AUDITORIA GENERAL PARA AUDITORES DE TI

A veces, parece haber una desconexión entre las profesiones de auditoría interna y auditoría de TI.
En términos de evaluación de riesgos, coordinación, integración de enfoques de auditoría, etc., allí
es una brecha inherente en los enfoques de cada profesión. Esta brecha es muy evidente y general
falta de comprensión de dónde encaja la auditoría de TI. El proceso general de auditoría es un
problema con la segregación de los enfoques de auditoría.

A medida que las empresas continúan luchando con la recesión, los auditores parecen estar en un
permanente dieta: los auditores están muy delgados. Como el campo evoluciona continuamente,
jefes ejecutivos de auditoría(CAE) continuarán buscando entrenamiento cruzado auditores:
aquellos que tienen la habilidad, entrenamiento y experiencia para realizar operaciones
financieras, operativas y auditorías de TI, posiblemente incluso simultáneamente. Además, la
industria parece estar tendiendo hacia TI integrada y con formación cruzada y general Equipos de
auditoría. Por lo tanto, todos los auditores de TI deben Comprender el proceso y poder aumentar
su contribución al enfoque general de auditoría.

Este artículo se centra en lo general (es decir, proceso de auditoría financiera, de controles y
operacional), dónde encaja la TI en este proceso y cómo llevarlo todos juntos.

El papel de la auditoria de TI

El papel principal del personal de auditoría interna de TI es evaluar de forma independiente y

objetiva los controles, la fiabilidad y la integridad del entorno de TI de la empresa. Estas
evaluaciones pueden ayudar a mantener o mejorar la eficiencia y efectividad del riesgo de TI de la
institución gerencia, controles internos y corporativos gobernancia. Los auditores internos deben
evaluar Planes, estrategias, políticas y procedimientos de TI para Asegurar una adecuada
supervisión de la gestión. Auditores debe hacer recomendaciones a la gerencia sobre
procedimientos que afectan los controles de TI.

AUDICION FINAL. OPERATIVA Y DE CUMPLIMIENTO

La auditoría de TI desempeña un papel integral en el ámbito financiero, auditoría operativa y de

cumplimiento; sin embargo, el propósito de cada enfoque es diferente, ya que explicado en las
siguientes secciones

Auditoría Financiera

Una auditoría financiera o, más exactamente, una auditoría de estados financieros, es una revisión
de unos estados financieros de la empresa que resultan en la publicación de una opinión
independiente sobre la relevancia, precisión, finalización y equidad (RACF) de la presentación de
los estados financieros. Auditoría interna no opinar sobre los resultados financieros de la
compañía, pero realiza pruebas sustantivas de saldos financieros para verificar RACF. A través de
auditorías sustantivas, los auditores reúnen evidencia de la finalización, validez y / o precisión de
los saldos de cuentas y clases de transacciones subyacentes. Confirmación de saldos en efectivo,
atestiguando (pasando delibro mayor a la factura / comprobante de compra) adiciones al libro
mayor de activos fijos y revisión del cumplimiento de los convenios de deuda son todos ejemplos
de pruebas sustantivas.
La auditoría de TI es una parte integral de esta auditoría, enfoque. El equipo de auditoría analiza,
revisa y prueba los sistemas; pasar las pruebas disminuye el riesgo asociado de la auditoría. Un
sistema confiable anima al auditor a sentirse confiado en sus procesos y procedimientos; los
números se vuelven más confiable.

Auditoria Operacional

La auditoría operativa es el proceso de revisión de un departamento u otra unidad de un negocio u

organización gubernamental o sin fines de lucro para medir la efectividad, eficiencia y economía
de operaciones. Es una evaluación de desempeño y conformidad de la gerencia con políticas y
presupuestos. En este enfoque, se analizan la empresa y sus operaciones, incluyendo evaluación
de estructura, controles, procedimientos y procesos. El objetivo es evaluar la efectividad y
eficiencia (E&E) de una división, una actividad o una operación de la entidad en el cumplimiento
de las metas organizacionales.

En el desafiante entorno económico actual, operacional la auditoría se está volviendo cada vez
más importante. ¿Por qué? La auditoría operativa, como se describe aquí, revisa un proceso para
E&E que puede ser un gran activo para una empresa, permitiendo auditoría para ser visto como un
generador de ingresos / reductor de costos en lugar que un costo general.

Al evaluar la E&E de un proceso, es importante revisar los sistemas de TI. Un sistema anticuado
puede significativamente afectar E&E. Además, el uso no optimizado del sistema obstaculiza la
eficiencia del proceso. Por ejemplo, si una empresa instala un nuevo sistema de administración de
costos, pero no se activa todas las mejoras de control del sistema, el proceso permanecerá manual
e ineficiente.

Auditoria de cumplimiento

Una auditoría de cumplimiento es una revisión exhaustiva de una adhesión de la organización a las
pautas regulatorias. Que es examinado en una auditoría de cumplimiento variará dependiendo de
si una empresa es una empresa pública o privada, qué tipo de datos que maneja, y si transmite o
almacena Datos financieros sensibles. Por ejemplo, US Sarbanes-OxleyLos requisitos de la ley
designan que la entidad debe utilizar una TI marco de control (p. ej., COBIT) como base para los
sistemas de TI y procesos. Proveedores de atención médica que almacenan o transmiten registros
electrónicos de salud (e-health), como salud personal información, están sujetos a la portabilidad
del seguro de salud de EE. UU. y Requisitos de la Ley de Responsabilidad (HIPAA). Servicios
financieros Las compañías que transmiten datos de tarjetas de crédito están sujetas a pago
Requisitos del estándar de seguridad de datos de la industria de tarjetas (PCI DSS).

La auditoría de TI desempeña un papel importante en la auditoría de cumplimiento. Como se

indicó anteriormente con la auditoría financiera y operativa, Los controles y procesos de TI son
parte del cumplimiento, y estos Las piezas se integran en el plan general de cumplimiento.
Auditoría de TI debe estar involucrado en todas las facetas de la auditoría de cumplimiento.
DIFERENCIAS EN APPROACH

Las principales diferencias entre financiera, operativa y las auditorías de cumplimiento son:

 El propósito de la auditoría.
 Inclusión de áreas no financieras.
 Costo / beneficio versus verificación.

Como se indicó anteriormente, el propósito de cada auditoría varía muy. La auditoría financiera
verifica que los números en los estados financieros se informan con precisión. Conformidad La
auditoría revisa el cumplimiento de las normas y reglamentos. Auditoría operativa revisa procesos
para E&E. En la mayoría casos, el cumplimiento y la auditoría operativa son más o menos el mismo
proceso, pero la auditoría operativa toma el siguiente paso y se centra en E&E. Auditorías
financieras, como su nombre, denota, centrarse en los resultados financieros de una empresa.
Sobre el Por otro lado, el cumplimiento y las auditorías operativas pueden enfocarse en números
ocultos y costos que podrían reducirse, una vez más demostrando un enfoque estricto en
adherencia, eficiencia, efectividad y mejora del proceso. En una palabra, las auditorías financieras
se centran en la verificación de los números reportados, Las auditorías operativas se centran en el
costo versus el beneficio y el cumplimiento Las auditorías se centran en el estricto cumplimiento
de las normas y reglamentos.

EVALUACION DEL RIESGO

La auditoría de evaluación de riesgos es la etapa en la planificación de la auditoría de procesos en

el que un auditor determina la probabilidad de riesgo de la auditoría. Esto, a su vez, se define
como la posibilidad de registrar una opinión inapropiada sobre una auditoría debido a una
representación errónea en los documentos examinados. Un riesgo de auditoria la evaluación es la
pieza inicial utilizada para gestionar la integridad de una auditoría y para determinar cuándo y
cómo deben realizarse las auditorías conducido y por quien.

El componente de TI es una parte integral de la evaluación. Ya sea una evaluación de TI por

separado o, más apropiadamente, Se debe completar una evaluación integrada. La cosa
componente puede conducir significativamente la evaluación general.

En términos de auditoría financiera, el sistema financiero clave la confiabilidad directamente, con

una relación inversa, afecta la cantidad de pruebas necesarias. Cuanto más confiable es un
sistema, se necesitan menos pruebas (tanto de TI como generales). Por el contrario, en sistemas
poco confiables, una cantidad significativamente mayor de pruebas es necesario. Si los controles
generales de TI para un sistema no son confiables, todos los controles deben ser probados de
manera sustancial. por ejemplo, si no se puede confiar en la seguridad de acceso, todo el acceso al
sistema debe ser probado durante todo el año.

TI desempeña un papel clave en la evaluación del riesgo tanto en la etapa de planificación del año
de auditoría y en cada auditoría. Con un sistema más confiable conlleva un menor riesgo inherente
en la auditoría. Además, durante el trabajo preliminar de una auditoría, TI contribuye a una
revisión más profunda y específica antes del trabajo de campo.
Trabajo Preliminar

Básicamente, el trabajo preliminar es todo lo que la auditoría el equipo lo hace para establecer la
base de la auditoría y prepararse para Un proceso de auditoría eficiente y efectivo. Trabajo
preliminar incluye los siguientes pasos:

1. Objetivos de la auditoría: determinar las razones para realizar la auditoría y los objetivos
específicos que la empresa pretende conocer.
2. Recopilación de conocimientos: recopile cualquier conocimiento relevante a la auditoría,
incluidos los archivos de auditoría del año anterior, las políticas y procedimientos,
narrativas e informes de auditoría emitidos.
3. Investigación autorizada: refiérase al conocimiento relevante sobre el tema de la
auditoría en general, incluyendo orientación de ISACA y el Instituto de Interno de
Auditores (El IIA), orientación de la industria y mejores prácticas en el área bajo revisión.
4. Entrevistas de gestión: realice entrevistas para obtener el alcance y ayudar a crear la
evaluación de riesgos para auditoría; Esta es una parte clave del trabajo preliminar.
5. Controles internos: identifique los controles internos actuales; esta es importante
establecer una línea de base de control para el área /división bajo revisión.
6. Recorridos: tome una muestra a través del proceso en revisar para determinar si el
proceso funciona como destinado a; los recorridos son esenciales para verificar los
controles y detalles del proceso.
7. Análisis de riesgo preliminar: desarrolle esto a través de todos los pasos mencionados
anteriormente; esto guía la auditoría en cuanto adonde los recursos deben centrarse.

A lo largo del trabajo preliminar, TI juega un papel integral en la evaluación del riesgo. Muchos
auditores separan general y auditorías de TI, una práctica que es difícil de comprender. del
proceso preliminar debe completarse simultáneamente para ambas auditorías, ya que los pasos
pueden superponerse significativamente. Sin importar el tipo de auditoría, todos los pasos del
trabajo preliminar son necesario para cada uno, ya sea por separado o como una auditoría
integrada enfoque. Excluyendo TI de una auditoría general o viceversa limitaría el conocimiento
dela auditoria y el proceso de auditoría y, en consecuencia, limitar la efectividad de la auditoria en
enfoque.

AUDITORIA DE CAMPO

Como se discutió anteriormente, la auditoría de TI y la auditoría general deben trabajar de la

mano entre sí para completar una eficiente auditoría efectiva. El área principal en la que esto
ocurrirá es durante el trabajo de campo de auditoría.

El trabajo de campo de auditoría es el proceso de realizar realmente la auditoría. Esto incluye:

• Solicitudes de documentos.
• Entrevistas adicionales y más en profundidad.
• Finalización de los pasos del programa de trabajo de auditoría (pruebas
• Documentación del trabajo de auditoría.
• Revisión del supervisor.
El trabajo de campo de auditoría es posiblemente el paso más importante del proceso de
auditoría. Este es el paso en el cual el trabajo real es completadas, se crean y apoyan conclusiones,
y él se completa la sustancia detrás del informe de auditoría.

Una vez más, el trabajo de campo para la auditoría general y la auditoría de TI debe completarse
simultáneamente porque hay superposición en las áreas y porque los problemas identificados
podrían afectar El enfoque de auditoría. En muchos casos, auditoría general y TI la auditoría no se
completa al mismo tiempo. Por ejemplo, si la seguridad en un sistema clave se prueba y se
considera ineficaz, Puede que sea necesario realizar procedimientos sustantivos para verificar que
no ocurrieron problemas o hallazgos significativos.

Conclusión

El mundo de la auditoría se está moviendo hacia un sistema más integrado enfoque de la auditoría
interna. La importancia de un enfoque integral de la auditoría y de los auditores convirtiéndose
más completo y aprender todas las facetas del proceso de auditoría seguirá siendo clave para el
crecimiento personal y departamental. Los auditores de TI deben continuar mejorando su
capacidad para realizar auditorías generales y financieras, operativas o auditorías de
cumplimiento. A medida que la industria continúa evolucionando, ella línea estricta entre las
especialidades de auditoría continuará disolviéndose porque separar cada enfoque de auditoría no
es eficiente ni efectivo Un enfoque de auditoría integrado ayudará a todos los tipos de los equipos
de auditoría ganan efectividad a medida que cada auditoría juega con el otro. En consecuencia,
todos los auditores deben continuar mejorando sus habilidades y salgan de sus zonas de confort.
Esta voluntad hacer mejores auditores y darles a estos profesionales experiencia para realizar
mejores auditorías