Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Formato de Hallazgos y Definición de Controles
Formato de Hallazgos y Definición de Controles
entregados anteriormente en el trabajo colaborativo 2 para cada uno de los procesos CobIT
auditados
El tratamiento de los riesgos hace referencia a la acción que se deberá ejecutar de acuerdo con el nivel de probabilidad y
ocurrencia de los riesgos encontrados, en este sentido los riesgos pueden ser aceptados, transferidos o se debe ejercer
controles sobre ellos. Para los riesgos que se encuentran en color verde (debajo de la diagonal) como son de baja probabilidad
e impacto leve, y no causan mayores daños a la organización generalmente se aceptan, para los riesgos que están en color
amarillo (diagonal) y los riesgos que están en color rojo (encima de la diagonal) cuya probabilidad es media o alta y el impacto
es moderado o catastrófico se debe transferir o ejercer controles. Aceptarlo significa convivir con el riesgo, transferirlo significa
que otra empresa o personal especializado se haga cargo de esos riesgos y la empresa paga por ese servicio y ejercer control
significa que debo proponer controles para esos riesgos.
Primero hay que elaborar el cuadro de hallazgos para cada uno de los riesgos cuyo tratamiento sea controlarlo
o reducirlo mediante controles, los riesgos que deban transferirse o que deban eliminarse o evitarse. En el
formato se describe cada uno de los riesgos detectado y probado que se convierte el hallazgo, las posibles
causas que lo originan, las consecuencias que puede traer de llegar a ocurrir, el nivel de riesgo en que se
encuentra el proceso y las posibles soluciones o controles (preventivas, detectivas, correctivas). A
continuación, se presenta el formato de hallazgos y un ejemplo aplicado.
A continuación se presenta la descripción de los contenidos del formato, para tener claridad de la infrmación
que debe registarse:
FORMATO DE HALLAZGOS
En este formato se describe las inconsistencias encontradas. Esta información será desglosada de la siguiente manera:
ENTIDAD AUDITADA: En este espacio se indicará el nombre de la entidad a la cual se le está realizando el proceso de
auditoría.
PROCESO AUDITADO: En este espacio se indicará el nombre del proceso objeto de la auditoria, para el caso será
Contratación TI.
RESPONSABLES: En este espacio se indicarán los nombres del equipo auditor que está llevando a cabo el proceso de
auditoría.
MATERIAL DE SOPORTE: En este espacio se indicará el nombre del material que soporta el proceso,
para el caso será COBIT.
DOMINIO: Espacio reservado para colocar el nombre del dominio de COBIT que se está evaluando.
PROCESO: Espacio reservado para el nombre del proceso en específico que se está auditando dentro de los dominios
del COBIT.
HALLAZGO: Aquí se encontrará la descripción de cada hallazgo, así como la referencia al cuestionario cuantitativo que
lo soporta.
CONSECUENCIAS Y RIESGOS: En este apartado se encuentra la descripción de las consecuencias del hallazgo, así
como la cuantificación del riesgo encontrado.
EVIDENCIAS: Aquí encontramos en nombre de la evidencia y el número del anexo donde ésta se encuentra o si es una
entrevista o cuestionario en que cuestionario se encuentra.
RECOMENDACIONES: En este último apartado se hace una descripción de las recomendaciones que el equipo auditor
ha presentado a las entidades auditadas.
REF
HALLAZGO
PÁGINA
PROCESO AUDITADO Funcionamiento del aspecto físico de la red de datos
1 DE 1
RESPONSABLE
DESCRIPCIÓN HALLAZGO:
CAUSAS:
CONSECUENCIAS:
RECOMENDACIONES:
EVIDENCIAS O REFERENCIA DEL PAPEL DE TRABAJO(REF_PT):
A continuación se muestra el ejemplo aplicado de un hallazgo diligenciado con la información en cada celda y en su
contenido
Ejemplo Hallazgos
Tabla Hallazgo 1
REF
HALLAZGO 1
HHDN_O1
PÁGINA
PROCESO AUDITADO Funcionamiento del aspecto físico de la red de datos
1 DE 1
DESCRIPCIÓN:
No existe un grupo encargado de evaluar y estudiar el desempeño de la red de datos en su aspecto físico.
No existen políticas ni procedimientos relacionados con la conformación adecuada de la arquitectura y del aspecto
físico de la red de datos.
Esto es debido a la falta del manual de funciones donde se especifique el personal a cargo de la red de datos ni los
procedimientos que se realizaran por parte de los funcionarios.
CAUSAS: XXXXXXXXXXX
CONSECUENCIAS:
Al no existir un grupo encargado de evaluar y estudiar el desempeño del aspecto físico de la red de datos se pierde
la claridad para tomar decisiones pertinentes en caso de un desempeño no aceptado de la red de datos.
Al no existir políticas ni procedimientos relacionados con la conformación de la arquitectura y del aspecto físico de
la red de datos se pierde la opción de ajustar a las condiciones adecuadas que necesita la entidad los servicios de
red de datos.
Conformar un grupo determinado de funcionarios que evalúen y estudien el desempeño de la red física de datos
para con ello tomen decisiones oportunas y adecuadas en la eventualidad de no cumplir objetivos planteados.
Elaborar e implementar políticas y procedimientos relacionados con la conformación de la arquitectura y del
aspecto físico de la red de datos para ajustar los servicios de red a las necesidades propias que necesite la entidad.
EVIDENCIAS - REF_PT:
CUESTIONARIOS_CHDN/PLAN_PO1(ANEXO 1)
E_AUDIO/A_CHDN_01
Cuadro de Controles
Posteriormente se toma cada uno de los controles o recomendaciones en los hallazgos y se elabora el formato
de las posibles soluciones solicitado, en el formato debe ir nuevamente el riesgo o hallazgo, el tipo de control y la
descripción de los controles propuestos. En cuanto a los tipos de control estos pueden ser preventivos,
detectivos, correctivos y de recuperación, los controles preventivos servirán para prevenir que los riesgos se
concreten y ocasionen daños, los controles detectivos se utilizan para detectar el momento exacto en que está
concretándose los riesgos y los controles correctivos se implementan una vez haya concretado el riesgo y haya
ocasionado los daños. Para un riesgo se pueden definir uno o varios controles, por ejemplo un riesgo puede
definirse controles preventivos y correctivos, o preventivos solamente, o preventivos y detectivos y correctivos.