Para auditores externos independientes, ignore la siguiente información debido al requisito de independencia profesional
Trabajo como auditor de TI. Las respuestas anteriores ilustran que el deber principal de uno de un auditor de TI es la verificación del cumplimiento de los procesos de TI según lo establecido por la administración de la empresa. Sin embargo, otro deber de un auditor de TI (tradicional pero puede diferir entre compañías), es la evaluación de riesgos de TI.
En este sentido, el auditor de TI sirve como asesor de gestión. En lugar de decirle a la gerencia cuáles son las deficiencias de TI, él / ella ayuda a la gerencia a responder ¿cuáles son los riesgos planteados para la empresa, ya que esos riesgos se relacionan con la TI? también puede ayudar a explicar algunas de las medidas de seguridad (controles) que deberían estar implementados para mitigar esos riesgos.
Al alejarse de un enfoque "centrado en el cumplimiento" para la auditoría de TI, las deficiencias de cumplimiento a menudo se deben a un problema mayor, como un tono laxo en la parte superior o procesos de TI inadecuadamente diseñados . Si bien en mi trabajo, prefiero ver el cumplimiento de las leyes, regulaciones y políticas de la empresa aplicables, mi trabajo a menudo va más allá de simplemente "marcar la casilla" si algo está en cumplimiento. Intento pensarme como más que solo hacer cumplir las reglas establecido por la gerencia. Los auditores de TI y otros profesionales de la seguridad de la información a menudo no son vistos como un "valor agregado" para la administración de las empresas, debido a que están vinculados solo para señalar lo que está mal. Agregar valor mediante una lluvia de ideas en las soluciones también se puede ver como un rol de un auditor de TI.