Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Diseño de Formatos de Auditoría 2020 I
Diseño de Formatos de Auditoría 2020 I
REF
FUENTES DE CONOCIMIENTO, PRUEBAS DE ANALISIS DE AUDITORIA
PAGINA
ENTIDAD AUDITADA
1 DE 1
PROCESO AUDITADO Funcionamiento del aspecto físico de la red de datos
RESPONSABLE
MATERIAL DE SOPORTE COBIT
DOMINIO AI Adquirir e Implementar
PROCESO AI3: Adquirir y mantener la arquitectura tecnológica
AUDITOR RESPONSABLE:
LISTA DE CHEQUEO
Las preguntas de las listas de chequeo se deben hacer teniendo en cuenta los
objetivos de control, que serán los controles que deben existir en el proceso y se
elabora preguntas sobre la existencia de dicho control, el auditor encargado de
evaluar el proceso será quien aplique la lista de verificación de controles o lista de
chequeo y de acuerdo con la respuesta se determina los hallazgos sobre la no
existencia de controles en el proceso.
Hay que tener en cuenta que las preguntas de la lista de chequeo son elaboradas
teniendo en cuenta los controles que deberían existir de acuerdo a la norma, por
cada control debe haber una o dos preguntas asociadas que indiquen si los
controles existen o no en la empresa evaluada.
Lista chequeo aplicado al proceso PO9 estándar CobIT: Evaluar y administrar los
riesgos de TI
LISTA CHEQUEO
PO9 Evaluar y
Planear y Organizar
DOMINIO PROCESO administrar los riesgos
(PO)
de TI
PO9.1 Marco de trabajo de administración de
OBJETIVO DE CONTROL
riesgos:
CONFORME
Nº ASPECTO EVALUADO SI NO OBSERVACIÓN
1 ¿Existe un marco de referencia x
para la evaluación sistemática de
los riesgos a los que está
expuesta la infraestructura
tecnológica de la institución?
OBJETIVO DE CONTROL PO9.2 Establecimiento del Contexto del Riesgo:
¿Se realiza la evaluación de los
riesgos que pueden afectar la
2 infraestructura tecnológica x
mediante la utilización de una
metodología?
OBJETIVO DE CONTROL PO9.3 Identificación de eventos:
¿Se realiza actualización de los
diferentes tipos de riesgos que
3 x
pueden afectar la infraestructura
tecnológica?
OBJETIVO DE CONTROL PO9.4 Evaluación de los riesgos de TI:
¿Se utilizan métodos cualitativos o
cuantitativos para medir la
4 probabilidad e impacto de los x
riesgos que pueden afectar la
infraestructura tecnológica?
OBJETIVO DE CONTROL PO9.5 Respuesta a los riesgos:
¿Existe un plan de acción para
mitigar los riesgos de la
5 x
infraestructura tecnológica de
forma segura?
PO9.6 Mantenimiento y monitoreo de un plan de
OBJETIVO DE CONTROL
acción de riesgos:
¿Se monitorea el plan de acción
6 en contra de los riesgos de la x
infraestructura tecnológica?
LISTA CHEQUEO
AI3 Adquirir y mantener
Adquirir e implementar
DOMINIO PROCESO infraestructura
(AI)
tecnológica
AI3.1 Plan de adquisición de infraestructura
OBJETIVO DE CONTROL
tecnológica
CONFORME
Nº ASPECTO EVALUADO SI NO OBSERVACIÓN
¿Cuentan con un plan de
adquisición, para adquirir,
1 X
implementar y mantener recursos
de Infraestructura Tecnológica?
¿El plan considera extensiones
futuras para adiciones de
capacidad, costos de transición,
2 x
riesgos tecnológicos y vida útil de
la inversión para actualizaciones
de tecnología?
¿La institución cuenta con un
3 inventario de infraestructura x
tecnológica?
¿En el inventario se registran los
equipos informáticos existentes?
4 x
(marca, modelo, ubicación, fecha
de adquisición, capacidad, etc.)
AI3.2 Protección y Disponibilidad del Recurso de
OBJETIVO DE CONTROL
Infraestructura
¿Se registra el uso, se mantiene
5 un control y seguridad sobre el x
hardware y software?
¿Existen normas de control
interno donde se garantice la
6 x
protección de los recursos para su
disponibilidad e integridad?
¿Cuentan con un manual de
7 x
funciones?
OBJETIVO DE CONTROL AI3.3 Mantenimiento de la Infraestructura.
¿Cuentan con un plan de
8 mantenimiento de la x
infraestructura tecnológica?
¿Dentro del plan de
9 mantenimiento se garantiza el x
control de cambios?
¿Software (Microsoft office,
antivirus, sistema operativo,
10 x En algunos casos
aplicativos) licenciado y
actualizado?
11 ¿Se hace mantenimiento x Algunos equipos
periódicamente a la carecen de
infraestructura? (computador mantenimiento
sobremesa, computador portátil,
extintores, servidores, cableado
red, impresoras, enrutadores,
reguladores, etc.)
¿Se realizan revisiones a los PCs
12 con el fin de detectar software x
malicioso?
¿Los equipos se encuentran Algunos equipos no se
13 x
operando? encuentran operando
FORMATO ENTREVISTA
Las entrevistas pueden ser aplicadas al inicio para conocer aspectos generales de
los procesos que se van a evaluar, generalmente las entrevistas recogen la
opinión de algunas de las personas que conozcan el proceso y que me puedan
responder con claridad las preguntas que se hayan preparado para la entrevista.
Para la entrevista se debe determinar primero los temas sobre los cuales va a
girar la entrevista y en cada uno de los temas se debe elaborar preguntas
puntuales con la intención de descubrir más riesgos de los que ya se han
encontrado en las visitas realizadas a la empresa auditada.
ENTREVISTADO
CARGO
Pregunta Si No OBSERVACION
ES
¿Se cuenta con un inventario de equipos de 4
cómputo?
¿Si existe inventario contiene los siguientes
ítems?
Número del computador
Fecha
Ubicación
Responsable
Características(memoria, procesador, monitor,
disco duro)
Se lleva una hoja de vida por equipo
¿La hoja de vida del equipo tiene los datos? 5
Numero de hoja de vida
Número del computador correspondiente
Falla reportada
Diagnóstico del encargado
Solución que se le dio
¿Se posee un registro de fallas detectadas en los 4
equipos?
¿En el registro de fallas se tiene en cuenta con los
siguientes datos?
Fecha
Hora
Número de registro
Número del computador
Encargado
¿Al momento de presentar una falla en el equipo, De 1 a 5 dias
la atención que se presta es?
Inmediata
De una a 24 horas
De un día a 5 días
Más de 5 días
¿Se cuenta con servicio de mantenimiento para 4 Semestral
todos los equipos?
¿Qué tipo de mantenimiento se lleva a cabo? Correctivo
Mantenimiento preventivo
Mantenimiento correctivo
¿Profesores y/o estudiantes pueden instalar y 4
desinstalar programas en el computador?
¿Al finalizar el horario de clase en dichas aulas, se 3
hace una revisión de los equipos?
¿El personal que se encarga del mantenimiento es 4
personal capacitado?
¿Se lleva un procedimiento para la adquisición de 3
nuevos equipos?
¿La infraestructura tecnológica de los equipos 3
soporta la instalación de diferentes sistemas
operativos?
¿Son compatibles software y hardware? 5
TOTALES 19 20
Las equivalencias utilizadas para la puntuación serán de uno a cinco, siendo uno
el valor mínimo considerado de poca importancia y cinco el máximo considerado
de mucha importancia.
RIESGO: