Artículo 47. Alcance y plazo de la auditoría externa de TI

Las Superintendencias deben comunicar a las entidades y empresas supervisadas, el alcance de la auditoría externa de TI, el cual podrá considerar, al menos, los siguientes aspectos:

a) Los procesos de evaluación del marco de gobierno y gestión de TI establecidos en los anexos 1 y 2 de los lineamientos generales del presente reglamento, aplicables a la entidad en el momento de la solicitud de la auditoría externa de TI, de conformidad con los artículos 3 y 43 del presente reglamento.

b) Las funciones para la evaluación de la gestión de riesgos de seguridad cibernética establecidas en los lineamientos generales del presente reglamento.

c) Componentes revelados en el perfil tecnológico de la entidad o empresa supervisada.

d) Entidades y empresas supervisadas, así como áreas de negocio y áreas de TI por considerar en cada proceso.

e) Proveedores de bienes y servicios de TI que, según los riesgos identificados, requieran la evaluación de una auditoría externa de TI, en cuyo caso, se evaluaran los procesos aplicables a la entidad o empresa supervisada y cualquier otro aspecto que esté relacionado con los bienes y servicios de TI tercerizados.

f) El periodo de cobertura.

g) Aspectos que las Superintendencias requieran de conformidad con los riesgos identificados.

Cuando la gestión de TI, el Comité de TI o sus respectivas funciones equivalentes sean corporativos, le corresponde a los Órganos de Dirección asegurar que la atención del alcance de la auditoría externa incluya lo que corresponde a cada una de las entidades y empresas supervisadas, de tal forma, que los productos por entregar evalúen el gobierno y la gestión de TI a nivel de los procesos y los riesgos del negocio que desarrolla cada entidad o empresa supervisada.

El plazo para la auditoría externa de TI y los canales de remisión del alcance están establecidos en los lineamientos generales del presente reglamento.