Una auditoría de tecnología de la información , o auditoría de sistemas de información , es un examen de los controles de gestión dentro de una infraestructura de tecnología de la información (TI) y aplicaciones comerciales. La evaluación de la evidencia obtenida determina si los sistemas de información protegen los activos, mantienen la integridad de los datos y funcionan de manera efectiva para lograr las metas u objetivos de la organización. Estas revisiones se pueden realizar junto con una auditoría de estados financieros , una auditoría interna u otra forma de compromiso de atestación.
Una auditoría de TI es diferente de una auditoría de estados financieros . Si bien el propósito de una auditoría financiera es evaluar si los estados financieros presentan razonablemente, en todos los aspectos importantes, la posición financiera, los resultados de las operaciones y los flujos de efectivo de una entidad de conformidad con las prácticas contables estándar., el propósito de una auditoría de TI es evaluar el diseño y la efectividad del control interno del sistema. Esto incluye, entre otros, protocolos de eficiencia y seguridad, procesos de desarrollo y gobierno o supervisión de TI. La instalación de controles es necesaria pero no suficiente para brindar una seguridad adecuada. Las personas responsables de la seguridad deben considerar si los controles están instalados según lo previsto, si son efectivos o si se ha producido alguna brecha en la seguridad y, de ser así, qué acciones se pueden tomar para prevenir futuras brechas. Estas consultas deben ser respondidas por observadores independientes e imparciales. Estos observadores están realizando la tarea de auditoría de los sistemas de información. En un entorno de sistemas de información (SI), una auditoría es un examen de los sistemas de información, sus entradas, salidas y procesamiento.[1]
Las funciones principales de una auditoría de TI son evaluar los sistemas que existen para proteger la información de una organización. Específicamente, las auditorías de tecnología de la información se utilizan para evaluar la capacidad de la organización para proteger sus activos de información y distribuir información adecuadamente a las partes autorizadas. [2] La auditoría de TI tiene como objetivo evaluar lo siguiente:
¿Los sistemas informáticos de la organización estarán disponibles para el negocio en todo momento cuando sea necesario? (conocido como disponibilidad) ¿Se divulgará la información en los sistemas solo a los usuarios autorizados? (conocido como seguridad y confidencialidad) ¿La información provista por el sistema será siempre precisa, confiable y oportuna? (mide la integridad) De esta manera, la auditoría espera evaluar el riesgo del activo valioso de la empresa (su información) y establecer métodos para minimizar esos riesgos.
Varias autoridades han creado diferentes taxonomías para distinguir los distintos tipos de auditorías de TI. Goodman & Lawless afirman que existen tres enfoques sistemáticos específicos para llevar a cabo una auditoría de TI: [3]
Y algunos agrupan todas las auditorías de TI como uno de solo dos tipos: auditorías de " revisión de control general " o auditorías de " revisión de control de aplicaciones ".