Auditoría Interna

¿Qué conocimientos debe tener todo el personal de auditoría interna respecto a TI?

Detalles
Categoría de nivel principal o raíz: Blog
Auditoría Interna

En muchos de los países que he visitado al tratar temas relacionados con TI, por lo general me hacen la siguiente pregunta:

¿Sabe usted cuales son los conocimientos mínimos que espera posea todo el personal de auditoría interna respecto a tecnología de Información?

La Norma 1210 Aptitud, establece que: Los auditores internos deben reunir los conocimientos, las aptitudes y otras competencias necesarias para cumplir con sus responsabilidades individuales. La actividad de auditoría interna, colectivamente, debe reunir u obtener los conocimientos, las aptitudes y otras competencias necesarias para cumplir con sus responsabilidades.

Los conocimientos, las aptitudes y otras competencias es un término colectivo que se refiere a la aptitud profesional requerida al auditor interno para llevar a cabo eficazmente sus responsabilidades profesionales. Se alienta a los auditores internos a demostrar su aptitud obteniendo certificaciones y cualificaciones profesionales apropiadas, tales como la designación de auditor interno certificado y otras designaciones ofrecidas por el Instituto de Auditores Internos y otras organizaciones profesionales apropiadas.

Se necesitan diversos niveles de conocimiento de TI en el departamento de auditoría interna para proporcionar un enfoque sistemático y disciplinado a fin de evaluar y mejorar la efectividad de los procesos sobre la gestión de riesgos, los controles y del gobierno. El conocimiento de cómo se utiliza la TI, los riesgos relacionados y la capacidad de utilizar la TI como un recurso en el desarrollo del trabajo de auditoría es esencial para la eficacia del auditor en todos los niveles.

El Comité Internacional de Tecnología Avanzada del IIA, ha identificado tres categorías de conocimiento de TI para los auditores internos.

Categoría 1: Todos los auditores

Categoría 2: Supervisores de Auditoría

Categoría 3: Especialista en auditoría técnica de TI

La categoría 1 es el conocimiento de TI necesario para todos los auditores profesionales, desde las nuevas incorporaciones hasta el director de auditoría interna.

El conocimiento de TI abarca entender conceptos, como las diferencias en el software usado en aplicaciones, sistemas operativos y software de sistemas y redes. Esto implica entender los componentes básicos de seguridad de TI y de control, tales como seguridad perimetral, detección de intrusismo, autenticación y controles de los sistemas de aplicación.

De acuerdo con el IIA el conocimiento básico incluye entender cómo los controles de negocio y los objetivos de aseguramiento pueden verse afectados por vulnerabilidades en las operaciones de negocio y lo relacionado con los sistemas de soporte y los componentes de redes y datos. Es fundamental asegurar que los auditores tienen suficiente conocimiento para centrarse en el entendimiento de los riesgos de TI, sin necesariamente tener conocimientos técnicos significativos.

Categoría 2: Supervisores de Auditoría:

La categoría 2 se aplica al nivel de supervisión de auditoría. Además de tener el conocimiento básico en TI, los supervisores de auditoría deben entender los aspectos y elementos de TI, de forma suficiente para considerarlos en las tareas de auditoría de planificación, pruebas, análisis, informe y seguimiento y en la asignación de las habilidades de los auditores a los proyectos de auditoría. Esencialmente, el supervisor de auditoría debe:

  • Entender las amenazas y vulnerabilidades asociadas a procesos automatizados de negocio.
  • Entender los controles de negocio y la mitigación del riesgo que debe ser proporcionada por la TI.
  • Planificar y supervisar las tareas de auditoría para considerar las vulnerabilidades y los controles relacionados con la TI, así como la    eficacia de la TI en la provisión de controles para las aplicaciones y entornos de negocio.
  • Asegurar que el equipo de auditoría tiene competencia suficiente, incluidas las habilidades en TI, para las tareas de auditoría.
  • Asegurar el uso eficaz de las herramientas de TI en los trabajos de auditoría y en las pruebas.
  • Aprobar los planes y las técnicas para probar los controles y la información
  • Evaluar los resultados de las pruebas de auditoría para evidenciar las  vulnerabilidades o debilidades de control de la TI.
  • Analizar los síntomas detectados y relacionarlos con las causas que pueden tener su origen en el negocio o en la misma TI, como planificación, ejecución, operaciones, gestión de cambios, autenticación, u otras áreas de riesgo.
  • Proporcionar recomendaciones de auditoría basadas en los objetivos del aseguramiento del negocio, centrándose en los orígenes de los problemas observados, más que en divulgar simplemente los problemas o los errores detectados.

Categoría 3: Especialista en auditoría técnica de TI

La categoría 3 se aplica al especialista en auditoría técnica de TI. Aunque los auditores de TI pueden funcionar a nivel de supervisión, deben entender la tecnología subyacente que respalda a los componentes del negocio y estar familiarizados con las amenazas y vulnerabilidades asociadas a las tecnologías. Los auditores de TI también pueden especializarse en ciertas áreas especializadas de la tecnología, dependiendo de las necesidades de su organización.

Nota importante: El documento de “Las tres categorías del conocimiento de TI para los auditores internos” no forma parte de las Normas del IIA, pero es una orientación práctica proporcionada por el Comité Internacional de Tecnología Avanzada del IIA.

 

Publicado en el Blog de Nahun Frett -http://nahunfrett.blogspot.com/

 Nahun Frett

Es un reconocido conferencista especializado en temas sobre auditoría interna, gestión de riesgo, gobierno corporativo, cambio organizacional, liderazgo y auto-evaluación de control. Motivador nato de equipos multidisciplinarios de auditoría interna, ampliamente solicitado para dictar conferencias y proveer capacitación en cursos, talleres y seminarios. Colaborador de Auditool

Santo Domingo, República Dominicana

Aviso Cookies

Usamos cookies en nuestro sitio web. Algunas de ellas son esenciales para el funcionamiento del sitio, mientras que otras nos ayudan a mejorar el sitio web y también la experiencia del usuario (cookies de rastreo). Puedes decidir por ti mismo si quieres permitir el uso de las cookies. Ten en cuenta que si las rechazas, puede que no puedas usar todas las funcionalidades del sitio web.

De acuerdo Rechazar
× Progressive Web App | Add to Homescreen

Para instalar esta Web App en su iPhone/iPad presione el ícono. Progressive Web App | Share Button Y luego Agregar a la pantalla de inicio.

Desconectado