Checklist para Evaluar la Estructura de

Control de TI
 Ejemplo
AUDITORÍA EXTERNA
LISTADO DE VERIFICACIÓN PARA EXAMINAR LA
ESTRUCTURA DE CONTROL TI

Cliente :
Encargo :
Periodo :
Objetivos:

No. ACCIONES/REQUERMIENTOS SI NO N/A OBSERVACIONES

1. ACCIONES
¿Identifica el entorno de control TI de la
entidad, incluyendo?:
a) Valores
b) Filosofía
c) Estilo de gestión
d) Conocimiento de TI
e) Organización
f) Políticas
g) Normas

2. ¿Verifica la información importante y la

regulación que afecta al control TI, de:
a) El gobierno
b) Información a emitir
c) Protección de datos
d) Cumplimiento legal

3. ¿Examina las funciones y

responsabilidades sobre controles TI en
relación con:
a) Consejo de administración:
• Comité de Auditoría
• Comité de Riesgos
• Comité de Gobierno
• Comité de Finanzas
b) Gerencia:
• Director General CEO
• Director Financiero CFO
• Director TI CIO
• Director de Seguridad
CSO
• Director de Seguridad
Informática CISO
• Asesor Jurídico CLC
• Director de Riesgos CRO
No. ACCIONES/REQUERMIENTOS SI NO N/A OBSERVACIONES

c) Auditoría
• Interna
• Externa

4. ¿Verifica el proceso de evaluación de

riesgos y cubre los siguientes aspectos?:

a) Aceptación del riesgo

b) Tolerancias al riesgo
c) Análisis del riesgo
d) Comparación de riesgos con
controles TI
5. Evalúa todos los procesos de
monitorización:
a) Regulatorios
b) Interna en la entidad
c) Otros con excepción de auditoría
6.
Examina los mecanismos de información
y de comunicación:
a) Información de control
b) Fallos de control

REQUERIMIENTOS
a) ¿Existen políticas y normas
corporativas que describan la
necesidad de los controles TI?

b) ¿Qué legislación existe que

impacte sobre la necesidad de
controles TI?

c) ¿La gerencia ha tomado medidas

para asegurar el cumplimiento
con esta legislación?

d) ¿Se asignan todas las

responsabilidades importantes de
los controles TI a las funciones
individuales?

e) ¿Es compatible la asignación de

responsabilidades con la
aplicación de la división de
funciones?

f) ¿Se documentan las

responsabilidades TI?
No. ACCIONES/REQUERMIENTOS SI NO N/A OBSERVACIONES
g) ¿Las responsabilidades de control
de TI son comunicadas a toda
entidad?

h) ¿Los responsables individuales

de cada función comprenden
claramente sus responsabilidades
en lo relacionado a los controles
TI?

i) ¿Qué evidencia hay de que los

titulares de las funciones han
ejercido sus responsabilidades?

j) ¿Auditoría Interna emplea los

suficientes especialistas de
auditoría TI para centrarse en
aspectos de control TI?

k) ¿Cómo se establece la
aceptación del riesgo y la
tolerancia al riesgo por la
entidad?

l) ¿La aceptación y la tolerancia al

riesgo son comprendidos por
todos los funcionarios con
responsabilidad en el control TI?

m) ¿Existe un proceso normal por

todos los funcionarios con
responsabilidad en el control TI?

n) ¿Utilizan el proceso de manera

consistente a través de toda la
entidad?

o) ¿Qué procesos existen para

monitorizar el cumplimiento de
toda la legislación, políticas y
normas existentes?

p) ¿Existen procesos de
monitorización ejecutados por la
gerencia por fuera de las
revisiones de auditoría?

q) ¿Qué métricas se suministran al

Consejo de Administración, sus
comités y la gerencia en lo
relacionado a la seguridad TI?
No. ACCIONES/REQUERMIENTOS SI NO N/A OBSERVACIONES
r) ¿Cuáles informes adicionales se
suministran al Consejo de
Administración y a la gerencia de
manera regular?

s) ¿La gerencia siempre está

informada cuando hay
irregularidades de los controles
TI?

t) ¿Los comités y el consejo de

dirección reciben informes
similares de irregularidades de TI

SOCIO: GERENTE: SENIOR: FECHA: