Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Procedimiento Controles Generales PDF
Procedimiento Controles Generales PDF
CONTROLES GENERALES
OBJETIVO
ALCANCE
POLITICAS
PROCEDIMIENTO
Determinar Procesos
Evaluación de Riesgo
Metodología
Para efectuar el análisis de riesgo, se deben considerar los 34 procesos de IT, que se agrupan
en los 4 dominios que establece CobiT, y que son todos los procesos que deben existir en una
área de IT completa.
Ningún Riesgo =0
Riesgo Bajo =1
Riesgo Medio =2
Riesgo Alto =3
1 BAC
el 100%. El número de factores de riesgo dependerán del criterio del auditor y se considerarán
principalmente los que mayor impacto tengan dentro de los procesos de IT.
Los criterios para valorar cada factor de riesgo, siempre estarán cuantificados del 0 al 3,
independientemente de que se utilicen criterios de distinta naturaleza para su evaluación. A
continuación se detallan algunos ejemplos de criterios cualitativos de los factores de riesgo y su
relación con la cuantificación correspondiente:
Para obtener la valoración para cada factor de riesgo, se tendrá que multiplicar el valor
cuantificado de su criterio de riesgo por el peso asignado. Para obtener la valoración de riesgo
del proceso de IT completo, se tendrá que sumar las valoraciones de todos los factores de
riesgo utilizados. La máxima valoración de riesgo (puntaje) que puede tener un proceso de IT
es de 300.
Los procesos de IT, se los ubicará en los diferentes niveles de riesgo, conforme el siguiente
detalle:
0 = Ningún riesgo
1 – 100 = Riesgo Bajo
101 – 200 = Riesgo Medio
201 – 300 = Riesgo Alto
Sin embargo, es importante que se analicen las agrupaciones y separaciones naturales que se
presentan entre las diferentes calificaciones de los procesos de IT, para que con base en el
criterio del auditor, se defina una clasificación diferente a la que anteriormente se señaló. Sea
que se califique el riesgo de los procesos de IT, con base en la ubicación de su valoración en
los rangos antes mencionados o con base en la clasificación definida por las separaciones
naturales, la frecuencia de revisión de los procesos de IT, será la siguiente:
A continuación se presenta una tabla con un ejemplo del esquema que se utilizará para el
análisis de riesgo de los procesos de IT:
2 BAC
del auditor, para analizar las separaciones naturales y definir otra clasificación, que tiene el
siguiente análisis:
Los corchetes derechos, junto al cuadro señalan las separaciones naturales de las
valoraciones, por lo que se podría optar por calificar como de alto riesgo solo al Proceso de IT
1, que se encuentra en el cuadro, ya que el siguiente se encuentra ubicado 40 puntos por
debajo. Los procesos de riesgo medio, serían los ubicados en el segundo rango natural, estos
son los Procesos de IT 2 al 4. De riesgo bajo los Procesos de IT 5 al 7 y el Proceso de IT 8, se
lo clasificaría como que no tiene riesgo.
Ejecución
Para obtener el resultado final del análisis de riesgo, se requiere completar el cuadro del
archivo Matriz Riesgo.xls, en donde se tiene:
• Ningún Riesgo =0
• Riesgo Bajo =1
• Riesgo Medio =2
• Riesgo Alto =3
Para determinar los criterios de información que son afectados por los procesos de IT
en forma primaria o secundaria, hay que utilizar la tabla resumen que se presenta a
continuación:
3 BAC
En el cuadro a continuación detallado, se resumen las calificaciones que los diferentes
procesos de IT, tendrán dentro del análisis, con base en las explicaciones antes
señaladas:
4 BAC
P: Afectación en forma primaria
S: Afectación en forma secundaria
Antecedentes
Se debe incluir una breve pero concisa reseña del proceso, producto o sistema objeto de la
revisión, así como la persona o institución que solicita realizar la misma.
5 BAC
Objetivo de la Revisión
Debe contener la finalidad por la que se está realizando la revisión, en forma clara y detallada.
Alcance de la revisión
Cronograma
En este punto se debe incluir el calendario de actividades a seguirse para la aplicación del
procedimiento de revisión. Este debe contener la actividad a ejecutarse, fecha máxima de
realización de la tarea y responsable de la actividad
Revisión
CODIGO
PROCESO OBJETIVO DE CONTROL INCLUIR
PO1 DEFINIR UN PLAN ESTRATÉGICO DE TI
PO1 Políticas y procedimientos inherentes al proceso de planeación. SI
PO1 Roles y responsabilidades del equipo de Dirección NO
INCLUIR
PROCESO OBJETIVO DE CONTROL EN
CODIGO NOMBRE CODIGO NOMBRE DETALLE REVISION
PO1 Definición de un plan PO1-1 Tecnología de Información La alta gerencia será la responsable SI
Estratégico de como parte del Plan de la de desarrollar e implementar planes a
Tecnología de Organización a corto y largo y corto plazo que satisfagan la
Información largo plazo. misión y las metas de la organización.
A este respecto, la alta gerencia
deberá asegurar que los problemas
de tecnología de información, así
como las oportunidades, sean
evaluados adecuadamente y
reflejados en los planes a largo y corto
plazo de la organización.
6 BAC
PO1 Definición de un plan PO1-2 Plan a largo plazo de La Gerencia de la función de servicios NO
Estratégico de Tecnología de Información de información será responsable de
Tecnología de desarrollar regularmente planes a
Información largo plazo de tecnología de
información que apoyen el logro de la
misión y las metas generales de la
organización. De la misma manera, la
Gerencia deberá implementar un
proceso de planeación a largo plazo,
adoptar un enfoque estructurado y
determinar la estructura para el plan.
6. Realizar la evaluación de riesgo de los procesos, en los que se debe considerar las
observaciones efectuadas por la Gerencia, para lo cual se utilizará el archivo Matriz
Riesgo.xls, con las consideraciones indicadas anteriormente.
FACTORES DE RIESGO
A B C D E
PESO 40 30 10 10 10 100
Como resultado de la evaluación, de manera automática cada una de los valores ingresados
hará que cambie de color conforme al valor asignado para fácil identificación.
7. Para cada proceso a evaluar, se debe tener una comprensión clara del proceso a través de:
8. Una vez que se tenga un entendimiento claro del proceso de debe evaluar los controles
existentes considerando lo siguiente:
• Concluír acerca del grado hasta el cual el se cumple con el Objetivo de Control
7 BAC
9. Evaluar el cumplimiento a las medidas de control vigentes a través de:
• Obtener evidencia directa para ítems/períodos seleccionados, a fin de asegurar que los
procedimientos han sido cumplidos
• Buscar y obtener evidencia indirecta para ítems/períodos seleccionados, a fin de
demostrar si los procedimientos han sido cumplidos
• Realizar una revisión limitada de los productos de monitoreo, a fin de confirmar si son
adecuados
• Determinar el nivel de pruebas sustantivas y trabajo adicional necesario para asegurar
que el proceso es adecuado
• Ejecutar las pruebas y trabajo adicional
10. Sustanciar el Riesgo a través de la identificación de las causas de los problemas y presentar
las soluciones a estas causas, a través de:
8 BAC