CUADRO DE DEFINICION DE FUENTES DE CONOCIMIENTO y PRUEBAS DE

ANALISIS Y EJECUCCIÓN

REF
FUENTES DE CONOCIMIENTO, PRUEBAS DE ANALISIS DE AUDITORIA

PAGINA
ENTIDAD AUDITADA Empresa de Telefonía móvil CLARO
1 DE 1
PROCESO
Contratación TI
AUDITADO
Lina Marcela Ramírez, Brayan Alexis Pedraza, Erika Esmeralda
RESPONSABLE
Meneses.
MATERIAL DE
COBIT
SOPORTE
DOMINIO Planeación y Organización (PO)
PROCESO PO7 Administrar Recursos Humanos de TI

REPOSITORIO DE PRUEBAS APLICABLES

FUENTES DE CONOCIMIENTO
DE ANALISIS DE EJECUCION
Los formularios web
Los datos utilizados como son herramientas que
Mediante una serie de
fuente de conocimiento y permiten ser
pruebas de observación
base de la empresa de aplicadas al recurso
al recurso humano de la
telefonía móvil CLARO se humano y a algunos
empresa, se pretende
clientes de la
tomaron de la página web establecer las posibles
empresa, permitiendo
https://www.elempleo.com/ falencias que presenta
reflejar si se está
sitios- en lo pertinente al
cumpliendo con la
cumplimiento de roles,
empresariales/colombia/cl objetividad de la
entrenamiento y
aro- misma, para
evaluación de
colombia/quienes_somos. establecer estrategias
desempeño.
administrativas de
asp
aplicación.

AUDITOR RESPONSABLE:
Lina Marcela Ramírez Carvajal
 LISTA CHEQUEO
PO7 Administrar
Planear y Organizar
DOMINIO PROCESO Recursos Humanos
(PO)
de TI
OBJETIVO DE CONTROL PO7.3 Asignación de Roles:
CONFORME
Nº ASPECTO EVALUADO SI NO OBSERVACIÓN
¿Existe un organigrama
institucional que permita conocer y
establecer los diferentes roles que
1 x
deben cumplir los funcionarios
según el área donde se
encuentren ubicados?
OBJETIVO DE CONTROL PO7.4 Entrenamiento del Personal de TI:
¿Se realiza entrenamiento,
capacitación oportuna e inducción
2 a los funcionarios que ingresan a x En algunos casos
la empresa o son cambiados de
puesto de trabajo?
OBJETIVO DE CONTROL PO7.7 Evaluación del Desempeño del Empleado:
¿Se realiza evaluación de
desempeño periódica y anual
No hay soportes de la
3 dejando los respectivos soportes x
aplicación.
de la aplicación, a todo el recurso
humano de la empresa?

FORMATO ENTREVISTA

ENTIDAD PAGINA
AUDITADA Empresa de telefonia móvil CLARO
1 DE 1
OBJETIVO Conocer los problemas relacionados con la ejecución de los
AUDITORÍA procesos administrativos y de software para el mejoramiento
continuo y la prestación del servicio a los usuarios.
PROCESO
PO7: Administrar Recursos Humanos de TI
AUDITADO
RESPONSABLE Lina Marcela Ramírez
MATERIAL DE SOPORTE COBIT
DOMINIO Planear y Organizar PROCESO PO7: Administrar Recursos
(PO) Humanos de TI

ENTREVISTADO AZUCENA GOMEZ LIZ

CARGO Técnico Operativo de la oficina de sistemas

Tema 1: Hardware, Software y equipos de cómputo

1. ¿Cuenta con las herramientas (hardware y software) necesarias para el

desempeño de las funciones?
Si, la empresa cuenta con equipos nuevos y programas con licencia.
2. ¿El equipo de cómputo asignado se encuentra actualizado y en buen estado?
Sí, me asignaron un equipo de cómputo nuevo.
3. ¿Cuántas capacitaciones ha recibido para el manejo de los programas de la
dependencia?
La inducción, el manejo de los programas y una actualización en TI.
4. ¿Qué nivel de conocimientos tiene en el manejo de un Computador y/o Móvil?
Tengo un nivel conocimientos básicos, espero poder aprender mucho más.

Tema 2: Atención a usuarios

5. ¿Usted da respuesta oportuna a los usuarios cuando recibe una solicitud?

Sí, todo depende del orden en el cual son recibidas.
6. ¿Usted ha recibido capacitaciones en atención al cliente?
Si, cuando ingrese a la empresa.
7. ¿Cuántas solicitudes atiende al día?
Un promedio entre 15 y 20 solicitudes al día
8. ¿Qué tipo de atención brinda a los usuarios?
Asistencia técnica personalizada o telefónica según corresponda
9. ¿Ha tenido problemas con los usuarios al momento de prestar atención
personalizada o telefónica?
Si, algunos usuarios se exaltan con facilidad al no poder solucionar
inmediatamente sus problemas con el sistema o por daños en los equipos.
10. ¿Cómo resuelve los problemas que se han presentado?
Procuro ser honesto con el cliente para que comprenda la situación y los casos
más complejos son remitidos al jefe del área para dar solución.
11. ¿Cuál es el tiempo máximo en solucionar o dar respuesta a un requerimiento
recibido por parte de un usuario?
Se procura dar respuesta una vez es recibido, pero normalmente contamos
con 3 o 4 días hábiles para proporcionar una solución.

AZUCENA GOMEZ LIZ LINA MARCELA RAMIREZ

Entrevistado Auditor Responsable
Firma Firma

FORMATO CUESTIONARIO

Oficina de Sistemas de la Empresa CLARO

Cuestionario de Control: C1
Dominio Planear y Organizar (PO)
Proceso PO7: Administrar Recursos Humanos de TI
 Pregunta Si No OBSERVACIONES
¿La empresa cuenta con el personal necesario 4 Algunos
para atender las solicitudes recibidas? funcionarios deben
apoyar otros
procesos.
¿Los empleados conocen y aplican los 4
acuerdos de confidencialidad de la información
de la empresa?
¿Existe un programa de bienestar laboral en la 3
empresa?
¿Los funcionarios se encuentran vinculados a 3
un programa de bienestar laboral?
¿Las pausas activas se realizan según 4 Solo cuando la
corresponde? demanda laboral es
menor.
¿Las capacitaciones de actualización de TI se 3 Solo en algunos
realizan periódicamente? casos.
¿El entorno laboral hace posible una 3 Hay funcionarios
convivencia adecuada? que indisponen el
entorno laboral.
¿La empresa realiza la evaluación de 4 Ocasionalmente
desempeño a todos los funcionarios? cuando no se
cumplen las metas.
¿Los funcionarios cuentan con un puesto de 3 Algunos
trabajo y condiciones adecuadas para el compañeros
desempeño de sus funciones? comparten puestos
de trabajo.
¿Ante la ausencia injustificada de un funcionario 4 Asignan un
que la empresa toma alguna medida? funcionario en
Indagan al respecto remplazo por la
Asignan un funcionario en remplazo por la ausencia.
ausencia
Despiden al funcionario
No hacen nada
¿La empresa hace seguimiento al cumplimiento 4 Existen algunas
del horario laboral por parte de todos los excepciones.
funcionarios?
TOTALES 18 21

La escala de calificación de cada una de las preguntas va de 1 hasta 5, la

calificación puede ir en el SI, en el NO, donde 1 significa que no es importante
tener el control para el auditor y 5 significa que es importante que se tenga el
control, el auditor debe tratar de dar estas calificaciones lo más objetivamente
posible para aplicar la fórmula y calcular el porcentaje de riesgo.
Las equivalencias utilizadas para la puntuación serán de uno a cinco, siendo uno
el valor mínimo considerado de poca importancia y cinco el máximo considerado
de mucha importancia.

PORCENTAJE DE RIESGO: Hace referencia a la probabilidad de que el proceso

se vea afectado por las acciones de las cuales se está indagando, entre mas alto
el porcentaje mayor probabilidad de riesgo tiene el proceso de salir perjudicado.

PREGUNTA: ¿Cuál es la probabilidad de que la empresa CLARO no preste una

atención oportuna los usuarios a raíz de la administración del recurso humano?

SI – NO: Posibilidades de respuesta, cumple, no cumple, o no aplica para la

entidad.

El cálculo de este porcentaje se hace de la siguiente forma:

Porcentaje de riesgo parcial = (Total SI * 100) / Total

Porcentaje de riesgo = 100 - Porcentaje de riesgo parcial

Porcentaje de riesgo parcial = (18 * 100) / 39 = 46,15%

Porcentaje de riesgo = 100 – 46,15 = 53,85%

Para determinar el nivel de riesgo total, se tiene en cuenta la siguiente

categorización:

1% - 30% = Riesgo Bajo

31% - 70% = Riesgo Medio
71% - 100% = Riesgo Alto

RIESGO:

Porcentaje de riesgo parcial: ¿ 46,15 %

Porcentaje de riesgo = 53,85%
Impacto según relevancia del proceso: Riesgo Medio

FORMATO CUESTIONARIO PARA SEGUIMIENTO

Oficina de Sistemas de la Empresa CLARO

Cuestionario de servicio requeridos
Dominio Planeación y Organización (PO). Este dominio cubre las
estrategias y las tácticas, tiene que ver con identificar la manera
en que las tecnologías de información pueden contribuir de la
mejor manera al logro de los objetivos de una entidad.
Proceso Evaluar el servicio de la empresa claro
Pregunta Si No OBSERVACIONES
¿Existen soportes de auditorías
3
realizadas anteriormente?
¿Los hallazgos encontrados en las Solo algunos
auditorias anteriores fueron 3 hallazgos.
subsanados?
¿Existen archivos físicos o digitales
que permitan verificar la
4
información general (hojas de vida)
del recurso humano de la empresa?
¿Se cuenta con registros históricos
que evidencien la prestación del 4
servicio a los usuarios?
¿Se cuenta con registros físicos de
las capacitaciones, talleres de
3
actualización e inducción realizada a
funcionarios?
TOTALES 7 10

Porcentaje de riesgo parcial = (Total SI * 100) / Total

Porcentaje de riesgo = 100 – Porcentaje de riesgo parcial
Porcentaje de riesgo parcial = (7* 100) / 17 = 41,17%
Porcentaje de riesgo = 100 – 41,17 = 58,83%

Para determinar el nivel de riesgo total, se tiene en cuenta la siguiente

categorización:

1% - 30% = Riesgo Bajo

31% - 70% = Riesgo Medio
71% - 100% = Riesgo Alto
RIESGO:

Porcentaje de riesgo parcial: ¿ 4 1,17 %

Porcentaje de riesgo = 58,83%
Impacto según relevancia del proceso: Riesgo Medio

Elaborar un cuadro de las vulnerabilidades, amenazas y riesgos detectados

para cada proceso evaluado aplicándolos en el proceso de seguridad en la
información

VULNERABILIDADES, AMENAZAS Y RIESGOS DETECTADOS

R1 Falta de recurso humano en la empresa

Los empleados no cuentan con las capacitaciones y actualización de

R2
información necesaria para el desempeño de las actividades.

R3 Aún existen hallazgos de auditorías anteriores sin resolver.

No se cuenta con estrategias que permitan brindar información y solución

R4
oportuna a los requerimientos de los usuarios.

No existe un control al cumplimiento de las funciones y el horario laboral de

R5
la totalidad de los empleados.

R6 Perdida de información histórica de la empresa.

La empresa no tiene asignado un puesto de trabajo por cada empleado, para

R7
garantizar la prestación de los servicios.

R8 Solo se cuenta con atención personalizada y telefónica

Los funcionarios de la oficina de sistemas deben remplazar a aquellos que se

R9
ausentan de sus labores.
Realizar el análisis y evaluación de riesgos para cada proceso asignado
aplicándolos en el proceso de seguridad en la información

ANALISIS Y EVALUACIÓN DE RIESGOS

Probabilidad   Impacto
N° Descripción Baja Media Alta   Leve Moderado Catastrófico
Falta de recurso humano en la  
R1 X   X
empresa
 
Los empleados no cuentan con
 
las capacitaciones y  
R2 actualización de información X   X
necesaria para el desempeño  
de las actividades.  

Aún existen hallazgos de

R3 auditorías anteriores sin X X
resolver.

No se cuenta con estrategias

que permitan brindar
R4 información y solución X X
oportuna a los requerimientos
de los usuarios.

No existe un control al
cumplimiento de las funciones
R5 y el horario laboral de la X X
totalidad de los empleados.

R6 Perdida de información X X
 histórica de la empresa.

La empresa no tiene asignado

un puesto de trabajo por cada
R7 empleado, para garantizar la X X
prestación de los servicios.

Solo se cuenta con atención

R8 personalizada y telefónica X X

Los funcionarios de la oficina

de sistemas deben remplazar a
R9 aquellos que se ausentan de X X
sus labores.

Elaborar la matriz de riesgos de cada proceso evaluado aplicándolos en el

proceso de seguridad en la información

RESULTADO MATRIZ DE RIESGOS

R1, R2, R3, R5,

Alto 61-100% R7
R6, R8, R9
Medio 31-60% R4
PROBABILIDAD
Bajo 0-30%
LEVE MODERADO CATASTRÓFICO
IMPACTO

MATRIZ PARA MEDICIÓN DE PROBABILIDAD E IMPACTO DE RIESGOS

Zona de Riesgo Zona de riesgo Zona de riesgo
Alto 61-100%
Moderado Importante Inaceptable

Zona de Riesgo Zona de Riesgo Zona de Riesgo

Medio 31-60%
PROBABILIDAD tolerable moderado importante

Zona de Riesgo Zona de Riesgo Zona de Riesgo

Bajo 0-30%
aceptable tolerable moderado
  LEVE MODERADO CATASTRÓFICO
IMPACTO

Elaborar el cuadro de tratamiento de riesgos para cada proceso evaluado.

 ID. TRATAMIENTO
DESCRIPCIÓN RIESGO
RIESGO RIESGO
R1 Falta de recurso humano en la empresa Aceptarlo
R2 Los empleados no cuentan con las capacitaciones y Controlarlo
actualización de información necesaria para el
desempeño de las actividades.

R3 Aún existen hallazgos de auditorías anteriores sin Controlarlo

resolver.

R4 No se cuenta con estrategias que permitan brindar Aceptarlo

información y solución oportuna a los requerimientos
de los usuarios.

R5 No existe un control al cumplimiento de las funciones Aceptarlo

y el horario laboral de la totalidad de los empleados.

R6 Perdida de información histórica de la empresa. Controlarlo

R7 La empresa no tiene asignado un puesto de trabajo Transferirlo
por cada empleado, para garantizar la prestación de
los servicios.

R8 Solo se cuenta con atención personalizada y Transferirlo

telefónica

R9 Los funcionarios de la oficina de sistemas deben Controlarlo

remplazar a aquellos que se ausentan de sus labores.