PO9.

1 Marco de trabajo de administración de riesgos

PO9 Evaluar y administrar
PO9.2 Establecimiento del Contexto del Riesgo
los riesgos de TI
PO9.4 Evaluación de los riesgos de TI
PO9.6 Mantenimiento y monitoreo de un plan de acción
de riesgos

Ref
Fuentes de conocimiento, pruebas de análisis de
PO
auditoria
9

PAGINA
Entidad auditada ACH Colombia
1 de 1
Proceso auditado Evaluar y administrar los riesgos de TI
Responsable Ana Yamile Nieto Pedraza
Material de
CoBit
soporte
Dominio Planear y Organizar (PO)
Proceso PO9 Evaluar y administrar los riesgos de TI

Repositorio de Repositorio de
Fuentes de
pruebas aplicables pruebas aplicables
conocimiento
de análisis de ejecución
- Verificar la
- Medición de los
existencia de
resultados de la
documentos eficiencia y
respectivo a eficiencia de los
manuales de controles
Entrevista con riesgo, sistema de existentes.
coordinador o jefe control interno. - Aplicación de la
del área de - Existencia de una metodología de
metodología de administración de
tecnología
riesgos.
administración de
- Comprobar la
riesgos.
aplicación de
- Riesgos controles frente a
detectados y su los riesgos
tratamiento. detectados.

Auditor responsable:
Ana Yamile Nieto Pedraza
 LISTA CHEQUEO

Planear y Organizar PO9 Evaluar y administrar

DOMINIO PROCESO los riesgos de TI
(PO)

OBJETIVO DE PO9.1 Marco de trabajo de administración de

CONTROL riesgos
CONFOR
Nº ASPECTO EVALUADO ME OBSERVACIÓN
SI NO
¿Existe un marco de
referencia para la evaluación
sistemática de los riesgos a
1 X
los que está expuesta la
infraestructura tecnológica de
la institución?
OBJETIVO DE
PO9.2 Establecimiento del Contexto del Riesgo:
CONTROL
¿Se realiza la evaluación de
los riesgos que pueden afectar
2 la infraestructura tecnológica X
mediante la utilización de una
metodología?
OBJETIVO DE
CONTROL PO9.4 Evaluación de los riesgos de TI:

¿Se utilizan métodos

cualitativos o cuantitativos
para medir la probabilidad e
4 X
impacto de los riesgos que
pueden afectar la
infraestructura tecnológica?

OBJETIVO DE PO9.6 Mantenimiento y monitoreo de un plan

CONTROL de acción de riesgos:
¿Se monitorea el plan de
acción en contra de los riesgos
6 X
de la infraestructura
tecnológica?
 Formato de Entrevista

ENTIDAD ACH Colombia PAGINA

AUDITADA 1 D 1
E
OBJETIVO Conocer las vulnerabilidades físicas del área de
AUDITORÍA infraestructura concerniente a la red de datos y las
áreas y elementos que la componen.
PROCESO PO9.1 Marco de trabajo de administración de riesgos
AUDITADO
RESPONSABLE Ana Yamile Nieto Pedraza
MATERIAL DE SOPORTE COBIT
DOMINIO Planear y PROCESO PO9 Evaluar y administrar
Organizar (PO) los riesgos de TI

ENTREVISTADO Carlos contreras

CARGO DIRECTOR DE TECNOLOGIA

¿Existe un entendimiento emergente de que los riesgos de TI son

importantes y necesitan ser considerados?
Si se tiene conocimiento y se entiende sobre la importancia de
los riesgos en TI

¿Los procesos de mitigación de riesgos están empezando a ser

implementados donde se identifican riesgos?
Claro que si, en cuanto se detecte el mas mínimo riesgo se actúa
implementando un plan de riesgo

¿La gerencia presupuesta un proyecto de administración de riesgo

operativo para re-evaluar los riesgos de manera regular?
Si ellos generan un presupuesto para realizar pruebas de
vulnerabilidad y asi saber dónde se debe actuar de inmediato
¿La orientación se toma de los líderes en el campo y la organización de
TI participa en grupos de interés para intercambiar experiencias?
Si, los líderes o directores toman capacitaciones constantes
acerca del tema y capacitan a los analistas para que todos estén
enterados de los acontecimientos.

Formato de Cuestionario

ACH Colombia
Cuestionario de Control: C1
Dominio Planear y Organizar (PO)
Proceso PO9.1 Marco de trabajo de administración de
riesgos
Nombre del auditor Ana Yamile Nieto Pedraza
Pregunta Si N OBSERVACIO
o NES
X
X
X
X
X
X
X
X
X
X
TOTALES

La escala de calificación de cada una de las preguntas va de 1 hasta 5,

la calificación puede ir en el SI, en el NO, donde 1 significa que no es
importante tener el control para el auditor y 5 significa que es
importante que se tenga el control, el auditor debe tratar de dar estas
calificaciones lo más objetivamente posible para aplicar la fórmula y
calcular el porcentaje de riesgo.
Las equivalencias utilizadas para la puntuación serán de uno a cinco,
siendo uno el valor mínimo considerado de poca importancia y cinco el
máximo considerado de mucha importancia.

PORCENTAJE DE RIESGO: Hace referencia a la probabilidad de que el

proceso se vea afectado por las acciones de las cuales se está
indagando, entre más alto el porcentaje mayor probabilidad de riesgo
tiene el proceso de salir perjudicado.

PREGUNTA: Espacio donde se indicará la descripción de la consulta de

la cual se indagará.

SI – NO: Posibilidades de respuesta, cumple, no cumple, o no aplica

para la entidad.

El cálculo de este porcentaje se hace de la siguiente forma:

Porcentaje de riesgo parcial = (Total SI * 100) / Total

Porcentaje de riesgo = 100 - Porcentaje de riesgo parcial

Porcentaje de riesgo parcial = (19 * 100) / 39 = 48.71

Porcentaje de riesgo = 100 – 48.71 = 51.28

Para determinar el nivel de riesgo total, se tiene en cuenta la siguiente

categorización:
1% - 30% = Riesgo Bajo
31% - 70% = Riesgo Medio
71% - 100% = Riesgo Alto

RIESGO:
Porcentaje de riesgo parcial: ¿ 48,71
Porcentaje de riesgo = 51,28
Impacto según relevancia del proceso: Riesgo Medio