Diseño de Instrumentos de auditoría: Para la realización del proceso de auditoría

a la empresa, se utilizaron diferentes instrumentos de recolección de información, a

continuación se describe cada uno de ellos:

FORMATO DE FUENTES DE CONOCIMIENTO

Cuadro de definición de fuentes de conocimiento, pruebas de análisis, y

pruebas de auditoría: Este cuadro es un instrumento que sirve para identificar, cuál
es la información que se necesita para evaluar un determinado proceso dentro de
los dominios del COBIT, también se especifica en el cuales son las pruebas de
análisis y de ejecución que se deben realizar.

Los ítems relacionados a continuación son los que describirán el elemento de

auditoría.

REF: Se refiere al ID del elemento.

ENTIDAD AUDITADA: En este espacio se indicara el nombre de la entidad a la

cual se le está realizando el proceso de auditoría.

PROCESO AUDITADO: En este espacio se indicara el nombre del proceso

objeto de la auditoria, para el caso será Contratación TI.

RESPONSABLES: En este espacio se indicaran los nombres del equipo auditor

que está llevando a cabo el proceso de auditoría.

DESCRIPCIÓN DE ACTIVIDAD/PRUEBA: En este espacio se hace una breve

referencia al objetivo del proceso seleccionado dentro de los dominios del COBIT
que se está revisando.

MATERIAL DE SOPORTE: En este espacio se indicara el nombre del material

que soporta el proceso, para el caso será COBIT.

DOMINIO: Espacio reservado para colocar el nombre del dominio de COBIT que
se está evaluando.

PROCESO: Espacio reservado para el nombre del proceso en específico que se

está auditando dentro de los dominios del COBIT.

FUENTES DE CONOCIMIENTO: En este espacio se deberá consignar todas las

fuentes de donde se extrajo la información para el proceso de auditoría lo que
servirá como respaldo del proceso.

REPOSITORIO DE PRUEBAS: Se divide en dos tipos de pruebas:

DE ANÁLISIS: Este espacio está destinado para describir las pruebas de
análisis que se van a realizar para evaluar el proceso especifico que se
encuentre en estudio.
 DE EJECUCIÓN: Este espacio está destinado para describir las pruebas de
ejecución que se van a realizar para evaluar el proceso especifico que se
encuentre en estudio.

CUADRO DE DEFINICION DE FUENTES DE CONOCIMIENTO, PRUEBAS DE

ANALISIS Y EJECUCCIÓN DE AUDITORIA

REF
CUADRO DE DEFINICION DE FUENTES DE CONOCIMIENTO, PRUEBAS DE
ANALISIS DE AUDITORIA

PAGINA
ENTIDAD AUDITADA
1 DE 1
PROCESO AUDITADO Funcionamiento del aspecto físico de la red de datos
RESPONSABLE
MATERIAL DE SOPORTE COBIT
DOMINIO
PROCESO

REPOSITORIO DE PRUEBAS APLICABLES

FUENTES DE CONOCIMIENTO
DE ANALISIS DE EJECUCION
Pruebas que se hacen
por análisis de
Pruebas mediante uso
documentos (contratos,
de software, pruebas
Documento, o manuales) o
para levantar
comparaciones
persona que tiene la inventarios, pruebas de
(compara los contenidos
información que de un manual respecto a seguridad en redes,
necesita el auditor pruebas de seguridad
lo que dice la teoría que
en bases de datos,
debe contener)
pruebas de intrusión,
comparar( la empresa
pruebas de testeo.
auditada con una
empresa certificada)

AUDITOR RESPONSABLE:
Fuentes de conocimiento: Administrar los Servicios de Terceros

REF
CUADRO DE DEFINICION DE FUENTES DE
CONOCIMIENTO, PRUEBAS DE ANALISIS DE AUDITORIA

ENTIDAD PAGINA
Colegio Mundo de Praga
AUDITADA 1 DE 1
PROCESO Servicios brindados por proveedores y otras empresas
AUDITADO externas
RESPONSABLE Carlos Mauricio Rosero
MATERIAL DE
COBIT 4.1
SOPORTE
DOMINIO Entregar y Dar Soporte (DS)

PROCESO DS2 Administrar los Servicios de Terceros

FUENTES DE REPOSITORIO DE PRUEBAS APLICABLES

CONOCIMIENTO DE ANALISIS DE EJECUCION

 Documento de  Verificar la Comprobar el

políticas de existencia de cumplimiento de los
Seguridad documentos de lineamientos establecidos
 Documento controles, políticas en el plan de políticas y
estándares de o procedimientos procedimientos de
Seguridad existentes seguridad de la
 Documento de respecto a la información.
procedimientos seguridad
de Seguridad informática y de la
 Reportes de información.
cada una de las  Revisión contratos
violaciones e con terceros
incidentes de (internet,
seguridad plataforma
 Reportes de académica y
cada una de las alquiler equipos de
pruebas cómputo)
periódicas
  Contrato de
servicios de
internet
 Contrato de
alquiler de
equipos de
cómputo
 Contrato de
outsourcing de la
plataforma
Gwss.

FORMATO ENTREVISTA

Las entrevistas pueden ser aplicadas al inicio para conocer aspectos generales de
los procesos que se van a evaluar, generalmente las entrevistas recogen la opinión
de algunas de las personas que conozcan el proceso y que me puedan responder
con claridad las preguntas que se hayan preparado para la entrevista.

Es importante determinar a quienes se aplicará la entrevista y los cuestionarios, ya

que no se pueden aplicar a todos los auditados sino solamente al personal que
conozca los aspectos que se vayan a evaluar.

Para la entrevista se debe determinar primero los temas sobre los cuales va a girar
la entrevista y en cada uno de los temas se debe elaborar preguntas puntuales con
la intención de descubrir más riesgos de los que ya se han encontrado en las visitas
realizadas a la empresa auditada.

REF

ENTIDAD DISPROPAN S.A.S. PAGINA

AUDITADA 1 D 1
E
OBJETIVO
AUDITORÍA
PROCESO Indicadores de funcionamiento del hardware y software
AUDITADO
RESPONSABL
E
MATERIAL DE SOPORTE COBIT
DOMI PROCE
NIO SO

ENTREVISTADO

CARGO

1. ¿Las características del equipo son suficientes para el desempeño de su

trabajo?
_______________________________________________________________
_
2. ¿Qué hace en caso de que el equipo falle? ¿a quien acude?
_________________
_______________________________________________________________
___
3. ¿Cuántos Mantenimiento se le han realizado al
equipo?______________________
4. ¿Qué nivel de conocimientos tiene en el manejo de un Computador y/o Móvil?
_______________________________________________________________
___
5. ¿Ud. maneja el software de
SYSCAFE?__________________________________
6. ¿Ud. Ha recibido asesoramiento o capacitación sobre el manejo de
SYSCAFE?
_______________________________________________________________
___
7. ¿Qué procesos de SYSCAFE utiliza?
____________________________________
8. ¿Conoce y ha hecho uso del manual de SYSCAFE?
________________________
9. ¿Ha tenido problemas con el Software SYSCAFE?
¿Cuáles?________________
 _______________________________________________________________
___
10. ¿Cómo resuelve los problemas encontrados en el Software
SYSCAFE?_________
11. ¿Cuál es el tiempo máximo en solucionar el problema de
SYSCAFE?___________
NOMBRE ENTREVISTADO AUDITOR RESPONSABLE
FIRMA

Entrevista: Administrar los Servicios de Terceros

ENTREVISTA

Entregar y Dar Soporte DS2 Administrar los

DOMINIO PROCESO
(DS) Servicios de Terceros

OBJETIVO DE CONTROL

Nº CUESTIÓN RESPUESTA

1 ¿Existe algún método para la No se realiza dicha evaluación

evaluación de servicios prestados
por proveedores?

2 ¿Se cuentan con acuerdos de nivel No se realizaron dichos acuerdos

de servicio; ¿es decir, reportes
donde se especifique el nivel
acordado para la calidad del
servicio?

3 ¿Se identifican y categorizan las No se cuenta con ese documento

relaciones de los servicios de
terceros?

4 ¿La organización cuenta con No se cuenta con ese documento

políticas y procedimientos formales
 respecto a la contratación de
terceros?

5 ¿Existe un plan de riesgos para los No se cuenta con ese documento

servicios prestados por terceros?

6 ¿Las capacidades y riesgos del No se cuenta con ese documento

proveedor son verificadas de forma
continua?

7 ¿Se tiene un proceso formal para la Se realiza dicha supervisión

supervisión de los proveedores de
servicios de terceros?

8 ¿Hay métodos documentados para No se cuenta con un documento

controlar los servicios de terceros y en el que se realicen dichos
negociar con los proveedores? controles

9 ¿Los contratos con proveedores Si

están basados en formatos
estandarizados?

10 ¿Se revisan de forma periódica los No se realizan revisiones

contratos realizados con terceros? posteriores a los contratos ya
firmados.

LISTA DE CHEQUEO

La lista de chequeo se usa para la verificación de la existencia de controles en el

proceso o procesos auditados, en la lista de chequeo se puede usar escalas
diferentes por ejemplo respuestas cerradas de SI/NO, o respuestas de cumplimiento
por ejemplo CUMPLE TOTALMENTE (CT)/CUMPLE PARCIALMENTE (CP)/NO
CUMPLE (NC), O como en este ejemplo donde se marca las preguntas donde existe
control y se deja en blanco los controles que no se cumplen.

Las preguntas de las listas de chequeo se deben hacer teniendo en cuenta los
objetivos de control, que serán los controles que deben existir en el proceso y se
elabora preguntas sobre la existencia de dicho control, el auditor encargado de
evaluar el proceso será quien aplique la lista de verificación de controles o lista de
chequeo y de acuerdo a la respuesta se determina los hallazgos sobre la no
existencia de controles en el proceso.
Lista chequeo: Instalar y Acreditar Soluciones y Cambios

LISTA CHEQUEO

Adquirir e implementar AI7 Instalar y Acreditar

DOMINIO PROCESO
(AI) Soluciones y Cambios

OBJETIVO DE CONTROL AI7.1 Entrenamiento

CONFORME
Nº ASPECTO EVALUADO OBSERVACIÓN
SI NO

¿Se realizan capacitaciones para

1 el manejo del aplicativo Gawss? x

OBJETIVO DE CONTROL AI7.2 Plan de Prueba

2 ¿Existe un plan de pruebas para el x

sistema de información?
OBJETIVO DE CONTROL AI7.3 Plan de implementación:

¿Existe un plan de respaldo para el

3 x
sistema de información?

OBJETIVO DE CONTROL AI7.4 Ambiente de Prueba

¿Existe un entorno seguro para

ejecutar el plan de pruebas sobre
4 x
el sistema de información?
 FORMATO CUESTIONARIO

Aulas De Informática Facultad De Ingeniería

Cuestionario de Control: C1

Dominio Adquisición e Implementación

Proceso AI3: Adquirir y mantener la arquitectura tecnológica

Pregunta Si No OBSERVACION
ES

¿Se cuenta con un inventario de equipos de 4

cómputo?

¿Si existe inventario contiene los siguientes ítems?

Número del computador

Fecha

Ubicación

Responsable

Características(memoria, procesador, monitor,

disco duro)

Se lleva una hoja de vida por equipo

¿La hoja de vida del equipo tiene los datos? 5

Numero de hoja de vida

Número del computador correspondiente

Falla reportada

Diagnóstico del encargado

Solución que se le dio

¿Se posee un registro de fallas detectadas en los 4
equipos?

¿En el registro de fallas se tiene en cuenta con los

siguientes datos?

Fecha

Hora

Número de registro

Número del computador

Encargado

¿Al momento de presentar una falla en el equipo, la De 1 a 5 dias

atención que se presta es?

Inmediata

De una a 24 horas

De un día a 5 días

Más de 5 días

¿Se cuenta con servicio de mantenimiento para 4 Semestral

todos los equipos?

¿Qué tipo de mantenimiento se lleva a cabo? Correctivo

Mantenimiento preventivo

Mantenimiento correctivo

¿Profesores y/o estudiantes pueden instalar y 4

desinstalar programas en el computador?

¿Al finalizar el horario de clase en dichas aulas, se 3

hace una revisión de los equipos?

¿El personal que se encarga del mantenimiento es 4

personal capacitado?

¿Se lleva un procedimiento para la adquisición de 3

nuevos equipos?
 ¿La infraestructura tecnológica de los equipos 3
soporta la instalación de diferentes sistemas
operativos?

¿Son compatibles software y hardware? 5

TOTALES 19 20

La escala de calificación de cada una de las preguntas va de 1 hasta 5, la calificación

puede ir en el SI, en el NO, donde 1 significa que no es importante tener el control
para el auditor y 5 significa que es importante que se tenga el control, el auditor
debe tratar de dar estas calificaciones lo más objetivamente posible para aplicar la
fórmula y calcular el porcentaje de riesgo.

Las equivalencias utilizadas para la puntuación serán de uno a cinco, siendo uno el
valor mínimo considerado de poca importancia y cinco el máximo considerado de
mucha importancia.

PORCENTAJE DE RIESGO: Hace referencia a la probabilidad de que el proceso

se vea afectado por las acciones de las cuales se está indagando, entre mas alto el
porcentaje mayor probabilidad de riesgo tiene el proceso de salir perjudicado.

PREGUNTA: Espacio donde se indicara la descripción de la consulta de la cual se

indagara.

SI – NO: Posibilidades de respuesta, cumple, no cumple, o no aplica para la entidad.

El cálculo de este porcentaje se hace de la siguiente forma:

Porcentaje de riesgo parcial = (Total SI * 100) / Total

Porcentaje de riesgo = 100 - Porcentaje de riesgo parcial

Porcentaje de riesgo parcial = (19 * 100) / 39 = 48.71

Porcentaje de riesgo = 100 – 48.71 = 51.28

Para determinar el nivel de riesgo total, se tiene en cuenta la siguiente

categorización:

1% - 30% = Riesgo Bajo

31% - 70% = Riesgo Medio
 71% - 100% = Riesgo Alto

RIESGO:

Porcentaje de riesgo parcial: = 48,71%

Porcentaje de riesgo = 51,28
Impacto según relevancia del proceso: Riesgo Medio

Cuestionario: Evaluar y administrar los riesgos de TI

CUESTIONARIO CUANTITATIVO REF

ENTIDAD Colegio Mundo de Praga PAGINA

AUDITADA
1 DE 1

PROCESO Infraestructura Tecnológica

AUDITADO

RESPONSABLES Dey Yama – Carlos Mauricio Rosero

MATERIAL DE COBIT 4.1

SOPORTE

DOMINIO Planear y Organizar PROCESO PO9 Evaluar y

(PO) administrar los riesgos
de TI

OBJETIVO DE CONTROL

N PREGUNTA SI NO NA REF

1 ¿Existe un marco de referencia para la 3

evaluación sistemática de los riesgos a
los que está expuesta la infraestructura
tecnológica de la institución?

2 ¿Se realiza la evaluación de los riesgos 4

que pueden afectar la infraestructura
 tecnológica mediante la utilización de
una metodología?

3 ¿Se realiza actualización de los 4

diferentes tipos de riesgos que pueden
afectar la infraestructura tecnológica?

4 ¿Se utilizan métodos cualitativos o 4

cuantitativos para medir la probabilidad e
impacto de los riesgos que pueden
afectar la infraestructura tecnológica?

5 ¿Existe un plan de acción para mitigar 4

los riesgos de la infraestructura
tecnológica de forma segura?

6 ¿Se monitorea el plan de acción? 3

TOTAL 3 19

TOTAL CUESTIONARIO 22

Porcentaje de riesgo parcial = (3 * 100) / 22 = 13,63 %

Porcentaje de riesgo total = 100 – 13,63 = 86,36 %

PORCENTAJE RIESGO 86,36 % (Riesgo Alto)

Al final se interpreta el resultado obtenido: Por lo tanto, el proceso se encuentra en

un grado de exposición al riesgo alto de acuerdo a los resultados 86,36 % (Riesgo
Alto)