Auditoría de tecnologías de la información TI

Auditoría de tecnologías de la información TI

Ya es común decir que las tecnologías de la información (TI) son habilitadoras y han cambiado la forma de realizar los negocios. Es sabido también que además de los muchos beneficios, las TI han expuesto a nuestras organizaciones a nuevos riesgos y supuesto retos que antes no existían.

Lo anterior fue el preámbulo para proponer en la sesión mensual de la comisión de auditoría interna dos cosas:

  1. Cambiar el formato de la sesión a uno que llamamos charla de café, donde de manera más interactiva, a partir de un caso modelo, exponer elementos de un diagnóstico de control.
  2. El enfoque del caso sería sobre el área de tecnologías de la información (TI). El resultado fue una sesión que se enriqueció con experiencias y referencias sobre la vivencia de los participantes a propósito del tema revisado (TI).

Criterios de análisis del área de TI

Los criterios de análisis del área de TI que se establecieron en el caso modelo fueron:

  • Centro de datos con elementos de: seguridad, manejo de crisis y metodología de recuperación de desastres.
  • Servicios de voz con elementos de: impacto al negocio y seguridad.
  • Correo electrónico con elementos de: impacto al negocio, seguridad, metodología de respaldo, hardware y software, plan de recuperación de desastre (DRP), plan de pruebas y mejora del DRP, capacidad y rendimiento.
  • Infraestructura con elementos de: impacto al negocio, metodología de respaldo, hardware y software, plan de recuperación de desastre, plan de pruebas y mejora del DRP, capacidad y rendimiento.
  • Aplicaciones – elementos de: impacto al negocio, metodología de respaldo, hardware y software, plan de recuperación de desastre, plan de pruebas y mejora del DRP, capacidad y rendimiento.

Evaluación de los criterios

Para la evaluación de los criterios antes mencionados se revisó el nivel de preparación y habilitación de servicios o aplicaciones, según aplicó:

  1. Seguridad Física (Centro de Datos – su protección/prevención) considerando aspectos como: control acceso, aire acondicionado, suministro de energía eléctrica.
  2. Manejo/Administración de la Crisis (Centro de Datos – esquema de respuesta/reacción) considerando aspectos como: listado de contactos TI (CALL TREE), procedimiento TI de respuesta inmediata, roles y responsabilidades TI.
  3. Metodología de Respaldo (Servidores y aplicativos – protección/prevención) considerando aspectos como: periodicidad, verificar funcionalidad de los respaldos periódicamente.
  4. Evaluación HW y SW (servicios y aplicativos) considerando aspectos como: utilizan hardware (HW) y software (SW) actualizados (no obsoletos), Cuenta HW y SW con contrato de mantenimiento, existencia de documentación formal de configuración de HW y SW.
  5. Recuperación de desastre (DRP) con aspectos como: persona de TI formalmente designada en caso de desastre, integrados en DRP aspectos de telecomunicaciones, documentación formal de TI para probar DRP.
  6. Pruebas y Mejora del Plan de Recuperación de Desastre con aspectos como: se han completado pruebas de DRP este año, los resultados fueron documentados, fueron los resultados validados por el negocio.
  7. Capacidad y Rendimiento con aspectos como: se registran todos los incidentes, se monitorea y pone a punto la capacidad del servidor, aplicación y base de datos, la medición de la satisfacción del negocio con el servicio / aplicación.

Para la representación de cumplimiento de los criterios seleccionados a partir de los elementos revisado pudo mostrarse lo siguiente:

Auditoría de tecnologías de la información TI - Cumplimiento de los criterios seleccionados
Auditoría de tecnologías de la información TI – Cumplimiento de los criterios seleccionados

Metodología de respaldo del sistema integral de la empresa

El patrocinador de negocio no ha validado la periodicidad y retención de la información. No hay procesos formales de restauración y tampoco se resguarda esta información fuera de las instalaciones. La periodicidad de los respaldos no es diaria. Esto puede exponer a la falta de disponibilidad de información para operar el aplicativo institucional en caso de presentarse una contingencia con el mismo. Lo anterior representa potencialmente un alto impacto operativo y financiero por la interrupción de los servicios.

Con este tipo de diagnósticos también es viable integrar información para hacer una determinación del nivel de madurez de los servicios de TI; algunos elementos para este fin son el grado de implementación de los procesos, la gestión de la información de servicios prestados, las herramientas tecnológicas utilizadas internamente, la alineación de las TI con la estrategia organizacional, el desarrollo del personal de TI, entre otros.

Los elementos antes mencionados permiten ponderar, por ejemplo, que un servicio es principalmente reactivo, con algunos procesos documentados, pero sin una formalización objetiva.

En conjunto los hallazgos de la infraestructura y aplicaciones con el nivel de madurez ponderado ayudarán a concluir una serie de recomendaciones para la mejora de los puntos de control y niveles de servicios de TI.

Esperamos que los elementos expuestos sobre el caso, presentados como ya se dijo en formato charla de café, despierten el interés de promover la generalización de las revisiones regulares de los puntos de control de TI en las organizaciones.


Contenido relacionado

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

También te puede interesar
Su enfoque es: establecer el tratamiento contable de una partida, ya sea como una provisión o un pasivo contingente, dependiendo del grado de incertidumbre de la salida de recursos económicos para el cumplimiento de una obligación o, para el caso de activos contingentes, la incertidumbre de la recepción de beneficios económicos para recuperar el activo.

Norma de Información Financiera (NIF) C-9 “Provisiones, contingencias y compromisos”

Su enfoque es: establecer el tratamiento contable de una partida, ya sea como una provisión o un pasivo contingente, dependiendo del grado de incertidumbre de la salida de recursos económicos para el cumplimiento de una obligación o, para el caso de activos contingentes, la incertidumbre de la recepción de beneficios económicos para recuperar el activo.
La NIA 265, relata la responsabilidad que tiene el auditor de comunicar las deficiencias de control interno a la dirección

Norma Internacional de Auditoría (NIA) 265: Comunicación de las deficiencias del control interno a los responsables del gobierno y a la dirección de la entidad

El objetivo de una auditoría de estados financieros realizada conforme a las Normas Internacionales de Auditoria (NIA) es, emitir una opinión sobre si la información financiera de una Entidad se presenta razonablemente conforme a las Normas de Información Financiera (NIF) aplicables; para cumplir con este, el auditor debe obtener una comprensión del control interno de la empresa para así poder diseñar los procedimientos de auditoría adecuados para el encargo.