CONCEJOS PARA LA AUDITORÍA DE SISTEMAS 1. Cambie el tiempo de tareas administrativas de sus auditores por tiempo de auditoría mediante la implementación de software especializado. 2. Obtenga mediante tableros de control: información de gestión de riesgo, tareas de auditoría y seguimiento de observaciones, entre otras. 3. Disponga en forma inmediata de datos estadísticos para toma de decisiones o para planificar auditorias o rendimiento de recursos. 4. Mantenga de manera unificada la información que el Área de Auditoría administre. 5. Evite tareas manuales en la temática de seguimiento de Auditoría pues le consumen más tiempo. 6. Ideé estrategias para disminuir el tiempo de comunicación entre Auditoría, áreas auditadas y el Comité de Auditoría, para el seguimiento de Auditoría. 7. Permite siempre que el área auditada acceda inmediatamente a la información de seguimiento para responder fácilmente y en tiempo a peticiones. 8. Audite tecnología aplicando COBIT (Combine con ISO 27000 e ITIL). 9. Realice su Plan anual de Auditoría en base a riesgos y contemplando recursos. 10. Mantenga y acceda en forma sencilla a las versiones históricas de los planes. 11. Asegúrese de disponer fácil e inmediatamente del estado de avance del Plan de Auditoría. 12. Agregue seguridad de acceso a la información que administra auditoría. 13. Visualice los papeles de trabajo digitalizados de manera sencilla e inmediata. 14. Audite en base a riesgos, utilizando herramientas de medición de riesgos como (BIZAGI - BASILEA II). 15. Unifique las bases de riesgos y objetivos de control utilizados para auditar. REALICE LOS SIGUIENTES PROCEDIMEINTOS 1. Planifique: se realiza mediante diagramas de Gantt’s, cronogramas o mapas de calor, visualizando en días o semanas las unidades que serán auditadas basándose en datos (índices de criticidad, riesgos, etc.), permitiendo al auditor planificar lo que será auditado, por quién y en qué momento del ejercicio. Registre las distintas versiones del plan generadas por cambios durante el transcurso del ejercicio permitiendo la presentación cada determinado tiempo de la planificación y su avance al Comité de Auditoría. 2. Gestione Riesgos: Identifique riesgos, Sus niveles de ocurrencia, factores de riesgo, impacto, probabilidad, evaluación de los controles aplicados mediante calificación de control interno, riesgo residual, riesgo aceptable, riesgos transferidos. Esto permite realizar las auditorias con un enfoque orientado a riesgos. En todos los casos, la compañía decide la cantidad y los nombres de los niveles con los que trabajará.
3. Administre recursos: Asigne auditores a cada auditoría, gastos y horas que cada uno invertirá. 4. Programa de trabajo: por cada auditoría realice pruebas para evaluar los objetivos de control, calificarlos, medir riesgos y su mitigación, el resultado, su importancia, auditores participantes, gastos, avance, muestreo y fechas entre otros. 5. Genere papeles de Trabajo: Guarde en forma centralizada los archivos relacionados a la auditoría por cada observación y/o prueba como también archivos permanentes por unidad auditable, siendo el destino final de estos una base de datos o una ruta lógica en el disco de un servidor. 6. Genere Informes y Observaciones: Registre todos los datos relacionados al informe, como su fecha de emisión, indique si está bajo seguimiento del comité, ingrese resumen ejecutivo, alcance, objetivo, conclusión, áreas alcanzadas. En las observaciones relacionadas al informe registe entre otros datos los siguientes: texto de lo observado, recomendaciones, riesgos asociados y evaluación del control interno, nivel de riesgo, opinión inicial del auditado, comentarios del supervisor, apuntes de auditoría, observaciones que absorbe de informes anteriores, áreas alcanzadas desde y hasta cuando, papeles de trabajo relacionados con las pruebasobservaciones. 7. Realice Seguimiento de Auditoría y Comité: el auditor, durante el seguimiento de cada observación, deberá tener acceso a las respuestas de las áreas auditadas, la posibilidad de reclamar la no respuesta, generar una nota de auditoría, rechazarla o regularizar la observación. Permita que el Comité de Auditoría reclame y tenga acceso a las observaciones, sus respuestas y reclamos de auditoría. Permita el envío de mails de alertas informando sobre la emisión de observaciones, reclamos o envíos del Comité. Mejore la comunicación entre el área de auditoría, los auditados y el Comité de Auditoría, permitiendo el seguimiento de las observaciones, riesgos y recomendaciones, con la gestión realizada por el responsable del área, como su grado de avance, fecha probable de regularización, documentos adjuntos y otros datos. 8. Genere Reportes: Genere de reportes sobre cualquier información registrada en el sistema, teniendo la posibilidad de seleccionar los datos, en qué orden y agrupamiento los desea.