La Auditoría TI es fundamental para evaluar si la tecnología adoptada cumple con las necesidades del negocio, con el fin de que los controles proporcionados garanticen la seguridad, integridad, disponibilidad y confiabilidad de los mismos. Los recursos de TI definidos por COBIT 4.1 son:
• Aplicaciones: incluye tanto sistemas de usuario automatizados como procedimientos manuales que procesan información. • Información: son los datos en todas sus formas de entrada, procesados y generados por los sistemas de información, utilizados por el negocio.
• Infraestructura: es la tecnología y las instalaciones (hardware, sistemas operativos, sistemas de administración de base de datos, redes, multimedia, etc.) Así como el sitio donde se encuentran y el ambiente que los soporta, que permiten el procesamiento de las aplicaciones
• Personas: es el personal requerido para planear, organizar, adquirir, implementar, entregar, soportar, monitorear y evaluar los sistemas y servicios de información. Estas pueden ser internas, por outsourcing o contratadas.
Cada uno de estos recursos debe ser sujeto a una evaluación del riesgo con el fin de darles prioridad en el plan de revisión anual. El plan de Auditoría consiste en planificar a corto y largo plazo las revisiones a los recursos TI. Aquellas revisiones planificadas a corto plazo son aquellas que no involucren cambios organizacionales o estratégicos en la dirección TI y que serán cubiertas durante el periodo de revisión anual, caso contrario serán planificadas a largo plazo, en la cual la revisión se efectuará conforme avancen los cambios organizacionales o estratégicos.
Durante la planificación se pueden clasificar a las revisiones en auditoria correctiva, preventiva y detectiva. La planificación anual puede ser sujeta a cambios, es decir, ser actualizada en el caso de existir un alto nivel de riesgo por cambios en el ambiente técnico u operacional (adquisiciones, nuevos reglamentos, condiciones del mercado, entre otros).
Al planificar una auditoria, el auditor de SI debe tener una comprensión general del ambiente bajo revisión, es por eso que para realizar la planificación se debe de considerar lo siguiente:
• Comprender la misión, objetivos, propósito y procesos del negocio
• Identificar políticas, estándares, directrices, procedimientos y estructuras del negocio
• Realizar un análisis de riesgos para ayudar a diseñar el plan de auditoria
• Establecer alcance y objetivos • Desarrollar la estrategia de la auditoria
• Asignar recursos humanos
• Dirigir la logística del trabajo de auditoria
Todo auditor TI debe estar en conocimiento del alcance y el objetivo de la revisión con el fin de dirigir sus observaciones hacia lo definido. Durante la planificación se debe de contar con información histórica con el fin de definir tiempos aproximados para cada una de las revisiones, dependiendo de su alcance.