Documentos de Académico
Documentos de Profesional
Documentos de Cultura
A veces, parece haber una desconexión entre las profesiones de auditoría interna y auditoría de TI.
En términos de evaluación de riesgos, coordinación, integración de enfoques de auditoría, etc., allí
es una brecha inherente en los enfoques de cada profesión. Esta brecha es muy evidente y general
falta de comprensión de dónde encaja la auditoría de TI. El proceso general de auditoría es un
problema con la segregación de los enfoques de auditoría.
A medida que las empresas continúan luchando con la recesión, los auditores parecen estar en un
permanente dieta: los auditores están muy delgados. Como el campo evoluciona continuamente,
jefes ejecutivos de auditoría(CAE) continuarán buscando entrenamiento cruzado auditores:
aquellos que tienen la habilidad, entrenamiento y experiencia para realizar operaciones
financieras, operativas y auditorías de TI, posiblemente incluso simultáneamente. Además, la
industria parece estar tendiendo hacia TI integrada y con formación cruzada y general Equipos de
auditoría. Por lo tanto, todos los auditores de TI deben Comprender el proceso y poder aumentar
su contribución al enfoque general de auditoría.
Este artículo se centra en lo general (es decir, proceso de auditoría financiera, de controles y
operacional), dónde encaja la TI en este proceso y cómo llevarlo todos juntos.
El papel de la auditoria de TI
Auditoría Financiera
Una auditoría financiera o, más exactamente, una auditoría de estados financieros, es una revisión
de unos estados financieros de la empresa que resultan en la publicación de una opinión
independiente sobre la relevancia, precisión, finalización y equidad (RACF) de la presentación de
los estados financieros. Auditoría interna no opinar sobre los resultados financieros de la
compañía, pero realiza pruebas sustantivas de saldos financieros para verificar RACF. A través de
auditorías sustantivas, los auditores reúnen evidencia de la finalización, validez y / o precisión de
los saldos de cuentas y clases de transacciones subyacentes. Confirmación de saldos en efectivo,
atestiguando (pasando delibro mayor a la factura / comprobante de compra) adiciones al libro
mayor de activos fijos y revisión del cumplimiento de los convenios de deuda son todos ejemplos
de pruebas sustantivas.
La auditoría de TI es una parte integral de esta auditoría, enfoque. El equipo de auditoría analiza,
revisa y prueba los sistemas; pasar las pruebas disminuye el riesgo asociado de la auditoría. Un
sistema confiable anima al auditor a sentirse confiado en sus procesos y procedimientos; los
números se vuelven más confiable.
Auditoria Operacional
En el desafiante entorno económico actual, operacional la auditoría se está volviendo cada vez
más importante. ¿Por qué? La auditoría operativa, como se describe aquí, revisa un proceso para
E&E que puede ser un gran activo para una empresa, permitiendo auditoría para ser visto como un
generador de ingresos / reductor de costos en lugar que un costo general.
Al evaluar la E&E de un proceso, es importante revisar los sistemas de TI. Un sistema anticuado
puede significativamente afectar E&E. Además, el uso no optimizado del sistema obstaculiza la
eficiencia del proceso. Por ejemplo, si una empresa instala un nuevo sistema de administración de
costos, pero no se activa todas las mejoras de control del sistema, el proceso permanecerá manual
e ineficiente.
Auditoria de cumplimiento
Una auditoría de cumplimiento es una revisión exhaustiva de una adhesión de la organización a las
pautas regulatorias. Que es examinado en una auditoría de cumplimiento variará dependiendo de
si una empresa es una empresa pública o privada, qué tipo de datos que maneja, y si transmite o
almacena Datos financieros sensibles. Por ejemplo, US Sarbanes-OxleyLos requisitos de la ley
designan que la entidad debe utilizar una TI marco de control (p. ej., COBIT) como base para los
sistemas de TI y procesos. Proveedores de atención médica que almacenan o transmiten registros
electrónicos de salud (e-health), como salud personal información, están sujetos a la portabilidad
del seguro de salud de EE. UU. y Requisitos de la Ley de Responsabilidad (HIPAA). Servicios
financieros Las compañías que transmiten datos de tarjetas de crédito están sujetas a pago
Requisitos del estándar de seguridad de datos de la industria de tarjetas (PCI DSS).
Las principales diferencias entre financiera, operativa y las auditorías de cumplimiento son:
El propósito de la auditoría.
Inclusión de áreas no financieras.
Costo / beneficio versus verificación.
Como se indicó anteriormente, el propósito de cada auditoría varía muy. La auditoría financiera
verifica que los números en los estados financieros se informan con precisión. Conformidad La
auditoría revisa el cumplimiento de las normas y reglamentos. Auditoría operativa revisa procesos
para E&E. En la mayoría casos, el cumplimiento y la auditoría operativa son más o menos el mismo
proceso, pero la auditoría operativa toma el siguiente paso y se centra en E&E. Auditorías
financieras, como su nombre, denota, centrarse en los resultados financieros de una empresa.
Sobre el Por otro lado, el cumplimiento y las auditorías operativas pueden enfocarse en números
ocultos y costos que podrían reducirse, una vez más demostrando un enfoque estricto en
adherencia, eficiencia, efectividad y mejora del proceso. En una palabra, las auditorías financieras
se centran en la verificación de los números reportados, Las auditorías operativas se centran en el
costo versus el beneficio y el cumplimiento Las auditorías se centran en el estricto cumplimiento
de las normas y reglamentos.
TI desempeña un papel clave en la evaluación del riesgo tanto en la etapa de planificación del año
de auditoría y en cada auditoría. Con un sistema más confiable conlleva un menor riesgo inherente
en la auditoría. Además, durante el trabajo preliminar de una auditoría, TI contribuye a una
revisión más profunda y específica antes del trabajo de campo.
Trabajo Preliminar
Básicamente, el trabajo preliminar es todo lo que la auditoría el equipo lo hace para establecer la
base de la auditoría y prepararse para Un proceso de auditoría eficiente y efectivo. Trabajo
preliminar incluye los siguientes pasos:
1. Objetivos de la auditoría: determinar las razones para realizar la auditoría y los objetivos
específicos que la empresa pretende conocer.
2. Recopilación de conocimientos: recopile cualquier conocimiento relevante a la auditoría,
incluidos los archivos de auditoría del año anterior, las políticas y procedimientos,
narrativas e informes de auditoría emitidos.
3. Investigación autorizada: refiérase al conocimiento relevante sobre el tema de la
auditoría en general, incluyendo orientación de ISACA y el Instituto de Interno de
Auditores (El IIA), orientación de la industria y mejores prácticas en el área bajo revisión.
4. Entrevistas de gestión: realice entrevistas para obtener el alcance y ayudar a crear la
evaluación de riesgos para auditoría; Esta es una parte clave del trabajo preliminar.
5. Controles internos: identifique los controles internos actuales; esta es importante
establecer una línea de base de control para el área /división bajo revisión.
6. Recorridos: tome una muestra a través del proceso en revisar para determinar si el
proceso funciona como destinado a; los recorridos son esenciales para verificar los
controles y detalles del proceso.
7. Análisis de riesgo preliminar: desarrolle esto a través de todos los pasos mencionados
anteriormente; esto guía la auditoría en cuanto adonde los recursos deben centrarse.
A lo largo del trabajo preliminar, TI juega un papel integral en la evaluación del riesgo. Muchos
auditores separan general y auditorías de TI, una práctica que es difícil de comprender. del
proceso preliminar debe completarse simultáneamente para ambas auditorías, ya que los pasos
pueden superponerse significativamente. Sin importar el tipo de auditoría, todos los pasos del
trabajo preliminar son necesario para cada uno, ya sea por separado o como una auditoría
integrada enfoque. Excluyendo TI de una auditoría general o viceversa limitaría el conocimiento
dela auditoria y el proceso de auditoría y, en consecuencia, limitar la efectividad de la auditoria en
enfoque.
AUDITORIA DE CAMPO
• Solicitudes de documentos.
• Entrevistas adicionales y más en profundidad.
• Finalización de los pasos del programa de trabajo de auditoría (pruebas
• Documentación del trabajo de auditoría.
• Revisión del supervisor.
El trabajo de campo de auditoría es posiblemente el paso más importante del proceso de
auditoría. Este es el paso en el cual el trabajo real es completadas, se crean y apoyan conclusiones,
y él se completa la sustancia detrás del informe de auditoría.
Una vez más, el trabajo de campo para la auditoría general y la auditoría de TI debe completarse
simultáneamente porque hay superposición en las áreas y porque los problemas identificados
podrían afectar El enfoque de auditoría. En muchos casos, auditoría general y TI la auditoría no se
completa al mismo tiempo. Por ejemplo, si la seguridad en un sistema clave se prueba y se
considera ineficaz, Puede que sea necesario realizar procedimientos sustantivos para verificar que
no ocurrieron problemas o hallazgos significativos.
Conclusión
El mundo de la auditoría se está moviendo hacia un sistema más integrado enfoque de la auditoría
interna. La importancia de un enfoque integral de la auditoría y de los auditores convirtiéndose
más completo y aprender todas las facetas del proceso de auditoría seguirá siendo clave para el
crecimiento personal y departamental. Los auditores de TI deben continuar mejorando su
capacidad para realizar auditorías generales y financieras, operativas o auditorías de
cumplimiento. A medida que la industria continúa evolucionando, ella línea estricta entre las
especialidades de auditoría continuará disolviéndose porque separar cada enfoque de auditoría no
es eficiente ni efectivo Un enfoque de auditoría integrado ayudará a todos los tipos de los equipos
de auditoría ganan efectividad a medida que cada auditoría juega con el otro. En consecuencia,
todos los auditores deben continuar mejorando sus habilidades y salgan de sus zonas de confort.
Esta voluntad hacer mejores auditores y darles a estos profesionales experiencia para realizar
mejores auditorías