Auditoría básica de SI: Innovación en el proceso de auditoría de TI

En junio de 2015, ISACA comenzó a publicar un conjunto de informes técnicos titulados “Perspectivas de Innovación”.¹ Dichos documentos trataron las 10 principales tendencias emergentes en tecnología digital con mayor probabilidad de entregar a la gran mayoría de las empresas un valor significativo, por encima del costo.² Los temas tratados incluyeron análisis de big data, los móviles, la nube, el aprendizaje automático, la Internet de las Cosas (IoT), cursos en línea masivos y abiertos, redes sociales, modelos de negocios digitales, seguridad cibernética y moneda digital. Desafortunadamente, desde una perspectiva de auditoría, los documentos estaban dirigidos a los líderes empresariales y a los miembros del directorio. Si bien no todos son temas sobre los que un auditor de TI puede influir diariamente, ¿significa eso que los auditores de TI no pueden innovar?

La innovación es definida como como la introducción de una nueva idea, un método o un nuevo dispositivo,³ por lo tanto, innovar es introducir algo nuevo en un proceso. Además, si eso es nuevo para la empresa, también es innovación. Entonces, ¿cómo podemos innovar a lo largo del proceso de una auditoría de TI? Según ISACA, un proceso de auditoría típico consta de tres fases (figura 1). A continuación presentó mis ideas sobre una potencial innovación para cada una de las fases. Tenga en cuenta que lo que puede ser nuevo e innovador para la empresa A, puede ser algo habitual para la empresa B.

Planificación—Colaboración

La Internet nos permite comunicarnos al instante con nuestros pares y ha permitido formas innovadoras de hacer muchas cosas. Sin embargo, fundamentalmente cada uno de nosotros todavía está planificando y creando programas de auditoría como si esta revolución no hubiera ocurrido. En una columna anterior⁴ abogué por que la comunidad de ISACA desarrollara programas de auditoría/aseguramiento gratuitos. Mientras tanto, las organizaciones pueden innovar colaborando en programas de auditoría/aseguramiento a través de sus capítulos locales o grupos industriales. Por ejemplo, ¿el próximo seminario puede adoptar el formato de un experto explicando los fundamentos de una nueva ley o regulación?, ¿Puede un foro abierto resultar en, o al menos servir de base, para un programa de auditoría para dicha regulación? Además, recuerde por favor que la colaboración siempre es posible en el Centro de Conocimiento de ISACA (KC).⁵

Planificación—Implementación de un software de gestión de auditoria

A lo largo de los años se ha debatido varias veces, en el KC, sobre los beneficios (o no) de adoptar un software de gestión de auditoría. Aquellos en contra, apuntan a la inflexibilidad de muchas de las herramientas disponibles y del hecho de que es simplemente más fácil hacer las cosas con Microsoft Word y Excel. Sin embargo, uno de los beneficios reales es que ellos refuerzan un proceso estandarizado de auditoria. Esta es la esencia misma de lo que a nosotros, como auditores, nos gusta ver en los procesos que revisamos.

La estandarización garantiza que cada auditoría siga los pasos definidos y acordados por la empresa. Estos probablemente incluirán la evaluación de riesgos, la revisión de los pares y la aprobación de la gerencia de auditoría. A su vez mejorará la calidad y consistencia de las auditorías. La consistencia del mensaje es la clave para las funciones de auditoría y, de hecho, para los auditados.

Además, esto significa que el auditor de TI “A” debería estar en una mejor posición para recoger, comprender y continuar el trabajo iniciado por el auditor de TI “B”.

Planificación—Utilizar análisis de datos previo

Tradicionalmente, el uso del análisis de datos es considerado solo en la etapa de la auditoria de trabajo en terreno. Sin embargo, si en un compromiso de auditoria se permite el acceso a todos los datos de la empresa de la materia bajo revisión, puede entonces valer la pena realizar un análisis previo de datos. Al extraer los datos es posible determinar qué países, unidades y procesos de negocios, u otras áreas, ocultan valores atípicos que podrían representar un mayor riesgo o problemas de cumplimiento. Una vez que se identifica a una unidad de negocio o geografía, se puede afinar más el alcance del compromiso profundizando más en los datos, aumentando el alcance en las áreas de mayor riesgo y reduciendo el alcance en los sectores donde el análisis sugiere que el riesgo puede ser menor. El resultado general es un plan de auditoría más dinámico basado en una evaluación de riesgos continua, justo a tiempo; auditorías más eficientes que están alineadas con las áreas de riesgo; resultados de auditoria más efectivos que se enfocan en aquellas áreas de alto riesgo; e informes automatizados.⁶

Planificación—Implementación de la autoevaluación de controles

En empresas donde una parte considerable de la evidencia es proporcionada mediante entrevistas, y donde existe una buena relación de trabajo entre la gerencia y auditoría, uno podría realmente innovar y ahorrar significativamente tiempo adoptando la autoevaluación de controles (CSA). El CSA fue discutido también en una columna anterior.⁷ Resumiendo, ISACA define el CSA como una evaluación de los controles realizados por el personal de la unidad o las unidades involucradas. Es una técnica de gestión que asegura a los interesados, clientes y otras partes que el sistema de control interno de la organización es confiable.⁸

El CSA requiere que el auditado conteste una serie de preguntas sobre los criterios relevantes, o los estándares y puntos de referencia usados, para medir y presentar el tema y contra los cuales un auditor de SI lo evalúa.⁹ Con el acuerdo de la administración, estos resultados pueden ser usados como una base para las recomendaciones de auditoría.

Planificación—Verticalidad de la auditoria

Auditar aplicaciones o áreas temáticas horizontalmente, es decir, revisar todas las áreas de riesgo seleccionadas para una aplicación determinada, es una práctica generalizada. Cada aplicación o materia se audita independientemente (figura 2). Sin embargo, esta manera de auditar puede conducir a hallazgos recurrentes o temas comunes.

Por ejemplo, puede que varias aplicaciones no sean totalmente compatibles con el proceso de gestión de cambios definido. Esto dará como resultado varios hallazgos similares en las diferentes aplicaciones. En tales circunstancias, puede tener sentido auditar el proceso de administración de cambios en forma horizontal en todas las aplicaciones (figura 2), quizás utilizando los habilitadores de COBIT 5.¹⁰ El objetivo de dicha auditoría sería abordar las causas subyacentes del tema recurrente y mitigar el riesgo en la mayoría de las aplicaciones.

Trabajo en terreno/documentación—Obtener acceso primario a la evidencia

En la etapa de trabajo en terreno de la auditoria, un auditor de TI obtiene evidencia para medir contra criterios. La forma tradicional de hacerlo es a través de entrevistas y de recorridos, donde el auditor de TI solicitará una pantalla impresa, una copia de un informe u otra evidencia para confirmar que los criterios se han cumplido. Sin embargo, si al auditor de TI se le otorga acceso de solo lectura a esta evidencia, el tiempo que necesita para estar con el auditado se reducirá, lo que a la larga le ahorrará dinero a la empresa.

Además, el auditor de TI no necesita limitarse solo al muestreo. Algunos ejemplos se mencionan a continuación:

• Administración de cambios—Si existe una aplicación de gestión de cambios y los auditores de TI tienen acceso a ella, no es necesario que se revisen los cambios con el auditado. Se puede muestrear o probar todos los cambios directamente en la aplicación o extrayendo los datos desde la aplicación para un análisis posterior.
• Gestión de vulnerabilidades—Si los auditores de TI tienen acceso directo, acceso de solo lectura, al escáner de vulnerabilidades pueden saber si la herramienta está escaneando los activos asociados. Además, al revisar los resultados de escaneos previos puede obtener seguridad de que existe un proceso en curso, y que las vulnerabilidades están siendo mitigadas continuamente.
• Auditoría y registro—Si los auditores de TI tienen acceso directo, y de solo lectura, a la herramienta de Gestión de Eventos e Información de Seguridad (SIEM), pueden saber si los activos de la aplicación relacionados están siendo capturados por la herramienta y, si la auditoría está en un nivel que coincide con los criterios requeridos.

Este concepto también podría ser aplicado a otros procesos donde el software automatizado está en uso, o las funciones de segunda línea capturan y mantienen la evidencia.¹¹ Esto podría incluir el proceso de egresos y traslados, pruebas de recuperación de desastres, pruebas de restauración de respaldo y escáner de bases de datos.

Trabajo en terreno/documentación—Reutilización del software de auditoría generalizado

ISACA define el software de auditoría generalizado (GAS) como un software de auditoría multipropósito que puede ser usado para procesos generales, tales como la selección de registros, pareos, recálculos y generación de reportes.¹² Desde la perspectiva de un auditor de TI, el uso de las herramientas del GAS está tradicionalmente restringido al soporte operacional, o las auditorías generales mediante la ayuda en la extracción y el análisis de datos desde la base de datos de una aplicación determinada. Sin embargo, estas herramientas también soportan datos extraídos de servidores, registros (logs) y vistas de las aplicaciones, y metadatos de las bases de datos. Ellos, por tanto, pueden ser usados para respaldar las auditorías de TI.

Una vez extraídos, los datos pueden ser analizados y comparados contra un conjunto de datos compatibles conocidos y otras fuentes de datos, tales como la nómina de la empresa. Además, el proceso puede ser repetido y usado como parte de un monitoreo y/o auditoria continua. Ejemplos de este enfoque en uso incluyen la “Auditoría a la Base de Datos Oracle usando CAATs”¹³ y la “Auditoría a la Bases de Datos SQL Server usando CAATs”.¹⁴

Reporte/Seguimiento—Utilizar el Glosario de ISACA

En un informe técnico del 2015, ISACA definió los cinco atributos de un hallazgo de auditoría (figura 3).¹⁵ Un problema potencial con la condición del atributo es, que la audiencia del informe puede no ser siempre técnica, aun cuando un hallazgo técnico esté siendo descrito. Por lo tanto, tiene sentido incluir una definición del área bajo revisión con el hallazgo de la auditoría (por ejemplo, gestión de vulnerabilidades). Una forma efectiva de hacer esto es usar las definiciones del glosario de ISACA.¹⁶ Este glosario proporciona explicaciones claras y también creará coherencia, en el sentido de que la gestión de vulnerabilidades, por ejemplo, será definida de la misma manera en múltiples informes de auditoría. Esto, a su vez, significa que a lo largo del tiempo la audiencia aprenderá y comprenderá dicha terminología.

Incluso, si el glosario de ISACA actualmente no cumple con las necesidades de la organización, este puede ser usado como referencia o como un punto de partida.

Reporte/Seguimiento—Usar video

Los informes de auditoría de TI pueden ser documentos complejos que contienen capas de hallazgos interrelacionados que afectan a múltiples áreas del negocio y, a menudo, requieren una explicación más detallada. Esto puede ser solucionado proporcionando más detalles y reuniéndose personalmente con la audiencia. No obstante lo anterior, esto no siempre es posible debido al tamaño, la complejidad y la dispersión geográfica de algunas empresas.

Tuve el honor de trabajar en un comité de ISACA con un colega que superó este problema grabando en vídeo los resúmenes ejecutivos. Los videos se cargaron en un canal privado de YouTube con los controles técnicos necesarios (por ejemplo, doble autenticación). Además de agregar contexto y significado a los informes de auditoría, también le permitió entregar los resultados con empatía, algo que es difícil de transmitir en un informe escrito.

Reporte/Seguimiento—Seguimiento y medición del progreso

El Marco de Aseguramiento de Tecnología de la Información (ITAF) de ISACA recomienda que debería presentarse un informe sobre el estado de las acciones correctivas acordadas surgidas en los informes de auditoría, incluyendo las recomendaciones acordadas no implementadas, a un nivel apropiado de gerencia y a los encargados de la gobernanza (por ejemplo, al comité de auditoría).¹⁷ Esto se puede lograr reuniendo las recomendaciones en un registro de hallazgos de auditoria.

Además, si a estos hallazgos le son asignados atributos (por ejemplo, importancia, estado, propietario, país, departamento, región), los datos pueden ser analizados, resumidos y presentados de manera coherente, convirtiéndose en información. Esta información, entonces, puede ser usada para mostrar con claridad el cumplimiento a las normas y regulaciones, e incluso para actuar como indicadores clave para nuevas iniciativas. Para más información, consulte el texto “Mejorando el Proceso de Seguimiento de la Auditoría con COBIT 5”.¹⁸

Conclusión

Mi mensaje general es que la innovación, al igual que la belleza, está en el ojo del observador. Es innovación si para la empresa es nuevo. Además, la innovación no tiene que incluir la última tecnología, tal como el aprendizaje automático. Tampoco tiene que ser una revolución; puede ser una evolución. Para innovar, los auditores no tenemos que ser futuristas; podemos serlo “ahora ya”.¹⁹

Notas finales

¹ ISACA, “Innovation Insights,” USA, 2015
² Ibid.
³ Merriam-Webster, “Innovation,” https://www.merriam-webster.com/dictionary/innovation
⁴ Cooke, I.; “Audit Programs,” ISACA Journal, vol. 4, 2017, www.isaca.org/resources/isaca-journal/issues
⁵ ISACA Knowledge Center, Audit Tools and Techniques
⁶ Kress, R.; D. Hildebrand; “How Analytics Will Transform Internal Audit,” ISACA Journal, vol. 2, 2017, www.isaca.org/resources/isaca-journal/issues
⁷ Cooke, I.; “Doing More with Less,” ISACA Journal, vol. 5, 2017, www.isaca.org/resources/isaca-journal/issues
⁸ ISACA, CISA Review Manual, 26^th Edition, USA, 2016
⁹ ISACA, ITAF: Information Technology Assurance Framework, USA, 2014
¹⁰ ISACA, COBIT 5, USA, 2012
¹¹ Chartered Institute of Internal Auditors, “Governance of Risk: Three Lines of Defence”
¹² ISACA Glossary, www.isaca.org/glossary
¹³ Cooke, I.; “Auditing Oracle Databases Using CAATs,” ISACA Journal, vol. 2, 2014, www.isaca.org/resources/isaca-journal/issues
¹⁴ Cooke, I.; “Auditing SQL Server Databases Using CAATs,” ISACA Journal, vol. 1, 2015, www.isaca.org/resources/isaca-journal/issues
¹⁵ ISACA, Information Systems Auditing: Tools and Techniques—IS Audit Reporting, USA, 2015
¹⁶ Op cit ISACA Glossary
¹⁷ ISACA, ITAF™: A Professional Practices Framework for IS Audit/Assurance, 3^rd Edition, USA, 2014, https://store.isaca.org/s/store#/store/browse/detail/a2S4w000004Ko91EAC
¹⁸ Cooke, I.; “Enhancing the Audit Follow-Up Process Using COBIT 5,” ISACA Journal, vol. 6, 2016, www.isaca.org/resources/isaca-journal/issues
¹⁹ Ito, J.; “Want to Innovate? Become a ‘Now-ist,’” TED, 2014, https://www.ted.com/talks/joi_ito_want_to_innovate_become_a_now_ist