Auditoría Interna de TI ¿Fácil o difícil?
El proceso de auditoría interna nos indicará el nivel de cumplimiento (a perspectiva nuestra) en el que nos encontramos respecto a una norma o reglamentos establecidos de la organización, además de verificar si la documentación relacionada son implementados y sostenidos correctamente. Para ello se debe seguir un camino establecido en el Procedimiento para Auditoría Interna.
Programa anual
Toda auditoría interna sigue un plan anual de revisión de áreas periódicamente en el año guiadas a través de un alcance de auditoría. Esto permite a que las áreas destinadas a las auditorías programadas tengan preparadas las evidencias necesarias para el dictamen del auditor. Y algunos se preguntarán ¿Qué mejor no son las auditorías sorpresas?, en realidad sí las hay, también, pero al existir un plan anual, permite un mejor monitoreo de recursos a utilizar por parte del área de auditoría en el año, además el auditor tiene que ser una persona capaz de detectar si el orden y cumplimiento de la norma a auditar ha sido llevada a última hora por cumplir, o si en realidad la norma se encuentra en las venas de la organización.
Informe de auditoría
Un informe de auditoría interna necesita una redacción eficaz para expresar el seguimiento que se ha aplicado, las recomendaciones de mejora a aplicar, y obviamente las No-conformidades halladas. Estas últimas determinarán el porcentaje de cumplimiento de la norma. En base a este informe Gerencia o la Alta Dirección deberá tomar las decisiones correspondientes para un plan de ejecución futura que permita obtener un estado óptimo de cumplimiento respecto a la norma auditada.
Listas de apoyo
Las listas de apoyo o checklists nos servirán de guía para estudiar a la organización y tener una idea holística del nivel de cumplimiento que presenta sobre la norma a auditar. Esta lista de apoyo es elaborado a medida en cada organización según la norma a auditar, por ejemplo, preguntas típicas para auditar una ISO 27001 podrían ser: ¿La organización determinó las partes interesadas? ¿Existe la Política de seguridad de la información con objetivos o marco para establecer los objetivos? ¿Se comunica la Política de seguridad de la información dentro de la empresa?, entre otras. Cada una de estas preguntas deben ser respondidas con un SI o con un NO, y en ambos casos debe figurar la evidencia correspondiente.
Consejo audit
Las auditorías internas generan un alto valor para la empresa, pero no olvidemos que esto está sujeto a una perspectiva interna, siempre se necesitará una perspectiva externa no relacionada con la organización. Sin embargo si consideramos una perspectiva interna con profesionalismo que nos permita simular una auditoría externa, debemos tener claro los objetivos de la auditoría interna, su planificación, designación de auditores internos y la realización de las mismas. En audit nos enfocamos en cada una de las fases de las auditorías en normas relacionadas con las tecnologías de la información.