Propuesta de un Manual de Auditoría de Tecnologías de Información. Caso Despacho

Abstract

El Despacho Carvajal, mediante su departamento de Auditoría de TI (Tecnologías de Información), brinda servicios a las organizaciones relacionadas con auditorías de TI internas y externas basados en la normativa nacional vigente y en marcos de referencia como COBIT 5 o la ISO 27001. Su ciclo de auditoría está alineado a estándares y normas como la ISO 19011 o el Programa de Evaluación de COBIT 5, no obstante, se identificó que el despacho no posee un documento formal dónde se expliquen las actividades del ciclo de auditoría además de la explicación de los procedimientos para realizar las pruebas de auditoría. Por lo cual este trabajo final de graduación consiste en el desarrollo del manual de auditoría de TI. Está basado en las mejores prácticas y alineado con el proceso de auditoría de la ISO 19011, contiene una parte introductoria dónde se ofrece la historia y servicios brindados por el despacho, los puestos organizacionales del departamento de TI, seguidamente se explica el proceso de auditoría de TI dónde se detallan los procedimientos se definen los atributos mínimos por evaluar para cada tema abarcado, se agrega una explicación de cada tema para facilitar su comprensión. Al finalizar el proceso de investigación realizado en el despacho, se concluye la falta de estandarización dentro de sus procedimientos abarcados en el ciclo de auditoría de TI, afectando la efectividad de los auditores de TI. Se recomienda al departamento de TI aplicar el manual propuesto en sus auditorías de TI, además de utilizarlo como material de capacitación para sus colaboradores para así obtener los beneficios establecidos en este documento.

The Carvajal Bureau, through its Information Technology Audit department, provides services to organizations related to internal and external IT audits based on current national regulations and frameworks such as COBIT 5 or ISO 27001. Its audit cycle is aligned with standards such as ISO 19011 or the COBIT 5 Evaluation Program, however, it was identified that the firm does not have a formal document explaining the activities of the IT audit cycle neither the explanation of the procedures to perform the audit tests. Therefore this final graduation work consists of the development of the IT audit manual, it is based on the best practices and is aligned with the ISO 19011 audit process, it contains an introductory part that explains the story of the firm and the services it provides, the organizational structure of the IT department, then the IT audit process is explained, where the procedures are defined, the minimum attributes to be evaluated for each topic covered, and an explanation of each topic is added to facilitate your understanding. At the end of the research process carried out in the firm, the lack of standardization within its procedures covered in the IT audit cycle is concluded, affecting the effectiveness of IT auditors. It is recommended that the IT department applies the proposed manual in their IT audits, in addition using it as a training material for their collaborators with the purpose to obtain the benefits established in this document.