INDICACIONES PARA DESARROLLO TRABAJO COLABORATIVO 3 Una vez que ustedes tienen la lista de riesgos consolidada, el plan de auditora y han seleccionado los dominios, procesos y objetivos de control en el programa de auditora deben proceder a hacer el siguiente trabajo: Cada estudiante debe hacer una lista de riesgos (mnimo 10) detectados, clasificarlos teniendo en cuenta los dominios, procesos y objetivos de control del programa de auditora identificando las posibles causas que los originan.

Como ya se ha seleccionado la empresa donde se llevar a cabo la auditora, se cuenta con una lista de riesgos detectados y se sabe los procesos que fueron seleccionados, cada estudiante debe hacer un cuadro donde en una columna se muestre los procesos que fueron seleccionados en el programa de auditora, otra columna con los riesgos asociados a cada uno de los procesos y otra con las causas que originan esos riesgos. En cada proceso seleccionado pueden asociarse varios riesgos y a cada riesgo se debe asociar una o varias causas que los originen. En este momento el trabajo debe hacerse individual para que no se repitan los riesgos y que al final si cada estudiante identifica 10 riesgos, al final se tenga una lista consolidada de 30 o ms riesgos que debern publicarse en el foro de trabajo colaborativo.

Cada estudiante debe publicar en el foro la lista de riesgos detectados y las causas que los originan del trabajo individual, posteriormente se debe hacer el proceso de anlisis y evaluacin de los riesgos de acuerdo al ejemplo que est en el blog (anlisis y evaluacin de riesgos) y finalmente hacer la matriz de riesgos por probabilidad e impacto para cada proceso elegido en el estndar COBIT. Como resultado de esta actividad se debe entregar la lista total de riesgos y las matrices de riesgos para cada proceso de acuerdo al programa de auditora. Desde este momento se debe trabajar colaborativamente, en primer trmino cada estudiante debe publicar la lista de riesgos clasificados por procesos, luego deben consolidar el listado de todos los riesgos detectados por proceso y hacer el anlisis y evaluacin de riesgos para cada proceso. El proceso se muestra como ejemplo en el blog. Por ejemplo: Si se seleccionaron 5 procesos para auditoria, en cada proceso se deben identificar los riesgos y hacer el proceso de anlisis y evaluacin para determinar el tratamiento de los riesgos (se acepta: si los riesgos son de baja probabilidad e impacto leve; se transfieren: si es posible que empresas externas asuman la responsabilidad del control a travs de seguros o contratos externos; se ejerce control: para los riesgos catalogados de alta probabilidad y cuyo impacto sea moderado o catastrfico). Al final se debe consolidar los resultados del proceso de anlisis y evaluacin de los riesgos para cada proceso de auditora. Cada estudiante debe compartir en el foro colaborativo las herramientas de software propuestos en la actividad del entorno de aprendizaje prctico y seleccionar uno de ellos que sirva para realizar pruebas dentro de la auditoria.

Como resultado de esta actividad se debe ejecutar la herramienta de software seleccionado y los resultados de las pruebas realizadas (anexar pantallazos de pruebas). En el entorno de aprendizaje se haba planteado que cada estudiante eligiera herramientas de software para auditora, cada estudiante debe publicar en el foro las herramientas que se han seleccionado, el grupo debe determinar que herramientas de las seleccionadas le sirven para realizar pruebas en la auditora, y con esas herramientas de software seleccionadas se debe hacer la prueba de funcionamiento anexando los pantallazos de la prueba realizada. Si cada estudiante propuso una herramienta, inicialmente debe compartir en el foro la herramienta seleccionada individualmente, y una vez se tengan todas las herramientas propuestas, el grupo debe seleccionar solo las que le sirvan para realizar pruebas sobre los procesos de CobIT seleccionados en la auditora. Una vez seleccionados se debe instalar el software y realizar la prueba mostrando los pantallazos y resultados de la prueba. Las pruebas tienen la intencin de obtener evidencias de las fallas detectadas en el sistema software, en las redes, o las diferencias entre las caractersticas de los computadores y los inventarios, o fallas en los vnculos web hacia otras pginas, etc. De acuerdo a la lista de riesgos detectados y teniendo en cuenta la causa que los origina, los estudiantes deben proponer controles para cada uno de ellos, los controles deben atacar la causa origen del riesgo para que sean efectivos. Como resultado de esta actividad se debe hacer una matriz con los riesgos detectados, la causa origen de los riesgos y los controles propuestos.

Con la lista de riesgos consolidada, se debe elaborar un cuadro de hallazgos donde se identifique los siguientes datos: Proceso CobIT donde se encuentra cada uno de los riesgos, la descripcin del riesgo encontrado y como se presenta, las causas que lo originan, y teniendo en cuenta los objetivos de control CobIT seleccionados para cada proceso definir posibles controles para atacar la causa que origina los riesgos. Para mostrar estos datos pueden disearse los cuadros para cada uno de los riesgos, mirando el ejemplo del blog y haciendo su propio diseo de acuerdo a la empresa donde se aplic. Finalmente recordarles que el trabajo debe iniciarse lo ms pronto posible para poder consolidar un buen trabajo y no copiar exactamente lo que est en el ejemplo del blog, ya que el blog solo es una gua de cmo llevar a cabo la auditora y no est totalmente ligado a las actividades de los colaborativos, es solo un ejemplo completo de cmo hacerlo. Por favor lean con detenimiento estas indicaciones, si hay preguntas las envan al correo interno con tiempo y con mucho gusto tratar de dar respuesta oportuna, ya que al finalizar la actividad es difcil contestar la cantidad de preguntas y correos que lleguen. Francisco Solarte Director y tutor