del proceso el Auditor de Sistemas debe asegurarse que entiende el funcionamiento del negocio, los procesos o actividades que son importantes para el logro de objetivos de la empresa y los principales riesgos que afronta en relación con su dependencia de las Tecnologías de la Información. Hay que recordar que las Tecnologías de la Información son cada vez más relevantes en todos los tipos de negocio, pudiendo llegar a ser un factor indispensable para las operaciones en muchas industrias, o un factor diferenciador en otras. Posteriormente, se debe de entender completamente como se están gestionando las Tecnologías de la Información. El Auditor de Sistemas debe entender porque las Tecnologías de la Información son importantes para la empresa, cómo están soportando los objetivos de negocio y los riesgos a la operación. También se debe conocer la forma en que el departamento de TI se ha organizado para responder a las necesidades de la organización, las Tecnologías actualmente implementadas y los planes para adoptar nuevas plataformas o mejorar/actualizar las actuales.

Estas dos actividades de recopilación de información permitirán crear una lista de elementos que podrán ser considerados dentro del Universo de Auditoría. Esta es una fase en la que interesa capturar todos los elementos posibles.  Estos elementos incluyen cosas como: el esquema normativo o políticas vigentes, la organización, procesos de gestión de TI implementados y sus normas de referencia, Tecnologías específicas utilizadas, proyectos, e incluso actividades específicas, como los respaldos de datos, que por su importancia requieren de consideración especial. Esto es un paso crucial porque impacta en la forma en la que la organización identificará el trabajo del Auditor de Sistemas como valioso. Por ejemplo, si se decide evaluar la Gestión de la Continuidad como una sola auditoría, el estudio podría tomar mucho tiempo, incluso meses en ser ejecutado. Si en el transcurso de esos meses, falla un equipo crítico y se descubre que los respaldos no se habían gestionado bien y el tiempo de recuperación se expande por esta razón, la empresa se vería impactada en costos adicionales tanto por el mismo proceso de reparación, como por el hecho de trabajar con métodos alternativos mientras se termina la recuperación. Si se define como una actividad auditable los procedimientos de Gestión de Respaldos, este estudio se podría realizar antes que abordar todo el proceso de Gestión de la Continuidad y probablemente en dos semanas o un poco más, el Auditor de Sistemas tendría la información suficiente para detectar cualquier problema con la ejecución de los respaldos, alertar a la organización y coordinar planes de acción de manera oportuna.

Una regla general para considerar cada elemento a incluir en un Universo de Auditoría es que la ejecución de una auditoría para cada elemento pueda ser realizada en menos de un mes. Esto permitirá al Auditor proporcionar al menos mensualmente, resultados a la empresa que serán oportunos y eficaces.

Atendiendo las tendencias de la auditoría ágil, que busca dar resultados inmediatos, en lugar de la realización de evaluaciones largas que tomen demasiado tiempo, el auditor de sistemas debe evaluar cada proceso que entrará al universo de auditoría y si este debe examinarse en una sola auditoría o si por practicidad, debe de realizarse en varias auditorías con alcances más limitados.

Si por ejemplo tomamos el proceso de Gestión de la Seguridad, nos daremos cuenta de que hacer una evaluación única para el tema, representará un esfuerzo de muchas horas, que se podrían llegar a traducirse en meses. Este tipo de procesos es conveniente partirlos en varias secciones, como, por ejemplo, Estrategia de Seguridad, Seguridad en Servidores, (Qué incluso se puede subdividir por tipos de sistema operativo), Seguridad en la red, Gestión de Accesos en aplicaciones. Esto permitirá realizar una priorización más acertada de acuerdo con el nivel de riesgo percibido en cada área que se pueda auditar.

Un proceso que también tiene que subdividirse y darle prioridad, son las evaluaciones normativas, es decir, las que son mandadas por alguna norma o ley aplicable al área de negocios de la organización. El Auditor de Sistemas debe de identificar los requerimientos regulativos e incluirlos como un elemento auditable dentro del Universo de Auditoría.

Concluyendo, en la primera fase de la creación del Universo de Auditoría, el Auditor de Sistemas realizará una investigación sobre el funcionamiento de la empresa y su modelo de negocio, las Tecnologías de la información utilizadas para soportar el negocio y la forma en la que se gestionan, a efectos de ir creando una lista de todo lo que se pueda auditar. En la próxima entrada del blog veremos cómo se tratará esa lista para categorizarla de acuerdo con criterios de priorización.  Mientras tanto, coméntenme si les parece útil contar con una lista guía de elementos auditables y si les gustaría verla en el sitio. Hasta pronto.

El Auditor de Sistemas como consultor en la organización

Una empresa exitosa no debería inventar cada procedimiento, proceso o práctica operativa que necesite para lograr sus objetivos. La industria en todas sus ramas ya se ha encargado de la definición de las mejores prácticas, definiéndolas a través de normas o estándares que facilitan su adopción. Sin embargo, los auditores siempre identificamos situaciones que denotan la falta de utilización de estos marcos de referencia en una operación. En general las empresas tienen problemas para adoptar marcos de referencia que les ayuden a lograr sus objetivos de una manera más efectiva. Esto está ligado a la escasa vinculación que la educación universitaria brinda a los profesionales de todas las áreas, incluidas las áreas de Tecnologías de la Información y de Auditoría Interna, con procesos de adopción de estándares y a veces con el conocimiento de los mismos. Esta es definitivamente una oportunidad para que los Auditores de Sistemas aportemos valor a las organizaciones.

Cuando se trata de las Tecnologías de la Información, los Auditores de Sistemas nos enfrentamos en muchas ocasiones con personal que no ha estado expuesto al conocimiento de normas de gestión de TI o de la identificación de mejores prácticas en la industria que son necesarias, sino indispensables para el uso efectivo de la inversión en tecnologías que la organización ha realizado o para minimizar riesgos de seguridad, especialmente en el entorno actual en el que siempre existen amenazas acechando la oportunidad de explotar vulnerabilidades en la infraestructura de TI. Por otro lado, los Auditores de Sistemas, interesados en cumplir con los códigos de ética que nos indican que tenemos que hacer nuestro trabajo con profesionalismo, siempre estamos buscando la actualización de los últimos estándares y ofertas de la industria

En este contexto, un Auditor de Sistemas puede diseñar su plan incluyendo actividades de consultoría en la aplicación de normas, estándares y mejores prácticas. Esto tiene mucho sentido porque si se ha identificado un riesgo, porque no orientar el esfuerzo de mitigación que la organización puede seguir. El trabajo de consultoría puede seguir la siguiente ruta:

  1. IDENTIFICACIÓN. Consiste en la identificación de principales riesgos que pueden ser cubiertos por la aplicación de una norma o estándar. Esta fase debería de aportar la información para priorizar la aplicación de normas. Es decir, la organización debe de realizarse un examen y definir sus prioridades en la implementación de estándares. Esto es importante porque no se puede empezar a implementar todos los estándares existentes, así que debe priorizarse que interesa más a la organización: gestión de TI, gobierno de TI, Seguridad de la Información, Gestión de riesgos, Calidad, etc.
  2. El Auditor de Sistemas puede compartir su conocimiento con el personal de TI para dar a conocer al personal de la organización el contenido de las normas aplicables. Esto ayudaría nivelar el conocimiento sobre las normas y posibles rutas de acción que motivarían la adopción de un marco de referencia.
  3. PRIORIZACIÓN DE ACCIONES. En esta fase, el Auditor de Sistemas debe facilitar un proceso para orientar un esfuerzo de decisión sobre las prioridades de implementación. Es importante establecer el rol de consultor, que implica el no decidir prioridades de implementación por los responsables de la gestión de TI, ni participar activamente en la implementación de las normas. El punto es colaborar en crear un Plan de Trabajo que posteriormente los responsables de la gestión de las TI pueden seguir.

Seguir este proceso ayudará a posicionar el valor de la Auditoría de Sistemas en la organización, especialmente si se cumple el plan de implementación de estándares y la organización materializa los beneficios.

Vinculación del Auditor de Sistemas con la Auditoría Interna

La Auditoría de Sistemas como actividad profesional está insertada dentro de la práctica de Auditoría, ya sea interna o externa. Por lo tanto, los Auditores de Sistemas deben tener fundamentos de Auditoría que le permitirán coordinar, desarrollar y presentar resultados en sintonía con las prácticas de Auditoría que se siguen en las empresas.

La Auditoría de Sistemas guiada por los estándares de ISACA y especialmente por COBIT 5, tiene una alineación natural con la Auditoría Interna, debido a que esta busca el fortalecimiento de los sistemas de control, gestión de riesgos y gobierno de las empresas. Debido a esta alineación, resulta lógico que los Auditores de Sistemas sean contratados en las empresas a través de los Auditores Internos, creándose una dependencia laboral entre estas dos profesiones. Un auditor de sistemas certificado (CISA) debe de conocer que en el ámbito de la Auditoría Interna existen normas y marcos de referencia que resulta necesario conocer para poder comunicarse eficientemente con los Auditores Internos y lograr sinergia en el trabajo. ISACA nos ha señalado por largo tiempo algunos marcos de referencia, normalmente orientados a las tecnologías de la información, tales como ISO 2000, ISO 27000, ITIL y similares, pero de igual manera se debe de considerar las Normas Internacionales para el ejercicio Profesional de la Auditoría Interna, emitidas por el Instituto de Auditores Internos (IIA, de sus siglas en inglés), cuya última versión entró en vigencia en enero de 2017. Este marco considera principios básicos para la práctica de la Auditoría Interna que son usados de referencia para la implementación y la operación de las Unidades de Auditoría Interna en las empresas.

Entre otras cosas, las normas del IIA establecen la relación existente entre las Unidades de Auditoría y la dirección de la organización. Un punto importante que establece es que debe existir un Director Ejecutivo de Auditoría (DEA), quién es el responsable de la planificación, organización, ejecución e informe de los resultados de la actividad de Auditoría Interna. Normalmente, un Auditor de Sistemas soportará al DEA en la parte del aseguramiento que corresponde a las Tecnologías de la Información, por lo que debe establecer un protocolo de trabajo cooperativo que permita apoyar eficientemente en cada fase del ciclo de ejecución de un Plan de Auditoría Interna, que normalmente tendrá un ciclo anual. Con el auge del uso de las Tecnologías de la Información en todos los ámbitos de las empresas, el rol del Auditor de Sistemas es vital para definir un alcance adecuado de un Plan de Auditoría Interna. En este sentido, el Auditor de Sistemas deberá de preocuparse por el conocimiento de la empresa y sus operaciones informáticas para apoyar al DEA en la definición de un Plan de Auditoría razonable para mitigar los principales riesgos.

Es importante recalcar que el éxito de la comunicación entre el Auditor de Sistemas y el Director Ejecutivo de Auditoría es crucial para garantizar la efectividad de la ejecución del Plan Anual de Auditoría. La comunicación es en ambas vías. El Director Ejecutivo de Auditoría debe alertar al Auditor de Sistemas sobre el análisis de situaciones que involucren las Tecnologías de la Información. El Auditor de Sistemas debe alertar al Director Ejecutivo de Auditoría sobre aspectos deficientes en la información de la organización y en el uso de Tecnologías de la Información que impactan negativamente en los resultados de la empresa. Es importante recalcar que riesgos como la interrupción de operaciones por fallas en Tecnología, o la materialización de fraudes por una gestión de accesos deficiente, si bien son temas que revisará el Auditor de Sistemas, muchas veces requieren de soluciones que van más allá de la Gestión de las Tecnologías e impactan en los procesos, políticas y la definición de responsabilidades de cada puesto.

Otros aspectos de la vinculación de la Auditoría de Sistemas con la Auditoría Interna serán tocados en publicaciones posteriores.

A %d blogueros les gusta esto: