Auditoria Informática Unidad III Proceso de Redacción del pre informe e Informe de Auditoría Computacional Planificación de una Auditoría Computacional Como los riesgos están presentes en todas las actividades de negocios de una organización, incluyendo sus estrategias, procesos, productos, funciones y estructura, así como también en el entorno en que se encuentran inserta (ejemplo: los competidores en el mercado), se hace necesario desarrollar un proceso de Planificación de Auditorías con un enfoque de riesgo, como así contar con una metodología de evaluación acorde para el desarrollo de las mismas, para asegurar su contribución al desarrollo de una empresa segura y confiable, proveyendo un servicio destacado por sus altos estándares de calidad.

Auditoria Informática Unidad III Proceso de Redacción del pre informe e Informe de Auditoría Computacional Planificación de una Auditoría Computacional Etapa I Etapa II Etapa III Planificación Individual del Trabajo Ejecución Comunicación de los Resultados Planificación Anual de Auditorías Ejecución de Auditorías Seguimiento de Compromisos

Auditoria Informática Unidad III Ejecución de Auditorías Etapa I: Planificación individual del trabajo. Consiste en revisar, confirmar, modificar o establecer los objetivos, recursos, operaciones y riesgos inherentes que provienen del Proceso de Planificación o Plan Anual de Auditoría. En el desarrollo de esta etapa se realiza la investigación preliminar, donde se concluye en forma detallada y precisa los objetivos, el alcance y los recursos necesarios. Esta etapa finaliza con la emisión del Memorando de Planificación, que permite focalizar el trabajo en su etapa de Ejecución.

Auditoria Informática Unidad III Ejecución de Auditorías Etapa II: Ejecución del trabajo. Esta etapa consiste en la estructuración de un proceso uniforme para el desarrollo de las auditorías, en el cual las actividades están principalmente enfocadas a identificar riesgos de TI y evaluar la calidad de los controles para la gestión de los riesgos. Las alternativas de solución que puede adoptar el Administrador, son reconocidas como controles/monitoreo, las cuales pueden circunscribirse a: evitar, reducir, compartir o aceptar los riesgos. Las actividades de control y/o monitoreo, adecuadamente diseñadas, son probadas, obteniéndose conclusiones y hallazgos de auditoría.

Auditoria Informática Unidad III Ejecución de Auditorías Etapa III: Comunicación de los resultados. Esta etapa tiene por objetivo efectuar el cierre del proceso de auditoría, confeccionando el informe de auditoría a partir de los resultados y conclusiones obtenidas en las evaluaciones y pruebas desarrolladas en la etapa anterior e incorporando los planes de acción de los responsables. Es importante destacar que una auditoría puede dar origen a investigaciones especiales o auditorías específicas.

Auditoria Informática Unidad III Planificación de una Auditoría Computacional Sub etapas de la Planificación: Comprender los objetivos, validar los recursos asignados y organizar el inicio del trabajo Efectuar una investigación preliminar para conocer o actualizar el conocimiento de la materia a auditar Definir el alcance Documentar el plan de auditoría

Auditoria Informática Unidad III Planificación de una Auditoría Computacional Sub etapas de la Planificación: Definir los Objetivos En el caso de un proceso, los objetivos específicos deben estar orientados a detallar cuáles componentes de la materia se auditarán, agregando además algún énfasis que se le requiera otorgar. Por ejemplo, si se auditará un sistema computacional, el objetivo específico debería identificar el sistema e inclusive se podría señalar que sólo se requiere evaluar el ingreso de la información.

Auditoria Informática Unidad III Planificación de una Auditoría Computacional Sub etapas de la Planificación: Efectuar una Investigación Preliminar Obtener y/o actualizar información relevante (cuantitativa y cualitativa) que permita al equipo de trabajo conocer las principales características de la materia a auditar así como identificar los asuntos relevantes y significativos del trabajo, enfocándose en identificar principalmente los riesgos relevantes de la materia y sus mecanismos de control y monitoreo, evaluar si se justifica o no la actualización de los objetivos específicos del trabajo, y finalmente determinar las estrategias frente al trabajo. Es importante destacar que la mayor parte del trabajo de esta etapa, radica en un trabajo en terreno con información actualizada y de fuente fidedigna, lo cual le permitirá alcanzar al equipo de auditoría una comprensión realista de la materia a auditar.

Auditoria Informática Unidad III Planificación de una Auditoría Computacional Sub etapas de la Planificación: Efectuar una Investigación Preliminar Entender o actualizar el conocimiento de la materia a auditar; estructura organizacional, procesos de negocio, operaciones y procesos de TI con el propósito de identificar preliminarmente los riesgos en los que se deberá focalizar el trabajo Conocer la normativa externa e interna, información técnica, sistemas operativos, bases de datos, comunicaciones, etc. que pudiera tener un impacto significativo en la materia a auditar Entrevistar al personal clave de TI.

Auditoria Informática Unidad III Planificación de una Auditoría Computacional Sub etapas de la Planificación: Definir el alcance Identificar, definir y documentar los componentes de la materia que serán sujetos de la auditoría y los elementos más relevantes que componen la planificación del trabajo de auditoría. Cabe destacar que cuando la materia a auditar corresponde a un proceso, este puede estar relacionado a muchos subprocesos, sistemas, cuentas contables, normas y controles. A todos estos elementos los denominamos “componentes de la materia”.

Auditoria Informática Unidad III Planificación de una Auditoría Computacional Sub etapas de la Planificación: Definir el alcance Proceso Sub procesos Sistemas Cuentas Contables Normas y controles Componentes de la materia Materia a Auditar Componentes seleccionados

Auditoria Informática Unidad III Planificación de una Auditoría Computacional Sub etapas de la Planificación: Documentar el Plan de Auditoría Elaborar y formalizar el Plan de Auditoría con el objeto de asegurar la comprensión del trabajo a realizar y orientar al equipo de trabajo para las actividades subsecuentes. El Plan de Auditoría se debe preparar en base al conocimiento adquirido en las subetapas y actividades anteriores.

Auditoria Informática Unidad III Etapa II Ejecución del Trabajo Las actividades a realizar durante la ejecución de la auditoría están principalmente enfocadas a identificar y evaluar los riesgos asociados a las materias a auditar, para reducir, compartir o aceptar dichos riesgos y para probar las actividades de control y/o monitoreo.

Auditoria Informática Unidad III Etapa II Ejecución del Trabajo En esta Etapa de Ejecución se debe obtener principalmente como resultado lo siguiente: Identificar los riesgos inherentes y controles Determinar el nivel de riesgo Desarrollar las observaciones pertinentes SUB-ETAPAS Actualizar/obtener información detallada de la materia a auditar (procesos, diagramas, flujos, descriptivos, etc) Evaluar los riesgos identificados Identificar y evaluar los controles Diseñar el programa de pruebas Ejecutar las pruebas de auditoría

Auditoria Informática Unidad III Etapa II Ejecución del Trabajo Podemos considerar las siguientes técnicas para identificar riesgos: Análisis del flujo del proceso. En cada proceso, debemos identificar los subprocesos y actividades, respecto de las cuales debemos preguntar ¿Qué puede fallar?, ¿Cómo puede suceder? y ¿Cuál es la consecuencia desde el punto de vista de riesgo? Considerar los resultados de la investigación preliminar Tomar en cuenta eventos ocurridos en la empresa y/o en la industria Análisis de factores externos (económicos, competencia, políticos, sociales, tecnológicos) e internos (personal, sistemas). Entrevistas y consultas al personal clave respecto de riesgos asociados a factores internos y externos.