Como auditor de TI en ejercicio, permítame brindarle una respuesta basada en la experiencia. Antes de explicar, quiero decir que Su enfoque es fundamentalmente defectuoso debido a la pregunta que hizo en el cuerpo de la pregunta.
Qué herramientas de software se requieren
Esta forma de pensar es errónea. El primer paso para realizar una auditoría profesional es planificar y recopilar información sobre el cliente. La información importante que desearía obtener incluye, pero no se limita a:
-
Objetivo de la auditoría: ¿qué procedimiento / proceso / criterios se están evaluando?
- ¿Cuál es el ámbito de la auditoría? ¿Qué cubrirá la auditoría?
- Cualquier cambio importante en el negocio desde la última auditoría realizada
- Cualquier hallazgo de estas auditorías pasadas, asumiendo que esta auditoría no es la primera
De lo anterior, un auditor realizaría una evaluación de riesgo con el objetivo final de establecer un nivel de riesgo total de auditoría. Para empezar, el auditor de TI obtiene un entendimiento del entorno de negocios / control para responder las siguientes preguntas, no exclusivo de acuerdo con el auditado.
- ¿Qué procesos existen actualmente y cómo funcionan?
- ¿Qué controles ha establecido la administración para garantizar que los procesos de TI funcionen para la empresa como la administración pretende?
- ¿Cuál es la "sintonía en la parte superior" con respecto al riesgo y el cumplimiento de las regulaciones legales / políticas corporativas?
Las técnicas que un auditor usaría en esta etapa incluyen el recorrido del proceso, la investigación de la administración y la observación. Al comprender el negocio y los controles actuales, los auditores cuantifican el riesgo total. Los componentes del riesgo total incluirían:
-
Riesgo inherente: probabilidad de error debido a la naturaleza inherente de
negocio
-
Riesgo de control: error / fraude debido a controles internos deficientes
-
Riesgo de detección: riesgo de que no se detecten errores / anomalías / fraude debido a las herramientas utilizadas en la auditoría para detectarlos.
Solo después de que se hayan completado todos los pasos anteriores, el auditor comenzará a pensar en las técnicas y herramientas específicas utilizadas para completar la auditoría. Dependiendo de la evaluación de riesgos inicial, algunas herramientas / técnicas pueden no ser necesarias o ser inapropiadas.
No es posible responder qué herramientas se usarán sin realizar el análisis descrito anteriormente sin romper due care o estándar de la planificación del compromiso dada por ISACA. 1
El auditor realiza la auditoría mediante la recopilación de evidencia a través de la inspección de la documentación, la investigación de la administración y la verificación independiente del trabajo realizado, el rendimiento. Se conserva meticulosamente la documentación de todas las pruebas realizadas y de los hallazgos / observaciones encontrados, que se utilizarán como base de la opinión de auditoría.
Después de completar la auditoría, el auditor se reúne con la administración de la compañía para verificar la comprensión de los resultados y planificar las pruebas de seguimiento de los hallazgos durante el próximo compromiso de auditoría.