Auditoría de TI (auditoría de tecnología de la información)

Auditoría de TI (auditoría de tecnología de la información)

Una auditoría de TI es el examen y la evaluación de la infraestructura , las políticas y las operaciones de tecnología de la información de una organización .

Las auditorías de tecnología de la información determinan si los controles de TI protegen los activos corporativos, aseguran la integridad de los datos y están alineados con los objetivos generales de la empresa. Los auditores de TI examinan no solo los controles de seguridad física, sino también los controles comerciales y financieros generales que involucran sistemas de tecnología de la información.

 Debido a que las operaciones en las empresas modernas están cada vez más informatizadas, las auditorías de TI se utilizan para garantizar que los controles y procesos relacionados con la información funcionen correctamente. Los objetivos principales de una auditoría de TI incluyen:

Evaluar los sistemas y procesos establecidos que aseguran los datos de la empresa.

Determine los riesgos para los activos de información de una empresa y ayude a identificar métodos para minimizar esos riesgos.

Asegúrese de que los procesos de gestión de la información cumplan con las leyes, políticas y estándares específicos de TI .

Determinar las ineficiencias en los sistemas de TI y la gestión asociada.

Preparación para auditores: listas de verificación para antes, durante y después de una auditoría de TI

Control y auditoría, segunda edición, el autor Frederick Gallegos ofrece listas de verificación de gerentes de TI para ayudar en la preparación de una auditoría de TI.

Control y Auditoría de Tecnología de la Información

"Si lo construyes, vendrán" ha sido una frase familiar utilizada en referencia a la venida del auditor. Un gerente de TI tiene derecho a recibir una auditoría de calidad. Sin embargo, los gerentes pueden hacer mucho para asegurarse de que reciban dicha revisión haciendo tales preguntas y haciendo los preparativos que se detallan a continuación.

Lista de verificación previa a la auditoría:

¿Quiénes son los miembros del equipo de auditoría y cuáles son sus roles y tareas?

¿Cuáles son las credenciales y la experiencia del equipo de auditoría asignado?

¿Qué orientación o capacitación puede brindarles para que se sientan cómodos dentro del medio ambiente?

Comuníquese con sus gerentes y personal en las áreas a auditar.

Si un área fue auditada anteriormente, revise el informe anterior para ver los problemas planteados y recomendados realizados. Obtenga una actualización de las correcciones o cambios realizados como resultado del trabajo de auditoría anterior y otorgue crédito a su personal y al departamento de auditoría.

Lista de verificación de auditoría:

Propósito de la auditoría?

Alcance y objetivos?

¿A quién se asigna el personal de auditoría? (Solicite que se le notifique si se cambia de personal).

¿Plazo para el trabajo a realizar?

Se necesita el uso de tiempo de computadora / acceso al sistema / registros / capacitación.

¿Acceso a la gestión y al personal de TI?

Comunicar (1) y (2) a todo el personal de TI afectado.

Establezca reuniones semanales o quincenales con el gerente de auditoría / equipo de auditoría para discutir el progreso y los problemas de la auditoría.

Antes de finalizar la auditoría, solicite una conferencia de cierre del grupo de auditoría.

Solicite una copia del informe de auditoría.

Lista de verificación posterior a la auditoría:

Cuando se emite el informe de auditoría, reúna a su equipo y discuta el informe; Si sigue los pasos anteriores no debería haber sorpresas. Si los hay, hubo una falla de comunicación en alguna parte.

Si no está de acuerdo con el informe o partes del informe, hágalo por escrito con evidencia de respaldo. Recuerde, el auditor tiene evidencia de apoyo para sus informes, y esto existe en sus documentos de trabajo. Para aquellas áreas que esté de acuerdo, indique qué acciones correctivas planea tomar su equipo.

...