¿Cómo realizar un proyecto de auditoría TI y cuál es el proceso de implementación de la auditoría TI?
En los últimos años, con la mejora continua de los sistemas de información empresarial, las empresas se han vuelto cada vez más dependientes de los sistemas de información y las auditorías de sistemas de información se han convertido en una parte indispensable del trabajo de auditoría. Hoy, Times Xinchao le hablará sobre el proceso de auditoría de sistemas de información.
1) Investigación
Este paso de auditoría se utiliza para registrar actividades relevantes bajo los objetivos de control, identificar los controles y procedimientos que la organización afirma haber implementado y confirmar su existencia.
Reunirse con gerentes y empleados relevantes para comprender:
Las necesidades comerciales y los riesgos asociados.
- Estructura organizativa.
-Roles y Responsabilidades.
-Políticas y Procedimientos.
-Leyes y reglamentos.
- Medidas de control.
Reportes de gestión (estado, desempeño, elementos de acción).
Documentar los recursos de TI relacionados con el proceso, especialmente aquellos afectados por el proceso de TI auditado. Confirme que comprende el proceso que se está auditando, sus indicadores clave de desempeño (KPI) y el estado real de los controles. Esta comprensión se puede lograr mediante, por ejemplo, procesos de verificación puntual.
2) Evaluar los controles
Este paso de auditoría se utiliza para evaluar la efectividad de los controles actuales o el grado en que se logran los objetivos de control. Implica principalmente decidir qué probar y si hacerlo. Prueba y cómo realizar la prueba.
Evaluar la idoneidad de los controles aplicables al proceso a auditar comparando los estándares establecidos con las mejores prácticas de la industria, los factores críticos de éxito (CSF) para los controles y utilizando el juicio profesional del auditor.
- Existen procesos documentados.
- Existe un resultado adecuado.
- Las responsabilidades son claras y efectivas.
- Existen controles compensatorios cuando sea necesario.
- Extraer conclusiones sobre el grado de consecución de los objetivos de control.
3) Evaluar el cumplimiento
Este paso de auditoría se utiliza para determinar si los controles establecidos están funcionando de manera consistente y de la manera especificada por la organización, y para comprender la idoneidad de el entorno de control. sacar conclusiones.
- Obtener evidencia directa o indirecta sobre proyectos y fases seleccionados, y utilizar evidencia directa e indirecta para garantizar que los proyectos y fases a auditar han estado cumpliendo con los requisitos de los procedimientos de control pertinentes.
- Realizar una auditoría limitada de la adecuación de los resultados del proceso.
- Determinar el alcance de las pruebas sustanciales y otros trabajos que deben realizarse para demostrar que el proceso de TI es un subproceso.
4) Identificar riesgos
Este paso de auditoría utiliza técnicas analíticas y recursos de consultoría opcionales para identificar los riesgos que surgen cuando no se logran los objetivos de control. El propósito es respaldar su juicio de auditoría e instar a los gerentes a tomar medidas. Los auditores deben ser creativos a la hora de encontrar y presentar información que a menudo es sensible y confidencial.
Documente las debilidades del control y las amenazas y vulnerabilidades que crean.
Identificar y documentar los impactos reales y potenciales, por ejemplo utilizando análisis de causa y efecto.
Aportar información comparativa. Por ejemplo, a través de una comparación de puntos de referencia.
En una era de rápida explosión de la información, realizar auditorías de los sistemas de información para garantizar la confiabilidad de la información en línea en tiempo real es propicio para el desarrollo de toda la economía de mercado. Lo anterior es el proceso de auditoría del sistema de información popularizado por la nueva tendencia de los tiempos. Para obtener más contenido interesante, continúe siguiéndonos.