Diseño de Instrumentos de auditoría: Para la realización del proceso de

auditoría a la empresa, se utilizarán diferentes instrumentos de recolección de

información, cuya intencionalidad es descubrir nuevas vulnerabilidades, amenazas
o riesgos en el proceso CobIT evaluado y confirmar los que ya han sido
detectados mediante las preguntas que se incluyen en cada uno de ellos.

A continuación, se describe cada uno de ellos:

FORMATO DE FUENTES DE CONOCIMIENTO

Cuadro de definición de fuentes de conocimiento, pruebas de análisis, y

pruebas de auditoría: Este cuadro es un instrumento que sirve para identificar,
cuál es la información que se necesita para evaluar un determinado proceso
dentro de los dominios del COBIT, también se especifica en el cuales son las
pruebas de análisis y de ejecución que se deben realizar.

Los ítems relacionados a continuación son los que describirán el elemento de

auditoría.

REF: Se refiere al ID del elemento.

ENTIDAD AUDITADA: En este espacio se indicara el nombre de la entidad a

la cual se le está realizando el proceso de auditoría.

PROCESO AUDITADO: En este espacio se indicara el nombre del proceso

objeto de la auditoria, para el caso será Contratación TI.

RESPONSABLES: En este espacio se indicaran los nombres del equipo

auditor que está llevando a cabo el proceso de auditoría.

DESCRIPCIÓN DE ACTIVIDAD/PRUEBA: En este espacio se hace una breve

referencia al objetivo del proceso seleccionado dentro de los dominios del
COBIT que se está revisando.

MATERIAL DE SOPORTE: En este espacio se indicara el nombre del material

que soporta el proceso, para el caso será COBIT.

DOMINIO: Espacio reservado para colocar el nombre del dominio de COBIT

que se está evaluando.

PROCESO: Espacio reservado para el nombre del proceso en específico que

se está auditando dentro de los dominios del COBIT.

FUENTES DE CONOCIMIENTO: En este espacio se deberá consignar todas

las fuentes de donde se extrajo la información para el proceso de auditoría lo
que servirá como respaldo del proceso.
 REPOSITORIO DE PRUEBAS: Se divide en dos tipos de pruebas:
DE ANÁLISIS: Este espacio está destinado para describir las pruebas de
análisis que se van a realizar para evaluar el proceso especifico que se
encuentre en estudio.

DE EJECUCIÓN: Este espacio está destinado para describir las pruebas de

ejecución que se van a realizar para evaluar el proceso especifico que se
encuentre en estudio.

CUADRO DE DEFINICION DE FUENTES DE CONOCIMIENTO y PRUEBAS DE

ANALISIS Y EJECUCCIÓN

REF
FUENTES DE CONOCIMIENTO, PRUEBAS DE ANALISIS DE AUDITORIA

PAGINA
ENTIDAD AUDITADA
1 DE 1
PROCESO AUDITADO Funcionamiento del aspecto físico de la red de datos
RESPONSABLE
MATERIAL DE SOPORTE COBIT
DOMINIO AI Adquirir e Implementar
PROCESO AI3: Adquirir y mantener la arquitectura tecnológica

REPOSITORIO DE PRUEBAS APLICABLES

FUENTES DE CONOCIMIENTO
DE ANALISIS DE EJECUCION
Pruebas que se hacen
por análisis de
Pruebas mediante uso
documentos (contratos,
de software, pruebas
Documento, o manuales) o
para levantar
comparaciones
persona que tiene la inventarios, pruebas
(compara los contenidos
información que de un manual respecto de seguridad en redes,
necesita el auditor pruebas de seguridad
a lo que dice la teoría
en bases de datos,
que debe contener)
pruebas de intrusión,
comparar( la empresa
pruebas de testeo.
auditada con una
empresa certificada)

AUDITOR RESPONSABLE:
 LISTA DE CHEQUEO

Las lista de chequeo se usan para la verificación de la existencia de controles en

el proceso o procesos auditados, en la lista de chequeo se puede usar escalas
diferentes por ejemplo respuestas cerradas de SI/NO, o respuestas de
cumplimiento por ejemplo CUMPLE TOTALMENTE (CT)/CUMPLE
PARCIALMENTE (CP)/NO CUMPLE (NC), O como en este ejemplo donde se
marca las preguntas donde existe control y se deja en blanco los controles que no
se cumplen.

Las preguntas de las listas de chequeo se deben hacer teniendo en cuenta los
objetivos de control, que serán los controles que deben existir en el proceso y se
elabora preguntas sobre la existencia de dicho control, el auditor encargado de
evaluar el proceso será quien aplique la lista de verificación de controles o lista de
chequeo y de acuerdo con la respuesta se determina los hallazgos sobre la no
existencia de controles en el proceso.

Diseño de las listas de chequeo

Para el diseño de las listas de chequeo hay que tener en cuenta el están aplicado
y la estructura de este. Por ejemplo, en el siguiente caso se muestra las listas de
chequeo para el estándar CobIT cuya estructura se divide en Dominios, procesos
y objetivos de control, donde en cada objetivo de control se definen los controles
que debería existir para cumplir la norma.

Hay que tener en cuenta que las preguntas de la lista de chequeo son elaboradas
teniendo en cuenta los controles que deberían existir de acuerdo a la norma, por
cada control debe haber una o dos preguntas asociadas que indiquen si los
controles existen o no en la empresa evaluada.

Lista chequeo aplicado al proceso PO9 estándar CobIT: Evaluar y administrar los
riesgos de TI

LISTA CHEQUEO
PO9 Evaluar y
Planear y Organizar
DOMINIO PROCESO administrar los riesgos
(PO)
de TI
PO9.1 Marco de trabajo de administración de
OBJETIVO DE CONTROL
riesgos:
CONFORME
Nº ASPECTO EVALUADO SI NO OBSERVACIÓN
1 ¿Existe un marco de referencia x
para la evaluación sistemática de
los riesgos a los que está
 expuesta la infraestructura
tecnológica de la institución?
OBJETIVO DE CONTROL PO9.2 Establecimiento del Contexto del Riesgo:
¿Se realiza la evaluación de los
riesgos que pueden afectar la
2 infraestructura tecnológica x
mediante la utilización de una
metodología?
OBJETIVO DE CONTROL PO9.3 Identificación de eventos:
¿Se realiza actualización de los
diferentes tipos de riesgos que
3 x
pueden afectar la infraestructura
tecnológica?
OBJETIVO DE CONTROL PO9.4 Evaluación de los riesgos de TI:
¿Se utilizan métodos cualitativos o
cuantitativos para medir la
4 probabilidad e impacto de los x
riesgos que pueden afectar la
infraestructura tecnológica?
OBJETIVO DE CONTROL PO9.5 Respuesta a los riesgos:
¿Existe un plan de acción para
mitigar los riesgos de la
5 x
infraestructura tecnológica de
forma segura?
PO9.6 Mantenimiento y monitoreo de un plan de
OBJETIVO DE CONTROL
acción de riesgos:
¿Se monitorea el plan de acción
6 en contra de los riesgos de la x
infraestructura tecnológica?

Lista chequeo aplicado al proceso AI3 estándar CobIT: Adquirir y mantener

infraestructura tecnológica

LISTA CHEQUEO
AI3 Adquirir y mantener
Adquirir e implementar
DOMINIO PROCESO infraestructura
(AI)
tecnológica
AI3.1 Plan de adquisición de infraestructura
OBJETIVO DE CONTROL
tecnológica
CONFORME
Nº ASPECTO EVALUADO SI NO OBSERVACIÓN
 ¿Cuentan con un plan de
adquisición, para adquirir,
1 X
implementar y mantener recursos
de Infraestructura Tecnológica?
¿El plan considera extensiones
futuras para adiciones de
capacidad, costos de transición,
2 x
riesgos tecnológicos y vida útil de
la inversión para actualizaciones
de tecnología?
¿La institución cuenta con un
3 inventario de infraestructura x
tecnológica?
¿En el inventario se registran los
equipos informáticos existentes?
4 x
(marca, modelo, ubicación, fecha
de adquisición, capacidad, etc.)
AI3.2 Protección y Disponibilidad del Recurso de
OBJETIVO DE CONTROL
Infraestructura
¿Se registra el uso, se mantiene
5 un control y seguridad sobre el x
hardware y software?
¿Existen normas de control
interno donde se garantice la
6 x
protección de los recursos para su
disponibilidad e integridad?
¿Cuentan con un manual de
7 x
funciones?
OBJETIVO DE CONTROL AI3.3 Mantenimiento de la Infraestructura.
¿Cuentan con un plan de
8 mantenimiento de la x
infraestructura tecnológica?
¿Dentro del plan de
9 mantenimiento se garantiza el x
control de cambios?
¿Software (Microsoft office,
antivirus, sistema operativo,
10 x En algunos casos
aplicativos) licenciado y
actualizado?
11 ¿Se hace mantenimiento x Algunos equipos
periódicamente a la carecen de
infraestructura? (computador mantenimiento
sobremesa, computador portátil,
extintores, servidores, cableado
red, impresoras, enrutadores,
 reguladores, etc.)
¿Se realizan revisiones a los PCs
12 con el fin de detectar software x
malicioso?
¿Los equipos se encuentran Algunos equipos no se
13 x
operando? encuentran operando
FORMATO ENTREVISTA

Las entrevistas pueden ser aplicadas al inicio para conocer aspectos generales de
los procesos que se van a evaluar, generalmente las entrevistas recogen la
opinión de algunas de las personas que conozcan el proceso y que me puedan
responder con claridad las preguntas que se hayan preparado para la entrevista.

Es importante determinar a quienes se aplicará la entrevista y los cuestionarios, ya

que no se pueden aplicar a todos los auditados sino solamente al personal que
conozca los aspectos que se vayan a evaluar.

Para la entrevista se debe determinar primero los temas sobre los cuales va a
girar la entrevista y en cada uno de los temas se debe elaborar preguntas
puntuales con la intención de descubrir más riesgos de los que ya se han
encontrado en las visitas realizadas a la empresa auditada.

ENTIDAD DISPROPAN S.A.S. PAGINA

REF: E1
AUDITADA 1D 1
E
OBJETIVO Conocer los problemas relacionados con el hardware y software
AUDITORÍA en las aulas de informática
PROCESO AI3: Adquirir y mantener la arquitectura tecnológica
AUDITADO
RESPONSABLE Nombre Auditor Responsable
MATERIAL DE SOPORTE COBIT
DOMI Adquirir e Implementar - PROCE AI3: Adquirir y mantener la
NIO AI SO arquitectura tecnológica

ENTREVISTADO
CARGO

Tema 1: Hardware y equipos de cómputo

1. ¿Las características del equipo son suficientes para el desempeño de su
trabajo?
_______________________________________________________________
2. ¿Qué hace en caso de que el equipo falle? ¿a quién acude?
______________________________________________________________
3. ¿Cuántos Mantenimiento se le han realizado al equipo?
______________________
4. ¿Qué nivel de conocimientos tiene en el manejo de un Computador y/o Móvil?
_______________________________________________________________

Tema 2: Software SYSCAFE

5. ¿Ud. maneja el software de SYSCAFE? ______________________________

6. ¿Ud. Ha recibido asesoramiento o capacitación sobre el manejo de
SYSCAFE?
_______________________________________________________________
7. ¿Qué procesos de SYSCAFE utiliza?
____________________________________
8. ¿Conoce y ha hecho uso del manual de SYSCAFE?
________________________
9. ¿Ha tenido problemas con el Software SYSCAFE? ¿Cuáles?
_____________________________________________
10. ¿Cómo resuelve los problemas encontrados en el Software SYSCAFE?
_________
11. ¿Cuál es el tiempo máximo en solucionar el problema de SYSCAFE?
___________

NOMBRE ENTREVISTADO AUDITOR RESPONSABLE

FIRMA FIRMA
 FORMATO CUESTIONARIO

Aulas De Informática Facultad De Ingeniería

Cuestionario de Control: C1
Dominio Adquisición e Implementación
Proceso AI3: Adquirir y mantener la arquitectura tecnológica

Pregunta Si No OBSERVACION
ES
¿Se cuenta con un inventario de equipos de 4
cómputo?
¿Si existe inventario contiene los siguientes
ítems?
Número del computador
Fecha
Ubicación
Responsable
Características(memoria, procesador, monitor,
disco duro)
Se lleva una hoja de vida por equipo
¿La hoja de vida del equipo tiene los datos? 5
Numero de hoja de vida
Número del computador correspondiente
Falla reportada
Diagnóstico del encargado
Solución que se le dio
¿Se posee un registro de fallas detectadas en los 4
equipos?
¿En el registro de fallas se tiene en cuenta con los
siguientes datos?
Fecha
Hora
Número de registro
Número del computador
Encargado
¿Al momento de presentar una falla en el equipo, De 1 a 5 dias
la atención que se presta es?
Inmediata
De una a 24 horas
 De un día a 5 días
Más de 5 días
¿Se cuenta con servicio de mantenimiento para 4 Semestral
todos los equipos?
¿Qué tipo de mantenimiento se lleva a cabo? Correctivo
Mantenimiento preventivo
Mantenimiento correctivo
¿Profesores y/o estudiantes pueden instalar y 4
desinstalar programas en el computador?
¿Al finalizar el horario de clase en dichas aulas, se 3
hace una revisión de los equipos?
¿El personal que se encarga del mantenimiento es 4
personal capacitado?
¿Se lleva un procedimiento para la adquisición de 3
nuevos equipos?
¿La infraestructura tecnológica de los equipos 3
soporta la instalación de diferentes sistemas
operativos?
¿Son compatibles software y hardware? 5
TOTALES 19 20

La escala de calificación de cada una de las preguntas va de 1 hasta 5, la

calificación puede ir en el SI, en el NO, donde 1 significa que no es importante
tener el control para el auditor y 5 significa que es importante que se tenga el
control, el auditor debe tratar de dar estas calificaciones lo más objetivamente
posible para aplicar la fórmula y calcular el porcentaje de riesgo.

Las equivalencias utilizadas para la puntuación serán de uno a cinco, siendo uno
el valor mínimo considerado de poca importancia y cinco el máximo considerado
de mucha importancia.

PORCENTAJE DE RIESGO: Hace referencia a la probabilidad de que el proceso

se vea afectado por las acciones de las cuales se está indagando, entre mas alto
el porcentaje mayor probabilidad de riesgo tiene el proceso de salir perjudicado.

PREGUNTA: Espacio donde se indicara la descripción de la consulta de la cual se

indagara.

SI – NO: Posibilidades de respuesta, cumple, no cumple, o no aplica para la

entidad.

El cálculo de este porcentaje se hace de la siguiente forma:

Porcentaje de riesgo parcial = (Total SI * 100) / Total

 Porcentaje de riesgo = 100 - Porcentaje de riesgo parcial

Porcentaje de riesgo parcial = (19 * 100) / 39 = 48.71

Porcentaje de riesgo = 100 – 48.71 = 51.28

Para determinar el nivel de riesgo total, se tiene en cuenta la siguiente

categorización:

1% - 30% = Riesgo Bajo

31% - 70% = Riesgo Medio
71% - 100% = Riesgo Alto

RIESGO:

Porcentaje de riesgo parcial: ¿ 48,71 %

Porcentaje de riesgo = 51,28
Impacto según relevancia del proceso: Riesgo Medio

El ejemplo completo de la auditoría esta en el blog diseñado para el curso

Solarte, F. N. J. (2011, 30 de noviembre). Auditoría informática y de

sistemas. Recuperado de
http://auditordesistemas.blogspot.com.co/2011/11/conceptos.html