Es el examen objetivo, crítico, metodológico y selectivo de evidencia relacionada con políticas, prácticas, procesos y procedimientos en materia de Tecnologías de la Información y la Comunicación, para expresar una opinión independiente respecto:
i) A la confidencialidad, integridad, disponibilidad y confiabilidad de la información.
ii) Al uso eficaz de los recursos tecnológicos.
iii) A la efectividad del sistema de control interno asociado a las Tecnologías de la Información y la Comunicación.
La auditoria de Tecnologías de la Información y la Comunicación está definida principalmente por sus objetivos y puede ser orientada hacia uno o varios de los siguientes enfoques:
a) Enfoque a las Seguridades: Consiste en evaluar las seguridades implementadas en los sistemas de información con la finalidad de mantener la confidencialidad, integridad y disponibilidad de la información.
b) Enfoque a la Información: Consiste en evaluar la estructura, integridad y confiabilidad de la información gestionada por el sistema de información.
c) Enfoque a la Infraestructura tecnológica: Consiste en evaluar la correspondencia de los recursos tecnológicos en relación a los objetivos previstos.
d) Enfoque al Software de Aplicación: Consiste en evaluar la eficacia de los procesos y controles inmersos en el software de aplicación, que el diseño conceptual de éste cumpla con el ordenamiento jurídico administrativo vigente.
e) Enfoque a las Comunicaciones y Redes: Consiste en evaluar la confiabilidad y desempeño del sistema de comunicación para mantener la disponibilidad de la información.
Para una adecuada comprensión de las normas de auditoría de Tecnologías de la Información y la Comunicación se definen los siguientes conceptos:
Datos: Son objetos de información en su sentido más amplio, los cuales pueden ser externos o internos, estructurados y no estructurados del tipo gráfico, sonido, imágenes, números, palabras y de otra índole, etc.
Información: Datos que han sido organizados, sistematizados y presentados de manera que los patrones subyacentes resulten claros.
Tecnología: Es un conjunto ordenado de instrumentos, conocimientos, procedimientos y métodos aplicados a las áreas.
Tecnologías de la Información y la Comunicación (TIC): Se refiere al conjunto de tecnologías que permiten la adquisición, producción, almacenamiento, tratamiento, comunicación, registro y presentación de la información.
Sistema de Información (SI): Se refiere a un conjunto de procesos y recursos de información organizados con el objetivo de proveer la información necesaria (pasada, presente, futura) en forma precisa y oportuna para apoyar la toma de decisiones en una entidad.
Software de Aplicación: Se refiere a un elemento de los Sistemas de Información, es un conjunto de programas de computador diseñados y escritos para realizar tareas específicas del negocio y que permiten la interacción entre el usuario y el computador.
Sistemas de comunicación: Se refiere a la tecnología que se emplea para el intercambio de información.
Confidencialidad de la información: Se refiere a la protección de la información crítica contra su divulgación no autorizada.
Integridad de la información: Se vincula con la exactitud y la totalidad de la información así como también con su validez de acuerdo con los valores y las expectativas de la entidad.
Confiabilidad de la información: Se vincula con la provisión de la información adecuada para la administración con el fin de operar la entidad y para ejercer sus responsabilidades de presentación de reportes financieros y de cumplimiento.
Disponibilidad de la información: Se vincula con el hecho de que la información se encuentre disponible cuando el proceso la requiera.
También se asocia con la protección de los recursos necesarios y las capacidades asociadas.
Técnicas de Auditoría Asistidas por Computador (TAAC): Se refiere a las técnicas de auditoria que contemplan herramientas informáticas con el objetivo de realizar más eficazmente, eficientemente y en menor tiempo pruebas de auditoria.