Documentos de Académico
Documentos de Profesional
Documentos de Cultura
RE
CUADRO DE DEFINICION DE FUENTES DE F
CONOCIMIENTO, PRUEBAS DE ANALISIS DE
AUDITORIA
ENTIDAD PAGINA
Empresa Altycom
AUDITADA 1 DE 1
PROCESO
Definir los procesos, organización y relaciones de TI.
AUDITADO
RESPONSABLE Alejandro Cifuentes
MATERIAL DE
COBIT 4.1
SOPORTE
DOMINIO Planeación y Organización (PO)
PO04 Definir los procesos, organización y relaciones de TI
PROCESO
ENTREVIS
TA
PO Definir los
Planeación y
DOMINI PROCES procesos, organización
Organización
O O y relaciones de TI
(DS)
OBJETIVO DE
CONTROL
N CUESTI RESPUESTA
º ÓN
¿Cuál es el personal encargado de la Existe un contrato de prestación de
tecnología de la información, cuáles servicio para la realización del
1 son sus funciones y mantenimiento preventivo del
responsabilidades? equipo en toda la empresa.
LISTA
CHEQUEO
PO Definir los
Planeación y
DOMINI PROCESO procesos, organización
Organización
O y relaciones de TI
(PO)
PO4.8 Responsabilidad sobre el Riesgo, la
OBJETIVO DE Seguridad y el Cumplimiento
CONTROL
CONFO
N ASPECTO EVALUADO RME OBSERVACIÓN
º SI N
O
¿Existe una metodología para
1 establecer la propiedad y X Existen contratos
responsabilidad de riesgos de TI? de prestación
de servicios.
¿Cuál es la seguridad que existe
2 para la protección de la X
información?
¿Cuáles son las políticas de
3 cumplimiento de los encargados de X
la protección de la información?
OBJETIVO DE CONTROL
N PREGUNT S N NA REF
A I O
1 ¿El personal encargado de la tecnología de 4
la información, está capacitado para
cumplir con las funciones?
2 ¿Existe alguna metodología para 3
establecer propiedad y responsabilidad
con los riesgos relacionados con TI?
3 ¿Se realiza la evaluación de los riesgos 3
que pueden afectar la infraestructura
tecnológica mediante la utilización de una
metodología?
4 ¿La dependencia de TI, cuenta con las 4
herramientas que les permitan enfrentar
sus responsabilidades y de propiedad
sobre los datos y sistemas de información?
TOTAL 1 7
4
TOTAL 20
CUESTIONARIO
Porcentaje de riesgo parcial = (14 * 100) / 20 = 70
Porcentaje de riesgo total = 100 – 70 = 30%
PORCENTAJE 30% (Riesgo Medio)
RIESGO
Probable (4) R3
Una vez se tiene la matriz de riesgos aplicada a cada uno de los procesos se indica las
acciones que pueden realizarse para el tratamiento de los riesgos de acuerdo con la
siguiente tabla donde se indica por cada color, el tratamiento que se puede aplicar en cada
caso.
R2, R1, R3, Zona de riesgo Extremo: Dotar capacitaciones al personal, para minimizar
R7, R8 riesgos
A continuación, se presentan los dominios, procesos y objetivos de control relacionados
directamente con el objetivo y los alcances determinados en el plan de auditoría.
Dominio: Planeación Y Organización (PO). Este dominio cubre las estrategias y las
tácticas, tiene que ver con identificar la manera en que las tecnologías de información
pueden contribuir de la mejor manera al logro de los objetivos de una entidad. Para ello los
procesos que se realizaran y los objetivos de control que se van a evaluar son los siguientes:
PO4 Definir los Procesos, Organización y Relaciones de TI: Dentro del área de sistemas
debe estar claro y definido el personal de la tecnología de la información, los roles, las
funciones y responsabilidades, permitiendo el buen funcionamiento de servicios que
satisfagan los objetivos de la empresa.
El tratamiento de los riesgos hace referencia a la acción que se deberá ejecutar de acuerdo
al nivel de probabilidad y ocurrencia de los riesgos encontrados, en este sentido los riesgos
pueden ser aceptados, transferidos o se debe ejercer controles sobre ellos. Para los riesgos
que se encuentran en color verde (debajo de la diagonal) como son de baja probabilidad e
impacto leve, y no causan mayores daños a la organización generalmente se aceptan, para
los riesgos que están en color amarillo (diagonal) y los riesgos que están en color rojo
(encima de la diagonal) cuya probabilidad es media o alta y el impacto es moderado o
catastrófico se debe transferir o ejercer controles. Aceptarlo significa convivir con el riesgo,
transferirlo significa que otra empresa o personal especializado se haga cargo de esos
riesgos y la empresa paga por ese servicio y ejercer control significa que debo proponer
controles para esos riesgos.
De acuerdo a los resultados anteriores, y para los riesgos que se deban ejercer controles,
elaborar un cuadro mostrando los riesgos en una columna, y otra con los controles
propuestos y el tipo (preventivo, detectivo, correctivo, o de recuperación) propuestos para
minimizar el impacto y probabilidad de ocurrencia.
Una vez se haya definido los riesgos a los cuales se les debe ejercer controles, se pasan al
cuadro definiendo el control o controles y el tipo que deben implementarse para poder
controlarlo. En cuanto a los tipos de control estos pueden ser preventivos, detectivos,
correctivos y de recuperación, los controles preventivos servirán para prevenir que los
riesgos se concreten y ocasionen daños, los controles detectivos se utilizan para detectar el
momento exacto en que está concretándose los riesgos y los controles correctivos se
implementan una vez haya concretado el riesgo y haya ocasionado los daños. Para un
riesgo se pueden definir uno o varios controles, por ejemplo un riesgo puede definirse
controles preventivos y correctivos, o preventivos solamente, o preventivos y detectivos y
correctivos.
un
sistema
de
identificación
de
empleados, visitantes,
estudiantes
y
docentes.
No existe Preventivo Elaborar políticas de administración
una y organización de la información, lo
metodología cual se podría realizar a través de la
contratación de sistemas con
que manejo de servidores y seguridad
permita establecer para la realización de esta labor.
la
propiedad
y
responsabilidad
de
riesgos.
No cuenta con un Preventivo Control en el manejo de la
sistema de control para información analizando el alcance
mitigar riesgos. que debe tener cada empleado para
poder cumplir con el desarrollo de
sus labores.
Tabla Hallazgo 1
REF
HALLAZGO 1
R10
PROCESO Definir los procesos, organización y PÁGINA
AUDITADO relaciones de TI. 1 DE 1
MATERIAL DE
COBIT
SOPORTE
DESCRIPCIÓN:
Dentro del área de TI se deben tener definidas las funciones y responsabilidades, que
cumple cada uno de los empleados, para que de esta manera se permita buen
desempeño, para que satisfagan los propósitos de la empresa.
CAUSAS:
CONSECUENCIAS:
Probabilidad de ocurrencia: ¿ 70 %
Impacto según relevancia del proceso: Alto
RECOMENDACIONES:
Delegar personal para que cumpla las funciones de supervisor, en caso de que se
presente alguna irregularidad.
Elaborar e implementar políticas y procedimientos que permitan mitigar los
riesgos que puedan afectar el sistema.
DICTAMEN:
Se califica un nivel de madurez 2 REPATIBLE, por cuanto los procesos,
organización y relaciones del área de informática de la empresa, están
estandarizados de una manera regular, pero falta mayor conocimiento por parte de
los empleados que tiene acceso al área, con respecto a la metodología utilizada
para mitigar los riesgos que puedan afectar el sistema