Hace un par de días presentamos que el Comité Internacional de
Tecnología Avanzada del IIA, ha identificado tres categorías de conocimiento de
TI para los auditores internos.
Categoría 1: Todos los auditores
Categoría 2: Supervisores de
Auditoría
Categoría 3: Especialista en
auditoría técnica de TI
En este post analizaremos las dos últimas categorías de la lista.
Categoría 2: Supervisores de
Auditoría:
La categoría 2 se aplica al nivel de supervisión de auditoría. Además de
tener el conocimiento básico en TI, los supervisores de auditoría deben
entender los aspectos y elementos de TI, de forma suficiente para considerarlos
en las tareas de auditoría de planificación, pruebas, análisis, informe y seguimiento
y en la asignación de las habilidades de los auditores a los proyectos de
auditoría. Esencialmente, el supervisor de auditoría debe:
·
Entender las amenazas y vulnerabilidades asociadas a procesos
automatizados de negocio.
·
Entender los controles de negocio y la mitigación del riesgo
que debe ser proporcionada por la TI.
·
Planificar y supervisar las tareas de auditoría para
considerar las vulnerabilidades y los controles relacionados con la TI, así
como la eficacia de la TI en la provisión de controles para las aplicaciones y entornos
de negocio.
·
Asegurar que el equipo de auditoría tiene competencia suficiente,
incluidas las habilidades en TI, para las tareas de auditoría.
·
Asegurar el uso eficaz de las herramientas de TI en
los trabajos de auditoría y en las pruebas.
·
Aprobar los planes y las técnicas para probar los
controles y la información.
·
Evaluar los resultados de las pruebas de auditoría
para evidenciar las vulnerabilidades o
debilidades de control de la TI.
·
Analizar los síntomas detectados y relacionarlos con las
causas que pueden tener su origen en el negocio o en la misma TI, como
planificación, ejecución, operaciones, gestión de cambios, autenticación, u otras
áreas de riesgo.
·
Proporcionar recomendaciones de auditoría basadas en los
objetivos del aseguramiento del negocio, centrándose en los orígenes de los
problemas observados, más que en divulgar simplemente los problemas o los errores
detectados.
Categoría 3: Especialista en
auditoría técnica de TI
La categoría 3 se aplica al especialista en auditoría técnica de TI.
Aunque los auditores de TI pueden funcionar a nivel de supervisión, deben
entender la tecnología subyacente que respalda a los componentes del negocio y
estar familiarizados con las amenazas y vulnerabilidades asociadas a las
tecnologías. Los auditores de TI también pueden especializarse en ciertas áreas
especializadas de la tecnología, dependiendo de las necesidades de su organización.
Nota importante: El documento de “Las tres categorías
del conocimiento de TI para los auditores internos” no forma parte de las Normas
del IIA, pero es una orientación práctica proporcionada por el Comité
Internacional de Tecnología Avanzada del IIA.
¿Te ha gustado
el post? ¡Compártelo con otro auditor interno!
No hay comentarios:
Publicar un comentario