Diseo de Instrumentos de auditora: Para la realizacin del proceso de auditora

a la empresa, se utilizaron diferentes instrumentos de recoleccin de informacin, a

continuacin se describe cada uno de ellos:

FORMATO DE FUENTES DE CONOCIMIENTO

Cuadro de definicin de fuentes de conocimiento, pruebas de anlisis, y

pruebas de auditora: Este cuadro es un instrumento que sirve para identificar, cul
es la informacin que se necesita para evaluar un determinado proceso dentro de
los dominios del COBIT, tambin se especifica en el cuales son las pruebas de
anlisis y de ejecucin que se deben realizar.

Los tems relacionados a continuacin son los que describirn el elemento de

auditora.

REF: Se refiere al ID del elemento.

ENTIDAD AUDITADA: En este espacio se indicara el nombre de la entidad a la

cual se le est realizando el proceso de auditora.

PROCESO AUDITADO: En este espacio se indicara el nombre del proceso

objeto de la auditoria, para el caso ser Contratacin TI.

RESPONSABLES: En este espacio se indicaran los nombres del equipo auditor

que est llevando a cabo el proceso de auditora.

DESCRIPCIN DE ACTIVIDAD/PRUEBA: En este espacio se hace una breve

referencia al objetivo del proceso seleccionado dentro de los dominios del COBIT
que se est revisando.

MATERIAL DE SOPORTE: En este espacio se indicara el nombre del material

que soporta el proceso, para el caso ser COBIT.

DOMINIO: Espacio reservado para colocar el nombre del dominio de COBIT que
se est evaluando.

PROCESO: Espacio reservado para el nombre del proceso en especfico que se

est auditando dentro de los dominios del COBIT.

FUENTES DE CONOCIMIENTO: En este espacio se deber consignar todas las

fuentes de donde se extrajo la informacin para el proceso de auditora lo que
servir como respaldo del proceso.

REPOSITORIO DE PRUEBAS: Se divide en dos tipos de pruebas:

DE ANLISIS: Este espacio est destinado para describir las pruebas de
anlisis que se van a realizar para evaluar el proceso especifico que se
encuentre en estudio.
 DE EJECUCIN: Este espacio est destinado para describir las pruebas de
ejecucin que se van a realizar para evaluar el proceso especifico que se
encuentre en estudio.

CUADRO DE DEFINICION DE FUENTES DE CONOCIMIENTO, PRUEBAS DE

ANALISIS Y EJECUCCIN DE AUDITORIA

REF
CUADRO DE DEFINICION DE FUENTES DE CONOCIMIENTO, PRUEBAS DE
ANALISIS DE AUDITORIA

PAGINA
ENTIDAD AUDITADA
1 DE 1
PROCESO AUDITADO Funcionamiento del aspecto fsico de la red de datos
RESPONSABLE
MATERIAL DE SOPORTE COBIT
DOMINIO
PROCESO

REPOSITORIO DE PRUEBAS APLICABLES

FUENTES DE CONOCIMIENTO
DE ANALISIS DE EJECUCION
Pruebas que se hacen
por anlisis de
Pruebas mediante uso
documentos (contratos,
de software, pruebas
Documento, o manuales) o
para levantar
comparaciones
persona que tiene la inventarios, pruebas de
(compara los contenidos
informacin que de un manual respecto a seguridad en redes,
necesita el auditor pruebas de seguridad
lo que dice la teora que
en bases de datos,
debe contener)
pruebas de intrusin,
comparar( la empresa
pruebas de testeo.
auditada con una
empresa certificada)

AUDITOR RESPONSABLE:
 LISTA DE CHEQUEO

Las lista de chequeo se usan para la verificacin de la existencia de controles en el

proceso o procesos auditados, en la lista de chequeo se puede usar escalas
diferentes por ejemplo respuestas cerradas de SI/NO, o respuestas de cumplimiento
por ejemplo CUMPLE TOTALMENTE (CT)/CUMPLE PARCIALMENTE (CP)/NO
CUMPLE (NC), O como en este ejemplo donde se marca las preguntas donde existe
control y se deja en blanco los controles que no se cumplen.

Las preguntas de las listas de chequeo se deben hacer teniendo en cuenta los
objetivos de control, que sern los controles que deben existir en el proceso y se
elabora preguntas sobre la existencia de dicho control, el auditor encargado de
evaluar el proceso ser quien aplique la lista de verificacin de controles o lista de
chequeo y de acuerdo a la respuesta se determina los hallazgos sobre la no
existencia de controles en el proceso.

Aulas De Informtica

F-CHK 01

Fecha:

Realizado por:

SI NO

Existe sistema de ventilacin

El cableado elctrico est protegido

Los conectores de alimentacin de energa estn en

buen estado

Los equipos de cmputo tienen todas sus partes

Hay equipos con tecnologa obsoleta

Los equipos que se encuentren en mal estado

Hay un horario en cada aula de monitores asignados

El cableado estructurado se encuentra en buen estado

Existe un sistema de seguridad en cada aula

El cableado que corresponde al equipo est protegido

 FORMATO ENTREVISTA

Las entrevistas pueden ser aplicadas al inicio para conocer aspectos generales de
los procesos que se van a evaluar, generalmente las entrevistas recogen la opinin
de algunas de las personas que conozcan el proceso y que me puedan responder
con claridad las preguntas que se hayan preparado para la entrevista.

Es importante determinar a quienes se aplicar la entrevista y los cuestionarios, ya

que no se pueden aplicar a todos los auditados sino solamente al personal que
conozca los aspectos que se vayan a evaluar.

Para la entrevista se debe determinar primero los temas sobre los cuales va a girar
la entrevista y en cada uno de los temas se debe elaborar preguntas puntuales con
la intencin de descubrir ms riesgos de los que ya se han encontrado en las visitas
realizadas a la empresa auditada.

REF

PLAN
ENTIDAD DISPROPAN S.A.S. PAGINA
AUDITADA 1 D 1
E
OBJETIVO
AUDITORA
PROCESO Indicadores de funcionamiento del hardware y software
AUDITADO
RESPONSABL
E
MATERIAL DE SOPORTE COBIT
DOMI PROCE
NIO SO

ENTREVISTADO

CARGO

1. Las caractersticas del equipo son suficientes para el desempeo de su

trabajo?
_______________________________________________________________
_
2. Qu hace en caso de que el equipo falle? a quien acude?
_________________
_______________________________________________________________
___
3. Cuntos Mantenimiento se le han realizado al
equipo?______________________
4. Qu nivel de conocimientos tiene en el manejo de un Computador y/o Mvil?
_______________________________________________________________
___
5. Ud. maneja el software de
SYSCAFE?__________________________________
6. Ud. Ha recibido asesoramiento o capacitacin sobre el manejo de
SYSCAFE?
_______________________________________________________________
___
7. Qu procesos de SYSCAFE utiliza?
____________________________________
8. Conoce y ha hecho uso del manual de SYSCAFE?
________________________
9. Ha tenido problemas con el Software SYSCAFE?
Cules?________________
_______________________________________________________________
___
10. Cmo resuelve los problemas encontrados en el Software
SYSCAFE?_________
11. Cul es el tiempo mximo en solucionar el problema de
SYSCAFE?___________
NOMBRE ENTREVISTADO AUDITOR RESPONSABLE
FIRMA
 FORMATO CUESTIONARIO

Aulas De Informtica Facultad De Ingeniera

Cuestionario de Control: C1

Dominio Adquisicin e Implementacin

Proceso AI3: Adquirir y mantener la arquitectura tecnolgica

Pregunta Si No OBSERVACION
ES

Se cuenta con un inventario de equipos de 4

cmputo?

Si existe inventario contiene los siguientes tems?

Nmero del computador

Fecha

Ubicacin

Responsable

Caractersticas(memoria, procesador, monitor,

disco duro)

Se lleva una hoja de vida por equipo

La hoja de vida del equipo tiene los datos? 5

Numero de hoja de vida

Nmero del computador correspondiente

Falla reportada

Diagnstico del encargado

Solucin que se le dio

Se posee un registro de fallas detectadas en los 4

equipos?
En el registro de fallas se tiene en cuenta con los
siguientes datos?

Fecha

Hora

Nmero de registro

Nmero del computador

Encargado

Al momento de presentar una falla en el equipo, la De 1 a 5 dias

atencin que se presta es?

Inmediata

De una a 24 horas

De un da a 5 das

Ms de 5 das

Se cuenta con servicio de mantenimiento para 4 Semestral

todos los equipos?

Qu tipo de mantenimiento se lleva a cabo? Correctivo

Mantenimiento preventivo

Mantenimiento correctivo

Profesores y/o estudiantes pueden instalar y 4

desinstalar programas en el computador?

Al finalizar el horario de clase en dichas aulas, se 3

hace una revisin de los equipos?

El personal que se encarga del mantenimiento es 4

personal capacitado?

Se lleva un procedimiento para la adquisicin de 3

nuevos equipos?
 La infraestructura tecnolgica de los equipos 3
soporta la instalacin de diferentes sistemas
operativos?

Son compatibles software y hardware? 5

TOTALES 19 20

La escala de calificacin de cada una de las preguntas va de 1 hasta 5, la calificacin

puede ir en el SI, en el NO, donde 1 significa que no es importante tener el control
para el auditor y 5 significa que es importante que se tenga el control, el auditor
debe tratar de dar estas calificaciones lo ms objetivamente posible para aplicar la
frmula y calcular el porcentaje de riesgo.

Las equivalencias utilizadas para la puntuacin sern de uno a cinco, siendo uno el
valor mnimo considerado de poca importancia y cinco el mximo considerado de
mucha importancia.

PORCENTAJE DE RIESGO: Hace referencia a la probabilidad de que el proceso

se vea afectado por las acciones de las cuales se est indagando, entre mas alto el
porcentaje mayor probabilidad de riesgo tiene el proceso de salir perjudicado.

PREGUNTA: Espacio donde se indicara la descripcin de la consulta de la cual se

indagara.

SI NO: Posibilidades de respuesta, cumple, no cumple, o no aplica para la entidad.

El clculo de este porcentaje se hace de la siguiente forma:

Porcentaje de riesgo parcial = (Total SI * 100) / Total

Porcentaje de riesgo = 100 - Porcentaje de riesgo parcial

Porcentaje de riesgo parcial = (19 * 100) / 39 = 48.71

Porcentaje de riesgo = 100 48.71 = 51.28

Para determinar el nivel de riesgo total, se tiene en cuenta la siguiente

categorizacin:

1% - 30% = Riesgo Bajo

31% - 70% = Riesgo Medio
 71% - 100% = Riesgo Alto

RIESGO:

Porcentaje de riesgo parcial: = 48,71%

Porcentaje de riesgo = 51,28
Impacto segn relevancia del proceso: Riesgo Medio

FORMATO DE HALLAZGOS

En este formato se describe las inconsistencias encontradas. Esta informacin

ser desglosada de la siguiente manera:

REF: Se refiere al ID del elemento.

ENTIDAD AUDITADA: En este espacio se indicara el nombre de la entidad

a la cual se le est realizando el proceso de auditora.

PROCESO AUDITADO: En este espacio se indicara el nombre del proceso

objeto de la auditoria, para el caso ser Contratacin TI.

RESPONSABLES: En este espacio se indicaran los nombres del equipo

auditor que est llevando a cabo el proceso de auditora.

MATERIAL DE SOPORTE: En este espacio se indicara el nombre del

material que soporta el proceso, para el caso ser COBIT.

DOMINIO: Espacio reservado para colocar el nombre del dominio de COBIT

que se est evaluando.

PROCESO: Espacio reservado para el nombre del proceso en especfico que

se est auditando dentro de los dominios del COBIT.

HALLAZGO: Aqu se encontrara la descripcin de cada hallazgo, as como

la referencia al cuestionario cuantitativo que lo soporta.

CONSECUENCIAS Y RIESGOS: En este apartado se encuentra la

descripcin de las consecuencias del hallazgo as como la cuantificacin del
riesgo encontrado.

EVIDENCIAS: Aqu encontramos en nombre de la evidencia y el nmero del

anexo donde sta se encuentra.
 RECOMENDACIONES: En este ltimo apartado se hace una descripcin de
las recomendaciones que el equipo auditor ha presentado a las entidades
auditadas.

REF

HALLAZGO

Funcionamiento del aspecto fsico de la red de PGINA

PROCESO AUDITADO
datos 1 DE 1

RESPONSABLE

MATERIAL DE SOPORTE COBIT

DOMINIO PROCESO

DESCRIPCIN:

REF_PT:

CONSECUENCIAS:
RIESGO:

RECOMENDACIONES: