Machine Translated by Google
Auditoría de la Gobernanza de TI
Machine Translated by Google
Acerca de la orientación complementaria
La Guía complementaria es parte del Marco de Prácticas Profesionales Internacionales® (IPPF®) del IIA y proporciona
una guía adicional recomendada y no obligatoria para realizar actividades de auditoría interna. Si bien respalda las
Normas internacionales para la práctica profesional de la auditoría interna, la Guía complementaria pretende abordar
áreas de actualidad, así como cuestiones específicas del sector, con mayor detalle de procedimiento que las Normas o
las Guías de implementación. El IIA respalda la guía complementaria a través de procesos formales de revisión y
aprobación.
Guías de práctica
Las guías de práctica son un tipo de orientación
complementaria que brindan enfoques detallados paso a
paso, presentando procesos, procedimientos,
herramientas y programas, así como también ejemplos
de entregables.
Las guías de práctica están destinadas a apoyar a los
auditores internos. Las guías de práctica también están
disponibles para apoyar:
ÿ Servicios Financieros.
ÿ Sector Público.
ÿ Tecnologías de la Información (GTAG®).
Para obtener una descripción general de los
materiales de orientación autorizados proporcionados
por el IIA, visite www.globaliia.org/standards-guidance.
www.theiia.org
Auditoría del Gobierno de TI 2
Machine Translated by Google
Tabla de contenido
Resumen ejecutivo ................................................ .................................................... ........................ 4
Introducción ................................................. .................................................... .................................... 5
Descripción general de la gobernanza de TI ............................................. .................................................... .......... 6
Importancia empresarial .................................................. .................................................... .......... 8
Riesgos clave.................................................. .................................................... .................................... 10
Componentes de gobierno de TI ............................................... .................................................... ..... 10
El papel de la auditoría interna en el gobierno de TI .................................. .................................... 12
Competencia .................................................. .................................................... ..................... 13
Planificación del compromiso ................................................ .................................................... ....................15
1. Comprender el contexto y el propósito del compromiso. .................................................... . 15
2. Recopilar información................................................... .................................................... .......... 17
2.1 Obtener y Documentar Información.................................................... .......................... 17
2.2 Entrevistar a las partes interesadas relevantes ........................................... ............................. 18
3. Llevar a cabo una evaluación preliminar de riesgos.................................... .......................................... 19
4. Formar objetivos de participación. .................................................... ............................................. 20
4.1 Objetivos del encargo de consultoría ............................................... ............................. 21
5. Establecer el alcance del compromiso. .................................................... ............................................. 22
6. Asignar recursos. .................................................... .................................................... ............ 23
7. Documentar el plan.................................................... .................................................... .......... 23
Informe de los resultados del compromiso .............................................. .................................................... ..24
Apéndice A. Normas y orientaciones relacionadas con el IIA .................................. ....................................25
Apéndice B. Glosario .............................................. .................................................... .......................26
Apéndice C. Cuestionario de controles internos de gobierno de TI ........................................... ..........28
Apéndice D. Matriz de riesgos y controles para el gobierno de TI .................................. .........................31
Apéndice E. Recursos adicionales ............................................... .................................................... .....39
Agradecimientos ................................................. .................................................... ......................40
www.theiia.org
Auditoría del Gobierno de TI 3
Machine Translated by Google
Resumen ejecutivo
Adoptar un enfoque estratégico para implementar el gobierno de la
tecnología de la información (TI) ayuda a las organizaciones a
abordar la velocidad de los avances tecnológicos, la proliferación
La alineación de los objetivos
organizacionales y TI tiene más que
de servicios de TI y la mayor dependencia de TI para cumplir con
ver con el gobierno y menos con la
los objetivos organizacionales. El gobierno efectivo de TI contribuye
tecnología. El gobierno asegura que se
a controlar la eficiencia y la eficacia, y permite que la inversión de
evalúen las alternativas, que la ejecución
la organización en TI obtenga beneficios tanto financieros como no
se dirija adecuadamente y que se controlen
financieros. A menudo, cuando
los riesgos y el desempeño.
los controles están mal diseñados o son deficientes, una causa
raíz es un gobierno de TI débil o ineficaz.
El gobierno de TI está directamente relacionado con la supervisión organizacional de los activos y riesgos de TI, lo que lo
convierte en una responsabilidad compartida de la alta gerencia1 y la junta. La alta gerencia lleva a cabo la dirección del
día a día que se alinea tácticamente con la orientación estratégica general de la junta para garantizar el uso eficaz, eficiente
y aceptable de los recursos de TI. Los principales resultados de un gobierno de TI efectivo incluyen:
ÿ Las estrategias de TI están alineadas con los objetivos organizacionales.
ÿ Los riesgos se identifican y gestionan adecuadamente.
ÿ Las inversiones en TI se optimizan para ofrecer valor a la organización.
ÿ El desempeño de TI se define, mide y reporta usando métricas significativas.
ÿ Los recursos de TI se gestionan de forma eficaz.
El gobierno de TI ausente o deficiente puede tener impactos negativos significativos en una organización, tanto financiera
como de reputación. La recuperación de tales impactos requiere tiempo, energía y dinero. En muchas organizaciones, existe
una desconexión entre la alta gerencia y TI debido a la antigua creencia de que TI existe únicamente para brindar servicios
de TI cotidianos. En realidad, TI es fundamental en el desarrollo de la ventaja competitiva y para respaldar el logro de las
metas y los objetivos estratégicos de la organización.
La actividad de auditoría interna tiene una posición y un personal únicos dentro de una organización para evaluar si el
gobierno de la tecnología de la información de la organización respalda las estrategias y los objetivos de la organización y
para hacer recomendaciones según sea necesario (Norma de implementación 2110.A2).
Como la segunda edición de "Auditoría del gobierno de TI", este GTAG se ha actualizado para reflejar el Marco de Prácticas
Profesionales Internacionales de 2017 y para ser más directamente práctico para los auditores internos.
1 La alta gerencia generalmente incluye al director ejecutivo (CEO), director financiero (CFO), director de operaciones (COO),
director de marketing (CMO).
www.theiia.org
Auditoría del Gobierno de TI 4
Machine Translated by Google
Introducción
El nivel más alto de gobierno es el gobierno organizacional, que está definido por las Normas Internacionales
para la Práctica Profesional de la Auditoría Interna como “la combinación de procesos y estructuras implementados
por la junta para informar, dirigir, administrar y monitorear las actividades de la organización hacia el logro de sus
objetivos.”
El gobierno de TI es una subdisciplina del gobierno organizacional que consiste en el liderazgo, las estructuras
organizacionales, las políticas y los procesos que aseguran que la tecnología de la información de la empresa
respalde las estrategias y los objetivos de la organización. El gobierno de TI respalda los requisitos regulatorios,
legales, ambientales y operativos de la organización para permitir el logro de los planes y aspiraciones
estratégicas. Otras subdisciplinas incluyen el gobierno corporativo responsable de los procesos de conformidad
y el gobierno empresarial responsable de los procesos de desempeño. La Figura 1 muestra la relación entre el
gobierno organizacional y el gobierno de TI.
Figura 1: Relación entre el gobierno organizacional y el gobierno de TI
Gobernanza Organizacional
Negocio
Corporativo
Gobernancia
Gobernanza de TI
Gobernancia
Activos clave de la organización
Humano
Activos
Físico
Activos
Financiero
Activos
Activos de TI
Gobierno TI • Áreas
• Estructuras
• Mecanismos
Adaptado de: Institute de la Gouvernance des Systems d'Information, The place of IT Governance in the
Enterprise Governance, 2005.
www.theiia.org
Auditoría del Gobierno de TI 5
Machine Translated by Google
El objetivo de esta guía es ayudar a los auditores internos a brindar servicios de aseguramiento sobre el gobierno de TI. La guía
proporciona una descripción de alto nivel de los procesos, prácticas y terminología de gobierno de TI para ayudar a los auditores
internos a comprender el concepto de gobierno y sus características de procesos de buen gobierno.
Esta edición proporciona herramientas y técnicas para ayudar a los auditores internos a crear un programa de trabajo y realizar
compromisos relacionados con el gobierno de TI.
Descripción general de la gobernanza de TI
La implementación del gobierno de TI es una parte imperativa de las estrategias organizacionales porque se preocupa
fundamentalmente por los objetivos que aseguran que TI entregue valor al negocio de manera controlada y efectiva. Un marco
típico de gobierno de TI se centraría en cinco áreas clave:
ÿ Alineación estratégica: el gobierno de TI proporciona una dirección estratégica de TI y la alineación de TI y el negocio
con respecto a los servicios y proyectos, los objetivos comerciales, la estrategia de TI actualizada, el vínculo entre
los objetivos comerciales y las iniciativas de TI.
ÿ Gestión de riesgos: el gobierno de TI puede ayudar a determinar qué procesos existen para garantizar que los
riesgos se hayan abordado adecuadamente. Además, puede garantizar que la gestión de riesgos empresariales
incluya aspectos de riesgo de las inversiones en TI, responsabilidades definidas para la gestión de riesgos,
defina una metodología común de análisis de riesgos y defina estrategias para abordar los riesgos, el seguimiento
continuo de las amenazas, la ocurrencia y el impacto de manera holística.
ÿ Entrega de valor: el gobierno de TI ayuda a TI y al negocio a crear una asociación diseñada para generar el máximo
valor comercial de TI. La empresa puede supervisar la entrega de valor por parte de TI y medir el retorno de las
inversiones (ROI), la ejecución del plan táctico de TI y los beneficios claros para cada nivel de la organización. Por
ejemplo, el tiempo de actividad del sistema (estrategia de infraestructura), el grado de automatización en la estrategia
de desarrollo de software (SDLC), la productividad (estrategia operativa) y, en última instancia, los ingresos
(estrategia financiera de TI).
ÿ Medición del desempeño: el gobierno de TI proporciona los mecanismos para verificar
el cumplimiento (es decir, el logro de los objetivos estratégicos de TI), medir el rendimiento de TI y su contribución al
resultado final (es decir, la entrega de la funcionalidad comercial prometida). Otras métricas incluyen monitoreo e
informes continuos, políticas de seguimiento, análisis de causa raíz y gestión de problemas, evaluación comparativa
con las prácticas de la industria y estándares o marcos probados.
ÿ Gestión de recursos: el gobierno de TI proporciona una dirección de alto nivel para el abastecimiento y el uso de
recursos de TI para: supervisar la financiación agregada de TI a nivel empresarial; y garantizar que haya una
capacidad e infraestructura de TI adecuadas para respaldar los requisitos comerciales actuales y futuros esperados,
las estrategias de abastecimiento, las prácticas de gestión humana, los manuales de usuario, la segregación de
funciones, los informes de tiempo, la gestión del ciclo de vida de la infraestructura, los acuerdos de nivel de servicio
(SLA) y aceptable políticas de uso.
www.theiia.org
Auditoría del Gobierno de TI 6
Machine Translated by Google
Algunos de los desafíos que el gobierno de TI puede ayudar a las organizaciones a abordar incluyen:
ÿ La creciente complejidad de los entornos de TI.
ÿ Una creciente dependencia de los datos para tomar decisiones de negocio.
ÿ La proliferación de dispositivos móviles.
ÿ La necesidad de intercambiar información con clientes, proveedores de servicios y
socios.
ÿ El creciente riesgo de ciberataques.
ÿ Un aumento de las leyes y reglamentos relacionados con la protección de datos.
En el marco conceptual de gobierno de TI, la alta gerencia y la junta son responsables de establecer los objetivos de TI
de la organización en consonancia con la estrategia comercial general; definir estrategias de TI para lograr los objetivos
comerciales; y establecer políticas de gobierno de TI, estructuras organizacionales y procesos para administrar los riesgos
para lograr esos objetivos.
La gerencia de TI es responsable de las actividades diarias de una organización: planificar, ejecutar y monitorear el uso
de los recursos de TI para garantizar el logro de las estrategias y políticas establecidas por la junta.
El papel de la auditoría interna en el gobierno de TI se ha vuelto cada vez más importante a raíz de las crisis financieras
mundiales y las violaciones de seguridad de la información de alto perfil. Según los resultados de la encuesta publicados
en el informe CBOK® del IIA, Promoción y apoyo a la gobernanza organizacional eficaz, la auditoría interna está bien
posicionada para promover y respaldar la gobernanza organizacional y, por lo tanto, ayudar a lograr un equilibrio entre la
creación y la preservación del valor.
El rol de auditoría interna incluye la responsabilidad de evaluar y hacer recomendaciones para mejorar los procesos de
gobierno de la organización (Estándar 2110 - Gobierno) para ayudar a prevenir fallas de gobierno y mejorar el desempeño
estratégico como parte de la tercera línea de defensa.
En el modelo de las Tres Líneas de Defensa, la gestión operativa (incluida TI) representa la primera línea de defensa y
es responsable de la implementación y el mantenimiento de los procesos y controles para gestionar los riesgos. Las
funciones de cumplimiento y gestión de riesgos representan la segunda línea de defensa y son responsables de
monitorear los riesgos en toda la organización. La auditoría interna representa la tercera línea de defensa y es responsable
de proporcionar una garantía independiente de que la gestión de riesgos y los controles funcionan de manera efectiva, y
asesorar a la alta dirección y al directorio cuando se identifican deficiencias.
www.theiia.org
Auditoría del Gobierno de TI 7
Machine Translated by Google
La Figura 2 muestra las responsabilidades del modelo de las Tres Líneas de Defensa en relación con TI
gobernancia.
Figura 2: Tres líneas de defensa en referencia al gobierno de TI
Gobernanza de TI
Gestión de TI
Fuente: El IIA. Documento de posición: Las tres líneas de defensa en la gestión y el control efectivos de
riesgos (Altamonte Springs, Florida, EE. UU.: Instituto de Auditores Internos, 2013). Adaptado de ECIIA/
FERMA Guidance on the 8th EU Company Law Directive, artículo 41.
Hay muchos marcos de gobierno de TI reconocidos internacionalmente que se pueden utilizar para
complementar esta guía. Los marcos como los informes ITIL®, COBIT®, ISO/IEC 38500, King III y King IV
cubren con más detalle los procesos y mecanismos necesarios para desarrollar, implementar, evaluar y
mejorar un programa de gobierno de TI. Esta guía se centra en los procesos y mecanismos que la auditoría
interna puede utilizar para evaluar si el programa de gobierno de TI respalda las estrategias y los objetivos de
la organización de conformidad con la Norma de implementación 2110.A2.
Importancia comercial
La información y los componentes tecnológicos de una organización se encuentran entre sus activos más
importantes. La falta de un gobierno adecuado sobre la información almacenada, procesada o producida por
los sistemas de TI puede tener un impacto negativo significativo en una organización, que va desde multas y
sanciones hasta una reputación dañada que puede llevar tiempo, energía y dinero para reconstruir. En pocas
palabras, el gobierno de TI puede influir e impactar en toda la organización, no solo en TI.
Una mayor dependencia de los sistemas y la información significa que las organizaciones tienen que invertir
mayores recursos para mejorar y mantener sus entornos de TI. Se espera que estos ayuden a administrar el
riesgo, mejorar las operaciones y crear valor al brindar servicios que ayuden a lograr los objetivos
organizacionales financieros y no financieros.
www.theiia.org
Auditoría del Gobierno de TI 8
Machine Translated by Google
El enfoque principal del gobierno de TI es crear una alineación entre las
prioridades de la organización y los objetivos de TI para garantizar que los
La alineación adecuada entre la
esfuerzos de TI se concentren en procesos o proyectos que respalden los
objetivos estratégicos. La alineación exitosa entre la organización y TI
ocurre cuando la alta gerencia y la junta comprenden el valor de TI como
un socio estratégico y reconocen el papel de TI en el apoyo a los resultados
organización y TI significa: ÿ La alta
dirección y el
la junta entiende el
potencialidades y limitaciones de TI.
finales.
ÿ Alta dirección de TI
entiende los objetivos y las
Un marco sólido de gobierno de TI proporciona varios beneficios, entre ellos:
necesidades correspondientes de
la organización.
ÿ Esta comprensión se aplica y supervisa
ÿ Ventaja competitiva.
en toda la organización a través de
ÿ Mejora de la velocidad de comercialización.
una estructura adecuada de gobierno
ÿ Cumplimiento y seguridad de la información efectivos.
y rendición de cuentas.
ÿ Automatización e innovación de procesos.
ÿ Toma de decisiones más informada.
ÿ Mejor comprensión de las causas fundamentales relacionadas con los problemas que conducen a un proceso continuo
mejora.
Las actividades que están en el alcance del gobierno de TI incluyen2 :
ÿ Alinear las inversiones y prioridades de TI con los objetivos comerciales.
ÿ Administre, evalúe, priorice, financie, mida y controle las solicitudes de servicios de TI, y el trabajo y los
entregables resultantes, de una manera más consistente y repetible que optimice los retornos del negocio.
ÿ Mantener una utilización responsable de los recursos y activos.
ÿ Establecer y aclarar la rendición de cuentas y los derechos de decisión: funciones y responsabilidades claramente definidas.
autoridad.
ÿ Asegúrese de que TI cumpla con sus planes, presupuestos y compromisos.
ÿ Gestionar los principales riesgos, amenazas, cambios y contingencias de forma proactiva.
ÿ Mejorar el rendimiento, el cumplimiento, la madurez, el desarrollo del personal y la
iniciativas de externalización.
ÿ Campeón de la innovación dentro de TI y en toda la organización.
2
Selig, Grad J., Implementing IT Governance: A Practical Guide to Global Sect Practices in IT Management, Van Haren Publishing, Zaltbommel,
marzo de 2008.
www.theiia.org
Auditoría de la Gobernanza de TI 9
Machine Translated by Google
Riesgos clave
Así como los beneficios del gobierno de TI pueden ayudar a una organización a lograr objetivos financieros y no financieros, mejorar
las operaciones y controlar el riesgo, los impactos negativos pueden ser perjudiciales para toda la organización.
El énfasis en los aspectos técnicos o financieros de la TI en lugar del énfasis en el contexto organizacional del uso de la TI como
habilitador de negocios por lo general genera resultados negativos, un rendimiento deficiente de las inversiones en TI o la imposibilidad
de demostrar los beneficios creados a través de las inversiones en TI.
Otros ejemplos de impactos negativos incluyen:
ÿ Pérdidas financieras por interrupción del negocio.
ÿ Costos más altos para ejecutar las operaciones comerciales.
ÿ Mala calidad o incumplimiento de las expectativas de nuevos clientes y clientes insatisfechos.
ÿ Los procesos comerciales centrales se ven afectados negativamente por la entrega deficiente de servicios de TI.
ÿ Los riesgos y amenazas no identificados exponen a toda la organización a violaciones de seguridad.
ÿ Sanciones derivadas del incumplimiento de los requisitos reglamentarios.
Componentes de gobierno de TI
La implementación y el mantenimiento de un programa de gobierno de TI depende de los componentes que pueden ayudar a la alta
gerencia y al directorio a dirigir, monitorear y medir el desempeño de TI. Como se muestra en la Figura 3, los componentes clave de
un gobierno de TI eficaz se han agrupado en tres categorías:
ÿ Áreas de proceso: incluye todos los procesos de TI implementados para brindar servicios a la
organización (por ejemplo, gestión de cambios, gestión de seguridad de la información, desarrollo de software y
gestión de proyectos).
ÿ Estructuras organizacionales: incluya los roles necesarios y las relaciones de informes para
permitir que TI satisfaga las necesidades de la organización, al mismo tiempo que brinda la oportunidad de abordar los
requisitos a través de una evaluación y priorización formales (Figura 4).
ÿ Mecanismos: incluye estándares, políticas y marcos implementados para dirigir,
supervisar y medir el rendimiento de TI. El marco de gobierno de TI debe determinar qué procesos deben implementarse
para garantizar que los riesgos se hayan identificado, evaluado y abordado o aceptado satisfactoriamente de acuerdo
con el apetito y la tolerancia al riesgo de la organización.
www.theiia.org
Auditoría de la Gobernanza de TI 10
Machine Translated by Google
Figura 3: Componentes de gobierno de TI
ESO
Gobernancia
ESO
Estructura
Gobernancia
ESO
Gobernancia
Métrica
Políticas
Mecanismos
ESO
ESO
Gobernancia
Operaciones
CISO
Componentes
Áreas de proceso
Organizativo
Estructuras
ESO
Dirección de TI
Infraestructura
Comité
Información
director de información
Seguridad
Portafolio de TI
administración
Figura 4: Ejemplos de Estructuras Organizacionales
Miembros del Órgano de Gobierno
junta de gobierno de TI
comité directivo de TI
Alcance
CEO, CFO, CIO, DEA*
Estrategia de negocio y TI y planes de inversión.
Alta dirección de TI, unidad de negocio
Alineación estratégica de TI.
dueños
oficina de cartera de TI
Gerentes de programas de TI, gerentes
Métricas, monitoreo e informes de proyectos
de programas/proyectos de negocios, proyectos de TI
de TI.
gerentes
oficina de arquitectura TI
CIO, CISO, COO, administradores de infraestructura de TI Diseño de arquitectura de TI.
consejo de tecnología
CIO, CTO, propietarios de unidades de negocio
consejo de ciberseguridad y
CIO, CTO, CISO, CRO, CFO, COO, CAE*
Evaluar el riesgo organizacional y las
protección de datos
propietarios de unidades de negocio
estrategias para proteger los activos de información
Evaluar oportunidades tecnológicas.
de la organización.
*
Nota: El CAE participa en el consejo de gobierno como asesor sin derecho a voto sobre riesgos y controles.
www.theiia.org
Auditoría del gobierno de TI 11
Machine Translated by Google
El papel de la auditoría interna en el gobierno de TI
El gobierno de TI es una responsabilidad de la gerencia, la auditoría interna debe permanecer independiente, pero esto
puede proporcionar una excelente posición para influir y recomendar cambios.
Es imperativo que las auditorías del gobierno de TI se dividan en actividades de aseguramiento y consultoría, según la
solidez del sistema de gobierno de TI existente. La independencia no debe inhibir la prestación de asesoramiento, siempre
que la dirección asuma la plena responsabilidad y rendición de cuentas por la implementación y el funcionamiento de los
controles.
Cualquier tipo de auditoría puede evaluar si los dueños de negocios están siguiendo políticas y demostrar la protección
adecuada de los activos al trabajar con TI para identificar riesgos y controles.
Los procesos de gobierno se consideran durante la evaluación de riesgos de la actividad de auditoría interna y el desarrollo
del plan de auditoría. El CAE generalmente identifica los procesos de gobierno de mayor riesgo de la organización, que se
abordan a través de proyectos de aseguramiento y consultoría descritos en el plan de auditoría final.
Además, la Guía de implementación 2110 identifica específicamente
la responsabilidad de la actividad de auditoría interna de evaluar y
hacer recomendaciones apropiadas para mejorar los procesos de
Factores que pueden ayudar a fortalecer TI
gobierno de la organización para:
gobernancia:
ÿ Responsabilidad y propiedad
ÿ Toma de decisiones estratégicas y operativas.
ÿ Supervisar la gestión y control de riesgos.
de TI claras.
ÿ Línea de informes del CIO a la alta
ÿ Promover la ética y los valores apropiados dentro de la
organización.
gerencia.
ÿ El valor de innovación que TI
ÿ Garantizar una gestión eficaz del desempeño organizacional
y la rendición de cuentas.
puede ofrecer es reconocido.
ÿ El desempeño de TI es monitoreado y
ÿ Comunicar información sobre riesgos y control a las áreas
medido.
apropiadas de la organización.
ÿ Coordinar las actividades de, y
comunicar información entre la junta, los auditores externos e internos, otros proveedores de aseguramiento
y la gerencia.
Las auditorías internas del gobierno de TI deben centrarse en la implementación de prácticas de gobierno de la organización,
que incluyen políticas, funciones y responsabilidades claramente definidas, alineación del apetito por el riesgo, comunicación
efectiva, tono en la parte superior, gestión del valor de TI y responsabilidad clara.
Las evaluaciones de auditoría interna probablemente incluirán actividades tales como:
ÿ Evaluar el grado en que las actividades y normas de gobierno son consistentes con la comprensión de la
actividad de auditoría interna del apetito de riesgo de la organización.
ÿ Llevar a cabo trabajos de consultoría según lo permitido por el estatuto de auditoría y aprobado por el
junta.
www.theiia.org
Auditoría del gobierno de TI 12
Machine Translated by Google
ÿ Diálogo continuo con el órgano de gobierno de TI para garantizar que los cambios organizacionales y de riesgo sustanciales se
aborden de manera oportuna.
Al revisar la gobernanza, la auditoría interna debe hacer más que solo identificar problemas. Necesitan identificar
las causas fundamentales y hacer recomendaciones constructivas cuando se identifican debilidades en los controles
de TI; por ejemplo, una configuración de cortafuegos deficiente o débil. En este caso particular, una evaluación de
causa raíz puede incluir diferentes capas de control para identificar la fuente del problema.
La Figura 5 muestra un marco de análisis de causa raíz que muestra tres capas de control que se pueden utilizar
para la evaluación de las debilidades de TI. Comenzando en la capa técnica, suba a la capa de proceso y pregunte
si hubo fallas en el proceso que causaron la configuración débil del firewall (p. ej., falta de supervisión o monitoreo,
o separación inadecuada de funciones).
Desde la capa de proceso, suba una capa más hasta el gobierno de TI y pregunte si la organización tiene prácticas
efectivas de gobierno de TI, como evaluación de riesgos y desarrollo de políticas, mantenimiento y capacitación
con respecto a los firewalls.
Figura 5: Riesgo de TI: marco de análisis de causa raíz
Riesgo
Conductores
Tono en la parte superior, alineación comercial,
ESO
políticas, capacitación, gestión de riesgos, métricas de
Gobernancia
desempeño, monitoreo y factores humanos.
Procedimientos empleados para prestar servicios
Procesos de TI
de TI, seguridad de la información, desarrollo de
aplicaciones, gestión de cambios, gestión de configuración, etc.
Técnico
Configuración
Diseño técnico o arquitectura de los recursos de TI: capas
de aplicación, base de datos y red.
Riesgo
Fuentes
La actividad de auditoría interna agrega valor cuando identifica las causas fundamentales y asegura la creación de
planes de acción constructivos en cooperación con la administración para abordar el problema.
Competencia
Como se indica en el Estándar de implementación 2130.A1, la
Si bien puede parecer que auditar el
evaluación del gobierno de TI puede implicar servicios de
gobierno de TI requiere una amplia
aseguramiento y/o consultoría para evaluar la idoneidad y
experiencia en TI, los aspectos estratégicos
eficacia de los controles para responder a los riesgos.
del gobierno de TI pueden ser parte de
cualquier compromiso operativo.
www.theiia.org
Auditoría del gobierno de TI 13
Machine Translated by Google
dentro del gobierno, las operaciones y los sistemas de información de la organización con respecto a:
ÿ Logro de los objetivos estratégicos de la organización.
ÿ Confiabilidad e integridad de la información financiera y operativa.
ÿ Eficacia y eficiencia de las operaciones y programas.
ÿ Resguardo de activos.
ÿ Cumplimiento de leyes, reglamentos, políticas, procedimientos y contratos.
www.theiia.org
Auditoría del gobierno de TI 14
Machine Translated by Google
Planificación del compromiso
De acuerdo con el Estándar 2200 – Planificación del compromiso, los auditores internos deben desarrollar y documentar un
plan para cada compromiso, incluidos los objetivos, el alcance, el momento y la asignación de recursos del compromiso. El
plan debe considerar las estrategias, los objetivos y los riesgos de la organización relevantes para el compromiso. Esta
sección está destinada a ayudar al auditor interno a determinar las áreas clave que deben incluirse en un compromiso de
gobierno de TI, el tipo de documentos que se pueden solicitar, las preguntas que se pueden incluir en las entrevistas y la
documentación de evidencia que se debe obtener.
Los ejemplos proporcionados no son exhaustivos.
Una de las cosas más importantes que una actividad de auditoría
interna debe determinar al planificar el compromiso es si la
La planificación del compromiso
generalmente incluye los siguientes pasos:
organización tiene una estructura de gobierno unificada y cohesiva,
que incluya políticas, procesos y herramientas para administrar el
entorno y controlar los riesgos relacionados con TI de manera
ÿ Comprender el contexto y el propósito
consistente.
del compromiso. ÿ Reunir
información para
Puede ser difícil auditar todo el programa de gobierno de TI; en
entender el área o
cambio, el alcance del trabajo de auditoría se puede definir utilizando
proceso bajo revisión. ÿ
criterios que cumplan con un objetivo específico. Por ejemplo, el
Realizar una evaluación preliminar de
alcance se puede definir por unidades organizacionales, ubicaciones,
riesgos del área o proceso bajo
objetivos estratégicos o por cualquier otro criterio que sea
revisión. ÿ Formar objetivos de
significativo para la organización.
participación. ÿ Establecer el alcance del
compromiso. ÿ Asignar recursos. ÿ
Documentar el plan.
1. Comprender el contexto y el propósito
del compromiso.
Para obtener instrucciones detalladas sobre cómo
para planificar y determinar el
El director ejecutivo de auditoría (CAE) y los auditores internos
alcance de un trabajo de auditoría, consulte
deben comenzar por lograr una comprensión clara del concepto de
la Guía de prácticas del IIA “Planificación
gobierno y las características de los procesos típicos de gobierno.
del trabajo: establecimiento de objetivos y
También deben considerar la definición formal de gobierno, tal como
alcance”.
aparece en el glosario de las Normas Internacionales para la
Práctica Profesional de la Auditoría Interna, y familiarizarse con los
marcos y modelos de gobierno aceptados a nivel mundial (p. ej., el
Comité de Organizaciones Patrocinadoras de la Comisión
Treadway). [COSO] o la Organización Internacional de Normalización [ISO] 31000 y 38500).
Los marcos, modelos y requisitos de gobernanza varían según el tipo de organización y las jurisdicciones reguladoras.
Cómo una organización diseña y practica los principios de la eficacia
www.theiia.org
Auditoría del gobierno de TI 15
Machine Translated by Google
El gobierno también depende de factores como su tamaño, complejidad, ciclo de vida, madurez, estructura de partes
interesadas y los requisitos legales a los que está sujeta la organización. El enfoque de auditoría interna para evaluar
la gobernabilidad y hacer recomendaciones a la gerencia variará según el marco o modelo que utilice la organización.
La auditoría interna primero debe preguntar qué marco está utilizando la organización para impulsar el gobierno de
TI. Si la organización no ha implementado un marco, la auditoría interna puede ofrecer realizar un compromiso de
consultoría para ayudar a la gerencia a mapear los controles y prácticas existentes en un marco acordado.
A continuación, el DEA contempla si el plan de auditoría interna actual abarca los procesos de gobierno de la
organización y aborda los riesgos asociados. La gobernanza no existe como un conjunto de procesos y estructuras
independientes. Más bien, la gobernanza, la gestión de riesgos y el control están interrelacionados. Por ejemplo, las
actividades de gobierno efectivo consideran el riesgo al establecer la estrategia. Del mismo modo, la gestión de
riesgos se basa en una gobernanza eficaz (p. ej., el tono en la parte superior, el apetito por el riesgo, la tolerancia y la
cultura, y la supervisión de la gestión de riesgos). Asimismo, el gobierno efectivo se basa en los controles internos y
la comunicación al directorio sobre la efectividad de esos controles.
De acuerdo con la Guía de Implementación 2110 –
Gobernanza, “el DEA puede revisar los estatutos de
Buen gobierno de TI de un vistazo
la junta y el comité, así como las agendas y actas de
las reuniones, para comprender mejor el papel que
juega la junta en la gobernanza de la organización,
ÿ Las estructuras organizativas y de gobierno
existentes brindan una buena indicación de
especialmente con respecto a la toma de decisiones
si TI respalda y ayuda a la organización a
estratégicas y operativas. El DEA también puede
lograr sus objetivos estratégicos. ÿ Es
hablar con otros en funciones clave de gobierno (p.
importante determinar la
ej., presidente de la junta, alto funcionario electo o
designado en una entidad gubernamental, director de
ética, director de recursos humanos, auditor externo
efectividad del tono en la parte superior,
cómo se comunica el tono a todos los
independiente, director de cumplimiento,
riesgos)
director
para de
niveles dentro de la organización y cómo
obtener una comprensión más clara de los procesos
ese mensaje impacta a TI. ÿ Métricas de
específicos de la organización y las actividades de
prestación de servicios, incluidos
aseguramiento que ya están en marcha. Si la
gestión financiera, son componentes
organización está regulada, el DEA puede querer
importantes del control y seguimiento de la
revisar cualquier inquietud de gobierno identificada
medición de costes/beneficios de TI.
por los reguladores.
ÿ La gestión estratégica del desempeño es un
componente integral de la gobernanza de TI
Una comprensión de la gobernanza es la base para
eficaz, que permite mecanismos adecuados
una discusión con la junta
para gobernar las necesidades de la
y la alta dirección sobre lo que constituye el gobierno,
organización y la prestación de servicios de
de modo que se pueda ejecutar un plan y un enfoque
TI.
de auditoría interna adecuados”.
www.theiia.org
Auditoría del gobierno de TI 16
Machine Translated by Google
2. Reúne información
Es importante que los auditores internos documenten la información recopilada durante el desarrollo del plan, de acuerdo con el
Estándar 2200 - Planificación del compromiso. Es útil tener en cuenta que este proceso no siempre es un número secuencial de pasos.
Más bien, es un proceso continuo que debe actualizarse a lo largo de la planificación del compromiso a medida que se obtiene nueva
información a través de la revisión de evaluaciones previas (por ejemplo, evaluaciones de riesgos e informes de proveedores de
servicios de aseguramiento y consultoría), comprensión y mapeo de flujos y controles de procesos, o entrevistar a las partes
interesadas pertinentes.
La Guía de implementación 2110 indica que, por lo general, no se intenta una sola auditoría de gobierno.
Más bien, es probable que la evaluación de los procesos de gobierno de la actividad de auditoría interna se base en la información
obtenida de numerosas asignaciones de auditoría a lo largo del tiempo.
Si una evaluación general de la gobernanza es apropiada, se tendría en cuenta:
ÿ Los resultados de las auditorías internas de los procesos de gobierno específicos identificados anteriormente.
ÿ Cuestiones de gobierno corporativo que surgen de auditorías que no se centran específicamente en el gobierno corporativo,
como:
o Planificación estratégica. o
Eficiencia y eficacia operativa. o Control interno sobre la
información financiera. o Riesgos asociados a TI, fraude y
otras áreas.
o Cumplimiento de las leyes y reglamentos aplicables.
ÿ Los resultados de las evaluaciones de riesgos.
ÿ Los resultados de las evaluaciones de gestión (p. ej., inspecciones de cumplimiento, auditorías de calidad y autoevaluaciones
de control).
ÿ El trabajo de los proveedores de aseguramiento externo (p. ej., investigadores legales, auditores gubernamentales)
oficinas generales y firmas de contadores públicos) y reguladores.
ÿ El trabajo de los proveedores de aseguramiento interno, o funciones de segunda línea de defensa (p. ej., salud y seguridad,
cumplimiento y calidad).
ÿ Otra información sobre cuestiones de gobierno, como incidentes adversos que indiquen un
oportunidad de mejorar los procesos de gobernanza.
2.1 Obtener y Documentar Información
www.theiia.org
Auditoría del gobierno de TI 17
Machine Translated by Google
La obtención de un conocimiento profundo de la organización y el gobierno de TI permite a los auditores internos realizar
una evaluación preliminar de los riesgos relevantes, según lo exige la Norma 2210.A1. Las fuentes de información incluyen
documentación y entrevistas con las partes interesadas.
Como mínimo, al final de este paso, el plan de compromiso debe contener:
ÿ Objetivos del área bajo revisión.
ÿ Estrategias utilizadas para lograr esos objetivos.
ÿ Riesgos para lograr esos objetivos.
ÿ Procesos y controles clave.
ÿ TI y otros sistemas relevantes para el área o proceso bajo revisión.
ÿ Fuentes y confiabilidad de los datos dentro y fuera del área o proceso bajo revisión.
Los ejemplos de documentación que el auditor interno puede solicitar para planificar el compromiso de auditoría interna del
gobierno de TI incluyen:
ÿ Informes de auditoría anteriores.
ÿ Planes estratégicos (misión y visión de la organización).
ÿ Marco de gobierno organizacional.
El Apéndice C proporciona un
ÿ Marco de gobierno de TI.
cuestionario de controles internos que
ÿ Política de seguridad de la información.
puede ayudar a los auditores internos a
desarrollar una comprensión de alto
ÿ Políticas de arquitectura de TI.
nivel del entorno de gobierno de TI
ÿ Organigramas.
existente y determinar cómo definir,
ÿ La estrategia y objetivos de la organización.
planificar y ejecutar mejor un compromiso
ÿ Informes de gestión de riesgos empresariales (ERM).
de auditoría.
ÿ Informes de rendimiento de TI.
ÿ Actas de reuniones de gobierno.
ÿ Actas de reuniones de directorio y comités.
ÿ Informes de gestión.
ÿ Aprobaciones y documentación de excepciones.
2.2 Entrevistar a las partes interesadas relevantes
Entrevistar a las partes interesadas relevantes es un paso crítico que ayuda a los auditores internos a comprender mejor los
objetivos, el diseño, las operaciones y el entorno de control del área o proceso que se está revisando.
A menudo, los organigramas pueden ayudar a los auditores internos a identificar a las partes interesadas relevantes.
Las entrevistas con los jefes de departamento pueden revelar qué procesos condujeron a decisiones estratégicas y
operativas, evaluar si los esfuerzos de la organización dan como resultado una conciencia suficiente de sus principios éticos.
www.theiia.org
Auditoría del gobierno de TI 18
Machine Translated by Google
y si los empleados tienen una comprensión clara de sus responsabilidades sobre los procesos de riesgo y control y el impacto
en la organización.
Ejemplo de preguntas de entrevista:
ÿ ¿La junta comprende la dependencia de TI de la organización? Como es eso
entendimiento reflejado en el plan estratégico?
ÿ ¿Tiene una definición clara de su rol en el gobierno de TI? ¿Cómo sabes que estás cumpliendo con las expectativas?
ÿ ¿A qué órganos de toma de decisiones consulta cuando toma decisiones relacionadas con TI?
ÿ ¿Qué políticas existen y cómo son difundidas por los diferentes comités y subcomités de gobierno?
ÿ ¿Cómo mide la organización el valor?
Además, los auditores internos pueden intercambiar ideas con el personal individual o en grupos seleccionados para
identificar los riesgos relevantes. Para este propósito, los auditores pueden preguntar: "¿Qué impediría que se cumplieran
los objetivos comerciales?" Además, para identificar los riesgos inherentes, los auditores internos pueden preguntarse: "¿Qué
podría salir mal si no se implementaran controles?"
3. Realice una evaluación de riesgos preliminar.
Debido a limitaciones de tiempo y recursos, no todos los riesgos pueden revisarse durante un compromiso.
Por lo tanto, los auditores internos deben realizar una evaluación
preliminar de riesgos y priorizar los riesgos según su importancia, que
se mide como una combinación de factores de riesgo.
Para obtener instrucciones detalladas sobre
desarrollando:
ÿ Escenarios de riesgo
Una forma efectiva de realizar y documentar una evaluación preliminar
de riesgos a nivel de compromiso es crear un gráfico que muestre los
riesgos y controles relevantes, como una matriz de riesgos y controles.
Un riesgo y control
ÿ Matriz de riesgos y controles
ÿ Mapas de priorización de riesgos (es decir,
mapas de salud).
La matriz es una herramienta comúnmente utilizada por los auditores
Consulte la Guía práctica de IIA
internos para identificar, organizar y evaluar los riesgos que pueden
“Planificación del compromiso:
afectar los objetivos comerciales del área bajo revisión, así como
establecimiento de objetivos y
cualquier control de mitigación.
alcance”.
La figura 6 muestra un ejemplo de matriz de riesgos y controles creada
a partir de los riesgos identificados en los escenarios de riesgo. En esta matriz también se incluyen las calificaciones de
impacto y probabilidad.
www.theiia.org
Auditoría del gobierno de TI 19
Machine Translated by Google
Figura 6: Matriz de control y riesgo para el gobierno de TI
Escenario de riesgo
Riesgo
Control
En un modelo operativo descentralizado,
Es probable que la organización no tenga
La arquitectura empresarial de TI
las unidades estratégicas de negocios (SBU)
éxito en la implementación efectiva de un
debe reflejar la estructura organizativa
pueden operar de manera más independiente
conjunto único de estándares de TI en toda
para permitir una mejor alineación y satisfacer
y autónoma, con sus propios presupuestos
la organización con respecto a las
las necesidades de la organización.
de TI y utilizando diferentes aplicaciones e
aplicaciones, la infraestructura de TI, los
infraestructura de TI.
procesos y los procedimientos.
El desarrollo de la estructura de
gobierno de TI debe basarse en los
diseños de arquitectura de TI actuales y
previstos.
La organización no incluye la gestión de
Los proyectos pueden fallar debido a una
riesgos como parte de las prácticas de
mala planificación para abordar los riesgos.
gestión de proyectos.
Existe un proceso para evaluar, abordar y
comunicar los riesgos de TI a las partes
interesadas clave y a la dirección ejecutiva
durante la gestión del proyecto, el cambio y
la versión.
procesos.
El Apéndice D proporciona una matriz de control y riesgo para el gobierno de TI. Esta matriz se proporciona como
ejemplo y debe personalizarse para satisfacer las necesidades específicas de la organización bajo revisión.
4. Formar objetivos de participación.
Una vez que los auditores internos hayan completado la evaluación de riesgos preliminar e identificado los riesgos
significativos a evaluar durante el trabajo, pueden formar los objetivos del trabajo. Los objetivos del compromiso
articulan lo que el compromiso está tratando de lograr específicamente; por lo tanto, los objetivos deben tener un
propósito claro, ser concisos y estar vinculados a la evaluación de riesgos (Norma 2210.A1).
Los objetivos de compromiso para el gobierno de TI pueden estar relacionados con el cumplimiento de los requisitos
de gobierno de TI externos e internos, o el desempeño operativo de los procesos de gobierno de TI, y se pueden
definir de diferentes maneras. Por ejemplo, los objetivos se pueden definir como parte del plan de auditoría anual, o
como resultado de los resultados de ERM, los hallazgos de auditorías anteriores, los requisitos reglamentarios o las
necesidades específicas de aseguramiento de la junta o el comité de auditoría.
Los auditores internos también deben identificar los criterios adecuados para evaluar el gobierno, la gestión de
riesgos y los controles del área o proceso bajo revisión y determinar si se han logrado los objetivos y metas
comerciales. La identificación de dichos criterios asegura que los objetivos del trabajo de aseguramiento sean
medibles, prácticos y alineados con los objetivos tanto de la organización como del área o proceso bajo revisión.
De acuerdo con la Norma 2210.A3, los auditores internos deben utilizar los criterios ya establecidos por la
administración y/o el directorio, si tales criterios existen. Si no existen criterios establecidos, los auditores internos
deben identificar los criterios apropiados a través de la discusión con la administración y la junta. Los auditores
internos también deben considerar buscar aportes de expertos en la materia para ayudar a desarrollar criterios relevantes.
www.theiia.org
Auditoría de la Gobernanza de TI 20
Machine Translated by Google
Ejemplos de criterios incluyen:
ÿ Indicadores clave de rendimiento existentes.
ÿ Metas establecidas durante la planificación estratégica.
ÿ El grado de cumplimiento de las políticas y procedimientos del área o proceso, leyes externas,
y reglamentos, y/o contratos.
ÿ Estándares o puntos de referencia de la industria.
Para evitar malas interpretaciones o cuestionamientos por parte del personal responsable del área o proceso bajo revisión, los criterios
de evaluación deben ser relevantes, confiables y documentados. Los criterios adecuados y apropiados proporcionarán una referencia
para que los auditores internos evalúen la evidencia, comprendan los hallazgos y evalúen la idoneidad de los controles en el área o
proceso bajo revisión. Los criterios, o la falta de ellos, deben compararse con los puntos de referencia, tendencias y pronósticos de la
industria, así como con las políticas y procedimientos de la organización.
Los siguientes son ejemplos de cómo se podrían formular los objetivos del compromiso de aseguramiento para el compromiso de
gobierno de TI.
La actividad de auditoría interna garantizará que:
ÿ Las actividades y estándares de gobierno de TI son consistentes con la actividad de auditoría interna.
comprensión del apetito de riesgo de la organización.
ÿ El órgano de gobierno de TI está abordando cambios organizacionales y de riesgo sustanciales en un
manera oportuna.
ÿ El vínculo de las métricas y objetivos de TI se alinea con las metas de la organización.
ÿ Las métricas se están implementando correctamente para proporcionar vistas realistas de las operaciones de TI y
gobernanza sobre una base táctica y estratégica.
4.1 Objetivos del compromiso de consultoría
Los auditores internos pueden actuar en diferentes capacidades para evaluar y recomendar formas de mejorar las prácticas de gobierno.
Pueden proporcionar evaluaciones independientes y objetivas del diseño y la eficacia de los procesos de gobierno dentro de la
organización. Además de, o en lugar de, brindar seguridad, los auditores internos pueden optar por brindar servicios de consultoría.
Este puede ser un enfoque preferido, particularmente cuando existen problemas conocidos o el proceso de gobierno es inmaduro. Ya
sea que brinde servicios de aseguramiento o consultoría, el DEA puede decidir utilizar métodos de monitoreo continuo, como asignar
auditores internos para observar las reuniones de los órganos relacionados con el gobierno y asesorarlos de manera continua, como se
indica en la Guía de Implementación 2110.
Debido a que los servicios de consultoría son de naturaleza consultiva, las expectativas y los objetivos son determinados por el cliente
del trabajo o en conjunto con él. Por lo tanto, la planificación del trabajo de consultoría generalmente ocurre después de que los objetivos
y el alcance del trabajo ya se han definido.
www.theiia.org
Auditoría del gobierno de TI 21
Machine Translated by Google
determinado. Por lo tanto, es posible que los auditores internos no necesiten completar una evaluación de riesgos
preliminar, como lo harían al planificar un trabajo de aseguramiento. Sin embargo, el Estándar 2201.C1 requiere que
los auditores internos establezcan un entendimiento con el cliente del trabajo de consultoría sobre los objetivos, el
alcance, las responsabilidades y otras expectativas. Para compromisos significativos, este entendimiento debe ser
documentado.
Además, los auditores internos deben abordar los procesos de gobierno, gestión de riesgos y control en la medida
acordada con el cliente del trabajo de consultoría (Norma 2210.C1). Aunque el propósito y las expectativas del trabajo
de consultoría están dirigidos por el cliente del trabajo, los auditores internos deben asegurarse de que los objetivos
del trabajo sean consistentes con los valores, estrategias y objetivos estratégicos de la organización (Norma 2210.C2).
Un compromiso de evaluación comparativa podría proporcionar un punto de partida efectivo en un plan de auditoría
de varios años porque le da tiempo a la gerencia para abordar las brechas de diseño en la estructura de gobierno
antes de que se realicen revisiones adicionales.
Un objetivo para un compromiso de consultoría de gobierno de TI podría ser:
ÿ La actividad de auditoría interna asesorará sobre la eficacia de las estructuras organizacionales
existentes que respaldan las actividades centrales de gobierno de TI.
ÿ La actividad de auditoría interna asesorará sobre la eficacia de los controles de gobierno existentes sobre la
gestión de cambios y parches.
5. Establecer el alcance del compromiso.
Una vez que se han formado los objetivos basados en el riesgo, se puede determinar el alcance del trabajo de
auditoría. Debido a que un compromiso generalmente no puede cubrir todo, los auditores internos deben determinar
qué se incluirá y qué no. El alcance del compromiso establece los límites del compromiso y describe lo que se incluirá
en la revisión. Los auditores internos deben considerar cuidadosamente los límites del compromiso para garantizar
que el alcance sea suficiente para lograr los objetivos del compromiso (Norma 2220 - Alcance del compromiso).
El alcance puede definir elementos tales como los procesos y/o áreas específicos, las ubicaciones geográficas y el
período de tiempo (p. ej., punto en el tiempo, trimestre fiscal o año calendario) que cubrirá el compromiso, dados los
recursos disponibles. Los auditores internos deben considerar cuidadosamente la amplitud del alcance para garantizar
que permita la identificación oportuna de información confiable, relevante y útil para lograr los objetivos del compromiso
identificados (Norma 2210: Objetivos del compromiso y Norma 2310: Información de identificación).
Al determinar el alcance y ejecutar un compromiso de gobierno de TI, el equipo del compromiso de auditoría interna
debe:
www.theiia.org
Auditoría del gobierno de TI 22
Machine Translated by Google
ÿ Determinar si la función de TI se alinea con y comprende los
objetivos y estrategias.
ÿ Revisar la estructura organizativa para identificar si existe un CIO y si esta persona es miembro del
equipo de alta dirección.
ÿ Evaluar el grado en que las actividades y normas de gobierno son consistentes con la comprensión de la
actividad de auditoría interna del apetito de riesgo de la organización.
ÿ Determinar la eficacia de la gestión del rendimiento y los recursos de TI.
ÿ Evaluar los riesgos que pueden afectar negativamente al entorno de TI.
6. Asignar recursos.
Después de establecer los objetivos y el alcance del trabajo, los auditores internos deben determinar los recursos
apropiados y suficientes para lograr los objetivos del trabajo, según lo exige la Norma 2230: Asignación de recursos
para el trabajo. La interpretación de la Norma 2230 aclara que apropiado se refiere a la combinación de
conocimientos, habilidades y otras competencias necesarias para realizar el trabajo, y suficiente se refiere a la
cantidad de recursos necesarios para realizar el trabajo con el debido cuidado profesional.
Los recursos se asignan al trabajo con base en lo siguiente:
ÿ El conocimiento que adquieren los auditores internos durante la planificación del trabajo.
ÿ La naturaleza y complejidad del encargo.
ÿ Restricciones de tiempo y/o la cantidad de horas presupuestadas para el compromiso.
ÿ El conocimiento, las habilidades y la experiencia de los recursos disponibles.
Los auditores internos deben considerar si se necesitarán recursos externos (por ejemplo, especialistas o recursos
complementarios) o tecnología cuando la actividad de auditoría interna no cuente con los recursos apropiados o
suficientes.
7. Documente el plan.
Durante la planificación, los auditores internos documentan la información en los papeles de trabajo del compromiso.
Esta información se convierte en parte del programa de trabajo del compromiso que debe establecerse para lograr
los objetivos del compromiso, según lo requiere la Norma 2240 - Programa de Trabajo del Compromiso.
El proceso de establecimiento de los objetivos y el alcance del trabajo puede producir cualquiera o todos los
siguientes documentos de trabajo:
ÿ Mapa de procesos.
ÿ Resumen de entrevistas y lluvia de ideas. ÿ Evaluación preliminar
de riesgos (p. ej., matriz de riesgos y controles y mapa de calor).
www.theiia.org
Auditoría del gobierno de TI 23
Machine Translated by Google
ÿ Justificación de las decisiones con respecto a qué riesgos incluir en el compromiso.
ÿ Criterios que se utilizarán para evaluar el área o proceso bajo revisión (requeridos para trabajos de aseguramiento,
de acuerdo con la Norma de Implementación 2210.A3).
Informe de los resultados del compromiso
El estilo y el formato de la presentación de informes sobre los resultados del compromiso varían según las organizaciones y deben
tener en cuenta las leyes y los reglamentos, la cultura organizacional y las políticas de comunicación, y las expectativas de la alta
gerencia y la junta o el órgano de gobierno equivalente.
Debido a que el gobierno de TI es un elemento estratégico de
toda la estructura de gobierno de una organización, es importante
que el DEA comunique a la alta gerencia, al directorio y al Comité
de Auditoría los resultados de las auditorías de gobierno de TI
para que juntos puedan abordar cualquier debilidad aparente
mientras trabajan. para llevar a cabo sus responsabilidades
individuales. La Norma 2060 – Reportando a la Alta Gerencia y al
Consulte la Guía práctica de IIA “Auditoria
Informes: Comunicación de los resultados del
compromiso de aseguramiento” para obtener
una guía detallada sobre cómo preparar un informe
de auditoría interna.
Directorio establece que es responsabilidad del DEA incluir los
asuntos significativos de riesgo y control, incluyendo asuntos de
gobierno, que requieran la atención de esos órganos. El gobierno de TI es clave para la estructura y la estrategia de toda una
organización, y los responsables de la toma de decisiones en los niveles más altos deben estar informados al considerar el impacto
estratégico que tiene el gobierno de TI en toda la organización.
El gobierno de TI respalda los requisitos regulatorios, legales, ambientales y operativos de la organización para permitir el logro de
los planes y aspiraciones estratégicas, por lo que es imperativo que la alta gerencia, la junta y el Comité de Auditoría estén informados
oportunamente de los resultados de TI. auditorías de gobierno.
www.theiia.org
Auditoría del gobierno de TI 24
Machine Translated by Google
Apéndice A. Normas y orientación relacionadas con el IIA
Las siguientes selecciones de las Normas Internacionales para la Práctica Profesional de la Auditoría
Interna del IIA son relevantes para el gobierno de TI. Estas selecciones no se presentan necesariamente
en su totalidad; pueden representar un subconjunto del estándar que es particularmente relevante para esta guía.
Consulte las Normas para conocer el pronunciamiento completo. Para ayudar con la implementación de
estos estándares, el IIA recomienda que los auditores internos consulten la Guía de implementación
respectiva de cada estándar.
Estándar
Guía de implementación
1210 – Competencia
IG1210 – Competencia
2000 — Gestión de la Actividad de Auditoría Interna
IG2000 — Gestión de la Actividad de Auditoría Interna
2110 — Gobernanza
IG2110 — Gobernanza
2130 – Mando
IG2130 – Mando
2200 – Planificación del compromiso
IG2200 – Planificación de participación
2201 – Consideraciones de planificación
IG2201 – Consideraciones de planificación
2210 – Objetivos del compromiso
IG2210 – Objetivos de participación
2220 – Alcance del Compromiso
IG2220 – Alcance del compromiso
2230 – Asignación de recursos de participación
IG2230 – Asignación de recursos de participación
2400 – Comunicar resultados
IG2400 – Comunicando Resultados
Orientación relacionada con el IIA
Guía práctica, "Informes de auditoría: Comunicación de los resultados del compromiso de aseguramiento", The IIA, octubre de 2016.
Guía práctica, “Planificación del compromiso: establecimiento de objetivos y alcance”, The IIA, agosto de 2017
Guía de práctica, "Planificación del compromiso: evaluación de los riesgos de fraude", The IIA, octubre de 2017.
Documento de posición, “Las tres líneas de defensa en la gestión y el control efectivos del riesgo”, The IIA, enero de 2013.
www.theiia.org
Auditoría del gobierno de TI 25
Machine Translated by Google
Apéndice B. Glosario
Los términos identificados con un asterisco (*) se toman del “Glosario” del Marco de Prácticas Profesionales
Internacionales® (IPPF®) del IIA, edición 2017.
Servicios de aseguramiento*: un examen objetivo de la evidencia con el fin de proporcionar una evaluación
independiente sobre los procesos de gobierno, gestión de riesgos y control para la organización. Los ejemplos
pueden incluir compromisos financieros, de desempeño, de cumplimiento, de seguridad del sistema y de
diligencia debida.
Junta*: el órgano de gobierno de más alto nivel (p. ej., una junta directiva, una junta de supervisión o una junta de
gobernadores o fideicomisarios) encargado de la responsabilidad de dirigir y/o supervisar las actividades de la
organización y hacer que la alta gerencia rinda cuentas. Aunque los arreglos de gobierno varían entre
jurisdicciones y sectores, normalmente la junta incluye miembros que no forman parte de la administración. Si
no existe una junta, la palabra “junta” en los Estándares se refiere a un grupo o persona encargada del
gobierno de la organización. Además, “junta” en las Normas puede referirse a un comité u otro organismo en
el que el órgano rector haya delegado ciertas funciones (por ejemplo, un comité de auditoría).
Director ejecutivo de auditoría*: describe el papel de una persona en un puesto superior responsable de administrar
de manera efectiva la actividad de auditoría interna de acuerdo con el estatuto de auditoría interna y los
elementos obligatorios del Marco de Prácticas Profesionales Internacionales. El director ejecutivo de auditoría
u otras personas que reporten al director ejecutivo de auditoría tendrán las certificaciones y calificaciones
profesionales apropiadas. El cargo específico y/o las responsabilidades del director ejecutivo de auditoría
pueden variar entre organizaciones.
Cumplimiento*: adhesión a políticas, planes, procedimientos, leyes, reglamentos, contratos u otros
requisitos
Servicios de consultoría*: las actividades de asesoramiento y servicio al cliente relacionadas, cuya naturaleza y
alcance se acuerdan con el cliente, están destinadas a agregar valor y mejorar los procesos de gobierno,
gestión de riesgos y control de una organización sin que el auditor interno asuma la responsabilidad de la
gestión. Los ejemplos incluyen asesoramiento, asesoría, facilitación y capacitación.
Procesos de control*: las políticas, los procedimientos (tanto manuales como automatizados) y las actividades que
forman parte de un marco de control, diseñados y operados para garantizar que los riesgos se contengan
dentro del nivel que una organización está dispuesta a aceptar.
Gobernanza*: la combinación de procesos y estructuras implementados por la junta para informar, dirigir, administrar
y monitorear las actividades de la organización hacia el logro de sus objetivos.
Gobierno de la tecnología de la información*: consiste en el liderazgo, las estructuras organizacionales y los
procesos que aseguran que la tecnología de la información de la empresa apoye las estrategias y los objetivos
de la organización.
www.theiia.org
Auditoría del gobierno de TI 26
Machine Translated by Google
Actividad de auditoría interna*: un departamento, división, equipo de consultores u otro(s) profesional(es) que
proporciona servicios de consultoría y garantía independientes y objetivos diseñados para agregar valor y
mejorar las operaciones de una organización. La actividad de auditoría interna ayuda a una organización a
lograr sus objetivos aportando un enfoque sistemático y disciplinado para evaluar y mejorar la eficacia de
los procesos de gobierno, gestión de riesgos y control.
Gestión – Ejercer el control y la supervisión dentro de la autoridad y responsabilidad establecidas por la
gobernanza. El término administración se usa a menudo como un término colectivo para quienes tienen la
responsabilidad de controlar una organización o partes de una organización.
3
Riesgo*: la posibilidad de que ocurra un evento que tendrá un impacto en el logro de
objetivos El riesgo se mide en términos de impacto y probabilidad.
Apetito de riesgo*: el nivel de riesgo que una organización está dispuesta a aceptar.
Alta Gerencia – Grupo de personas que tienen autoridad delegada del órgano de gobierno para la implementación
de estrategias y políticas para cumplir con el propósito de la organización. Este grupo puede incluir roles
que reportan al órgano de gobierno o al jefe de la organización o que tienen responsabilidad general por las
principales funciones de informes, por ejemplo, Directores Ejecutivos (CEO), Jefes de Organizaciones
Gubernamentales, Directores de Información (CIO) y roles similares. .4
Importancia*: la importancia relativa de un asunto dentro del contexto en el que se está considerando, incluidos
los factores cuantitativos y cualitativos, como la magnitud, la naturaleza, el efecto, la relevancia y el impacto.
El juicio profesional ayuda a los auditores internos a evaluar la importancia de los asuntos dentro del
contexto de los objetivos relevantes.
Estándar*: un pronunciamiento profesional promulgado por el Consejo de Normas Internacionales de Auditoría
Interna que delinea los requisitos para realizar una amplia gama de actividades de auditoría interna y para
evaluar el desempeño de la auditoría interna.
3 ISO/IEC 38500:2015, Tecnología de la información: gobernanza de TI para la organización, https://
www.iso.org/obp/ui/#iso:std:iso-iec:38500:ed-2:v1:en .
4 Ibíd. 5.
www.theiia.org
Auditoría del gobierno de TI 27
Machine Translated by Google
Apéndice C. Cuestionario de controles internos
de gobierno de TI
El siguiente cuestionario ha sido desarrollado para ayudar a los auditores internos a evaluar el estado actual
del gobierno de TI como parte de la fase de planificación del compromiso.
Estructuras de Organización y Gobernanza
Las siguientes preguntas ayudarán al auditor interno a comprender el grado o la presencia del gobierno de TI:
Pregunta
Evaluación/Comentarios
¿Existe un CIO, y esta función es un miembro del equipo de alta gerencia?
¿La estructura de la organización y sus componentes operativos están claramente organizados de
manera que la función de TI pueda ayudar de manera eficiente y efectiva a permitir el logro de los
objetivos de la organización?
¿Existen órganos de toma de decisiones para permitir la alineación de las necesidades organizacionales
con los servicios de TI y tienen el empoderamiento y la rendición de cuentas adecuados?
¿Se definen y monitorean las necesidades organizacionales y los requisitos de servicios de TI en planes
estratégicos y tácticos?
¿El CIO y la alta gerencia se reúnen y discuten el progreso de los planes de manera regular?
¿Están las funciones y responsabilidades claramente definidas y comunicadas, y los líderes de la
organización están empoderados y son responsables de los resultados?
Liderazgo ejecutivo y apoyo
Las siguientes preguntas ayudarán al auditor interno a comprender el grado en que la función de TI está integrada en la organización:
Pregunta
Evaluación/Comentarios
¿Tiene la alta dirección roles y responsabilidades claramente definidos y comunicados para
la función de TI con respecto al logro de los objetivos estratégicos y tácticos de la organización?
¿Están claramente definidos y comunicados los roles y responsabilidades del CIO?
¿Reconoce la organización en su estrategia que la función de TI es un contribuyente significativo
para permitir el logro de los objetivos, así como para respaldar a la organización en el día a día?
¿El CIO se reúne con la junta y el equipo de alta dirección de forma regular para discutir la prestación de
servicios de TI relacionada con los planes estratégicos y tácticos?
¿Tiene TI la financiación adecuada para satisfacer las necesidades de la organización?
www.theiia.org
Auditoría del gobierno de TI 28
Machine Translated by Google
Planificación Estratégica y Operativa
El auditor interno puede comprender qué tan bien la alta gerencia ha implementado la gestión estratégica del desempeño al hacer
las siguientes preguntas:
Pregunta
Evaluación/Comentarios
¿La junta y la alta gerencia ven a TI como un socio organizacional estratégico?
¿El plan estratégico de la organización incluye cómo se requiere TI para respaldar y permitir la creación
de valor?
¿El plan estratégico está respaldado por planes operativos tácticos individuales que tienen en cuenta los
requisitos y entregables de TI?
¿La alta dirección utiliza indicadores clave de rendimiento (KPI) para medir y controlar la eficacia de la
función de TI?
¿Las decisiones estratégicas de inversión en TI se basan en análisis precisos de costos y beneficios
y se evalúan después de la implementación para determinar si se ha logrado el ROI proyectado?
¿Se tienen en cuenta las lecciones aprendidas en las futuras decisiones de inversión en TI?
¿La organización de TI está estructurada de manera efectiva en relación con el tamaño y la composición
de la organización?
¿El CIO y el liderazgo de TI están calificados y tienen experiencia?
Medición y prestación de servicios
El auditor interno puede comprender qué tan bien está funcionando la gestión financiera de TI haciendo las siguientes preguntas:
Pregunta
Evaluación/Comentarios
¿La junta y la alta gerencia tienen una comprensión clara de los costos de TI y cómo contribuyen al logro
de los objetivos estratégicos de la organización?
¿Los líderes de la organización miden el valor y los entregables de TI? ¿Si es así, cómo?
¿Cómo se comparan los costos de TI con los de otras organizaciones comparables?
¿El desempeño del CIO se mide por datos financieros y no financieros?
¿Existen acuerdos de abastecimiento en vigor? En caso afirmativo, ¿se miden y controlan?
www.theiia.org
Auditoría del gobierno de TI 29
Machine Translated by Google
Organización TI y Gestión de Riesgos
Los auditores internos pueden obtener una comprensión de alto nivel del entorno de gobierno de TI haciendo las siguientes preguntas:
Pregunta
Evaluación/Comentarios
¿Hasta qué punto están automatizados los procesos organizacionales?
¿Qué tan compleja es la infraestructura de TI y cuántas aplicaciones están en uso?
¿Los datos están estandarizados y se comparten fácilmente entre las aplicaciones (y la infraestructura de TI)?
¿Existen políticas, procedimientos y controles estándar de adquisición de hardware, software y
servicios de TI?
¿Cuán maduros son los procesos de gestión de TI y se utilizan marcos reconocidos (p. ej., COBIT, ITIL, ISO)?
¿Cómo se gestionan los riesgos en relación con la satisfacción de las necesidades organizativas, la
seguridad y los requisitos de cumplimiento?
¿Cuál es la importancia estratégica de TI?
www.theiia.org
Auditoría del gobierno de TI 30
Machine Translated by Google
Apéndice D. Matriz de riesgos y controles para el
gobierno de TI
Este apéndice proporciona ejemplos de objetivos comerciales, riesgos y controles para ayudar a los auditores internos
a comenzar a desarrollar el programa de trabajo de auditoría.
Estructuras de Organización y Gobernanza
Objetivo de control: las estructuras organizacionales deben incluir líneas claras de informes y responsabilidades de roles.
Riesgo
Control
La rendición de cuentas no está claramente definida, lo que resulta en
Las metas y objetivos estratégicos de la organización deben impulsar
una falta de transparencia de los costos, procesos, proyectos y servicios de TI.
los objetivos y metas operacionales, y la responsabilidad del logro de
los objetivos debe recaer en los líderes de las unidades para promover
una rendición de cuentas clara.
La falta de empoderamiento o responsabilidad resulta en la pérdida
Los líderes de TI y de las unidades de negocios deben estar facultados
potencial de oportunidades para la innovación y la colaboración.
para administrar los recursos dentro de su área de responsabilidad, lo
que les permite gestionar hacia los objetivos de rendimiento esperados.
Alineación estratégica poco clara y entendimiento entre la organización y
La creación de estructuras organizativas multidisciplinares permite la
las funciones de TI, lo que resulta en una contribución reducida a los retornos
representación de los diferentes intereses dentro de la organización,
de las partes interesadas.
incluida la auditoría interna, que representa los intereses de toda la
organización.
La alta gerencia y la junta no entienden la relación básica de TI y los
Los roles y responsabilidades deben proporcionar mecanismos para vincular
objetivos comerciales, lo que puede resultar en una asignación ineficaz
el uso de TI con las estrategias y objetivos generales de la organización.
de recursos para
iniciativas estratégicas y/o comprensión deficiente de los costos generales
de TI y su aporte a los casos de ROI.
Objetivo de Control: Las estructuras organizacionales incluyen la naturaleza operativa de sus componentes y protocolos de comunicación.
Riesgo
Control
Canales de comunicación poco claros entre TI y
Para garantizar la coherencia en toda la organización, se debe
líderes de las unidades organizacionales, lo que resulta en un sistema
mantener una comunicación eficaz y continua sobre el gobierno de TI
de planificación y seguimiento ineficaz.
en todas las unidades y funciones.
Un plan de comunicación adecuado debe incluir el aspecto y las métricas a
informar, los preparadores y los receptores, la frecuencia y los procedimientos
de escalamiento.
Objetivo de control: el personal de TI es capaz de asignar recursos para cumplir con los objetivos comerciales.
Control
Riesgo
Funciones y responsabilidades de TI poco claras que dan como
Los procesos, roles y responsabilidades del personal de TI están definidos,
resultado una desalineación de los recursos y los objetivos operativos.
documentados y comunicados.
Utilización irresponsable de los recursos y activos de TI debido a la
Los procesos se documentan y evalúan periódicamente para garantizar
ausencia de una TI consistente y repetible.
que sean consistentes y repetibles.
procesos.
www.theiia.org
Auditoría del gobierno de TI 31
Machine Translated by Google
Estructuras de Organización y Gobernanza
Objetivo de control: la organización y TI colaboran en las prioridades de recursos, iniciativas y decisiones generales de inversión.
Riesgo
Control
La alta gerencia de TI no está incluida en el proceso de decisión para
La alta gerencia y la junta deben involucrar a TI en las decisiones
alinear TI y los objetivos de la organización, lo que resulta en la
estratégicas sobre el gobierno, lo que permite que TI agregue valor en las
incapacidad de TI para respaldar las decisiones o ajustarse a las prioridades
decisiones clave.
cambiantes de manera oportuna.
La falta de procesos de gestión de la cartera de TI o los deficientes pueden
Existe un sólido proceso de administración de cartera, que permite que la
dar lugar a una priorización deficiente de las inversiones en TI.
organización y TI colaboren en las prioridades de recursos, iniciativas y
decisiones generales de inversión.
Desalineación entre los recursos de TI y los objetivos operativos que
Los líderes de las unidades organizativas se reúnen con el CIO y otros
resulta en la insatisfacción de las partes interesadas externas e internas con
Líderes de funciones de TI para determinar el más efectivo
la forma en que opera la organización y los resultados financieros (gobierno,
métodos para apoyar y permitir aún más el logro de los objetivos
reguladores, sociedad en general, accionistas, directorio, socios comerciales,
de cada líder de unidad.
clientes, proveedores, consultores, empleados y auditores externos) ).
Objetivo de control: la estructura de gobierno de TI se define en consonancia con la arquitectura de TI (por ejemplo, si la gestión estratégica está
centralizada en la sede, la estructura de gobierno también debe estar centralizada).
Riesgo
Control
Una arquitectura empresarial inadecuada puede resultar en una
La arquitectura empresarial de TI debe reflejar la estructura
inversión innecesaria en tecnologías redundantes o incompatibles.
organizativa para permitir una mejor alineación y satisfacer las necesidades
La desalineación entre la estructura de gobierno de TI y la arquitectura de
El desarrollo de la estructura de gobierno de TI debe basarse en los diseños
TI puede dar lugar a procesos que no son compatibles con las necesidades
de arquitectura de TI actuales y previstos.
de la organización.
de la organización y pueden ser demasiado costosos de modificar.
www.theiia.org
Auditoría del gobierno de TI 32
Machine Translated by Google
Liderazgo ejecutivo y apoyo
Objetivo de control: la visión, la misión y la estrategia asociada de la organización proporcionan colectivamente la dirección para la inversión en TI.
Riesgo inherente
Control
La falta de una visión, una misión y un plan estratégico claros para la
La visión organizacional es la base para definir marcos,
organización y la función de TI puede dar lugar a un uso ineficaz del capital
procesos, actividades, roles y relaciones. Esta visión debe
de TI y otros recursos necesarios para cumplir los objetivos estratégicos de
documentarse en forma de un plan estratégico que defina las
la organización.
dependencias de TI.
No existe una relación clara entre los indicadores de desempeño del
Los objetivos y métricas organizacionales y de TI están alineados.
proyecto de TI y los objetivos organizacionales.
La alta dirección no participa adecuadamente en el proceso de toma de
Los roles se establecen, comunican y aceptan explícitamente para la
decisiones de TI, lo que puede dar lugar a una mala dirección de los recursos
toma de decisiones de inversión, el patrocinio de programas, la gestión
de TI.
de programas, la gestión de proyectos, la prestación de servicios y los
roles de apoyo asociados.
La falta de definición del valor y el costo de TI en términos del impacto
Se debe proporcionar capacitación formal a los propietarios y
en las metas y objetivos de la organización puede resultar en una
administradores de la información. Esta capacitación debe ser
capacidad deficiente de TI para lograr sus metas y objetivos, así como
obligatoria durante el proceso de incorporación de los empleados, y
las metas y objetivos estratégicos generales de la organización.
se deben desarrollar sesiones informativas periódicas para explicar
cualquier cambio en la política y cómo afecta las prácticas laborales.
Objetivo de control: el presupuesto de TI se comunica a la alta dirección.
Riesgo inherente
Control
La alta dirección desconoce la financiación de TI y sus implicaciones
Los presupuestos se actualizan y comunican periódicamente.
para los recursos de la empresa.
Control Objetivo: Los presupuestos son controlados y monitoreados.
Riesgo inherente
Control
Los presupuestos de TI se reasignan a proyectos no estratégicos sin la
Las prácticas de planificación financiera de TI se revisan con
debida revisión y aprobación.
regularidad y hay seguridad de que los recursos se reasignan
cuando se proporcione la documentación adecuada y la aprobación.
Los gastos de TI no están alineados con los objetivos comerciales, lo que
Exigir a la gerencia que proporcione un análisis de costo-beneficio y
puede resultar en la asignación de recursos a objetivos no críticos.
cálculos de ROI de las posibles inversiones en TI como base para que
la junta directiva y la alta gerencia tomen las mejores decisiones posibles.
Objetivo de control: el liderazgo organizacional comprende las inversiones que se han realizado en TI.
Riesgo inherente
Control
La alta gerencia y los líderes de las unidades carecen de una
Para reducir la probabilidad de decisiones de inversión en TI poco
verdadera comprensión de TI, lo que puede resultar en oportunidades
sólidas, los líderes de la organización deben comprender las
perdidas o un retorno de la inversión más bajo.
características importantes de TI.
Con este fin, se invita al CIO a las reuniones de la junta para
analizar los riesgos y oportunidades relacionados con TI.
La falta de un enfoque organizacional central por parte de la alta gerencia de
La alta gerencia y la junta deben tener una comprensión clara de los
TI podría significar que TI no puede enfocar los esfuerzos o identificar el uso
objetivos y estrategias centrales.
ineficiente de los recursos.
www.theiia.org
Auditoría del gobierno de TI 33
Machine Translated by Google
Liderazgo ejecutivo y apoyo
Objetivo de control: las iniciativas de TI están debidamente alineadas con los objetivos de la organización.
Riesgo inherente
Control
No se evalúa la importancia estratégica de TI, lo que da lugar a una mala
interpretación del papel que desempeña TI en la organización.
La capacidad de TI y/o la asignación de recursos inadecuada para brindar el
Los líderes organizacionales y de TI se reúnen periódicamente para
servicio requerido pueden dar como resultado que no se logren los beneficios
revisar las iniciativas de TI actuales y futuras para reevaluar la alineación
de la tecnología, lo que resulta en la pérdida de oportunidades; incapacidad
con los objetivos organizacionales (es decir, evaluar la validez de la
para lograr los objetivos de TI y de la organización.
documentación del caso de negocios).
Los recursos de TI permanecen asignados a objetivos que no son críticos.
Objetivo de control: el gobierno de TI ayuda a promover la innovación dentro de TI y en toda la organización.
Riesgo inherente
Control
La falta de compromiso del liderazgo ejecutivo puede conducir a una
El compromiso del liderazgo se demuestra mediante iniciativas
defensa inadecuada de la innovación dentro de la función de TI y en
que respaldan la estrategia de TI.
toda la organización.
www.theiia.org
Auditoría del gobierno de TI 34
Machine Translated by Google
Planificación Estratégica y Operativa
Objetivo de control: las estrategias comerciales y de TI están alineadas.
Riesgo inherente
Control
La alineación estratégica y la comprensión poco claras entre la organización
y las funciones de TI pueden conducir a: ÿ Reducción de la contribución a
los rendimientos de las partes interesadas.
Las responsabilidades y las prácticas se documentan en marcos
ÿ Asignación ineficaz de recursos a empresas estratégicas.
de gobernanza.
iniciativas.
ÿ Falta de transparencia de costos, procesos,
proyectos y servicios. ÿ Poca
El CIO asiste a las reuniones de la junta ejecutiva y se analiza la
contribución de TI a los objetivos empresariales.
comprensión de los costos generales de TI y su
entrada a los casos de ROI.
Las estructuras organizacionales poco claras y/o inadecuadas pueden
conducir a: ÿ Mala gestión de recursos y actividades conflictivas.
El marco de gobierno está organizado por procesos e incluye
información sobre las actividades de los procesos, los propietarios y
ÿ Desalineación con los recursos y objetivos operativos.
las áreas de mejora.
ÿ Insatisfacción de los stakeholders externos e internos
con la forma en que opera la organización.
Canales de comunicación poco claros entre TI y
La organización estratégica debe incluir protocolos de
los líderes de las unidades organizativas pueden dar lugar a
comunicación para garantizar que TI y la organización mantengan
prácticas de planificación y seguimiento ineficaces.
un diálogo abierto.
Objetivo de control: la organización tiene roles definidos que incluyen responsabilidad, niveles de autoridad y derechos de decisión.
Riesgo inherente
Control
Utilización irresponsable de los recursos y activos de TI debido a la
Se han creado y comunicado descripciones formales de puestos y
ausencia de una TI consistente y repetible.
relaciones de informes para todos los puestos de TI.
procesos.
Los procesos están debidamente documentados, publicados y los
empleados saben cómo encontrarlos.
Las inversiones y prioridades de TI no están alineadas con los
La estrategia de TI se documenta y actualiza con frecuencia para
objetivos comerciales.
incorporar los comentarios de las partes interesadas.
Objetivo de control: los recursos de TI dedican más tiempo a tareas relacionadas con los objetivos estratégicos.
Riesgo inherente
Control
La asignación inadecuada de recursos para brindar servicios críticos de
Los recursos de TI (empleados, aplicaciones, hardware) se han asignado
TI puede resultar en beneficios tecnológicos que no se logran,
para respaldar los objetivos de la organización.
oportunidades perdidas o una incapacidad total para lograr los objetivos
de la organización.
www.theiia.org
Auditoría del gobierno de TI 35
Machine Translated by Google
Medición y prestación de servicios
Objetivo de control: TI cumple con sus planes, presupuestos y compromisos.
Riesgo inherente
Control
Los procesos comerciales centrales se ven afectados negativamente por la
Existen procesos para revisar las métricas clave de rendimiento y
entrega deficiente de los servicios de TI.
corregir los elementos que caen por debajo de los niveles razonables.
Objetivo de control: el departamento de TI informa las métricas de rendimiento a las partes interesadas clave.
Riesgo inherente
Control
La alta gerencia y la junta no tienen un conocimiento claro del desempeño de TI
Un plan de comunicación adecuado debe incluir el aspecto y las métricas a
basado en datos cuantificables.
informar, los preparadores y los receptores, la frecuencia y los procedimientos de
escalamiento.
El logro de los objetivos estratégicos no se supervisa ni se informa.
Los objetivos estratégicos se logran en lugar de cambiar o
no se cumplen.
Las actividades de gestión del rendimiento no incluyen métricas de terceros.
Las actividades de gestión del rendimiento consideran las actividades de
TI tanto internas como de terceros.
La falta de capacidades de desglose de métricas de nivel inferior según
Los informes financieros deben definirse con suficiente detalle para permitir
sea necesario puede resultar en:
capacidades de análisis detallado y de costos.
ÿ No se monitorea el ROI de la inversión en TI.
ÿ Falta de información para la toma de decisiones. ÿ Costes
superiores a entidades comparables.
La falta de datos financieros precisos puede generar valor
Los datos financieros relacionados con las inversiones en TI se capturan y se
entregado por TI no rastreado correctamente.
informan a las partes interesadas.
Objetivo de control: desempeño de TI informado en términos de TI y comerciales.
Riesgo inherente
Los informes de TI se preparan utilizando la jerga de TI.
Control
Los informes de rendimiento de TI deben estar estructurados de manera que sean
fáciles de entender para las partes interesadas de TI y no TI.
Objetivo de control: Métricas basadas en las cambiantes necesidades del negocio.
Riesgo inherente
Control
Los indicadores de rendimiento poco claros no proporcionan un estado
Se definen indicadores de rendimiento, incluidas métricas y puntos de referencia.
preciso de las iniciativas de TI.
www.theiia.org
Auditoría del Gobierno de TI 36
Machine Translated by Google
Organización TI y Gestión de Riesgos
Objetivo de control: se define el nivel de riesgo relacionado con TI que la empresa está dispuesta a asumir para cumplir sus objetivos (apetito de riesgo).
Riesgo inherente
Control
El riesgo de TI excede el apetito de riesgo de la organización.
La organización supervisa las actividades de gestión y control
de riesgos de TI.
El riesgo de TI supera la tolerancia al riesgo de la organización.
Las evaluaciones de riesgo y los escenarios de riesgo se actualizan
con frecuencia y los resultados se comunican adecuadamente.
El riesgo de TI no está integrado en el sistema de gestión de
La estrategia de gestión de riesgos de la organización incluye los riesgos
riesgos empresariales (ERM).
relacionados con TI.
La información de riesgos y control no se comunica a la
Existe un proceso para evaluar, abordar y comunicar los riesgos de
áreas apropiadas de la organización, lo que puede resultar en decisiones
TI a las partes interesadas clave y la dirección ejecutiva durante los procesos
fuera de la tolerancia al riesgo de la organización.
de gestión de proyectos, cambios y versiones.
Objetivo de control: Existe un plan de continuidad del negocio y recuperación ante desastres y se prueba periódicamente.
Riesgo inherente
Control
La organización experimenta brechas significativas en la seguridad
La organización ha implementado un proceso para gestionar los principales
de la información, lo que da como resultado una reacción negativa
riesgos, amenazas, cambios y contingencias de manera proactiva.
del cliente y daños a la reputación pública de la organización.
Objetivo de control: los proyectos de TI se entregan a tiempo y dentro del presupuesto.
Riesgo inherente
Objetivos de control
Los procesos de gestión de proyectos no incluyen el riesgo.
Existe un plan de gestión de riesgos y las actividades de gestión de
evaluaciones
riesgos se incorporan a los procesos de gestión de proyectos, cambios
y versiones.
Objetivo de control: El perfil de riesgo de TI se actualiza con frecuencia.
Riesgo inherente
Control
El perfil de riesgo de TI no se gestiona adecuadamente, lo que da como resultado riesgos
El perfil de riesgo de TI se actualiza como parte de las buenas
que no se abordan o que se toman riesgos por encima de los límites de tolerancia.
prácticas de ERM.
www.theiia.org
Auditoría del gobierno de TI 37
Machine Translated by Google
Organización TI y Gestión de Riesgos
Objetivo de control: la clasificación de activos determina qué nivel de control se requiere sobre su manejo y uso.
Riesgo inherente
Control
Los datos personales del personal o de los clientes pueden ser
Los detalles de la clasificación, uso, origen y ubicación deben ingresarse
divulgados o accesibles a partes internas o externas no autorizadas.
en un registro de activos de información.
Esto debe ser realizado por los administradores de TI.
El registro de activos no se actualiza para reflejar nuevos riesgos,
Será necesario desarrollar e implementar procesos para mantener
amenazas o vulnerabilidades.
el registro para identificar continuamente las áreas de mayor riesgo.
Objetivo de control: Los planes de incentivos de la organización se diseñan y ejecutan para prevenir o detectar comportamientos inaceptables.
Riesgo inherente
Control
La gestión del desempeño y la rendición de cuentas
La organización ha implementado políticas y procesos
inconsistentes pueden dar lugar a acciones que no respaldan los
relacionados con la compensación del personal, el establecimiento
objetivos estratégicos.
de objetivos y la evaluación del desempeño.
No se detecta un comportamiento inaceptable o una asunción excesiva
Las medidas asociadas (p. ej., indicadores clave de desempeño)
de riesgos.
y los planes de incentivos (p. ej., bonificaciones) se diseñan y
ejecutan adecuadamente para prevenir o detectar comportamientos
inaceptables o toma de riesgos excesivos y para respaldar acciones
alineadas con los objetivos estratégicos de la organización.
www.theiia.org
Auditoría del Gobierno de TI 38
Machine Translated by Google
Apéndice E. Recursos adicionales
El Comité sobre los Aspectos Financieros del Gobierno Corporativo, Aspectos Financieros del Gobierno Corporativo
(Informe Cadbury), 1992. http://www.ecgi.org/codes/documents/cadbury.pdf.
COBIT es un marco para el gobierno de TI empresarial publicado por ISACA en 2012. www.isaca.org/
cobit/pages/default.aspx.
Organización Internacional para la Estandarización (ISO)/Comisión Electrotécnica Internacional (IEC) 38500:2015,
Gobernanza de TI para la Organización, versión 2015 es un marco para el gobierno corporativo de TI y es una
entrada clave para otros marcos como ITIL y COBIT. https://www.iso.org/standard/62816.html.
La Biblioteca de Infraestructura de TI (ITIL) es un marco desarrollado por la Oficina del Gabinete del Reino Unido
como una biblioteca de procesos de mejores prácticas para la gestión de servicios de TI. https://www.itil-itsm
world.com/index.htm.
El Instituto de Directores de África Meridional (IoDSA), el Informe King sobre Gobierno Corporativo y el Código King
de Gobierno Corporativo (King III) fueron compilados por el Comité King en respuesta al surgimiento de la Ley 71 de
empresas sudafricanas de 2008. Un nuevo King IV se publicó el 1 de noviembre de 2016. http://www.iodsa.co.za/?
kingIII.
Centro Nacional de Cómputo, Gobierno de TI: Desarrollo de una estrategia de gobierno exitosa,
NACD 2005.
NIST SP 800-39, Gestión del riesgo de seguridad de la información: vista de la organización, la misión y el
sistema de información, NIST 2011.
Organización para la Cooperación y el Desarrollo Económicos (OCDE), Principios de Gobierno Corporativo del
G20/ OCDE, versión 2015.
www.theiia.org
Auditoría del gobierno de TI 39
Machine Translated by Google
Agradecimientos
Equipo de desarrollo de orientación
Himi Tina Kim CIA, CGAP, CRMA, Estados Unidos (Presidente)
Avin Mansookram, Sudáfrica (Jefe de proyecto)
Kenneth Drinkard, Estados Unidos
Sajay Rai, Estados Unidos
Terence Washington, CIA, CRMA, Estados Unidos
Colaboradores de orientación global
Harun Abdul Haqq, CIA, CISA, CFE, Trinidad y Tobago
Graciela Braga, CGEIT, CSX (F), Argentina
Jason Brucker, CISA, CGEIT, Estados Unidos
Elastos Chimwanda, CIA, CISA, Zimbabue
Jamie DuBray, CIA, CRMA, CISA, CGEIT, CISSP, Estados Unidos
Ulrich Hahn, CIA, CGAP, CRMA, CISA, Alemania
Nigel James, CISA, Estados Unidos
Stephen Stanbury, CIA, CRMA, CFE, Reino Unido
Guía y estándares globales del IIA
Eva Sweet, directora (líder de proyecto)
Lisa Hirtzinger, CIA, QIAL, CCSA, CRMA, Vicepresidenta
Debi Roth, CIA, directora general
Lauressa Nelson, escritora técnica
Michael Citro, redactor técnico
El IIA quisiera agradecer a los siguientes órganos de supervisión por su apoyo: Comité de Orientación de Tecnología
de la Información, Consejo Asesor de Orientación Profesional, Junta de Normas Internacionales de Auditoría Interna,
Comité de Ética y Responsabilidad Profesional, y Consejo de Supervisión del Marco de Prácticas Profesionales
Internacionales.
www.theiia.org
Auditoría del gobierno de TI 40
Machine Translated by Google
ACERCA DEL IIA El
Instituto de Auditores Internos (IIA) es el defensor, educador y proveedor de estándares, orientación y certificaciones más reconocido de la profesión de
auditoría interna. Establecido en 1941, el IIA sirve hoy a más de 190.000 miembros de más de 170 países y territorios. La sede mundial de la asociación se
encuentra en Lake Mary, Fla., EE. UU. Para obtener más información, visite www.globaliia.org.
DESCARGO DE
RESPONSABILIDAD El IIA publica este documento con fines informativos y educativos y, como tal, solo pretende ser utilizado como una guía. Este material
de orientación no pretende proporcionar respuestas definitivas a circunstancias individuales específicas. El IIA recomienda que siempre busque el
asesoramiento de un experto independiente relacionado directamente con cualquier situación específica. El IIA no acepta ninguna responsabilidad por
cualquier persona que confíe únicamente en esta guía.
DERECHOS
DE AUTOR Copyright© 2018 The Institute of Internal Auditors, Inc. Todos los derechos reservados. Para obtener permiso para reproducir,
comuníquese con guide@theiia.org.
enero 2018
La sede mundial
El Instituto de Auditores Internos
1035 Greenwood Blvd., Suite 401
Lake Mary, FL 32746, EE. UU.
Teléfono: +1-407-937-1111
Fax:
+1-407-937-1101
www.theiia.org
www.theiia.org
Auditoría del gobierno de TI 41