Documentos de Académico
Documentos de Profesional
Documentos de Cultura
El tratamiento de los riesgos hace referencia a la acción que se deberá ejecutar de acuerdo
con el nivel de probabilidad y ocurrencia de los riesgos encontrados, en este sentido los riesgos
pueden ser aceptados, transferidos o se debe ejercer controles sobre ellos. Para los riesgos
que se encuentran en color verde (debajo de la diagonal) como son de baja probabilidad e
impacto leve, y no causan mayores daños a la organización generalmente se aceptan, para
los riesgos que están en color amarillo (diagonal) y los riesgos que están en color rojo (encima
de la diagonal) cuya probabilidad es media o alta y el impacto es moderado o catastrófico se
debe transferir o ejercer controles. Aceptarlo significa convivir con el riesgo, transferirlo
significa que otra empresa o personal especializado se haga cargo de esos riesgos y la
empresa paga por ese servicio y ejercer control significa que debo proponer controles para
esos riesgos.
Primero hay que elaborar el cuadro de hallazgos para cada uno de los riesgos
cuyo tratamiento sea reducirlo mediante controles o transferirlo o eliminarlo, en
el formato se describe cada uno de los riesgos detectado y probado que se
convierte el hallazgo, las posibles causas que lo originan, las consecuencias que
puede traer de llegar a ocurrir, el nivel de riesgo en que se encuentra el proceso y
las posibles soluciones o controles (preventivas, detectivas, correctivas o de
recuperación).
A continuación, se presenta el formato de hallazgos y un ejemplo aplicado.
FORMATO DE HALLAZGOS
RESPONSABLES: En este espacio se indicarán los nombres del equipo auditor que
está llevando a cabo el proceso de auditoría.
DOMINIO: Espacio reservado para colocar el nombre del dominio de COBIT que se
está evaluando.
PROCESO: Espacio reservado para el nombre del proceso en específico que se está
auditando dentro de los dominios del COBIT.
HALLAZGO
PÁGINA
PROCESO AUDITADO Funcionamiento del aspecto físico de la red de datos
1 DE 1
DESCRIPCIÓN HALLAZGO: Aquí se copia la descripción de cada uno de los riesgos que ya han sido
confirmados mediante pruebas y que están en el cuadro de tratamiento de los riesgos.
CAUSAS: En esta celda se debe describir las posibles causas que originan los riesgos, el identificar las
causas servirá para definir los controles que deberán atacar las causas origen de los riesgos y problemas
detectados en el proceso evaluado.
CONSECUENCIAS: Es el impacto que pueden causar esos hallazgos de llegar a concretarse los riesgos, aquí
se mencionan que activos informáticos se verán afectados con la ocurrencia del riesgo.
VALORACIÓN DEL RIESGO: En este espacio se especifica el nivel de riesgo en que se encuentra el proceso
evaluado, esta información esta en el cuestionario al aplicar la formula. Los valores pueden ser
Bajo/medio/alto
RECOMENDACIONES: Aquí se debe especificar los controles que se deben aplicar para mitigar los riesgos
encontrados.
EVIDENCIAS O REFERENCIA DEL PAPEL DE TRABAJO(REF_PT): Aquí deben estar las respuestas de la
entrevista, el cuestionario aplicado, el pantallazo, el documento, el video, el reporte de una herramienta
de software, entre otros. Estas son las evidencias de las pruebas realizadas.
Ejemplo Hallazgos
Tabla Hallazgo 1
REF
HALLAZGO 1
HHDN_O1
MATERIAL DE
COBIT
SOPORTE
Definir un plan
Planear y Organizar
DOMINIO PROCESO estratégico de TI
(PO)
(PO1)
DESCRIPCIÓN:
Esto es debido a la falta del manual de funciones donde se especifique el personal a cargo
de la red de datos ni los procedimientos que se realizaran por parte de los funcionarios.
CAUSAS: XXXXXXXXXXX
CONSECUENCIAS:
RECOMENDACIONES:
EVIDENCIAS - REF_PT:
CUESTIONARIOS_CHDN/PLAN_PO1(ANEXO 1)
E_AUDIO/A_CHDN_01
Hay que tener en cuenta que para cada riesgo se debe hacer un formato de hallazgos,
preferiblemente para los riesgos cuyo tratamiento sea controlarlo.
Posteriormente se toma cada una de las recomendaciones que se colocaron en los formatos
de hallazgos y se elabora el cuadro de controles y tipo de control. En el cuadro debe ir la
descripción del hallazgo, el tipo de control y la descripción de los controles propuestos. En
cuanto a los tipos de control estos pueden ser preventivos, detectivos, correctivos y de
recuperación, los controles preventivos servirán para prevenir que los riesgos se concreten y
ocasionen daños, los controles detectivos se utilizan para detectar el momento exacto en que
está concretándose los riesgos y los controles correctivos se implementan una vez haya
concretado el riesgo y haya ocasionado los daños. Para un riesgo se pueden definir uno o
varios controles, por ejemplo, un riesgo puede definirse controles preventivos y correctivos, o
preventivos solamente, o preventivos y detectivos y correctivos.
Ejemplo: