Documentos de Académico
Documentos de Profesional
Documentos de Cultura
RE
CUADRO DE DEFINICION DE FUENTES DE F
CONOCIMIENTO, PRUEBAS DE ANALISIS DE
AUDITORIA
ENTIDAD PAGINA
Empresa Altycom
AUDITADA 1 DE 1
PROCESO
Definir los procesos, organización y relaciones de TI.
AUDITADO
RESPONSABLE Andrea Botero
MATERIAL DE
COBIT 4.1
SOPORTE
DOMINIO Planeación y Organización (PO)
PO04 Definir los procesos, organización y relaciones de TI
PROCESO
ENTREVIS
TA
PO Definir los
Planeación y
DOMINI PROCES procesos, organización
Organización
O O y relaciones de TI
(DS)
OBJETIVO DE
CONTROL
N CUESTI RESPUESTA
º ÓN
¿Cuál es el personal encargado de la Existe un contrato de prestación de
tecnología de la información, cuáles servicio para la realización del
1 son sus funciones y mantenimiento preventivo del
responsabilidades? equipo en toda la empresa.
LISTA
CHEQUEO
PO Definir los
Planeación y
DOMINI PROCESO procesos, organización
Organización
O y relaciones de TI
(PO)
PO4.8 Responsabilidad sobre el Riesgo, la
OBJETIVO DE Seguridad y el Cumplimiento
CONTROL
CONFO
N ASPECTO EVALUADO RME OBSERVACIÓN
º SI N
O
¿Existe una metodología para
1 establecer la propiedad y X Existen contratos
responsabilidad de riesgos de TI? de prestación
de servicios.
¿Cuál es la seguridad que existe
2 para la protección de la X
información?
¿Cuáles son las políticas de
3 cumplimiento de los encargados de X
la protección de la información?
OBJETIVO DE CONTROL
N PREGUNT S N NA REF
A I O
1 ¿El personal encargado de la tecnología de 4
la información, está capacitado para
cumplir con las funciones?
2 ¿Existe alguna metodología para 3
establecer propiedad y responsabilidad
con los riesgos relacionados con TI?
3 ¿Se realiza la evaluación de los riesgos 3
que pueden afectar la infraestructura
tecnológica mediante la utilización de una
metodología?
4 ¿La dependencia de TI, cuenta con las 4
herramientas que les permitan enfrentar
sus responsabilidades y de propiedad
sobre los datos y sistemas de información?
TOTAL 1 7
4
TOTAL 20
CUESTIONARIO
Porcentaje de riesgo parcial = (14 * 100) / 20 = 70
Porcentaje de riesgo total = 100 – 70 = 30%
PORCENTAJE 30% (Riesgo Medio)
RIESGO
Probable (4) R3
Una vez se tiene la matriz de riesgos aplicada a cada uno de los procesos se indica las
acciones que pueden realizarse para el tratamiento de los riesgos de acuerdo con la
siguiente tabla donde se indica por cada color, el tratamiento que se puede aplicar en cada
caso.
R2, R1, R3, Zona de riesgo Extremo: Dotar capacitaciones al personal, para minimizar
R7, R8 riesgos
A continuación, se presentan los dominios, procesos y objetivos de
control relacionados directamente con el objetivo y los alcances
determinados en el plan de auditoría.
Una vez se haya definido los riesgos a los cuales se les debe ejercer
controles, se pasan al cuadro definiendo el control o controles y el tipo
que deben implementarse para poder controlarlo. En cuanto a los tipos
de control estos pueden ser preventivos, detectivos, correctivos y de
recuperación, los controles preventivos servirán para prevenir que los
riesgos se concreten y ocasionen daños, los controles detectivos se
utilizan para detectar el momento exacto en que está concretándose los
riesgos y los controles correctivos se implementan una vez haya
concretado el riesgo y haya ocasionado los daños. Para un riesgo se
pueden definir uno o varios controles, por ejemplo un riesgo puede
definirse controles preventivos y correctivos, o preventivos solamente, o
preventivos y detectivos y correctivos.
de
identificación
de
empleados,
visitantes,
estudiantes
y
docentes.
No existe Preventivo Elaborar políticas de
una administración
metodología y organización de la
información, lo
cual se podría realizar a través
que de la
permita establecer contratación de sistemas
la con manejo de servidores y
propiedad seguridad
para la realización de esta
y labor.
responsabilidad
de
riesgos.
No cuenta con un Preventivo Control en el manejo de la
sistema de control información analizando el
para mitigar alcance que debe tener cada
riesgos. empleado para poder cumplir
con el desarrollo de
sus labores.
Tabla Hallazgo 1
REF
HALLAZGO 1
R10
MATERIAL DE
COBIT
SOPORTE
PO04 Definir
Planeación y los procesos,
DOMINIO Organización PROCESO organización y
(PO) relaciones de
TI
DESCRIPCIÓN:
CAUSAS:
Probabilidad de ocurrencia: ¿ 70 %
Impacto según relevancia del proceso: Alto
RECOMENDACIONES:
DICTAMEN: