Inicialmente debe partir de la matriz de riesgos y del cuadro de tratamiento de los riesgos

entregados anteriormente en el trabajo colaborativo 2 para cada uno de los procesos CobIT
auditados

LEVE MODERADO CATASTROFICO

ALTO R3, R16 R10

MEDIO R14 R19 R24 R2, R4 R5 R6 R8 R13 R1 R12

R14
BAJO R17 R20 R22 R23 R7 R9 R15 R21

El tratamiento de los riesgos hace referencia a la acción que se deberá ejecutar de acuerdo con el nivel de probabilidad y
ocurrencia de los riesgos encontrados, en este sentido los riesgos pueden ser aceptados, transferidos o se debe ejercer
controles sobre ellos. Para los riesgos que se encuentran en color verde (debajo de la diagonal) como son de baja probabilidad
e impacto leve, y no causan mayores daños a la organización generalmente se aceptan, para los riesgos que están en color
amarillo (diagonal) y los riesgos que están en color rojo (encima de la diagonal) cuya probabilidad es media o alta y el impacto
es moderado o catastrófico se debe transferir o ejercer controles. Aceptarlo significa convivir con el riesgo, transferirlo significa
que otra empresa o personal especializado se haga cargo de esos riesgos y la empresa paga por ese servicio y ejercer control
significa que debo proponer controles para esos riesgos.

ID. Riesgo Descripción Riesgo Tratamiento Riesgo

R1 Uso inadecuado de los reguladores y falta de Controlarlo o reducirlo
mantenimiento de los mismos
R2 No existe sistema de protección contra cortocircuitos y Transferirlo
caídas de energía.
R3 Recarga defectuosa de los tóner de la impresora láser Controlarlo o reducirlo
R4 No existe políticas de administración y respaldo de Controlarlo o reducirlo
almacenamiento de la información
R5 No existe control ni restricciones para el manejo de la Controlarlo o reducirlo
 información.
R14 No se cuenta con privacidad suficiente en los sitios de Aceptarlo
trabajo
R15 No hay Etiquetas de identificación y control de puntos de Aceptarlo
red
R16 Los Patch cord de modem a switch son categoría 5 Eliminarlo
mientras la mayoría del cableado es categoría 5e y 6.

Primero hay que elaborar el cuadro de hallazgos para cada uno de los riesgos cuyo tratamiento sea controlarlo
o reducirlo mediante controles, los riesgos que deban transferirse o que deban eliminarse o evitarse. En el
formato se describe cada uno de los riesgos detectado y probado que se convierte el hallazgo, las posibles
causas que lo originan, las consecuencias que puede traer de llegar a ocurrir, el nivel de riesgo en que se
encuentra el proceso y las posibles soluciones o controles (preventivas, detectivas, correctivas). A
continuación, se presenta el formato de hallazgos y un ejemplo aplicado.

A continuación se presenta la descripción de los contenidos del formato, para tener claridad de la infrmación
que debe registarse:

FORMATO DE HALLAZGOS

En este formato se describe las inconsistencias encontradas. Esta información será desglosada de la siguiente manera:

REF: Se refiere al ID del elemento.

ENTIDAD AUDITADA: En este espacio se indicará el nombre de la entidad a la cual se le está realizando el proceso de
auditoría.

PROCESO AUDITADO: En este espacio se indicará el nombre del proceso objeto de la auditoria, para el caso será
Contratación TI.

RESPONSABLES: En este espacio se indicarán los nombres del equipo auditor que está llevando a cabo el proceso de
auditoría.
 MATERIAL DE SOPORTE: En este espacio se indicará el nombre del material que soporta el proceso,
para el caso será COBIT.

DOMINIO: Espacio reservado para colocar el nombre del dominio de COBIT que se está evaluando.

PROCESO: Espacio reservado para el nombre del proceso en específico que se está auditando dentro de los dominios
del COBIT.

HALLAZGO: Aquí se encontrará la descripción de cada hallazgo, así como la referencia al cuestionario cuantitativo que
lo soporta.

CONSECUENCIAS Y RIESGOS: En este apartado se encuentra la descripción de las consecuencias del hallazgo, así
como la cuantificación del riesgo encontrado.

EVIDENCIAS: Aquí encontramos en nombre de la evidencia y el número del anexo donde ésta se encuentra o si es una
entrevista o cuestionario en que cuestionario se encuentra.

RECOMENDACIONES: En este último apartado se hace una descripción de las recomendaciones que el equipo auditor
ha presentado a las entidades auditadas.

REF

HALLAZGO

PÁGINA
PROCESO AUDITADO Funcionamiento del aspecto físico de la red de datos
1 DE 1

RESPONSABLE

MATERIAL DE SOPORTE COBIT

DOMINIO PROCESO

DESCRIPCIÓN HALLAZGO:

CAUSAS:

CONSECUENCIAS:

VALORACIÓN DEL RIESGO:

RECOMENDACIONES:
EVIDENCIAS O REFERENCIA DEL PAPEL DE TRABAJO(REF_PT):

A continuación se muestra el ejemplo aplicado de un hallazgo diligenciado con la información en cada celda y en su
contenido
Ejemplo Hallazgos

Tabla Hallazgo 1

REF

HALLAZGO 1
HHDN_O1

PÁGINA
PROCESO AUDITADO Funcionamiento del aspecto físico de la red de datos
1 DE 1

RESPONSABLE Francisco Solarte

MATERIAL DE SOPORTE COBIT

DOMINIO Planear y Organizar (PO) PROCESO Definir un plan estratégico

 de TI (PO1)

DESCRIPCIÓN:

 No existe un grupo encargado de evaluar y estudiar el desempeño de la red de datos en su aspecto físico.
 No existen políticas ni procedimientos relacionados con la conformación adecuada de la arquitectura y del aspecto
físico de la red de datos.

Esto es debido a la falta del manual de funciones donde se especifique el personal a cargo de la red de datos ni los
procedimientos que se realizaran por parte de los funcionarios.

CAUSAS: XXXXXXXXXXX

CONSECUENCIAS:

 Al no existir un grupo encargado de evaluar y estudiar el desempeño del aspecto físico de la red de datos se pierde
la claridad para tomar decisiones pertinentes en caso de un desempeño no aceptado de la red de datos.
 Al no existir políticas ni procedimientos relacionados con la conformación de la arquitectura y del aspecto físico de
la red de datos se pierde la opción de ajustar a las condiciones adecuadas que necesita la entidad los servicios de
red de datos.

VALORACIÓN DEL RIESGO:

 Probabilidad de ocurrencia: 56%

 Impacto según relevancia del proceso: Catastrófico
RECOMENDACIONES:

 Conformar un grupo determinado de funcionarios que evalúen y estudien el desempeño de la red física de datos
para con ello tomen decisiones oportunas y adecuadas en la eventualidad de no cumplir objetivos planteados.
 Elaborar e implementar políticas y procedimientos relacionados con la conformación de la arquitectura y del
aspecto físico de la red de datos para ajustar los servicios de red a las necesidades propias que necesite la entidad.

EVIDENCIAS - REF_PT:
CUESTIONARIOS_CHDN/PLAN_PO1(ANEXO 1)

E_AUDIO/A_CHDN_01

Cuadro de Controles
Posteriormente se toma cada uno de los controles o recomendaciones en los hallazgos y se elabora el formato
de las posibles soluciones solicitado, en el formato debe ir nuevamente el riesgo o hallazgo, el tipo de control y la
descripción de los controles propuestos. En cuanto a los tipos de control estos pueden ser preventivos,
detectivos, correctivos y de recuperación, los controles preventivos servirán para prevenir que los riesgos se
concreten y ocasionen daños, los controles detectivos se utilizan para detectar el momento exacto en que está
concretándose los riesgos y los controles correctivos se implementan una vez haya concretado el riesgo y haya
ocasionado los daños. Para un riesgo se pueden definir uno o varios controles, por ejemplo un riesgo puede
definirse controles preventivos y correctivos, o preventivos solamente, o preventivos y detectivos y correctivos.

RIESGOS o HALLAZGOS TIPO DE SOLUCIONES O CONTROLES

ENCONTRADOS CONTROL
Uso inadecuado de los CORRECTIVO Capacitar al personal de la organización sobre la
reguladores forma de utilizar y optimizar los recursos.
PREVENTIVO Si no existe la persona indicada en la empresa para
dar la asesoría, se podría contratar con una entidad
externa.
DETECTIVO
Recarga excesiva de los CORRECTIVO Implementar estrategias con el fin de minimizar los
tóneres de la impresora laser gastos en insumos.
PREVENTIVO Concientizar al personal sobre el consumo de la
impresora
DETECTIVO Determinar los puestos de trabajo y usuarios que
consumen más tóner y el número de impresiones
No existe políticas de PREVENTIVO Elaborar políticas de administración y organización
administración y respaldo de de la información, implementar el procedimiento de
almacenamiento de la copias de respaldo y difundirla al interior de la
información empresa.
CORRECTIVO Capacitar a los usuarios para realizar las copias de
seguridad
DETECTIVO Hacer el seguimiento de la entrega de las copias de
seguridad de información a los usuarios
No existe control ni PREVENTIVO Definir políticas de seguridad de la información
restricciones para el manejo dentro de la empresa.
de la información. CORRECTIVO Ejercer un control estricto sobre la información que
maneja cada empleado y el grado de
confidencialidad de la misma
DETECTIVO Determinar la información y el usuario que las
solicita.
Los empleados tienen PREVENTIVO El administrador de cuentas de usuario debe
privilegio de administrador asignar los permisos para cada cuenta de usuario
en sus equipos dependiendo del perfil.
CORRECTIVO Restringir el acceso al software y la información de
acuerdo al perfil de los usuarios
DETECTIVO Hacer un escaneo de los usuarios y privilegios
 sobre los sistemas e información
No existe control sobre el PREVENTIVO Determinar que usuarios deberían tener el servicio
acceso al servicio de de internet
internet. CORRECTIVO Controlar el acceso y bloqueo de páginas que no
brindan ningún beneficio para el desarrollo de las
actividades laborales.
DETECTIVO Llevar un registro de los incidentes con los usuarios
y hacer el llamado de atención o memorando
No existen antivirus PREVENTIVO Compra de antivirus licenciados con el fin de
licenciados. minimizar el riesgo de infecciones y malware en los
equipos de computo de la organización.
CORRECTIVO Activar la vacuna para el escaneo y detección de
virus en los equipos y la red
DETECTIVO Instalar el antivirus con la licencia respectiva para
cada equipo
No existe control de PREVENTIVO Elaboración de inventarios en la organización, con
inventarios. el fin de saber con qué bienes se cuentan y que
estrategias utilizar para el mantenimiento de los
mismos.
CORRECTIVO Actualizar los inventarios de acuerdo a los cambios
que se hayan registrado de manera periódica
DETECTIVO Determinar si hay cambios en el inventario de la
empresa periódicamente
No existe sistema de DETECTIVO Adquisición de un sistema que permita proteger los
protección en caídas de equipos en el momento
energía.