Basado en el artículo “Top Ten Tips for Auditors” de David Hoelzer (originalmente
en Inglés), este experto del The SANS (SysAdmin, Audit, Network, Security)
Institute, nos propone el siguiente Top Ten, con consejos pensados tanto
para el Auditor de TI novato como para el más experimentado.
1. Auditar no se trata de confianza o la falta de
ella. Si usted no confía en sus empleados, entonces no está auditando sino
investigando. Si la Gerencia tiene argumentos para no confíar en los
empleados, entonces los trabajadores deberían ser probablemente
reemplazados. Con falta de confianza será difícil liderar la organización
hacia el éxito.
2. El papel principal de un auditor es medir e
informar sobre el riesgo para los objetivos empresariales y de negocios. Si un
auditor pierde de vista su verdadero papel puede conducir a hallazgos
distorsionados. Gerentes y Auditores siempre deben mantener su foco en el
Negocio.
3. Un objetivo secundario de reducir el
riesgo es aumentar la concientización de la Gerencia, como mínimo. Con
mayor poder viene mayor responsabilidad. La Gerencia nos pide que les
digamos cómo la empresa está operando. Si no somos capaces de informarles de
una manera eficaz, entonces fracasamos en nuestra responsabilidad para la
empresa.
4. Nunca intentar ir al “golpe por golpe” con el
administrador del sistema sobre cuestiones técnicas. Hay una razón para
evitarlo: él es el Administrador y usted es el Auditor.
5. Auditar no se trata de atrapar personas
haciendo las cosas mal. De hecho, una de las mejores sensaciones como auditor
debería ser incluir comentarios sobre algunas de las cosas que se están
haciendo muy bien en una empresa.
6. Comunicación es la habilidad más importante para
un auditor, ya que muchas veces nos limitamos a traducir las cosas que la
Gerencia ya ha escuchado pero en las palabras justos para que ellos entiendan.
En efecto, como auditor de TI al trabajar con personal técnico, el puede forjar
relaciones al adoptar recomendaciones del propio personal para nuestro informe
de auditoría.
7. Siempre presentar recomendaciones en el marco de
la moneda de la organización. Si la empresa se preocupa más por el dinero,
tratar de cuantificar de eso modo los riesgos. No dé por sentado, sin embargo,
que el dinero es el factor más importante de motivación para la Gerencia.
8. Intentar encontrar todo es a menudo un error.
Trabajar con un alcance demasiado grande puede conducir a un informe que lleve
a la desesperación más que a aumentar la seguridad.
9. Nunca hacer promesas. A veces, sus
auditores descubren individuos verdaderamente talentosos que parecen estar
subestimados dentro de la organización. Mientras la recomendación personal no
es mala, la promesa de que le diremos a la Gerencia de lo maravilloso que es el
empleado puede llevar a la insatisfacción y rotación.
10. Nunca lo tome como algo personal. A pesar
de todos los esfuerzo, los auditores a veces se enfrentan a personas que no
pueden separar los asuntos de negocios de los asuntos personales. Lo que es
peor, a veces, los auditores tendrán que convertirse en el árbitro entre las
unidades de negocio o incluso individuos. Nunca dejes que te afecte
personalmente. Recuerda, son solo negocios.
Fuente y texto original en inglés: http://it-audit.sans.org/blog/2010/04/30/top-ten-tips-auditors/
0 comentarios:
Publicar un comentario