Metodología de Auditoría de Sistemas en Mantenimientos y

Producción

Integrantes: Anajulia Basso, Jessica González, Harold Justavino

Grupo 5

Proceso de Atención de Incidentes.

I. Fase de conocimiento o investigación preliminar

En esta fase se plantea la metodología adecuada para realizar la auditoría del

sistema de gestión y atención de incidentes de la empresa Tecnología Plus:

1. Identifique la empresa u organización

Dirigirijase al departamento de administración y solicitar los siguientes

elementos para poder iniciar la metodología:
Solicite el nombre de la persona encargada que le pueda decir todo lo que
quiera saber sobre la información necesaria para poder realizar la auditoria.

2. Identifique los usuarios directos de la aplicación

Identifique los usuarios directos que utilizaran esta aplicación, para está
validación verificaran con los encargados de la base de datos que estén
utilizando la aplicación de incidentes. Según el modelo de datos que obtengan,
deberán tener una tabla de usuario, una tabla roles, y una tabla rol Usuario.
(Anexo #1).
Lo siguiente es tener un método para validar los Usuarios (uno a uno, en
masas, etc.).

3. Identifique los elementos necesarios para el registro de los

incidentes.

Los elementos necesarios para el registro de los incidentes que se reportan (ya
sea por parte interna de la dirección de Informática o por parte de los usuarios)
son:

a) Conozca el sistema manual o automatizado para el registro de los

incidentes, donde se defina entre otros aspectos: - Que fecha y A
qué hora se dio el reporte, descubrimiento, del incidente, de inicio y
final de la investigación, de cierre y de respuesta.
 b) Nombre completo de quien reporta, quien lo registra, quien investiga.
–
c) Describa el incidente.
d) Identifique Elementos (hardware, software, funcionarios, datos,
lugares, procesos, etc...) involucrados en el evento tecnológico o
incidente de Seguridad de la Información. Y Resultados de la
investigación.

4. Identifique el departamento y los encargados de la plataforma o

aplicación de la gestión de incidentes

En esta etapa se reunirán con el departamento o grupo de gestión de

incidentes que está designado para esta labor, conocerán quien o quienes
deben velar por la disposición de los recursos de atención de incidentes y
las herramientas necesarias para cubrir las demás etapas del ciclo de vida
de este, creando (si no existen) y validando (si existen) los procedimientos
necesarios y programas de capacitación.

5. Analice la estructura organizacional involucrada en el manejo de

los incidentes

Analice a fondo la estructura organizativa que maneja los procesos y

escalamientos, servirán de apoyo ya que son los entes encargados de
tomar las decisiones claves al interior de la organización. La estructura
organizacional es el sistema jerárquico escogido para organizar a los
trabajadores en un organigrama de una empresa. Gracias a ella, se
abordan las formas de organización interna y administrativa. El reparto del
trabajo en áreas o departamentos se ramifica en un árbol.

Deberán contar con información de contacto para el escalamiento de

incidentes según la estructura de la entidad.

Obtenga la información de los administradores de la plataforma tecnológica

(Servicios, Servidores)

Cuente con el contacto del área de recursos humanos o de quien realice

sus funciones (por si se realizan acciones disciplinarias).
Ejemplo: De una estructura organizacional

6. Establezca y analice los recursos tecnológicos que albergan la

información de la aplicación

Analice los elementos que albergan el App de incidentes, para recabar

información que puede alertarnos sobre la futura ocurrencia de este y
preparar procedimientos para minimizar su impacto. Algunos de estos
elementos pueden ser:

a. Log de servidores
b. Log de aplicaciones
c. Log de herramientas de seguridad
d. Cualquier otra herramienta que permita la identificación de un
incidente de seguridad

Valide y analice el espacio físico en donde se encuentra el hardware.

Indicar los indicadores que señalan los posibles incidentes que han ocurrido
generalmente en algunos de estos elementos es

 Alertas en sistemas de seguridad

  Caídas de servidores
 Reportes de usuarios
 Software antivirus dando informes
 Otros funcionamientos fuera de lo normal del sistema

7. Determine la documentación establecida para el manejo de los

incidentes

 Al tener la documentación se debe organizar la misma

 Clasifique y sub categorizar en función área el incidente

 Clasifique y Priorizar el incidente para determinar la función de su

impacto.

 Asignación a un técnico relevante al incidente.

 Desglosar en sub actividades o tareas.

8. Identifique las vulnerabilidades dentro de la gestión de los

incidentes

Estudiar las características de nuestros activos para identificar puntos débiles

o vulnerabilidades. Por lo que  debe identifique un conjunto de ordenadores o
servidores cuyo sistemas antivirus no este actualizados o una serie de activos
para los que no existe soporte ni mantenimiento por parte del fabricante.

 Evalué el riesgo: Aplique penalizaciones para reflejar las

vulnerabilidades identificadas.

 Analice y documente las medidas de seguridad implantadas en la

organización. 

 Cuente con una base de conocimiento con información relacionada

sobre nuevas vulnerabilidades, información de los servicios habilitados,
y experiencias con incidentes anteriores.

 Crear matrices de diagnóstico que faciliten identificar similitudes en

incidentes.
  Determine un riesgo residual: Riesgo Residual es el riesgo al cual se ve
expuesta la entidad con los controles que se aplican actualmente.

 Es la medición más importante del Sistema de Administración de Riesgo

de LD/FT (SAR LD/FT), pues consiste en la probabilidad y el impacto
real de LD/FT.

 Desde el punto de vista metodológico, este proceso comparte las

mismas bases conceptuales y metodológicas de la medición del riesgo
inherente.

 Determine cómo manejar los riesgos residuales inaceptables

Una vez que haya revisado los controles de seguridad y determinado

sus riesgos residuales, compense estas amenazas considerando las
siguientes opciones:
Reemplace los controles de seguridad que han quedado obsoletos o que
ya no están disponibles;
Transfiera la gestión del riesgo residual a otras partes, incluidas las
agencias de ciberseguros;
Verifique los cálculos para determinar la probabilidad de que ocurran los
riesgos iniciales; y
Actualice la evaluación de riesgos de una organización para reflejar los
cambios si las actualizaciones de los controles de seguridad, hardware y
software son importantes debido a un riesgo residual.
Aplique cualquier cambio al estado de riesgo residual
Determine la tolerancia al riesgo reuniendo una lista de riesgos
residuales que son inaceptables después de haber aplicado controles de
seguridad a los riesgos iniciales. Para cada uno de estos riesgos
residuales, verifique periódicamente cualquier cambio en los controles
de seguridad aplicados.

Luego, compare los controles de seguridad alternativos y más baratos de los

proveedores actuales y nuevos. Determine el ROI de cada uno y, si es posible,
aplique los cambios de control de seguridad con el ROI más alto.
Ejemplo de Riesgo Residual

Realizar un programa de un plan preliminar

Ejemplo: de un formato del programa
 Llenar como se explica a continuación:
Programa de Planificación Preliminar

EMPRESA (Nombre de la Empresa PROVINC (Nombre de la

a la cual se aplicará la IA Provincia
auditoria) donde se
efectuará la
Auditoria)

(Periodo en el
ÁREA (Área de la empresa en PERÍODO que se
la que se efectuara la ejecutara la
Auditoría) auditoría)
TIPO DE (Se especifica el tipo de
AUDITORÍA Auditoría. Ejemplo:
Auditoria de Sistemas
de Incidentes)

OBJETIVO GENERAL DE LA AUDITORIA

(Enunciar el objetivo de la auditoría, este debe de estar alineado a al
objetivo de la empresa auditada. Es decir; emitir un diagnóstico sobre un
sistema de información empresarial, que permita tomar decisiones sobre el
mismo.)
OBJETIVO DE LA PLANIFICACION PRELIMINAR
(Aquí actualice la información general sobre la entidad y las principales
actividades, a fin de identificar globalmente las condiciones existentes para
ejecutar la auditoría).
PROCEDIMIENTOS Analizado Fecha REF. P/T
por:
(Coloque las técnicas de investigación (Auditor que (Fecha (Referencia
y actividades que se aplicarán en la realizo esta que el o dominio)
Auditoría) actividad) auditor
realizo
esta
actividad)

Elaborado (Firma del Supervisor de esta Fecha: (Fecha de la

por: actividad) Firma del supervisor)
Nombre
Supervisor

(Firma del Jefe de Auditoría)

 VoBo: Fecha: (Fecha de la
Firma del supervisor)
Nombre
Jefe

¿CADA ¿QUÉ
PROCE CUANT IMPAC
NOMB SO AL O TO
RE QUE PODRÍ PODRÍ NIVEL
DEL ESTA A A CALIFICAC DE
RIESG ASOCIA SUCED CAUS PROBABILI IMPACT IÓN DE RIESG
O DO ER? AR? DAD O RIESGO O
:
:
:
:
:
:
:

II. Fase de Planeación

III. Fase de Ejecución

1. Define los estándares o normas en los cuales se basara la auditoria

En base a lo mencionado anteriormente y tomando en cuenta la
necesidad del área presente un proyecto con la propuesta de un modelo
de desarrollo de atención de incidentes basado en ITIL para llevar un
mejor seguimiento y control de las que presenta los servicios de
operación brindados, de tal forma que se pueda obtener un estatus real
del negocio y que la gerencia comercial pueda tener información directa
y precisa para evaluar y tomar las mejores decisiones en el futuro. Con
el uso de las buenas prácticas basado en ITIL en el proceso de atención
de incidencias se espera alcanzar las siguientes mejoras:

 Incrementar la productividad de los supervisores, el cumplimiento

 de los KPI´s acordados para el área de Tecnology Plus,

 Mayor y mejor control en todos los procesos del servicio de

operación,

 Mejorar los costos de servicio y principalmente la satisfacción del

cliente cumpliendo el SLA indicado por contrato

2. Realice acciones programadas para la auditoria

Primero debe realizar una primera visita preliminar, para conocer el lugar
en donde se encuentra el software de Gestión de incidentes.
En esta primera visita se deben hacer preguntas acerca del
funcionamiento del área en donde se encuentra la aplicación, si cuenta
con una base de datos, entre otras cuestiones. También se revisará la
instalación de la red en donde está en donde se encuentra la aplicación,
así como los procesos y manuales para la utilización del mismo; Debe
indicar la fecha exacta para realizar la visita preliminar.
Antes de esta visita preliminar se requiere de una serie de herramientas,
planes, e instrumentos antes de ir a realizar la visita preliminar y la
auditoría, al igual que investigar la empresa que va a ser auditada.
También debe determinar el tiempo de la auditoría y los costos que va a
tener la misma además de definir las herramientas de recolección de
información, ver que lo que se va a evaluar.
Emitir un permiso de la empresa a auditar y como se había mencionado
anteriormente solicite los manuales de procedimientos, diagramas de
procesos.
Todo lo anterior se debe realizar antes de la visita preliminar, después
de realizar la visita debe realizar un primer análisis de la información
obtenida en esa primera visita preliminar y de ser requerido se realizarán
visitas posteriores.

3. Aplicar los instrumentos diseñados para la auditoría.

Una vez realizadas las acciones programadas para la auditoría, se
procede a aplicar los instrumentos diseñados para la auditoría. En primer
lugar se aplica la lista de chequeo o checklist en donde se
 inspeccionarán los sistemas, herramientas y espacios involucrados en la
gestión de incidente, colocando inicialmente el responsable de la
auditoría, el nombre de la firma o grupo de auditoría, la empresa
auditada, el contacto y cargo de esta persona, la fecha en la que se
realiza la inspección o lista de chequeo, luego se procede a hacer las
observaciones pertinentes y a llenar la lista con sí, no o no aplica según
corresponda. Se aplica luego el cuestionario y entrevistas al personal
involucrado en la gestión de incidentes, en donde las entrevistas se
ejecutan a los administradores de la plataforma, encargados de esta, del
departamento y los proveedores de esta; los cuestionarios son aplicados
a todo el personal que utiliza la plataforma. Se ejecutan programas de
análisis de hardware y software a los equipos que tienen la aplicación
instalada y a los servidores que almacenan esta.

4. Aplicar las pruebas diseñadas

Luego de aplicar los instrumentos, se realizan pruebas para analizar y

probar el funcionamiento de los sistemas y herramientas utilizadas en la
gestión de incidentes. En primer lugar, se realiza la revisión de los
documentos y/o estándares y protocolos internos establecidos para la
correcta ejecución de los procesos tanto internos como externos a la
hora de realización un incidente y la gestión de este, comparando y
analizando el cumplimiento de estos protocolos o reglas en base a
normas y estándares internacionales y a los establecidos previamente,
realizando o creando un incidente de acuerdo con cada punto del
protocolo y ejemplo de distintos escenarios. En segundo lugar, se toman
muestras a través de una aplicación que analiza los equipos, verificando
los programas y aplicaciones instaladas que puedan impactar con la
ejecución del sistema de gestión de incidentes a los servidores que
almacenan la información y la aplicación o plataforma, también se toman
muestras de incidentes ya resueltos y se analiza el tiempo y los
procesos en la ejecución de la resolución de estos, así como de
incidentes en ejecución y los procesos y niveles que deben o pueden
tener cada uno.
5. Aplicar el proceso de análisis y evaluación de riesgos aplicando
una metodología.
Utilice el análisis what if (¿qué pasaría si…?) Ya que es una
herramienta sencilla y fácil de entender para cualquier gestor. Utilícela
en la primera fase de la gestión cuando apenas se están identificando
los riesgos. Después, este método puede complementarse con un
análisis más profundo de los riesgos y sus causas a través de otras
técnicas adicionales.
Comience programando reuniones entre colaboradores que conozcan a
fondo el proceso de la atención de incidentes que se analiza. La primera
reunión se programa para hacer lluvia de ideas, en esta se formulan
preguntas que ayuden a visibilizar posibles problemas. Ejemplo.
¿Qué pasaría si se pierde la gestión de la aplicación?
¿Qué pasaría si las incidencias se escalan al departamento equivocado?
Posterior a esto deberá realizar una reunión con el grupo auditor experto
para encontrar respuestas pertinentes para abordar las preguntas que se
formularon, procurando hallar causas, consecuencias y
recomendaciones.

Luego identifique, clasifique y elimine las fallas de los procesos

antes de que estas ocurran; Puede apoyarse del Método FMEA para
esto ya que este empieza identificando las posibles fallas y efectos.
Posteriormente, se crea una clasificación de ellos. La puntuación de los
riesgos se determina teniendo en cuenta tres criterios:

1. Frecuencia

2. Gravedad

3. Detección.

Con esos tres puntos aplique una fórmula que permite establecer
cuáles fallas son más o menos graves. Los riesgos más críticos deben
ser atendidos primero que los demás.
6. Elaborar la matriz de riesgos
Para realizar la evaluación de un incidente debe tener en cuenta los
niveles de impacto con base en los insumos entregados por el análisis
de riesgos y la clasificación de activos de información de la entidad. La
severidad del incidente puede ser:
 Alto Impacto: Afecta a activos de información considerados de
impacto catastrófico y mayor que influyen directamente a los objetivos.
Se incluyen en esta categoría aquellos incidentes que afecten la
reputación y el buen nombre o involucren aspectos legales. Estos
incidentes deben tener respuesta inmediata.
 Medio Impacto: Afecta a activos de información considerados de
impacto moderado que influyen directamente a los objetivos de un
proceso determinado.
 Bajo Impacto: Afecta a activos de información considerados de
impacto menor e insignificante, que no influyen en ningún objetivo. Estos
incidentes deben ser monitoreados con el fin de evitar un cambio en el
impacto.

Ejemplo de matriz de riesgos

 Para lo siguiente utilice la siguiente matriz:

ENTIDAD: (Nombre de la
empresa la cal se va a AUDITORÍA: (Se especifica el tipo de Auditoría.
Auditar) Ejemplo: Auditoria de Atención de Incidentes)

En
    Análisis Controles existentes foque de la
auditoría
Comp Ries                    
onent go
e Imp Prob Pu Desc Ti Clasif Per Tip P Instru
act abilida nta ripci po icació son o rueba ccion
o d je ón n al de s es
(A/ (A/M/B que pr detall para
M/ ) ejer ue adas la
B) ce ba ejecu
ción
de la
audito
ría
                
(Aqu  
í se (Co Col
coloc loc Indi oc
a los ar (Coloc car ar Instruc
Descr
riesg si el ar el el ción
(Colo (Brev ipción
os imp probab Tip Clasifi pers tip de
car el e de las
asoci act ilidad o cació onal o cómo
númer descri prueb
ados o de que de n de que de se
o del pción as
a las es ocurra -- co los ejer pru debe
comp del que
activi alto si es ntr contro ce eb ejecut
onent riego. se
dade , alto, ol les esta a ar la
e) ) realiz
s de me medio, acti qu Audito
aron
la dio, bajo) vida e ría
aplic baj d utili
ació o) zo
n.)
(Aqu  
í se (Co Col
--
coloc loc Indi oc
a los ar (Coloc car ar Instruc
Descr
riesg si el ar el el ción
(Colo (Brev ipción
os imp probab Tip Clasifi pers tip de
car el e de las
asoci act ilidad o cació onal o cómo
númer descri prueb
ados o de que de n de que de se
o del pción as
a las es ocurra co los ejer pru debe
comp del que
activi alto si es -- ntr contro ce eb ejecut
onent riego. se
dade , alto, ol les esta a ar la
e) ) realiz
s de me medio, acti qu Audito
aron
la dio, bajo) vida e ría
aplic baj d utili
ació o) zo
n.)

7. Identificar los controles definidos para cada dominio y proceso.

Dominio: Adquirir e implementar (AI) Para llevar a cabo la estrategia TI,

se debe identificar las soluciones, desarrollarlas y adquirirlas, así como
implementarlas e integrarlas en la empresa, esto para garantizar que las
soluciones satisfaga los objetivos de la empresa.
De este dominio se ha seleccionado los siguientes procesos y objetivos
de control:

ADQUISICIÓN E IMPLEMENTACIÓN (AI)

Para llevar a cabo la estrategia de TI, las soluciones de TI deben ser
identificadas, desarrolladas o adquiridas, así como implementadas e
integradas dentro del proceso del negocio. Además, este dominio cubre
los cambios y el mantenimiento realizados a sistemas existentes.
AI1 Identificar Soluciones: El objetivo es asegurar el mejor enfoque para
cumplir con los requerimientos del usuario, mediante un análisis claro de
las oportunidades alternativas comparadas contra los requerimientos de
los usuarios.
AI2 Adquirir y Mantener Software de Aplicación: El objetivo es
proporcionar funciones automatizadas que soporten efectivamente la
organización mediante declaraciones específicas sobre requerimientos
funcionales y operacionales, y una implementación estructurada con
entregables claros.
AI4 Desarrollar y Mantener Procedimientos relacionados con TI: El
objetivo es asegurar el uso apropiado de las aplicaciones y de las
soluciones tecnológicas establecidas, mediante la realización de un
enfoque estructurado del desarrollo de manuales de procedimientos de
operaciones para usuarios, requerimientos de servicio y material de
entrenamiento.
AI6 Administrar Cambios: El objetivo es minimizar la probabilidad de
interrupciones, alteraciones no autorizadas y errores, mediante un
sistema de administración que permita el análisis, implementación y
seguimiento de todos los cambios requeridos y llevados a cabo a la
infraestructura de TI actual.
SERVICIOS Y SOPORTE (DS) 
En este dominio se hace referencia a la entrega de los servicios
requeridos, que abarca desde las operaciones tradicionales hasta el
entrenamiento, pasando por seguridad y aspectos de continuidad. Con el
fin de proveer servicios, deberán establecerse los procesos de soporte
necesarios. Este dominio incluye el procesamiento de los datos por
sistemas de aplicación, frecuentemente clasificados como controles de
aplicación.
DS1  Definir niveles de servicio: El objetivo es establecer una
comprensión común del nivel de servicio requerido, mediante el
establecimiento de convenios de niveles de servicio que formalicen los
criterios de desempeño contra los cuales se medirá la cantidad y la
calidad del servicio.
DS3  Administrar Desempeño y Calidad: El objetivo es asegurar que la
capacidad adecuada está disponible y que se esté haciendo el mejor uso
de ella para alcanzar el desempeño deseado, realizando controles de
manejo de capacidad y desempeño que recopilen datos y reporten
acerca del manejo de cargas de trabajo, tamaño de aplicaciones, manejo
y demanda de recursos.
DS4  Asegurar Servicio Continuo: El objetivo es mantener el servicio
disponible de acuerdo con los requerimientos y continuar su provisión en
caso de interrupciones, mediante un plan de continuidad probado y
funcional, que esté alineado con el plan de continuidad del negocio y
relacionado con los requerimientos de negocio.
DS5  Garantizar la Seguridad de Sistemas: El objetivo es salvaguardar la
información contra usos no autorizados, divulgación, modificación, daño
o pérdida, realizando controles de acceso lógico que aseguren que el
acceso a sistemas, datos y programas está restringido a usuarios
autorizados.
DS8  Asistir a los Clientes de TI: El objetivo es asegurar que cualquier
problema experimentado por los usuarios sea atendido apropiadamente
realizando una mesa de ayuda que proporcione soporte y asesoría de
primera línea.
DS10 Administrar Problemas e Incidentes: El objetivo es asegurar que
los problemas e incidentes sean resueltos y que sus causas sean
investigadas para prevenir que vuelvan a suceder implementando un
sistema de manejo de problemas que registre y haga seguimiento a
todos los incidentes.
DS11 Administrar Datos: El objetivo es asegurar que los datos
permanezcan completos, precisos y válidos durante su entrada,
actualización, salida y almacenamiento, a través de una combinación
efectiva de controles generales y de aplicación sobre las operaciones de
TI.
MONITOREO (M)   
Todos los procesos de una organización necesitan ser evaluados
regularmente a través del tiempo para verificar su calidad y suficiencia
en cuanto a los requerimientos de control, integridad y
confidencialidad.     
M1 Monitorear los procesos: El objetivo es asegurar el logro de los
objetivos establecidos para los procesos de TI, lo cual se logra
definiendo por parte de la gerencia reportes e indicadores de
desempeño gerenciales y la implementación de sistemas de soporte, así
como la atención regular a los reportes emitidos.
M2 Evaluar lo adecuado del control interno.: El objetivo es asegurar el
logro de los objetivos de control interno establecidos para los procesos
de TI.
M4 Proveer auditoría independiente: El objetivo es incrementar los
niveles de confianza y beneficiarse de recomendaciones basadas en
mejores prácticas de su implementación, lo que se logra con el uso de
auditorías independientes desarrolladas a intervalos regulares de
tiempo.

8. Elaborar los formatos de hallazgo: describir hallazgo, identificar

las causas, criterio utilizado, identificar los efectos,
recomendaciones, comentario de auditados.

FORMATO DE HALLAZGOS

Una vez los riesgos han sido conformados mediante pruebas y

evidencias, estos riesgos pasaran a denominarse hallazgos. Los
formatos de los hallazgos son de suma importancia en la auditoría ya
que llevan la información de todo el proceso realizado y una descripción
de cómo se está presentando el riesgo y sus consecuencias para la
medición o valoración de los riesgos en el proceso de evaluación de
riesgos que se lleva a cabo posteriormente. Además en el formato de
hallazgos se puede encontrar la información de las recomendaciones
para determinar los posibles controles para mitigarlos.
A continuación llenar el siguiente formato siguiente la explicación que se
encuentra en la parte inferior del mismo.

REF

HALLAZGO

PÁGINA
PROCESO Funcionamiento
AUDITADO de la red de datos D
1 1
E

RESPONSAB
LE

MATERIAL
DE COBIT
SOPORTE

PROCES
DOMINIO
O

DESCRIPCIÓ
 N:

REF_PT:

CONSECUENCIAS:

RIESGO:

RECOMENDACIONES:

Esta información será desglosada de la siguiente manera:

REF: Se refiere al ID del elemento.

ENTIDAD AUDITADA:
En este espacio se indicara el nombre de la entidad a la cual se le está
realizando el proceso de auditoría.

PROCESO AUDITADO:
 En este espacio se indicara el nombre del proceso objeto de la
auditoria, para el caso será Contratación TI.

RESPONSABLES:
En este espacio se indicaran los nombres del equipo auditor que está
llevando a cabo el proceso de auditoría.

MATERIAL DE SOPORTE:
En este espacio se indicara el nombre del material que soporta el
proceso, para el caso será COBIT.

DOMINIO:
Espacio reservado para colocar el nombre del dominio de COBIT que se
está evaluando.

PROCESO:
Espacio reservado para el nombre del proceso en específico que se está
auditando dentro de los dominios del COBIT.

HALLAZGO:
Aquí se encontrara la descripción de cada hallazgo, así como la
referencia al cuestionario cuantitativo que lo soporta.

CONSECUENCIAS Y RIESGOS:
En este apartado se encuentra la descripción de las consecuencias del
hallazgo así como la cuantificación del riesgo encontrado.

EVIDENCIAS:
Aquí encontramos en nombre de la evidencia y el número del anexo
donde ésta se encuentra.

RECOMENDACIONES:
En este último apartado se hace una descripción de las
recomendaciones que el equipo auditor ha presentado a las entidades
auditadas.

Ejemplo Hallazgos
Tabla Hallazgo 1

HALLAZGO 1 REF

HHDN_O1
 Funcionamiento del PÁGINA
PROCESO
aspecto físico de la D
AUDITADO 1 1
red de datos E

RESPONSA
Francisco Solarte
BLE

MATERIAL
DE COBIT
SOPORTE

Planea
r y Definir un plan
DOMINI PROCE
Organi estratégico de TI
O SO
zar (PO1)
(PO)

DESCRIPCIÓN:

·         No existe un grupo encargado de evaluar y estudiar el

desempeño de la red de datos en su aspecto físico.
·         No existen políticas ni procedimientos relacionados con la
conformación adecuada de la arquitectura y del aspecto físico de la
red de datos.

Esto es debido a la falta del manual de funciones donde se especifique

el personal a cargo de la red de datos ni los procedimientos que se
realizaran por parte de los funcionarios.

REF_PT:
 CUESTIONARIOS_CHDN/PLAN_PO1(ANEXO 1)
E_AUDIO/A_CHDN_01

CONSECUENCIAS:
 Al no existir un grupo encargado de evaluar y estudiar el desempeño
del aspecto físico de la red de datos se pierde la claridad para tomar
decisiones pertinentes en caso de un desempeño no aceptado de la
red de datos.
 Al no existir políticas ni procedimientos relacionados con la
conformación de la arquitectura y del aspecto físico de la red de datos
se pierde la opción de ajustar a las condiciones adecuadas que
necesita la entidad los servicios de red de datos. 

RIESGO:
·         Probabilidad de ocurrencia: Media
·         Impacto según relevancia del
proceso: Moderado

RECOMENDACIONES:

·         Conformar un grupo determinado de empleados que evalúen y

estudien el desempeño de la red física de datos para con ello tomen
decisiones oportunas y adecuadas en la eventualidad de no cumplir
objetivos planteados.
·         Elaborar e implementar políticas y procedimientos relacionados
con la conformación de la arquitectura y del aspecto físico de la red de
datos para ajustar los servicios de red a las necesidades propias que
 necesite la entidad.

IV. Fase de Resultados de la Auditoria

1. Elaborar el informe preliminar y presentarlo a discusión

Un informe preliminar es una evaluación que discute en profundidad los
hallazgos sobre un espécimen /tema en particular. Se reúnen datos del
tema para tomar una determinación. Un informe preliminar no es el
resultado final sobre algo, sino más bien un análisis. El informe
preliminar tendrá la estructura siguiente:

a. Aspectos preliminares
b. Características generales
c. Observaciones derivadas del análisis

Se otorgará un plazo de diez (10) días hábiles a partir de la fecha de

recepción del informe para que las autoridades del objeto evaluado
expongan los alegatos que estimen pertinentes a los fines de desvirtuar
las observaciones y/o hallazgos comunicados, así como para que
presenten las evidencias necesarias, suficientes y pertinentes.
Analizado los alegatos y las pruebas presentadas, o transcurrido el lapso
otorgado para su presentación sin haberlos recibido, se elaborará el
informe definitivo de la auditoría.

INFORME PRELIMINAR DE AUDITORIA

INFORMACIÓN GENERAL

Información general del sujeto auditado

Se coloca la información de la empresa que se va auditar

Nombre o razón Social: Nombre de la empresa

Dirección y Ubicación de la Dirección, Ciudad y Departamento

entidad auditada: Dirección de la empresa
Número de Identificación XXX.XXX.XXX-X
Tributaria: R.U.C. o número de contribuyente

Email notificación judicial: Correo electrónico de la persona

encargada

Objeto Social: Actividad económica

Tipo de entidad auditada: Privada / Pública / Mixta

Colocar si es publica o clasificación
empresa

Dirección de Dirección postal de la empresa

correspondencia del
Representante Legal de la
Entidad Visitada:

Representante Legal: Nombre completo Colocar nombre del

representante legal

Identificación Representante Tipo, Número y Lugar de Expedición

Legal: Colocar cedula, pasaporte, lugar de
expedición, fecha de expedición y
vencimiento

Información de la auditoría y del equipo auditor

Colocar la información con la auditoria

Fecha de la auditoría: Del XX al XX de (mes) de 2XXX

Colocar fecha de la auditoría

Duración de la auditoría: ______ (X) días

Colocar duración de la auditoría

Ordenador de la auditoría: Nombre Superintendente

Delegado(a)
Colocar el representante de la auditoría, empresa etc.

Cargo: Superintendente Delegado(a)

para la --
Colocar cargo de la persona encargada de la auditoría

Identificación: C.C. ___________

Colocar identificación (cédula)

Coordinador de la auditoría: Nombre completo

Colocar persona que está coordinando la auditoría

Identificación: C.C
Colocar cédula de la persona

Profesión: Colocar profesión

Equipo auditor: Colocar el equipo Nombre completo:

De auditoría, identificación, Identificación:
Cargo y profesión Profesión:
Cargo:

Objeto de la Auditoria
Colocar el objetivo de la auditoría

ANTECEDENTES
(Justificación de la Auditoría)
Colocar el justificante de porque se está efectuando la auditoria

INFORME TEMÁTICO DE LA AUDITORIA

 (Descripción del aspecto o estándar(es), Análisis del mismo,
identificación de los Hallazgos, y las Pruebas Documentales.

CUADRO RESUMEN DE HALLAZGOS

Aspecto o Estándar (inspeccionado de acuerdo al auto de visita)

Núm Incidencia del

ero Norma Hallazgo1
del Descripción Presunta
Hall del Hallazgo mente
azg Violada A F D P
o

Colocar la
norma
Enumerar los con que
4.1 hallazgos no se
(N°) encontrados cumplió

4.2
(N°)

Firma del Equipo Auditor

Colocar las firmas de las personas encargadas de la auditoria

____________________________
____________________________
NOMBRE NOMBRE
Cargo Cargo

Colocar las firmas de las personas encargadas de la auditoria

1
 ____________________________
____________________________
NOMBRE NOMBRE
Cargo Cargo

Fecha: (Elaboración del Informe), Panamá; dd/mm/aaaa

2. Elaborar el informe final de auditoría

Al término de la auditoría, se presentarán sus resultados, a través de un

informe que debe redactarse en forma lógica, objetiva, imparcial y
constructiva, poniendo de manifiesto las desviaciones encontradas.

En el informe de auditoría se describirán los hechos o situaciones

detectadas, de tal forma que se expongan las observaciones y/o
hallazgos, de acuerdo con los objetivos planteados en la auditoría.

Un informe final de auditoria debe contener los siguientes elementos:

 Portada
 Tabla de contenido
 Introducción
 Objetivo u objetivos.
 Alcance
 Metodología del trabajo de auditoria
 Limitaciones
 Descripción general del proceso (Incluye ficha técnica)
 Opinión o conclusión general de la auditoria.
 Resultados:
o Opinión o conclusión por proceso
o Hallazgos
o Riesgo
o Recomendación
  Anexos
 Plan de compromiso.

Elementos de un informe de auditoría

A continuación te decimos los elementos que no deben faltar en tu informe de

auditoría:

o Título del informe. Por lo general se pone el nombre de la empresa.

o Datos de identificación. Por lo general en una empresa se llevan a cabo
varias auditorías al año, por lo que es importante saber el periodo que
describe este documento.
o Opinión emitida por el auditor. También es conocido como dictamen.
Esta parte se apoya en el elemento de abajo.
o Párrafo de énfasis. Sirve para mencionar alguna particularidad relevante
encontrada durante el proceso de auditoría.
o Salvedades del informe. Sólo se llena cuando hay observaciones.
o Informe de gestión. Describe los datos utilizados para el análisis.
o Datos generales del auditor. Nombre, título y tipo de licencia.
o Especificación legal. Para describir la autoridad que ostenta para auditar
la empresa o negocio.

Los pasos paa realizar correctamente un informe de auditoría son los siguientes:

1. Para iniciar, debemos redactar el título del informe para poder diferenciarlo

fácilmente de otros informes.

2. Posteriormente, hay que mencionar los datos de identificación del informe, es

decir, el nombre de la empresa, el periodo contable que se auditó, el nombre
de la persona encargada de la auditoría, los destinatarios que podrán consultar
el informe y la fecha en que se realiza el documento.

3. En el párrafo de alcance, se estipula que el proceso de auditoría se realizó

conforme a lo preestablecido en las Normas de Auditoría Generalmente
Aceptadas, las cuentas contables que fueron auditadas que generalmente son
Estado de Resultados, Balance General y Financiamientos y el periodo
contable auditado.
 4. Para continuar, en el párrafo de opinión que puede ser favorable, con
salvedades, desfavorable o denegado, se estipula si las cuentas expresan
adecuadamente la situación de la empresa, el patrimonio y estado de pérdidas
y ganancias o no, además de si cumplen con los estándares requeridos, de
igual forma, si cuentan o no con la información necesaria y suficiente para ser
interpretadas y comprendidas.

5. Posteriormente, el auditor incluye en el párrafo de énfasis aspectos relevantes

respecto a las cuentas contables pero que no influyen significativamente en la
opinión final.

6. Se determina si existen salvedades ya sea por limitación de

alcance, incertidumbre o incumplimiento de normas y se redacta en el párrafo
correspondiente.

7. Delimitar la responsabilidad a revisar únicamente los registros contables, esto

se redacta en el párrafo de informe de gestión.

8. Por último, se incluyen los datos generales de auditor con firma, nombre,

dirección y número

9. Finalmente se menciona el marco legal bajo el cual se rige el informe en el

último párrafo.

Informe de Auditoría
Empresa: (Nombre de la empresa por auditar.)
Periodo auditado: (Periodo contable que se audita.)
Encargado de la auditoría: (Nombre del auditor.)
Destinatarios: (Público que podrá consultar el informe.)
Fecha del informe: (Fecha en que se realiza el informe.)

Párrafo de alcance
(Se especifica el tipo y periodo de los estados financieros que serán auditados y se hace
referencia a las Normas de Auditoría Generalmente Aceptadas.)

Párrafo legal
(Se estipula que conforme a lo establecido, se consideran únicamente el Estado de
Resultados, el Balance General y los Financiamientos del último año contable.)
 Párrafo de énfasis
(Se mencionan aspectos que son relevantes respecto a la economía de la empresa pero que no
influyen en la opinión final del auditor.)

Párrafo de salvedades
(Se mencionan aspectos que son relevantes respecto a la economía de la empresa y que si
influyen en la opinión final del auditor.)

Párrafo de opinión
(El auditor emite su opinión respecto al estado económico de la empresa basado en su propio
juicio.)

Párrafo sobre el informe de gestión

(Se menciona si el informe concuerda con las cuentas anuales de la empresa.)

Datos generales del auditor

(Nombre del auditor)

(Datos registrales del auditor)

3. Integrar el legajo de papeles de trabajo de la auditoria

El legajo de papeles de trabajo, por su naturaleza y contenido, es el aspecto
fundamental para elaborar el dictamen de la auditoría, y su uso es
confidencial y exclusivo del auditor de sistemas, debido a que éste va
integrando en estos papeles de trabajo los documentos reservados y de uso
exclusivo de la empresa, mismos que recopila durante su revisión y los
complementa con los registros, en papel o en medios electromagnéticos,
que obtiene como evidencias formales de alguna desviación en el área de
sistemas auditada.

Se debe señalar que el contenido de los papeles de trabajo puede variar de

un auditor a otro y de un tipo de auditoría a otra, ya que en cada trabajo
existen procedimientos, técnicas y métodos de evaluación especiales que
 forzosamente harán diferente la recolección de los documentos. Lo mismo
ocurre con la forma de obtener evidencias e incluso con la forma de
concentrar los papeles de trabajo.

A continuación, presentaremos una propuesta para integrar estos papeles:

• Hoja de identificación

• Índice de contenido de los papeles de trabajo • Dictamen preliminar (borrador)

• Resumen de desviaciones detectadas (las más importantes)

• Situaciones encontradas (situaciones, causas y soluciones)

• Programa de trabajo de auditoría

• Guía de auditoría • Inventario de software

• Inventario de hardware • Inventario de consumibles

• Manual de organización

• Descripción de puestos

• Reportes de pruebas y resultados

• Respaldos (backups) de datos, disquetes y programas de aplicación de

auditoría

• Respaldos (backups) de las bases de datos y de los sistemas

• Guías de claves para el señalamiento de los papeles de trabajo

• Cuadros y estadísticas concentradores de información

• Anexos de recopilación de información

• Diagramas de flujo, de programación y de desarrollo de sistemas

• Testimoniales, actas y documentos legales de comprobación y confirmación

• Análisis y estadísticas de resultados, datos y pruebas de comportamiento del

sistema

• Otros documentos de apoyo para el auditor

Hoja de identificación:

Ésta es la parte frontal del legajo de papeles de trabajo de la auditoría de

sistemas, y es el primer documento formal que se identifica en dicho legajo; en
esta hoja, que puede ser una carátula formal rigurosamente empastada o una
simple portada de cartón o de papel común y corriente, se anotan los datos
elementales que sirven para identificar la documentación contenida en el
legajo.

Nombre de la empresa responsable de llevar a cabo la auditoría de

sistemas:

En esta parte se anotan el logotipo y nombre de la institución, cuando es una

empresa de auditoría externa la responsable de realizar la auditoría de
sistemas, o el nombre de la empresa y la designación del área de auditoría
interna, cuando es el área de auditoría interna la responsable de llevarla a
cabo. Es indispensable anotar los datos de una sola empresa (externa o
interna); no es válido anotar los de ambas.

Identificación del legajo de papeles de trabajo:

Aquí va el nombre genérico que se le da al documento y sirve para identificar

que se trata de la concentración de los documentos que avalan la realización
de la auditoría de sistemas. En algunos casos puede admitirse con otros
nombres, según la preferencia del auditor o empresa. Lo importante es que
esta parte sirve para identificar, claramente, el contenido de los documentos
relacionados con la auditoría de sistemas.

Nombre de la empresa o área de sistemas auditada:

En este lugar se anota el nombre completo de la empresa a la cual se practica

la auditoría de sistemas, junto con el nombre del área de sistemas en donde
ésta se lleva a cabo. En caso de tratarse de una auditoría interna, entonces se
anota el nombre del área de sistemas auditada. Lo esencial es que se puedan
identificar, lo más claramente posible, los nombres completos de la empresa y
del área de sistemas donde se realiza la auditoría.

Periodo en que se realizó la auditoría:

En este lugar se anota la fecha de inicio de la auditoría (desde que empezó la

revisión) y su terminación (hasta el último día de revisión); de preferencia se
debe anotar con el formato Día (con números) Mes (con letras) Año (con cuatro
dígitos), o con el formato que el auditor prefiera.
Puesto y cargo del responsable de realizar la auditoría:

Aquí se anota el nombre completo del responsable de llevar a cabo la auditoría;

en caso de ser un grupo, se anota el nombre del responsable de la conducción
de la auditoría. Se puede anotar a todos los participantes si así se desea, pero
siempre se debe destacar al responsable de la auditoría.

Fecha de emisión del dictamen final:

Es la fecha en la que se presenta por escrito el dictamen final de auditoría; es

propiamente la fecha en la que se entrega el resultado de la auditoría del área
de sistemas, y éste es aceptado por la dirección superior del área. Lo
fundamental es presentar con toda oportunidad dicho informe.

Índice del contenido de los papeles de trabajo:

En esta parte se hace la descripción detallada y se pagina el contenido total de

los papeles de trabajo, con el propósito de identificar rápidamente la página en
donde se encuentra cada una de las partes que integran este legajo de
papeles.

Resumen de desviaciones detectadas (las más importantes):

Otro de los documentos importantes que debe conservar el auditor en el legajo

de papeles de trabajo es la copia de los documentos originales, y en algunos
casos el borrador manuscrito, de las desviaciones que considera como las más
importantes encontradas durante la revisión, así como sus causas y posibles
soluciones, que presenta en el formato de desviaciones encontradas.

Programa de trabajo de auditoría:

Es el documento formal (por escrito) de los planes, programas y presupuestos

hechos para el control y desarrollo de la auditoría; este documento se elabora
en un formato especial o en una gráfica en la cual se anotan las etapas y
actividades para la evaluación, así como los tiempos para llevarla a cabo;
también se anotan los recursos disponibles para realizar todas esas
actividades.

Metodología para realizar auditorías de sistemas:

Analizar detalladamente el plan o programa de trabajo; por esta razón,

únicamente señalaremos los principales conceptos que el auditor debe
contemplar como parte del programa de trabajo.

Guía de auditoría:

Este documento, llamado guía de auditoría, es fundamental para el buen

desarrollo de una auditoría, ya que es una herramienta auxiliar para el trabajo
del auditor; por esta razón, debe tener una descripción detallada de todos y
cada uno de los puntos importantes que se deben auditar, según las
necesidades de evaluación y características específicas del área de sistemas
de la empresa.

Inventarios:

Una de las principales herramientas que utiliza el auditor de sistemas son los
inventarios, los cuales le sirven para contar los elementos que existen en el
área que va a evaluar, según los equipos, artículos o partes del sistema que se
traten; además, con la información que obtiene puede comparar lo que debería
existir y lo que realmente existe de los elementos que se están inventariando;
con ello puede comprobar que la guarda y custodia de los bienes de la
empresa sean adecuadas.

Respaldo de datos (BACKUPS) información y programas de aplicación de

auditoría:

Los sistemas tienen características específicas en cuanto a la forma de

captura, almacenamiento y emisión de información; por esta razón,
encontramos que el respaldo de documentos es muy importante en una
auditoría de sistemas computacionales. Estos documentos de trabajo, que
contienen información importante, se pueden archivar en disquetes, cintas, CD-
ROMs, DVDs o en algún otro medio electrónico de captura y lectura de datos.

Respaldos de bases de datos e información de la empresa:

Es el respaldo periódico de información que se hace a través de disquetes (o

cualquier otro medio), en los cuales se almacenan los datos de algún ejercicio,
operación, o cualquier otra serie de datos que es importante conservar. El
auditor de sistemas debe decidir cómo conservar esta información como parte
de su evaluación.

En la práctica de la auditoría de sistemas, el auditor debe evaluar los

respaldos, la periodicidad con la que se llevan a cabo, el período de duración o
actualización de la información respaldada, la confiabilidad del respaldo, la
manera de evitar fugas de información, entre muchos otros aspectos.

Respaldos de programas (copias de respaldo de programación):

En este caso, el auditor debe verificar que existan respaldos (periódicos o

únicos) de los sistemas operativos, programas, paqueterías o sistemas
realizados en la empresa, con el objeto de evaluar que dichos respaldos sean
los adecuados en caso de ocurrir problemas en el sistema. Además, debe
verificar que los respaldos estén perfectamente custodiados, y que no existan
más copias de las permitidas, para evitar la llamada piratería de programas o la
fuga de información de la empresa.

Otros documentos que debe contener el legajo de papeles de trabajo de la

auditoría:

Debemos señalar que el responsable de la auditoría de sistemas es quien

debe definir el contenido y la forma de guardar los papeles de trabajo, y debe
hacerlo de acuerdo con las necesidades específicas de evaluación, siguiendo,
de preferencia, la forma acostumbrada de captura y almacenamiento de la
información recabada en la empresa o área auditada. Asimismo, es quien debe
determinar las secciones, partes y documentos que se deben guardar en el
legajo de papeles de trabajo. Por esta razón, a continuación, presentamos
algunos otros documentos que debe contener el citado legajo.
Estadísticas y cuadros concentradores de información:

Este punto se refiere a todo lo relacionado con los cuadros estadísticos que
utiliza el auditor para recabar y evaluar la información obtenida en la
evaluación; en estos cuadros se incluyen las gráficas, datos, censos, muestras,
formulas estadísticas, etc. Es de suma importancia para el auditor archivar
estos cuadros en el legajo de papeles de trabajo, ya que le pueden servir para
acreditar sus opiniones; además, pueden servir de referencia para los auditores
novatos sobre la manera de elaborar estadísticas y obtener evidencias de una
evaluación de sistemas.

Anexos de recopilación de información:

Además de la información estadística, el auditor puede obtener otro tipo de

información que le es útil para realizar la evaluación de los sistemas
computacionales, misma que puede ser muy variada y que debe guardar como
anexos de información; a continuación, presentamos algunos ejemplos de
estos anexos:

• Resultados del procesamiento de datos

• Descripción de puestos, funciones y actividades

• Resultados y pruebas de cálculos de procesamientos que se efectúan en el

sistema

• Copias de formatos y licencias de programas y paqueterías

• Copias de resguardos de equipos y mobiliario

• Mapas de distribución de redes, instalaciones, equipos, muebles y sistemas

de

• Mapas de rutas de evacuación y seguridad del área de sistemas

• Bitácoras de reportes y servicios de mantenimiento preventivo y correctivo

• Resultados de inventarios y pruebas de la arquitectura de los sistemas

• Resultados de diseños, análisis, codificación, pruebas y liberación de

sistemas • Copias de programas fuente, objeto y codificación de los sistemas
desarrollados en la empresa

• Resultados de cotizaciones y estudios de mercado para adquisiciones de

hardware, software, mobiliario y consumibles de sistemas

• Otros documentos útiles para el auditor

• Diagramas de sistemas, de programación y desarrollo de sistemas

Testimoniales actas y documentos legales de comprobación y

confirmación:

En algunos casos, estos documentos pueden ser de los más importantes de

una auditoría de sistemas, debido a que son el testimonio de empleados,
usuarios, responsables o de las personas que por algún motivo declararon algo
relacionado con los sistemas auditados o con alguna situación específica.
Estos documentos deben ser recabados con toda formalidad.

Análisis estadístico de resultados datos y pruebas de comportamiento del

sistema:

Así como es necesario guardar los datos, muestras y fórmulas estadísticas

indicadas, también es necesario conservar los documentos relacionados con el
análisis estadístico de los resultados, ya que además de servir como evidencia
de las desviaciones encontradas, también pueden servir de referencia para
futuras evaluaciones; es decir, se pueden utilizar como modelo para retomar
los procedimientos seguidos y obtener resultados similares o para enseñar a
los auditores novatos.

Otros documentos especializados de una auditoría de sistemas:

En el legajo de papeles de trabajo también se debe anexar la información (en

papel o electrónicamente) relacionada con los reportes, análisis y resultados de
pruebas, configuraciones y exámenes especializados del sistema
computacional, de las instalaciones o de cualquier otro aspecto relacionado con
el área de sistemas; también se debe anexar lo relacionado con el
procesamiento de información o con cualquier otra actividad informática.
Ejemplos: