Documente Academic
Documente Profesional
Documente Cultură
Introduccin
Objetivo
Elaborar un plan de auditora para una entidad gubernamental del orden territorial especificando
los dominios, procesos y objetivos de control, adems de los controles aplicables segn el marco
COBIT 4.1.
Objetivos especficos.
PLANEAR Y ORGANIZAR
PO6 Comunicar las aspiraciones y la direccin de gerencia
La direccin debe elaborar un marco de trabajo de control empresarial para TI, y definir y
comunicar las polticas. Un programa de comunicacin continua se debe implementar para
articular la misin, los objetivos de servicio, las polticas y procedimientos etc., aprobados y
apoyados por la direccin. La comunicacin apoya el logro de los objetivos de TI y asegura la
conciencia y el entendimiento de los riesgos de negocio y de TI. El proceso debe garantizar el
cumplimiento de las leyes y reglamentos relevantes
OBJETIVOS DE CONTROL
PO6.1 Ambiente de polticas de control
Definir los elementos de un ambiente de control para TI. Alineados con la filosofa
administrativa y el estudio operativo de la empresa. Estos elementos incluyen las
expectativas/requerimientos respecto a la entrega valor proveniente de las inversiones en TI, el
apetito de riesgo, la integridad, los valores ticos, la competencia del personal, la rendicin de
cuentas y la responsabilidad. El ambiente de control se basa en una cultura que apoya la entrega
de valor, mientras administra riesgos significativos, fomenta la colaboracin entre divisiones y
el trabajo en equipo, promueve el cumplimiento y la mejora continua de procesos, y maneja las
desviaciones (incluyendo fallas) de forma adecuada.
PO6.2 Riesgo corporativo y marco de referencia de control interno de TI
Elaborar y dar mantenimiento a un marco de trabajo que establezca el enfoque empresarial
general hacia los riesgos y el control que se alinee con la poltica de TI, el ambiente de control y
el marco de trabajo de riesgo y control de la empresa.
PO6.3 Administracin de polticas para TI.
Elaborar y dar mantenimiento a un conjunto de polticas que apoyen las estrategias de TI. Estas
polticas deben incluir su intencin, roles y responsabilidades, procesos de excepcin, enfoque de
cumplimiento y referencias a procedimientos, estndares y directrices. Su relevancia se debe
confirmar y aprobar en forma regular.
PO6.4 Implantacin de polticas de TI
Anlisis de riesgos
N
Descripcin
R1
R2
R3
R4
Daos dispositivos
Prdida total dispositivos
Extraccin de informacin
Procedimientos
incorrectos, del talento
humano
Robo de informacin o
destruccin de la misma
Dao de la red
Destruccin de la
informacin por un virus
Accesos no autorizados a
la red
Costos elevados de
mantenimiento, por falta
de sistemas de seguridad
Poco control en el manejo
de la informacin
Personal mal informado
R6
R7
R8
R9
R1
0
R1
1
R1
2
R1
3
Impacto
Moderad Catastrfic
o
o
X
X
X
X
R5
Probabilidad
Baj Medi Alta Lev
a
a
e
X
X
X
X
X
X
Alto
61100%
Medio
31-
R1, R4,
R11
R3, R6,
60%
Bajo
0-30%
R12
Leve
IMPACTO
Formato entrevista
Catastrfic
o
ENTREVISTA
ENTIDAD AUDITADA
AREA AUDITADA
OBJETIVO
ENTREVISTA
Gobernacin
SISTEMA
REF
PAGINA
DE
PO 6
ENTREVISTADO
CARGO
1. Conoce la misin y visin de la empresa?
_________________________________________________________
________________________________________________
2. Tiene claro las funciones que debe desarrollar en la organizacin?
_________________________________________________________
_________________________________________________________
3. Conoce el plan estratgico de la organizacin?
_________________________________________________________
_________________________________________________________
4. Estn definido el marco de control TI?
______________________________________________________________
____________________________________________________
5. Conoce usted un marco para gestin de riesgo de la organizacin?
_______________________________________________________________
___________________________________________________
6. Conoce las polticas de TI, los roles, las responsabilidades y los procesos de
TI, estndares y directrices necesarios para el alcance e de los objetivos, y
porque medio?
_______________________________________________________________
___________________________________________________
7. Con que frecuencia se realiza, la socializacin de las polticas, procesos y
directrices?
_______________________________________________________________
___________________________________________________
8. Cada cunto hay una evaluacin de los diferentes procesos?
_______________________________________________________________
___________________________________________________
9. Conoce las polticas de seguridad de la informacin?
______________________________________________________________
______________________________________________________________
____________
8
AUDITORES
25 de Abril 2016
CUESTIONARIO
Dominio
Proceso
Gobernacin
Cuestionario de Control: C1
Planear y organizar
PO6: Comunicar las aspiraciones y la direccin de
gerencia
Pregunta
Si
No
OBSERVACION
ES
3
3
2
1
3
4
5
2
3
2
3
3
2
3
3
17
25
Lista de chequeo
Gobernacin
F-CHK 01
Fecha: 25 Abril 2016
Realizado por: Hctor Fabio Arce Castaeda
Check
Marco de control de la TI
Polticas de la TI
Estrategias de las TI
Administracin de la TI
Tecnologa adecuada
Revisiones y actualizaciones realizadas
Clara comunicacin de la gerencia
Polticas de seguridad
Seguridad de la informacin
10
Prueba Gua
Dominio
Proceso
Objetivo de Control
Gobernacin
ID Gua de Prueba: GP1
Dominio: Planear y organizar
Proceso: PO6: Comunicar las aspiraciones y la direccin de gerencia
PO6.1 Ambiente de polticas de control
PO6.2 Riesgo corporativo y marco de referencia de control interno de
TI
PO6.3 Administracin de polticas para TI.
PO6.4 Implantacin de polticas de TI
11
significativa) con un impacto potencial negativo sobre las metas o las operaciones de la empresa,
incluyendo aspectos de negocio, regulatorios, legales, tecnolgicos, de sociedad comercial, de
recursos humanos y operativos. Determinar la naturaleza del impacto y mantener esta
informacin. Registrar y mantener los riesgos relevantes en un registro de riesgos.
PO9.4 Evaluacin de Riesgos TI
Evaluar de forma recurrente la probabilidad e impacto de todos los riesgos identificados, usando
mtodos cualitativos y cuantitativos. La probabilidad e impacto asociados a los riesgos
inherentes y residuales se debe determinar de forma individual, por categora y con base en el
portafolio.
PO9.5 Respuesta a los Riesgos
Desarrollar y mantener un proceso de respuesta a riesgos diseado para asegurar que controles
efectivos en costo mitigan la exposicin en forma continua. El proceso de respuesta a riesgos
debe identificar estrategias tales como evitar, reducir, compartir o aceptar riesgos; determinar
responsabilidades y considerar los niveles de tolerancia a riesgos.
PO9.6 Mantenimiento y Monitoreo de un Plan de Accin de Riesgos
Priorizar y planear las actividades de control a todos los niveles para implementar las respuestas
a los riesgos, identificadas como necesarias, incluyendo la identificacin de costos, beneficios y
la responsabilidad de la ejecucin. Obtener la aprobacin para las acciones recomendadas y la
aceptacin de cualquier riesgo residual, y asegurarse de que las acciones comprometidas estn a
cargo del dueo (s) de los procesos afectados. Monitorear la ejecucin de los planes y reportar
cualquier desviacin a la alta direccin.
13
Pregunta
La empresa cuenta con un marco
de trabajo para la administracin
de riesgos?
Equipo Auditado
Incoder
Fecha
Cuestionario
Si
14
No
No sabe
Observaciones
organizacin?
6
10
15
16
17
FORMATO DE ENTREVISTA
18
NOMBRE: _______________________________________________________
FECHA: _______________________
PREGUNTAS SOBRE P01 PLAN ESTRATEGICO DE TI.
19
________________________________________________________________________
________________________________________________________________________
AUDITOR:___________________________________________________________
20
FORMATO CUESTIONARIO
ITE
M
1
2
3
4
5
6
7
8
9
10
PREGUNTA
El tiempo de correccin de inconsistencias es
oportuna?
Se cuenta con recursos econmicos para brindar
solucin oportuna a fallas informticas?
Concuerda el sistema de informacin de la empresa
con los objetivos organizacionales?
El desempeo del sistema de informacin cumple sus
expectativas?
Est en disposicin para actualizarse en temas
informticos?
Se tiene seguridad en la informacin?
Actualmente cuenta la organizaciones con planes de
correccin preventivos?
Cree que se le debe dar complejidad al actual plan de
dinamizacin de la informacin?
El actual diseo a sido funcional?
Se ha logrado cumplir con las metas propuestas por el
administrador del sistema?
21
N OBSERVACIONE
SI O
S
4
1
2
4
4
4
1
4
1
CONCLUSIONES
El desarrollo de la actividad permiti a los estudiantes hacer un anlisis profundo sobre los
diferentes riesgos de la empresa, as mismo se logra dar una categora, la cual es de suma
importancia a la hora de identificar los riesgos ms importantes y que pueden ser catastrficos
para la organizacin.
Adems se efectu una investigacin sobre los diferentes procesos que durante el trabajo uno se
conocieron, esta investigacin permiti conocer ms a fondo los objetivos de los procesos y su
aplicacin en la organizacin. Por ltimo se crea una entrevista, un cuestionario y una lista de
chequeo la cual nos permite hacer una recoleccin de informacin que es til en el desarrollo de
la auditoria.
22
BIBLIOGRAFIA
23