MATRIZ DE RIESGOS Y PROGRAMA DE AUDITORÍA DE TECN

Auditoría comprendida entre el período

Preparado por:
Revisado por:
Aprobado por:

Macroproceso:

OBJETIVO DE LA AUDITORÍA

• Verificar la existencia, completitud y aplicación de políticas y procedimientos para los controles generales de tecnología

• Identificar los riesgos del proceso, y verificar la existencia y operatividad de los controles

• El responsable del proceso auditado definirá acciones de mejoramiento para mitigar los riesgos residuales de impacto med

Este modelo de programa de auditoría considera los riesgos, controles y pruebas generales de los controles de tecnología,
lo ajuste de acuerdo con el conocimiento del proceso a auditar.

ALCANCE DE LA AUDITORÍA

La auditoría a ejecutar tiene alcance a la evaluación de los controles generales de tecnología, considerando el ambiente de c
de programas, controles de aplicación, controles de acceso y controles de operación continua.

PERÍODO AUDITADO

(Se debe identificar el período sobre el cual se va a realizar la auditoría, de acuerdo con el alcance y período de muestra de la

PROCESO SUBPROCESO ACTIVIDAD

Controles generales de
tecnología
Definición de políticas y
Controles generales
procedimientos del proceso de
de tecnología
tecnología
 Definición de políticas y
Controles generales de Controles generales
procedimientos del proceso de
tecnología de tecnología
tecnología

La compañía tiene definidos

Diseño de programas
Controles generales de procedimientos para el desarrollo
tecnología (desarrollo de de nuevas aplicaciones y
aplicaciones)
programas

La compañía tiene definidos

Diseño de programas procedimientos para el desarrollo
Controles generales de
(desarrollo de de nuevas aplicaciones y
tecnología
aplicaciones) programas que son contratadas
con terceros
 Accesos a los La compañía cuenta con controles
Controles generales de
programas y a la de autenticación por usuario y
tecnología información antihackers

La compañía cuenta con controles

Accesos a bases de
Controles generales de de seguridad de acceso y
datos y/o archivos
tecnología modificación de bases de datos e
con información
información
Controles generales de La incidencias de operación son
Operación resueltas de manera eficaz y
tecnología
oportuna

Controles de capacidad de
Controles generales de Controles de
almacenamiento y mantenimiento
tecnología almacenamiento de equipos
 tecnología almacenamiento
de equipos

Conclusiones detalladas, resultados de la ejecución del programa de auditoría que deben ser presentados en el informe de

Después de ejecutar el plan de pruebas, documente los hallazgos identificados:

1. Diseño de control
2. Solidez de control moderado y débil
3. Riesgo residual alto y moderado
 Y PROGRAMA DE AUDITORÍA DE TECNOLOGÍA ITGCs

Referencia P.T.
Fecha: Versión: 1
Fecha: D-PAP 003
Fecha:

Proceso :

VO DE LA AUDITORÍA

tos para los controles generales de tecnología

e los controles

ara mitigar los riesgos residuales de impacto medio y alto identificados

ruebas generales de los controles de tecnología, por lo tanto, se requiere que el usuario

CE DE LA AUDITORÍA

les de tecnología, considerando el ambiente de control de tecnología, desarrollo y cambio

peración continua.

ÍODO AUDITADO

acuerdo con el alcance y período de muestra de la documentación a evaluar)

RIESGO

Aserción
Descripción Riesgo Inherente que afecta
el riesgo

Actividades no autorizadas de
EXACTITUD Y
la aplicación de controles ALTO
VALUACIÓN
generales de tecnología
Actividades no autorizadas de
EXACTITUD Y
la aplicación de controles ALTO
VALUACIÓN
generales de tecnología

Pérdidas económicas por

inadecuada evaluación, desarrollo
y funcionamiento
de nuevos desarrollos
MEDIO INTEGRIDAD
Pérdida de continuidad de negocio
por desarrollos inadecuados que
afectan actividades críticas del
proceso

Pérdidas económicas por

inadecuada evaluación, desarrollo
y funcionamiento de nuevos
desarrollos
DERECHOS Y
ALTO
OBLIGACIONES
Pérdida de continuidad de negocio
por desarrollos inadecuados que
afectan actividades críticas del
proceso
Pérdida de información y/o
confidencialidad por debilidad en
los controles de acceso a ALTO INTEGRIDAD
programas, aplicaciones e
información

Pérdida de información y/o

DERECHOS Y
confidencialidad por debilidad en ALTO
OBLIGACIONES
los controles de acceso
Pérdidas económicas por
ineficiencias en las operaciones de
procesamiento de información

Pérdidas de continuidad de la
operación y/o procesos por
ALTO INTEGRIDAD
problemas de procesamiento no
resueltos de manera eficaz

Inadecuada toma de decisiones

por información no confiable
(íntegra y exacta)

Pérdidas económicas por

inoportunidad y ausencia de
controles de mantenimiento
EXISTENCIA Y
ALTO
Pérdida de continuidad de la OCURRENCIA
operación por debilidades en el
almacenamiento y disponibilidad
de la información
 Pérdida de continuidad de la OCURRENCIA
operación por debilidades en el
almacenamiento y disponibilidad
de la información

oría que deben ser presentados en el informe de auditoría

ados:
 PLAN

CONTROL

Hallazgo del diseño

Descripción Diseño
de control

La compañía cuenta con un adecuado

Diligenciar si se identifican
ambiente de control, con políticas y
ADECUADO debilidades en el diseño del
procedimientos documentados,
control
actualizados y divulgados
La compañía cuenta con un adecuado
Diligenciar si se identifican
ambiente de control, con políticas y
ADECUADO debilidades en el diseño del
procedimientos documentados,
control
actualizados y divulgados

Los nuevos desarrollos, cambios a

aplicaciones y diseños cumplen con
controles de evaluación, pruebas, ADECUADO
producción y autorización
Diligenciar si se identifican
debilidades en el diseño del
control

Los nuevos desarrollos, cambios a

aplicaciones y diseños contratados
con proveedores externos, son
monitoreados por el área de Diligenciar si se identifican
tecnología de la compañía, a los ADECUADO debilidades en el diseño del
cuales se les aplican los controles de control
seguimiento, monitoreo y pruebas
debidamente autorizadas por la
compañía
Cada usuario cuenta con
autenticación para iniciar a la red y a
las aplicaciones
Diligenciar si se identifican
ADECUADO debilidades en el diseño del
La compañía cuenta con controles control
antihackers y sistemas que detectan
presencia de intrusos, generando
alertas que son gestionadas

Los accesos a las bases de datos e

información están restringidos a
funcionarios que no pertenecen a las
áreas funcionales y roles autorizados. Diligenciar si se identifican
ADECUADO debilidades en el diseño del
Los ingresos, cambios y bloqueo de control
accesos son solicitados a tecnología y
autorizados por los dueños de cada
proceso de manera permanente.
autorizados por los dueños de cada
proceso de manera permanente.

El área de soporte cuenta con un

semáforo de incidencias,
categorización de criticidad y
actividades de respuesta Diligenciar si se identifican
ADECUADO debilidades en el diseño del
El área de tecnología cuenta con un control
procedimiento diario de backup de la
información y un plan de
contingencia

El área de tecnología cuenta con

planes de mantenimiento y
Diligenciar si se identifican
obsolescencia. Los mecanismos de
ADECUADO debilidades en el diseño del
almacenamiento aseguran la control
adecuada conservación y protección
de los equipos y redes.
almacenamiento aseguran la
control
adecuada conservación y protección
de los equipos y redes.
 PLAN DE PRUEBAS DE LA AUDITORÍA DE CONTROLES GENERALES DE TECNOLOGÍA

PLAN

Objetivo

Verificar el ambiente de
control del proceso general de
tecnología
Verificar el ambiente de
control del proceso general de
tecnología

Validar la aplicación de
controles para el desarrollo de
nuevos programas y/o
aplicaciones

Validar la aplicación de
controles para el desarrollo de
nuevos programas y/o
aplicaciones asignadas a
proveedores externos
Verificar los controles de
seguridad de accesos a
la red, aplicaciones,
programas e información

Verificar los controles

de seguridad de accesos
a bases de datos e información
Verificar la oportunidad
resolutiva de problemas
de operación y controles
de respaldo de información

Validar la existencia de
controles de almacenamiento
y mantenimiento
y mantenimiento
PLAN DE PRUEBAS DE LA AUDITORÍA DE CONTROLES GENERALES DE TECNOLOGÍA

PLAN DE TRABAJO / PRUEBAS

Prueba

1. Solicite las políticas y procedimientos del área de tecnología y los niveles de

autorización de actividades críticas del proceso. Verifique que se encuentren
actualizados y divulgados

2. Verifique que las políticas de tecnología estén aprobadas por el máximo

órgano de dirección de la compañía
1. Solicite las políticas y procedimientos del área de tecnología y los niveles de
autorización de actividades críticas del proceso. Verifique que se encuentren
actualizados y divulgados

2. Verifique que las políticas de tecnología estén aprobadas por el máximo

órgano de dirección de la compañía

1. Tome una muestra de proyectos, nuevos desarrollos, aplicaciones y/o

cambios a programas desarrolladas directamente por el área de tecnología de la
compañía y valide:
- Área y/o proceso en donde operará el nuevo desarrollo
- Asociación del nuevo desarrollo a los objetivos estratégicos de la compañía
- Impacto del nuevo desarrollo en el proceso
- Inversión financiera, presupuesto y ejecución actual
- Cronograma del proyecto, estado de ejecución y desviaciones
- Estudio predictivo del proyecto, análisis, identificación de riesgos, evaluación
de debilidades, fortalezas, oportunidades y amenazas (DOFA)
- Diseño del programa o desarrollo
- Actividades y controles definidos en la etapa de construcción, así como
controles de calidad, pruebas y niveles de autorización (tecnología y dueño de
proceso)
- Actividades de implementación, cronograma, pruebas y niveles de autorización
(tecnología y dueño del proceso)
- Actividades de entrenamiento al área funcional (actas)
- Documentación del proyecto
- Monitoreo del adecuado funcionamiento del desarrollo, aplicación y/o
programa

1. Tome una muestra de proyectos, nuevos desarrollos, aplicaciones y o

cambios a programas desarrolladas por proveedores externos y valide:
- Área y/o proceso en donde operará el nuevo desarrollo
- Asociación del nuevo desarrollo a los objetivos estratégicos de la compañía
- Impacto del nuevo desarrollo en el proceso
- Inversión financiera, presupuesto y ejecución actual
- Contrato, acuerdos de servicio, honorarios, pólizas de garantía, anticipos,
políticas de seguridad de información, confidencialidad y plan de continuidad
- Cronograma del proyecto, estado de ejecución y desviaciones autorizadas por
la compañía.
- Estudio predictivo del proyecto, análisis, identificación de riesgos, evaluación
de debilidades, fortalezas, oportunidades y amenazas (DOFA)
- Diseño del programa o desarrollo
- Actividades y controles definidos en la etapa de construcción, así como
controles de calidad, pruebas y niveles de autorización (tecnología interna,
proveedor y dueño del proceso)
- Actividades de implementación, cronograma, pruebas y niveles de autorización
(tecnología interna, proveedor y dueño del proceso)
- Actividades de entrenamiento al área funcional (actas)
- Documentación del proyecto
- Monitoreo del adecuado funcionamiento del desarrollo, aplicación y/o
programa
(tecnología interna, proveedor y dueño del proceso)
- Actividades de entrenamiento al área funcional (actas)
- Documentación del proyecto
- Monitoreo del adecuado funcionamiento del desarrollo, aplicación y/o
programa

1. Verificar que la compañía cuente con procedimientos para la asignación de

autenticación para cada usuario, permitiendo el ingreso e inicio a la red y a
aplicaciones específicas según su rol y estructura de la organización.
2. Valide que las autenticaciones estén programadas para que soliciten cambios
de clave de manera periódica.
3. Valide que el área de tecnología tenga identificadas las capas de seguridad y
controles de acceso a cada una de ellas (aplicación, información, sistema
operativo, red interna y red perimetral)
4. Verifique y valide los controles de seguridad perimetral y controles
antihackers, tales como: firewalls y sistemas que detectan la presencia de
intrusos
5. Verifique que la compañía tenga definido el procedimiento de gestión de
alertas de presencia de intrusos y accesos a información no autorizada

1. Verifique que la compañía cuente con una matriz de accesos por funcionario
alineada con los roles o cargos que ejercen en la compañía, la cual debe
considerar:

- Roles o Cargo
- Responsabilidades u opciones en los sistemas
- Opciones autorizadas y no autorizadas por cargo
- Visualización de los conflictos de segregación de funciones por cargo

2. Tome una muestra de áreas y/o procesos de la compañía y valide que los
usuarios que tienen acceso a bases de datos, aplicativos e información de esa
área, estén autorizados y pertenezcan a la misma.

3. Verifique que los usuarios identificados que tienen acceso a información del
área evaluada y que no estaban autorizados, no realizaron cambios y/o
transacciones sospechosas.

4. Verifique y valide de todos los usuarios activos y proveedores, lo siguiente:

- Los usuarios asignados a proveedores son temporales, tienen fecha de

expiración; su asignación corresponde a la vigencia del contrato y autorización.
- Los usuarios genéricos deben estar debidamente autorizados y son temporales,
tienen fecha de expiración y deben identificar claramente el funcionario que los
utiliza.
- Si existen usuarios "super usuarios", verifique el riesgo de estos accesos y
modificación de información
- Adecuada segregación de funciones y/o actividades que generan conflictos
asignadas a un mismo usuario

5. Verifique los archivos de Excel que la compañía utiliza para el manejo y

control de información crítica y que se encuentran en carpetas compartidas.
- Los usuarios genéricos deben estar debidamente autorizados y son temporales,
tienen fecha de expiración y deben identificar claramente el funcionario que los
utiliza.
- Si existen usuarios "super usuarios", verifique el riesgo de estos accesos y
modificación de información
- Adecuada segregación de funciones y/o actividades que generan conflictos
asignadas a un mismo usuario

5. Verifique los archivos de Excel que la compañía utiliza para el manejo y

control de información crítica y que se encuentran en carpetas compartidas.
Valide que cuente con controles de acceso y edición.

6. Verifique que las aplicaciones cuenten con logs de auditoría, que permitan
hacer seguimiento y monitoreo de los accesos a información, modificaciones no
autorizadas. El área de tecnología realiza seguimiento a las modificaciones y/o
accesos a información crítica del negocio.

1. Verifique que la compañía cuente con un help desk que soporta a toda la
organización, el esquema de servicio y los mecanismos o herramientas para
brindar soporte

2.Verifique que las incidencias en estado abierto no superen el tiempo máximo

de respuestas definido en el procedimiento y las categoriza de acuerdo a su
impacto

3. Verifique el procedimiento de cierre de incidencias y su adecuada segregación

de funciones.

4. Verifique el procedimiento de respaldos de información, Backup y las pruebas

de recuperación realizadas por el área de tecnología.

5. Verifique el plan de continuidad del negocio y recuperación de desastres, las

pruebas de efectividad del plan realizadas por el área de tecnología.

6. Verifique las pruebas de seguridad que realiza el área de tecnología para

validar que los procedimientos de interface de información son correctos

1. Verificar los controles de IT que permitan asegurar que la compañía cuenta

con la capacidad de almacenamiento y su suficiencia para cubrir todas las
necesidades presentes y futuras de la compañía

2. Verifique que la compañía cuenta con una planta física acondicionada para el
alojamiento y mantenimiento de equipos de computación, telecomunicaciones,
conexiones a internet y otras redes.

3. Verifique el plan de mantenimiento preventivo a equipos y plantas

y el plan de obsolescencia
alojamiento y mantenimiento de equipos de computación, telecomunicaciones,
conexiones a internet y otras redes.

3. Verifique el plan de mantenimiento preventivo a equipos y plantas

y el plan de obsolescencia
DE TECNOLOGÍA

PLAN DE TRABAJO / PRUEBAS

Información a validar Tipo de prueba Estado de la prueba No. de la prueba

1. Políticas y procedimientos del

SUSTANTIVA CERRADA Prueba No. 1
proceso de tecnología
1. Políticas y procedimientos del
SUSTANTIVA CERRADA Prueba No. 1
proceso de tecnología

1. Política y procedimiento de diseño

e implementación de proyectos de
tecnología

2. Lista de proyectos, nuevos

desarrollos y aplicaciones, y cambios a
programas que se están ejecutando SUSTANTIVA CERRADA Prueba No. 2
en la compañía o que se ejecutaron
en el período auditado, identificando
si son desarrollos internos o fueron
contratados con proveedores
externos

1. Política y procedimiento de diseño

e implementación de proyectos de
tecnología

2. Lista de proyectos, nuevos

desarrollos y aplicaciones, y cambios a
SUSTANTIVA CERRADA Prueba No. 3
programas que se están ejecutando
en la compañía o que se ejecutaron
en el período auditado, identificando
si son desarrollos internos o fueron
contratados con proveedores
externos
1. Procedimiento para agregar,
eliminar o cambiar usuarios

2. Listado y estructura de capas de

seguridad que tiene definido el área
de tecnología y controles de acceso a
cada una de ellas
SUSTANTIVA CERRADA Prueba No. 4
3. Procedimiento de controles y
gestión antihackers

4. Programas de control de seguridad

de información, sistemas operativos,
red y seguridad física.

1. Head Count de la compañía

identificando empleado, código, área
a la que pertenece y cargo

2. Listado de usuarios de la compañía

configurados para tener acceso a
información, bases y aplicativos, en
donde se identifique usuario SUSTANTIVA CERRADA Prueba No. 5
asignado, nombre del empleado, área,
cargo y proveedores autorizados

3. Matriz de roles o cargos versus

opciones o accesos en las plataformas
de información
3. Matriz de roles o cargos versus
opciones o accesos en las plataformas
de información

1. Listado de incidencias con corte a la

fecha de auditoría pendientes de
cierre, en donde se identifique tipo de
incidencia, área, criticidad y fecha.

2. Procedimiento de respaldo y SUSTANTIVA CERRADA Prueba No. 6

recuperación de información

3. Plan de continuidad

4. Plan de backup y restauración

1. Plan de mantenimiento
SUSTANTIVA CERRADA Prueba No. 7
2. Plan de obsolescencia
2. Plan de obsolescencia
 CONTROL RIESGO

Ref.
Resultado de la
papel de trabajo/ Solidez del control Riesgo Residual
prueba
evidencia

OPORTUNIDAD DE
AITGCS1 DÉBIL BAJO
MEJORA
 OPORTUNIDAD DE
AITGCS1 DÉBIL BAJO
MEJORA

OPORTUNIDAD DE
AITGCS2 MEJORA FUERTE BAJO

OPORTUNIDAD DE
AITGCS3 FUERTE BAJO
MEJORA
 OPORTUNIDAD DE
AITGCS4 FUERTE BAJO
MEJORA

OPORTUNIDAD DE
AITGCS5 FUERTE BAJO
MEJORA
 OPORTUNIDAD DE
AITGCS6 FUERTE BAJO
MEJORA

OPORTUNIDAD DE
AITGCS7 MODERADO ALTO
MEJORA
MEJORA
 ACCIÓN DE MEJORAMIENTO

Fecha de
Detalle Responsable Cargo
implementación

Diligenciar Diligenciar Diligenciar Diligenciar

Diligenciar Diligenciar Diligenciar Diligenciar

Diligenciar Diligenciar Diligenciar Diligenciar

Diligenciar Diligenciar Diligenciar Diligenciar

Diligenciar Diligenciar Diligenciar Diligenciar

Diligenciar Diligenciar Diligenciar Diligenciar

Diligenciar Diligenciar Diligenciar Diligenciar

Diligenciar Diligenciar Diligenciar Diligenciar