Professional Documents
Culture Documents
, ha trabajado en SI /
TI en los sectores público y privado en Los auditados ayudando a prepararse para una auditoría de SI / TI
varios países desde hace más de 50
digital en la década de 1960, que se Después de haber sido auditado muchas veces a lo largo de los años, ser considerado como el enemigo (pero a veces esto es precisamente la
incorpora computadores digitales en los habría sido de gran ayuda si los auditores habían tomado el tiempo forma en que se consideran).
sistemas de control de proceso continuo a para darnos una información sobre lo que iban a hacer, por qué y cómo Hechos y diálogo son componentes vitales de cualquier auditoría,
finales de los 60 y 70 años, y los esto se haría, y lo que nuestro papel en el proceso haría ser. y la colaboración entre el auditor y el auditado es de gran ayuda para
proyectos de aumento de tamaño y garantizar que el informe final, cuando se produce, es una
complejidad logrado hasta principios de Muchos años más tarde, después de haber convertido un auditor, mi representación razonable de la situación actual. Recuerde que los
1990. En la década de 1990, se convirtió opción era hacer esas sesiones de eventos regulares, y, a través de ellos, auditores y auditados son seres humanos tratando de hacer un buen
en un ejecutivo de los ferrocarriles se hizo evidente que muchas entidades auditadas en realidad no saben lo trabajo.
británicos preprivatized y luego el que hacen y los auditores no estaban familiarizados con la terminología y
de datos informáticos de las Naciones NO TODAS LAS AUDITORÍAS SON LOS MISMOS
Unidas. Después de su retiro (semi) de la Estos informes han dejado claro que los auditores se ven a menudo Una lista de lo podría auditar es largo, y, en la práctica, las
ONU, se unió a los equipos de auditoría como mirar a criticar cómo se hacen las cosas y hacer que los auditados actividades más susceptibles de ser auditados son las que vinculan
de la Junta de las Naciones Unidas de quedar mal a los ojos de su alta dirección. Para complicar las cosas, el a riesgo de negocio significativa.
Cuentas y el Tribunal de Cuentas francés. plan de auditoría de una organización puede requerir ciertas auditorías Es probable que si las auditorías previas planteó cuestiones e
También imparte cursos de postgrado en hacerse en un momento particular que puede no ser conveniente para los incluyó recomendaciones de los auditores,
administración de empresas de sistemas auditados, como auditorías interrumpir inevitablemente su trabajo. En estarán interesados en lo que ha cambiado desde que éstas
de información. esta columna se sugiere una manera de facilitar la preparación y se hicieron y se puede optar por volver a auditoría de algunos
”“
negocio y la evaluación de riesgos será de interés para los
como mirar a criticar cómo
auditores. Las preguntas se plantearán si éstos son
auditores se ven a menudo
incompletos, desfasados o no está disponible. No es un buen
Los
Explicando el propósito AUDITORÍA a los auditados comienzo.
Hay ejemplos de las oficinas de auditoría que han publicado folletos 1 explicando
su función y la forma en que las auditorías se planeó y llevó a cabo, pero Además, una breve lista de lo que podría ser
¿Tiene algo esto puede no ser una práctica común. Es una lástima, porque la falta de auditados incluiría:
que decir comprensión y claridad conduce a una falta de confianza antes de la • auditorías de los centros de datos -Incluyendo la seguridad
acerca de este auditoría siquiera ha comenzado y los riesgos de crear confusión acerca de física y lógica, documentación de procesos y métricas. Por
artículo? supuesto, hay mucho más a esto, incluyendo, por ejemplo, el
las funciones y responsabilidades.
4.1.)
Los auditores internos (incluyendo especialistas que pueden ser controles que se utilizan para gestionar la disponibilidad,
contratados para una auditoría en particular) y los auditados trabajar para confidencialidad e integridad de la información
la misma organización, y, sin tener en cuenta sus puntos de vista, que no • IS / IT auditorías de desarrollo de sistemas -Focusing en la
deberían especificación, desarrollo, prueba inicial
informes (Una serie de columnas sobre este tema está prevista para los próximos números detallada
de la
Profundidad
ISACA ® Diario.)
• Posterior a la implementación beneficia auditorías -Occur vez que un proyecto se ha
Rápido
cum
completado y ha estado en funcionamiento durante algún tiempo. Estas auditorías plim
ien
GC
P
to En raras ocasiones Después de una crisis
CO
BIT
están destinadas para validar si se han alcanzado los beneficios identificados en el caso PI
pro
yec
to Para cada proyecto de gran envergadura
be
n efic
ia e Regularmente
de negocio original para invertir en el proyecto.
l an
ális
is d
ed
ato
.
etc .. sd
e
Cada punto define costo de la Frecuencia
Tipo auditoría y la duración.
organización
¿QUÉ los auditados deben saber sobre las PROCESO DE AUDITORÍA
• SI / TI de gestión / auditorías de gobierno -En particular importancia cuando se depende de
Se espera que los auditores para saber exactamente cómo se planifica y ejecuta una
los proveedores de servicios externos (es decir, los proveedores de servicios de
auditoría, pero los auditados puede no estar en condiciones de compartir este
externalización y deslocalización). Estas auditorías examinan recuperación de costos o
conocimiento y puede encontrarse mal preparada. Una presentación o folleto sobre el
sistemas de carga, el presupuesto y control de costes, y la estructura organizativa.
proceso de auditoría deben tener descripciones concisas de cada etapa:
tecnologías (tales como traer su propio dispositivo [BYOD]) y hay más áreas de
• etapa de Auditoría 2 -Scoping la auditoría, la definición de las áreas a ser cubiertas y que
auditorías general llevada a cabo por otros, a menudo externos, los auditores, como las
incluye una primera lista de la documentación que debe proporcionarse a los auditores
de los certificados de cumplimiento (por ejemplo, ISO 27001 o la Tarjeta de Pago datos
informe final
• etapa de auditoría 5 -Después de control en una fecha posterior para evaluar los
• Instrucciones para el equipo a ser auditado. El mensaje: Los auditores no son el enemigo
y que pueden ayudar a la función de SI / TI plantean problemas con la dirección.
solicitud o la declaración.
www.isaca.org/
• Solicitar tiempo para estudiar los hallazgos proyecto de informe y las observaciones, y
señalar los elementos que pueden no ser una descripción exacta de la situación (que
tema-Audit-tools-y-técnicas
proporciona hechos, no opiniones, para hacer el punto).
NOTAS
• Participan en la conferencia de salida y asegurar que los puntos que deben 1 Oficina de Auditoría Interna, “Prevención, detección y manejo de fraude”,
hacerse son, de hecho, hecho. Universidad de Carolina del Sur, sin fecha
2 ISACA, COBIT ® Modelo de evaluación de proceso (PAM): Uso de COBIT ® 5, EE.UU.,
Los temas tratados aquí se considera que son necesarias, pero no suficientes para
Gelbstein, Ed; “Las auditorías exitosas no ocurren por casualidad,”
asegurar que la auditoría será un ejercicio de colaboración y que los auditados se 3
acercará el proceso de una manera positiva. Por otro lado, haciendo caso omiso de ISACA Journal, vol. 2, 2015, EE.UU., www.isaca.org/archives
estos puntos probablemente resultará en una auditoría difícil.