miércoles, 16 de julio de 2014

35 Preguntas de TI que todo Director de Auditoría Interna debe realizar

La auditoría de TI es de larga data, si bien constantemente evoluciona y se modifica. Como consecuencia de ello, el Director de Auditoría Interna (DAI), debe continuamente adaptar y desarrollar el enfoque de auditoría de TI, así como el universo de auditoría de TI para realizar los procedimientos de auditoría de TI necesarios con objeto de lograr un cumplimiento adecuado de las normas y ayudar en la gestión del riesgo global de negocio de la organización. Por esta razón a continuación presentamos un conjunto de preguntas que podrían ser útiles para iniciar una evaluación de TI en cualquier tipo de organización:

1.    ¿La organización ha definido claramente qué significa la TI para ella?
2.    ¿Se han documentado las áreas de responsabilidad del director de TI (CIO, en inglés)?
3.    ¿Se han considerado todas las áreas en el enfoque de auditoría de TI al evaluar el riesgo y definir el universo de auditoría de TI?
4.    ¿Anualmente, la función de la auditoría interna realiza una evaluación efectiva del riesgo de TI?
5.    ¿Han participado en dicha evaluación especialistas en tecnologías de infraestructura, sistemas de aplicación y procesos de TI?
6.    ¿La evaluación de los riesgos tiene en cuenta la arquitectura tecnológica específica y la configuración empleada por la organización?
7.    ¿Cómo se cuantifican los riesgos de TI?
8.    ¿Se considera tanto la estimación de su impacto como la de la probabilidad de su ocurrencia?
9.    ¿Qué referencias del sector y “mejores prácticas” se utilizan para respaldar esas estimaciones?
10. ¿En el universo de auditoría de TI, se planifican auditorías para cada nivel del entorno de TI?
11. ¿Y de no ser así, por qué?
12. ¿Existen circunstancias especiales o es que el plan de auditoría no es el óptimo?
13. ¿Cómo se estiman los presupuestos de auditoría de TI?
14. ¿Se han recopilado suficientes datos para respaldar una estimación correcta? ¿Se ha tenido en cuenta la configuración específica de la tecnología?
15. ¿Cómo se definen los procedimientos de auditoría de TI?
16. ¿Se desarrollan internamente para el entorno específico de la organización, o se emplean cuestionarios disponibles en el mercado?
17. ¿Se han implementado estructuras de control y normas de TI dentro de la organización?
18. ¿Si es así, cuáles?
19. ¿En caso contrario, se han establecido internamente líneas de base para la seguridad y el control?
20. ¿Si no se ha hecho, el DEA ha recomendado su implementación como parte de la auditoría de dirección y gobierno de TI?
21. ¿Se emplean herramientas para acelerar las auditorías de TI (por ejemplo, aceleradores o facilitadores para la realización de pruebas)?
22. ¿Si la respuesta es negativa, por qué no?
23. ¿Si la respuesta es positiva, estas han sido probadas y aprobadas por la gestión de TI?
24. ¿Con qué tipo de personal cuenta el departamento de TI?
25. ¿Se emplean especialistas para las diversas tecnologías (por ejemplo, aplicaciones versus tecnologías de infraestructura)?
26. ¿Si la respuesta es negativa, por qué no?
27. ¿Cómo se revisan los papeles de trabajo de auditoría de TI en cuanto a su adecuación y calidad?
28. ¿Se ha establecido una estrategia de capacitación para los auditores de TI?
29. ¿Se consideran todos los niveles del entorno de TI?
30. ¿Se evalúan anualmente los temas emergentes y los riesgos para determinar su relevancia dentro de la organización?
31. ¿Cómo se identifican los temas emergentes dentro de la organización?
32. ¿La función de auditoría ha comparado la función de auditoría de TI con determinados patrones de referencia y mejores prácticas de la industria?
33. ¿Se ha empleado la encuesta GAIN u otro repositorio de datos para facilitar el proceso?
34. ¿Todas las auditorías de proceso contienen procedimientos que evalúan los parámetros de configuración de las aplicaciones que automatizan los procesos?
35. ¿Cómo se coordinan estos procesos entre los recursos de auditoría (procesos versus TI )?

¿Te ha gustado el post? ¡Compártelo con otro auditor interno!

No hay comentarios:

Publicar un comentario