PLANEACIÓN DE LA AUDITORÍA EN INFORMÁTICA Toda auditoría requiere de una adecuada planeación, con el fin de definir claramente los objetivos y alcance del trabajo, así como las técnicas y herramientas a utilizar, las horas hombres a requerir para la ejecución de la revisión1. • Objetivos y alcance del trabajo de auditoría informática • Técnicas y herramientas a utilizar: Lineamientos y conjunto de herramientas de implementación COBIT en el dominio específico. • Horas hombres a requerir para la ejecución de la revisión. • Recursos requeridos: portátil, impresora, disponibilidad de conexión a Internet, software de productividad (procesador de palabras, hoja electrónica de cálculo, programa para la presentaciones multimedia), papeles de trabajo previos, informes de auditorías anteriores y espacio físico de trabajo. Dentro de la planeación también se incluye la actividad de comprensión del negocio y de su ambiente, a través de la cual el auditor logra una visión general de la organización y de los procesos internos en el área de estudio. El esquema resumen de la información descrita hasta este punto: Planeación de la Auditoria COBIT Conocimiento general de la Unidad en Estudio Conocimiento general del proceso en estudio Descripción del proceso Sistematización del proceso Actividades ejecutadas Análisis riesgos/amenazas/impacto y controles informáticos disponibles y recomendados. Conocimiento del sistema de información utilizado − Descripción del sistema de información − Módulos del sistema − Reportes generados − − − − 1 Piattini y Del Peso (1998). Plan de acción para la implementación de COBIT Objetivo: Metas: Alcance: Proceso: Etapa Descripción I Selección del Equipo de Auditoria − Auditor interno − Personal de la Coordinación de sistemas − Representante de Departamentos − Usuarios Directos II Planeación de la Auditoría − Objetivos y alcance del trabajo de auditoría. − Técnicas y herramientas a utilizar. − Recursos financieros, humanos y físicos requeridos para la ejecución de la auditoría. III Obtención de conocimiento actualizado − La organización o Requerimientos generales del negocio o Estructura organizativa o Roles y responsabilidades o Políticas y procedimientos o Leyes y regulaciones o Indicadores de control establecidos (reportes de monitoreo – históricos y actuales –, acciones ejercidas y resultados obtenidos). o Reportes gerenciales (status y desempeño). III Obtención de conocimiento actualizado sobre: − La unidad responsable del proceso bajo estudio o Estructura organizativa o Funciones o Actividades relacionadas a su función o Plataforma informática disponible (Equipos y software instalados) − El Proceso bajo estudio o Descripción general o Actividades del proceso con su correspondiente descripción o Sistematización del proceso bajo estudio: datos requeridos, actividades ejecutadas y resultados o Determinación de riesgos y amenazas del proceso o Sistematización de las actividades de control del proceso: Controles Preventivos Controles Detectivos Controles Correctivos Referencia El Sistema de Información utilizado o Descripción de los módulos Función Datos requeridos Reportes generados Aplicación de la Guía genérica COBIT en el proceso bajo estudio − Identificación y Documentación o Conocimiento de las tareas relacionadas o Identificación de los responsables del proceso (Tabla RACI) o Entrevistas a los informantes clave o Descripción de los Procedimientos establecidos. − Evaluación según los objetivos de control propios del dominio Tomar en cuenta el modelo de madurez correspondiente, leyes, regulaciones y criterios propios de la organización en cuanto a calidad, fiduciarios y seguridad. − Interpretación de los resultados de la evaluación − IV REPORTE FINAL DE AUDITORÍA2 Identificación de la organización Destinatarios del informe Restricciones de circulación Alcance Objetivos Periodo de cobertura Garantizar la calidad de los procesos relacionados con Naturaleza de la labor de auditoria el monitoreo, control, calidad y seguridad de los datos correspondientes a transacciones contables. Dichos procesos son considerados críticos por la Gerencia General y la Coordinación de Contraloría y Administración del Grupo Lácteos Los Andes, Plazo de la labor de auditoria − Ejecución − Redacción Informe Final con hallazgos, conclusiones y recomendaciones Fichas de evaluación del Control Interno. Hallazgos Conclusiones y Recomendaciones de la Auditoría Realizado por: Revisado por: Aprobado por: Lugar y Fecha: 2 ISACA (2004). Ficha de evaluación del control interno Dominio Objetivo de Control: Responsable: Nivel de Relevancia: Evaluación: Ejecutado por: Importancia: Nivel de Riesgo: Evaluación: Problemas: Opinión de la Gerencia: Recomendación: Revisor: Fecha: