Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Macroproceso:
OBJETIVO DE LA AUDITORÍA
• Verificar la existencia, completitud y aplicación de políticas y procedimientos para los controles generales de tecnología
• Identificar los riesgos del proceso, y verificar la existencia y operatividad de los controles
• El responsable del proceso auditado definirá acciones de mejoramiento para mitigar los riesgos residuales de impacto med
Este modelo de programa de auditoría considera los riesgos, controles y pruebas generales de los controles de tecnología,
lo ajuste de acuerdo con el conocimiento del proceso a auditar.
ALCANCE DE LA AUDITORÍA
La auditoría a ejecutar tiene alcance a la evaluación de los controles generales de tecnología, considerando el ambiente de c
de programas, controles de aplicación, controles de acceso y controles de operación continua.
PERÍODO AUDITADO
(Se debe identificar el período sobre el cual se va a realizar la auditoría, de acuerdo con el alcance y período de muestra de la
Definición de políticas y
Controles generales de Controles generales
procedimientos del proceso de
tecnología de tecnología
tecnología
Definición de políticas y
Controles generales de Controles generales
procedimientos del proceso de
tecnología de tecnología
tecnología
Controles de capacidad de
Controles generales de Controles de
almacenamiento y mantenimiento
tecnología almacenamiento de equipos
tecnología almacenamiento
de equipos
Conclusiones detalladas, resultados de la ejecución del programa de auditoría que deben ser presentados en el informe de
Referencia P.T.
Fecha: Versión: 1
Fecha: D-PAP 003
Fecha:
Proceso :
VO DE LA AUDITORÍA
e los controles
ruebas generales de los controles de tecnología, por lo tanto, se requiere que el usuario
CE DE LA AUDITORÍA
ÍODO AUDITADO
RIESGO
Aserción
Descripción Riesgo Inherente que afecta
el riesgo
Actividades no autorizadas de
EXACTITUD Y
la aplicación de controles ALTO
VALUACIÓN
generales de tecnología
Actividades no autorizadas de
EXACTITUD Y
la aplicación de controles ALTO
VALUACIÓN
generales de tecnología
Pérdidas de continuidad de la
operación y/o procesos por
ALTO INTEGRIDAD
problemas de procesamiento no
resueltos de manera eficaz
ados:
PLAN
CONTROL
PLAN
Objetivo
Verificar el ambiente de
control del proceso general de
tecnología
Verificar el ambiente de
control del proceso general de
tecnología
Validar la aplicación de
controles para el desarrollo de
nuevos programas y/o
aplicaciones
Validar la aplicación de
controles para el desarrollo de
nuevos programas y/o
aplicaciones asignadas a
proveedores externos
Verificar los controles de
seguridad de accesos a
la red, aplicaciones,
programas e información
Validar la existencia de
controles de almacenamiento
y mantenimiento
y mantenimiento
PLAN DE PRUEBAS DE LA AUDITORÍA DE CONTROLES GENERALES DE TECNOLOGÍA
Prueba
1. Verifique que la compañía cuente con una matriz de accesos por funcionario
alineada con los roles o cargos que ejercen en la compañía, la cual debe
considerar:
- Roles o Cargo
- Responsabilidades u opciones en los sistemas
- Opciones autorizadas y no autorizadas por cargo
- Visualización de los conflictos de segregación de funciones por cargo
2. Tome una muestra de áreas y/o procesos de la compañía y valide que los
usuarios que tienen acceso a bases de datos, aplicativos e información de esa
área, estén autorizados y pertenezcan a la misma.
3. Verifique que los usuarios identificados que tienen acceso a información del
área evaluada y que no estaban autorizados, no realizaron cambios y/o
transacciones sospechosas.
6. Verifique que las aplicaciones cuenten con logs de auditoría, que permitan
hacer seguimiento y monitoreo de los accesos a información, modificaciones no
autorizadas. El área de tecnología realiza seguimiento a las modificaciones y/o
accesos a información crítica del negocio.
1. Verifique que la compañía cuente con un help desk que soporta a toda la
organización, el esquema de servicio y los mecanismos o herramientas para
brindar soporte
2. Verifique que la compañía cuenta con una planta física acondicionada para el
alojamiento y mantenimiento de equipos de computación, telecomunicaciones,
conexiones a internet y otras redes.
3. Plan de continuidad
1. Plan de mantenimiento
SUSTANTIVA CERRADA Prueba No. 7
2. Plan de obsolescencia
2. Plan de obsolescencia
CONTROL RIESGO
Ref.
Resultado de la
papel de trabajo/ Solidez del control Riesgo Residual
prueba
evidencia
OPORTUNIDAD DE
AITGCS1 DÉBIL BAJO
MEJORA
OPORTUNIDAD DE
AITGCS1 DÉBIL BAJO
MEJORA
OPORTUNIDAD DE
AITGCS2 MEJORA FUERTE BAJO
OPORTUNIDAD DE
AITGCS3 FUERTE BAJO
MEJORA
OPORTUNIDAD DE
AITGCS4 FUERTE BAJO
MEJORA
OPORTUNIDAD DE
AITGCS5 FUERTE BAJO
MEJORA
OPORTUNIDAD DE
AITGCS6 FUERTE BAJO
MEJORA
OPORTUNIDAD DE
AITGCS7 MODERADO ALTO
MEJORA
MEJORA
ACCIÓN DE MEJORAMIENTO
Fecha de
Detalle Responsable Cargo
implementación