¿Estamos obligados a proporcionar un registro completo en caso de que los auditores lo soliciten?

5

Tenemos un sistema que genera y rota los registros diariamente.

Si un auditor nos solicita que proporcionemos registros de una fecha en particular para una tarea en particular, ¿estamos obligados a proporcionar un registro completo de un día completo? ¿O podemos proporcionar, digamos un registro omitido o una captura de pantalla de la parte del registro que muestra solo una parte de la tarea en particular? ¿El auditor cuestionaría la integridad de la captura de pantalla parcial / omitida / de los registros?

Mi respuesta personal es que no estoy de acuerdo en proporcionar un registro completo de un día, ya que estos registros pueden contener otra información confidencial o confidencial que pueda estar fuera del alcance de la auditoría.

    
pregunta Alex J 20.02.2013 - 03:23
fuente

2 respuestas

3

Esto depende del tipo de auditoría y el contrato entre su empresa y la empresa de auditoría. Además, las leyes de privacidad, los acuerdos relativos a los datos relacionados con la privacidad y las NDA pueden desempeñar un papel importante a la hora de juzgar la solicitud.

Como consejo práctico: pregunte a su departamento legal, ya que esta no es una pregunta arraigada en TI sino en leyes y contratos. Trate de explicar sus inquietudes de manera comprensible para los abogados con poca experiencia en TI.

Puede intentar proporcionar un registro simplificado como respuesta inicial y pedirle al auditor que aclare si se necesitan datos adicionales y por qué. Pero si este enfoque es una buena idea o no, depende de la situación.

    
respondido por el Hendrik Brummermann 20.02.2013 - 21:37
fuente
0

Yo mismo soy un auditor de TI. Cuando realizo una auditoría, evalúo la suficiencia de la evidencia basada en el riesgo. El riesgo de la auditoría, el riesgo de que no se encuentre una representación errónea de importancia relativa o un incumplimiento de las reglas / políticas, se evalúa en función de sus componentes -

  • Riesgo inherente: proceso subyacente de riesgo bajo auditoría
  • Riesgo de control: riesgo de que los controles internos defectuosos no eviten o detecten una declaración errónea / fraude / incumplimiento de las políticas
  • Riesgo de detección: riesgo de que las técnicas utilizadas por los auditores sean inadecuadas o inadecuadas para evaluar completamente el riesgo en el proceso que se audita.

El riesgo inherente y el riesgo de control están directamente correlacionados con la cantidad de evidencia requerida para satisfacer el criterio del auditor de que la aplicación bajo auditoría está operando de manera efectiva, segura y protegiendo la confidencialidad de los datos confidenciales.

Las solicitudes de los auditores no son arbitrarias, sino que se basan en la evidencia y en el grado de riesgo, por lo que ... -

Solo debe proporcionar lo que el auditor solicita: evidencia suficiente para evaluar un hecho en particular.

    
respondido por el Anthony 19.05.2016 - 02:46
fuente

Lea otras preguntas en las etiquetas