1.- Establezca la diferencia entre la planeación de la auditoría en el corto plazo y en el largo plazo.
La planeación a corto plazo toma en cuenta los
aspectos relevantes de auditoría que serán cubiertos durante el año, mientras
que la planeación a largo plazo se refiere a los planes de auditoría que
tomarán en cuenta aspectos relacionados con riesgos debido a los cambios en la
dirección estratégica de TI de la organización que afectarán el ambiente de TI
de la organización.
2.- Además de la planeación de la auditoría, ¿cuáles aspectos pueden afectar el enfoque general de la auditoría?
Resultados de la evaluación periódica de riesgos,
cambios en la aplicación de tecnología, y aspectos de privacidad evolucionantes
y requisitos regulatorios.
3.- Liste los pasos a realizar por un auditor durante la planeación de la auditoría.
·
Lograr un entendimiento de la
misión, los objetivos, el propósito y los procesos del negocio, incluyendo los
requerimientos de información y procesamiento, tales como disponibilidad,
integridad, seguridad y tecnología del negocio y la confidencialidad de
información.
·
Identificar contenidos
específicos tales como políticas, estándares y directrices requeridos,
procedimientos y estructura de la organización.
·
Realizar un análisis de
riesgos para ayudar a diseñar el plan de auditoría.
·
Llevar a cabo una revisión de
los controles internos relacionados con TI.
·
Establecer el alcance y
objetivos de la auditoría.
·
Desarrollar el enfoque o la
estrategia de auditoría.
·
Asignar recursos humanos a la
auditoría.
·
Dirigir la logística del
trabajo de auditoría.
4.- enumere las actividades que deberá realizar el auditor para tener un buen conocimiento del negocio.
·
Recorrido de las instalaciones clave de la
organización.
·
Lectura de antecedentes incluyendo
publicaciones de la industria, informes anuales e informes de análisis
financieros independientes.
·
Revisión del negocio y de los planes
estratégicos de TI a largo plazo.
·
Entrevistas a los gerentes clave para entender
pormenores del negocio.
·
Revisión de informes anteriores o informes
relacionados con TI (provenientes de auditorías externas o internas o
revisiones específicas tales como revisiones regulatorias).
·
Identificar las regulaciones específicas
aplicables a TI.
·
Identificar las funciones de TI o las
actividades relacionadas que han sido contratadas externamente.
5.-
Qué efectos tienen las leyes y regulaciones en la planeación de una
auditoría?
Toda organización, independientemente de su tamaño o de la industria en
la que opera, deberá cumplir con un número de requerimientos gubernamentales y
externos relacionados con las prácticas y los controles de los sistemas
computarizados y con la manera en que se almacenan y se usan las computadoras,
los programas y los datos. Adicionalmente, las regulaciones de negocio pueden
impactar la forma en que los datos se procesan, se transmiten y se almacenan
(bolsa de valores, bancos centrales, etc.).
6.-Qué es evidencia y cómo se determina su confiabilidad?
La evidencia es cualquier información usada por el auditor de SI para
determinar si la entidad o los datos que están siendo auditados cumplen con los
criterios u objetivos establecidos, y soporta las conclusiones de auditoría.
La confiabilidad se determina a través de: Independencia del proveedor
de la evidencia, credenciales de la persona que suministra la información o
evidencia, objetividad de la evidencia y tiempo de disponibilidad de la
evidencia.
7.- Qué es el informe de auditoría y cómo está estructurado?
Es el producto final del trabajo de auditoría de SI. Es usado por el
auditor de SI para reportar a la dirección sus hallazgos y recomendaciones.
El formato exacto de un informe de auditoría varía en cada organización.
Sin embargo, el auditor de SI experimentado debería entender los componentes
básicos de un informe de auditoría y cómo éste comunica los hallazgos de
auditoría a la dirección.
Usualmente tendrá la estructura y contenido siguientes:
Una introducción al informe, incluyendo una declaración de los
objetivos, limitaciones para la auditoría y alcance, el período cubierto por la
auditoría y una declaración general sobre el carácter y la extensión de los
procedimientos de auditoría realizados y los procesos examinados durante la
auditoría, declaración sobre la metodología de la auditoría de SI y directrices
seguidas.
