Cómo realizar una auditoría del sistema de información

Primero, ¿investigación? Este paso de auditoría se utiliza para documentar las actividades relevantes bajo los objetivos de control, identificar los controles y procedimientos que la organización afirma tener implementados y confirmar su existencia. ?

Reunirse con gerentes y empleados relevantes para comprender:

Riesgos asociados con las buenas necesidades comerciales

Estructura organizacional

Roles y responsabilidades; ;

Políticas y procedimientos;

Leyes y regulaciones;

Controles existentes;

Informes de gestión (estado, desempeño, elementos de acción) . ?

Documentar los recursos de TI relacionados con el proceso, especialmente aquellos afectados por el proceso de TI auditado. Confirme la comprensión del proceso de auditoría, los indicadores clave de rendimiento (KPI) del proceso y el estado de control real. Por ejemplo, puede comprender el proceso mediante controles aleatorios. ?

2. ¿Control de evaluación? Este paso de revisión se utiliza para evaluar la efectividad de los controles existentes o el grado en que se logran los objetivos de control, principalmente para decidir qué probar, si probarlo y cómo probarlo. ?

Evaluar la idoneidad de los controles aplicados en el proceso a auditar comparando los estándares establecidos con las mejores prácticas de la industria, los factores críticos de éxito (CSF) del enfoque de control y el juicio profesional del auditor.

Contar con procesos documentados.

Tener resultados adecuados

Las responsabilidades son claras y efectivas.

El control de compensación está disponible cuando sea necesario.

Extraer conclusiones sobre en qué medida se alcanzan los objetivos de control. ?

En tercer lugar, ¿evaluar el cumplimiento? Este paso de revisión se utiliza para garantizar que los controles establecidos continúen funcionando de manera consistente de la manera especificada por la organización y para sacar conclusiones sobre la idoneidad del entorno de control. Obtener evidencia directa o indirecta de proyectos y fases seleccionados y utilizar evidencia directa e indirecta para garantizar que los proyectos y fases que se auditan cumplan consistentemente con los requisitos de los procedimientos de control relevantes. ?

Realizar una revisión limitada de la idoneidad de los resultados del proceso. ?

Determine el alcance de las pruebas sustanciales y otros trabajos que deben realizarse para demostrar que los procesos de TI están desacoplados. ?

4. ¿Confirmar riesgos? Este paso de auditoría identifica riesgos cuando los objetivos de control no se logran mediante el uso de técnicas analíticas y recursos de consultoría opcionales. El objetivo es respaldar su juicio de auditoría e instar a los gerentes a tomar medidas. Los auditores deben ser creativos al encontrar y presentar información que a menudo es sensible y confidencial. ?

Documentar las debilidades del control y las amenazas y vulnerabilidades resultantes. ?

Identificar y documentar los impactos reales y potenciales, por ejemplo, utilizando métodos de análisis causal. Proporcionar información comparativa. Por ejemplo, a través del benchmarking.