¿Sabe usted cuales son los
conocimientos mínimos que espera posea
todo el personal de auditoría interna respecto a tecnología de Información?
La Norma 1210 Aptitud, establece que: Los auditores internos deben reunir los conocimientos,
las aptitudes y otras competencias necesarias para cumplir con sus
responsabilidades individuales. La actividad de auditoría interna, colectivamente,
debe reunir u obtener los conocimientos, las aptitudes y otras competencias necesarias
para cumplir con sus responsabilidades.
Los conocimientos, las aptitudes y otras competencias es un término
colectivo que se refiere a la aptitud profesional requerida al auditor interno
para llevar a cabo eficazmente sus responsabilidades profesionales. Se alienta
a los auditores internos a demostrar su aptitud obteniendo certificaciones y
cualificaciones profesionales apropiadas, tales como la designación de auditor
interno certificado y otras designaciones ofrecidas por el Instituto de
Auditores Internos y otras organizaciones profesionales apropiadas.
Se necesitan diversos niveles de conocimiento de TI en el departamento
de auditoría interna para proporcionar un enfoque sistemático y disciplinado a
fin de evaluar y mejorar la efectividad de los procesos sobre la gestión de
riesgos, los controles y del gobierno. El conocimiento de cómo se utiliza la
TI, los riesgos relacionados y la capacidad de utilizar la TI como un recurso
en el desarrollo del trabajo de auditoría es esencial para la eficacia del
auditor en todos los niveles.
El Comité Internacional de Tecnología Avanzada del IIA, ha identificado
tres categorías de conocimiento de TI para los auditores internos.
Categoría 1: Todos los auditores
Categoría 2: Supervisores de
Auditoría
Categoría 3: Especialista en
auditoría técnica de TI
La categoría 1 es el conocimiento de TI necesario para todos los
auditores profesionales, desde las nuevas incorporaciones hasta el director de
auditoría interna.
El conocimiento de TI abarca entender conceptos, como las diferencias en
el software usado en aplicaciones, sistemas operativos y software de sistemas y
redes. Esto implica entender los componentes básicos de seguridad de TI y de
control, tales como seguridad perimetral, detección de intrusismo,
autenticación y controles de los sistemas de aplicación.
De acuerdo con el IIA el conocimiento básico incluye entender cómo los controles de negocio y
los objetivos de aseguramiento pueden verse afectados por vulnerabilidades en
las operaciones de negocio y lo relacionado con los sistemas de soporte y los
componentes de redes y datos. Es fundamental asegurar que los auditores tienen
suficiente conocimiento para centrarse en el entendimiento de los riesgos de
TI, sin necesariamente tener conocimientos técnicos significativos.
Nota importante: El documento de “Las tres categorías
del conocimiento de TI para los auditores internos” no forma parte de las Normas
del IIA, pero es una orientación práctica proporcionada por el Comité
Internacional de Tecnología Avanzada del IIA.
En los próximos días trataremos las dos categorías restantes.
¿Te ha gustado
el post? ¡Compártelo con otro auditor interno!
No hay comentarios:
Publicar un comentario