Realizar un procedimiento profesional de auditoría de TI

Esta es una pregunta mucho más grande de lo que creo que se da cuenta. Para empezar, las principales firmas de auditoría de TI tienen una gran cantidad de propiedad intelectual en esta área, por lo que si bien puede encontrar documentación de alto nivel, puede tiene problemas para encontrar documentos detallados completos.

Desde mi tiempo en una firma de auditoría Big-4, probablemente vi más de 300 planes de trabajo para la auditoría de tecnologías específicas, y contribuí a quizás 50 de ellos. La inversión de tiempo es bastante alta.

Al decir eso, definitivamente sugeriría que se una a ISACA (la Asociación de Control y Auditoría de Sistemas de Información) , que es el órgano definitivo para esta industria Una gran cantidad de información está disponible a través de ISACA, incluyendo CobIT y guía de auditoría.

(divulgación: uno de mis roles es Presidente del capítulo escocés de ISACA)

La respuesta tradicional a su pregunta es: conseguir un trabajo en una firma de auditoría. Será una posición menor, pero así es como aprendes el oficio. Obtendrá acceso al tipo de planes de trabajo que mencionó Rory, pero lo que es más importante, obtendrá experiencia al aplicarlos a situaciones reales de auditoría.

Me he reunido con buenos auditores y con malos auditores, y una buena auditoría es más que tener el software, revistas o plantillas correctos. No sé en qué se encuentran tus maestros, pero es probable que no te haya preparado para estar en el terreno en una auditoría. Estar frente a los clientes, hacer preguntas y desenterrar las respuestas que ni siquiera saben que tienen a veces. (No menciona su experiencia laboral, que puede ser relevante para todo lo que sé).

Sólo mi .02c. Buena suerte!

Puede consultar el sitio PTES - Penetration Testing Execution Standard - enlace

Se está completando lentamente pero tiene mucha información muy útil.

También puede consultar el Manual de Metodología de Pruebas de Seguridad de Código Abierto - enlace

Como auditor de TI en ejercicio, permítame brindarle una respuesta basada en la experiencia. Antes de explicar, quiero decir que Su enfoque es fundamentalmente defectuoso debido a la pregunta que hizo en el cuerpo de la pregunta.

  

Qué herramientas de software se requieren

Esta forma de pensar es errónea. El primer paso para realizar una auditoría profesional es planificar y recopilar información sobre el cliente. La información importante que desearía obtener incluye, pero no se limita a:

1. Objetivo de la auditoría: ¿qué procedimiento / proceso / criterios se están evaluando?
2. ¿Cuál es el ámbito de la auditoría? ¿Qué cubrirá la auditoría?
3. Cualquier cambio importante en el negocio desde la última auditoría realizada
4. Cualquier hallazgo de estas auditorías pasadas, asumiendo que esta auditoría no es la primera

De lo anterior, un auditor realizaría una evaluación de riesgo con el objetivo final de establecer un nivel de riesgo total de auditoría. Para empezar, el auditor de TI obtiene un entendimiento del entorno de negocios / control para responder las siguientes preguntas, no exclusivo de acuerdo con el auditado.

1. ¿Qué procesos existen actualmente y cómo funcionan?
2. ¿Qué controles ha establecido la administración para garantizar que los procesos de TI funcionen para la empresa como la administración pretende?
3. ¿Cuál es la "sintonía en la parte superior" con respecto al riesgo y el cumplimiento de las regulaciones legales / políticas corporativas?

Las técnicas que un auditor usaría en esta etapa incluyen el recorrido del proceso, la investigación de la administración y la observación. Al comprender el negocio y los controles actuales, los auditores cuantifican el riesgo total. Los componentes del riesgo total incluirían:

• Riesgo inherente: probabilidad de error debido a la naturaleza inherente de negocio

• Riesgo de control: error / fraude debido a controles internos deficientes

• Riesgo de detección: riesgo de que no se detecten errores / anomalías / fraude debido a las herramientas utilizadas en la auditoría para detectarlos.

Solo después de que se hayan completado todos los pasos anteriores, el auditor comenzará a pensar en las técnicas y herramientas específicas utilizadas para completar la auditoría. Dependiendo de la evaluación de riesgos inicial, algunas herramientas / técnicas pueden no ser necesarias o ser inapropiadas.

No es posible responder qué herramientas se usarán sin realizar el análisis descrito anteriormente sin romper due care o estándar de la planificación del compromiso dada por ISACA. 1

El auditor realiza la auditoría mediante la recopilación de evidencia a través de la inspección de la documentación, la investigación de la administración y la verificación independiente del trabajo realizado, el rendimiento. Se conserva meticulosamente la documentación de todas las pruebas realizadas y de los hallazgos / observaciones encontrados, que se utilizarán como base de la opinión de auditoría.

Después de completar la auditoría, el auditor se reúne con la administración de la compañía para verificar la comprensión de los resultados y planificar las pruebas de seguimiento de los hallazgos durante el próximo compromiso de auditoría.