El universo de Auditoría de Tecnología de la Información es un universo complejo,
con múltiples dimensiones que abarcan los riesgos que pueden producirse en las
unidades organizativas, los procesos de negocios, las aplicaciones, en el
hardware, el software, los centros de proceso de datos, y los procesos TI. Este
universo es el punto de partida para llevar a cabo una posterior evaluación de
riesgos de los elementos que lo conforman y establecer un plan de Auditoría sobre los mismos. Todos estos elementos están íntimamente relacionados
y, por ejemplo, se puede definir el universo de Auditoría de TI
teniendo en cuenta las siguientes pautas:
-Obtener la relación y descripción de los procesos de negocio
de cada organización.
-Confeccionar el mapa de las aplicaciones que soportan los
procesos de negocio.
-Inventariar los equipos en los que se ejecutan las
aplicaciones, tanto en centros de proceso de datos propios como externos.
La definición del universo de Auditoría de TI es el
punto de partida para llevar a cabo una evaluación de riesgos y establecer un
plan de Auditoría sobre los mismos.
-Identificar los procesos de TI empleados para la gestión de
todos los elementos básicos de tecnología (equipos, centros de procesos de
datos, aplicaciones, sistemas operativos, bases de datos, comunicaciones y
seguridad).
-Definir los riesgos asociados a estos elementos, tanto
tecnológicos como de otra naturaleza.
-Establecer procesos continuos de mantenimiento de toda la
información recabada para disponer de un universo actualizado.
En base a esta información, la Dirección de Auditoría puede definir el universo
de las Auditorías de TI: los sistemas de información, los procesos de
negocio y los riesgos identificados en el mapa de riesgos corporativos o el
mapa de riesgos de TI. Es preferible un enfoque integrado de evaluación de
riesgos, en lugar de un análisis específico para TI. Así se aprovechan las
sinergias que genera el conocimiento que Auditoría dispone tanto del
negocio como de la plataforma tecnológica.
Por
LA FÁBRICA DE PENSAMIENTO
INSTITUTO DE AUDITORES DE ESPAÑA
Marina Touriño Troitiño, CIA, CRMA, CISA.
MARINA TOURIÑO & ASOCIADOS, S.L.
Cebro Barreiro, CISA. MAPFRE
Andrés de Benito Orbañanos, CIA, CISA. LOGISTA GROUP
Ricardo Martínez Martínez, CISA. DELOITTE
José Manuel Vidal Formoso, CISA. BBVA
A