Diseño de Instrumentos de auditoría: Para la realización del proceso

de auditoría a la empresa, se utilizaron diferentes instrumentos de

recolección de información, a continuación se describe cada uno de ellos:

FORMATO DE FUENTES DE CONOCIMIENTO

Cuadro de definición de fuentes de conocimiento, pruebas de

análisis, y pruebas de auditoría: Este cuadro es un instrumento que
sirve para identificar, cuál es la información que se necesita para evaluar
un determinado proceso dentro de los dominios del COBIT, también se
especifica en el cuales son las pruebas de análisis y de ejecución que se
deben realizar.

Los ítems relacionados a continuación son los que describirán el

elemento de auditoría.

REF: Se refiere al ID del elemento.

ENTIDAD AUDITADA: En este espacio se indicará el nombre de la

entidad a la cual se le está realizando el proceso de auditoría.

PROCESO AUDITADO: En este espacio se indicará el nombre del

proceso objeto de la auditoria, para el caso será Contratación TI.

RESPONSABLES: En este espacio se indicarán los nombres del equipo

auditor que está llevando a cabo el proceso de auditoría.

DESCRIPCIÓN DE ACTIVIDAD/PRUEBA: En este espacio se hace

una breve referencia al objetivo del proceso seleccionado dentro de los
dominios del COBIT que se está revisando.

MATERIAL DE SOPORTE: En este espacio se indicará el nombre del

material que soporta el proceso, para el caso será COBIT.

DOMINIO: Espacio reservado para colocar el nombre del dominio de

COBIT que se está evaluando.

PROCESO: Espacio reservado para el nombre del proceso en

específico que se está auditando dentro de los dominios del COBIT.

FUENTES DE CONOCIMIENTO: En este espacio se deberá consignar

todas las fuentes de donde se extrajo la información para el proceso
de auditoría lo que servirá como respaldo del proceso.
 REPOSITORIO DE PRUEBAS: Se divide en dos tipos de pruebas:
DE ANÁLISIS: Este espacio está destinado para describir las pruebas
de análisis que se van a realizar para evaluar el proceso especifico que
se encuentre en estudio.

DE EJECUCIÓN: Este espacio está destinado para describir las

pruebas de ejecución que se van a realizar para evaluar el proceso
especifico que se encuentre en estudio.

CUADRO DE DEFINICION DE FUENTES DE CONOCIMIENTO,

PRUEBAS DE ANALISIS Y EJECUCCIÓN DE AUDITORIA

CUADRO DE DEFINICION DE FUENTES DE REF

CONOCIMIENTO, PRUEBAS DE ANALISIS DE
AUDITORIA

PAGIN
ENTIDAD A
AUDITADA D
1 1
E
PROCESO Funcionamiento del aspecto físico de la red de
AUDITADO datos
RESPONSABLE
MATERIAL DE
COBIT
SOPORTE
DOMINIO
PROCESO

REPOSITORIO DE PRUEBAS
FUENTES DE
APLICABLES
CONOCIMIENTO
DE ANALISIS DE EJECUCION
Pruebas que se hacen
Pruebas mediante
por análisis de
uso de software,
Documento, o documentos pruebas para
(contratos,
persona que tiene levantar inventarios,
manuales) o
la información que comparaciones pruebas de
necesita el auditor (compara seguridad en redes,
los
pruebas de
contenidos de un
seguridad en bases
manual respecto a lo
de datos, pruebas
que dice la teoría que
 debe contener) de intrusión,
comparar( la pruebas de testeo.
empresa auditada
con una empresa
certificada)

AUDITOR RESPONSABLE:

Fuentes de conocimiento: Administrar los Servicios de Terceros

CUADRO DE DEFINICION DE FUENTES DE REF

CONOCIMIENTO, PRUEBAS DE ANALISIS DE
AUDITORIA

PAGIN
ENTIDAD A
Colegio Mundo de Praga
AUDITADA D
1 1
E
PROCESO Servicios brindados por proveedores y otras
AUDITADO empresas externas
RESPONSABLE Nombre Auditor
MATERIAL DE
COBIT 4.1
SOPORTE
DOMINIO Entregar y Dar Soporte (DS)

PROCESO DS2 Administrar los Servicios de Terceros

FUENTES DE REPOSITORIO DE PRUEBAS APLICABLES

CONOCIMIENTO DE ANALISIS DE EJECUCION

 Documento de  Verificar la Comprobar el

políticas de existencia de cumplimiento de los
Seguridad documentos de lineamientos
controles, establecidos en el plan
  Documento políticas o de políticas y
estándares de procedimientos procedimientos de
Seguridad existentes seguridad de la
 Documento de respecto a la información.
procedimientos seguridad
de Seguridad informática y de
 Reportes de la información.
cada una de  Revisión
las violaciones contratos con
e incidentes de terceros
seguridad (internet,
 Reportes de plataforma
cada una de las académica y
pruebas alquiler equipos
periódicas de cómputo)
 Contrato de
servicios de
internet
 Contrato de
alquiler de
equipos de
cómputo
 Contrato de
outsourcing de
la plataforma
Gwss.

FORMATO ENTREVISTA

Las entrevistas pueden ser aplicadas al inicio para conocer aspectos

generales de los procesos que se van a evaluar, generalmente las
entrevistas recogen la opinión de algunas de las personas que conozcan
el proceso y que me puedan responder con claridad las preguntas que se
hayan preparado para la entrevista.
 Es importante determinar a quienes se aplicará la entrevista y los
cuestionarios, ya que no se pueden aplicar a todos los auditados sino
solamente al personal que conozca los aspectos que se vayan a evaluar.

Para la entrevista se debe determinar primero los temas sobre los cuales
va a girar la entrevista y en cada uno de los temas se debe elaborar
preguntas puntuales con la intención de descubrir más riesgos de los que
ya se han encontrado en las visitas realizadas a la empresa auditada.

ENTIDAD NOMBRE DE LA EMPRESA REF

PAGINA
AUDITADA 1 D 1
E
OBJETIVO
AUDITORÍA
PROCESO Indicadores de funcionamiento del hardware y software
AUDITADO
RESPONSABL
E
MATERIAL DE SOPORTE COBIT
DOMI PROCE
NIO SO

ENTREVISTADO

CARGO

1. ¿Las características del equipo son suficientes para el desempeño de

su trabajo?
_______________________________________________________
2. ¿Qué hace en caso de que el equipo falle? ¿a quién acude?
_______________________________________________________
3. ¿Cuántos Mantenimiento se le han realizado al Equipo?
______________________
4. ¿Qué nivel de conocimientos tiene en el manejo de un Computador
y/o Móvil?
______________________________________________________
5. ¿Ud. maneja el software de SYSCAFE?
______________________________________________________
6. ¿Ud. ¿Ha recibido asesoramiento o capacitación sobre el manejo de
SYSCAFE?
_______________________________________________________
7. ¿Qué procesos de SYSCAFE utiliza?
____________________________________
8. ¿Conoce y ha hecho uso del manual de SYSCAFE?
________________________
9. ¿Ha tenido problemas con el Software SYSCAFE? ¿Cuáles?
_______________________________________________________
10. ¿Cómo resuelve los problemas encontrados en el Software
SYSCAFE?
_________________________________________________________
11. ¿Cuál es el tiempo máximo en solucionar el problema de
SYSCAFE?
_________________________________________________________
NOMBRE ENTREVISTADO AUDITOR RESPONSABLE
FIRMA

Entrevista: Administrar los Servicios de Terceros

ENTREVISTA

DS2 Administrar los

Entregar y Dar
DOMINIO PROCESO Servicios de
Soporte (DS)
Terceros

OBJETIVO DE CONTROL

Nº CUESTIÓN RESPUESTA
1 ¿Existe algún método para la No se realiza dicha
evaluación de servicios evaluación
prestados por proveedores?

2 ¿Se cuentan con acuerdos de No se realizaron dichos

nivel de servicio; ¿es decir, acuerdos
reportes donde se especifique el
nivel acordado para la calidad
del servicio?

3 ¿Se identifican y categorizan las No se cuenta con ese

relaciones de los servicios de documento
terceros?

4 ¿La organización cuenta con No se cuenta con ese

políticas y procedimientos documento
formales respecto a la
contratación de terceros?

5 ¿Existe un plan de riesgos para No se cuenta con ese

los servicios prestados por documento
terceros?

6 ¿Las capacidades y riesgos del No se cuenta con ese

proveedor son verificadas de documento
forma continua?

7 ¿Se tiene un proceso formal Se realiza dicha supervisión

para la supervisión de los
proveedores de servicios de
terceros?

8 ¿Hay métodos documentados No se cuenta con un

para controlar los servicios de documento en el que se
terceros y negociar con los realicen dichos controles
proveedores?
9 ¿Los contratos con proveedores Si
están basados en formatos
estandarizados?

10 ¿Se revisan de forma periódica No se realizan revisiones

los contratos realizados con posteriores a los contratos
terceros? ya firmados.

LISTA DE CHEQUEO

La lista de chequeo se usa para la verificación de la existencia de controles

en el proceso o procesos auditados, en la lista de chequeo se puede usar
escalas diferentes por ejemplo respuestas cerradas de SI/NO, o
respuestas de cumplimiento por ejemplo CUMPLE TOTALMENTE
(CT)/CUMPLE PARCIALMENTE (CP)/NO CUMPLE (NC), O como en este
ejemplo donde se marca las preguntas donde existe control y se deja en
blanco los controles que no se cumplen.

Las preguntas de las listas de chequeo se deben hacer teniendo en cuenta

los objetivos de control, que serán los controles que deben existir en el
proceso y se elabora preguntas sobre la existencia de dicho control, el
auditor encargado de evaluar el proceso será quien aplique la lista de
verificación de controles o lista de chequeo y de acuerdo a la respuesta
se determina los hallazgos sobre la no existencia de controles en el
proceso.

Lista chequeo: Instalar y Acreditar Soluciones y Cambios

LISTA CHEQUEO

AI7 Instalar y
Adquirir e
DOMINIO PROCESO Acreditar Soluciones
implementar (AI)
y Cambios

OBJETIVO DE
AI7.1 Entrenamiento
CONTROL
 CONFOR
Nº ASPECTO EVALUADO ME OBSERVACIÓN
SI NO

¿Se realizan capacitaciones

para el manejo del aplicativo
1 x
Gawss?

OBJETIVO DE
AI7.2 Plan de Prueba
CONTROL

¿Existe un plan de pruebas

2 para el sistema de x
información?
OBJETIVO DE
AI7.3 Plan de implementación:
CONTROL

¿Existe un plan de respaldo

3 para el sistema de x
información?

OBJETIVO DE
AI7.4 Ambiente de Prueba
CONTROL

¿Existe un entorno seguro

para ejecutar el plan de
4 pruebas sobre el sistema de x
información?
 FORMATO CUESTIONARIO

Aulas De Informática Facultad De Ingeniería

Cuestionario de Control: C1

Dominio Adquisición e Implementación

Proceso AI3: Adquirir y mantener la arquitectura

tecnológica

Pregunta Si N OBSERVACIO
o NES

¿Se cuenta con un inventario de equipos de 4

cómputo?

¿Si existe inventario contiene los siguientes

ítems?

Número del computador

Fecha

Ubicación

Responsable

Características (memoria, procesador,

monitor, disco duro)

Se lleva una hoja de vida por equipo

¿La hoja de vida del equipo tiene los datos? 5

Numero de hoja de vida

Número del computador correspondiente

Falla reportada

Diagnóstico del encargado

Solución que se le dio

¿Se posee un registro de fallas detectadas en 4

los equipos?

¿En el registro de fallas se tiene en cuenta

con los siguientes datos?

Fecha

Hora

Número de registro

Número del computador

Encargado

¿Al momento de presentar una falla en el De 1 a 5 dias

equipo, la atención que se presta es?

Inmediata

De una a 24 horas

De un día a 5 días

Más de 5 días

¿Se cuenta con servicio de mantenimiento 4 Semestral

para todos los equipos?

¿Qué tipo de mantenimiento se lleva a cabo? Correctivo

Mantenimiento preventivo

Mantenimiento correctivo

¿Profesores y/o estudiantes pueden instalar 4

y desinstalar programas en el computador?
¿Al finalizar el horario de clase en dichas 3
aulas, se hace una revisión de los equipos?

¿El personal que se encarga del 4

mantenimiento es personal capacitado?

¿Se lleva un procedimiento para la 3

adquisición de nuevos equipos?

¿La infraestructura tecnológica de los equipos 3

soporta la instalación de diferentes sistemas
operativos?

¿Son compatibles software y hardware? 5

TOTALES 19 20

La escala de calificación de cada una de las preguntas va de 1 hasta 5, la

calificación puede ir en el SI, en el NO, donde 1 significa que no es
importante tener el control para el auditor y 5 significa que es importante
que se tenga el control, el auditor debe tratar de dar estas calificaciones
lo más objetivamente posible para aplicar la fórmula y calcular el
porcentaje de riesgo.

Las equivalencias utilizadas para la puntuación serán de uno a cinco,

siendo uno el valor mínimo considerado de poca importancia y cinco el
máximo considerado de mucha importancia.

PORCENTAJE DE RIESGO: Hace referencia a la probabilidad de que el

proceso se vea afectado por las acciones de las cuales se está indagando,
entre mas alto el porcentaje mayor probabilidad de riesgo tiene el proceso
de salir perjudicado.

PREGUNTA: Espacio donde se indicará la descripción de la consulta de la

cual se indagara.

SI – NO: Posibilidades de respuesta, cumple, no cumple, o no aplica para

la entidad.

El cálculo de este porcentaje se hace de la siguiente forma:

 Porcentaje de riesgo parcial = (Total SI * 100) / Total
Porcentaje de riesgo = 100 - Porcentaje de riesgo parcial

Porcentaje de riesgo parcial = (19 * 100) / 39 = 48.71

Porcentaje de riesgo = 100 – 48.71 = 51.28

Para determinar el nivel de riesgo total, se tiene en cuenta la siguiente

categorización:

1% - 30% = Riesgo Bajo

31% - 70% = Riesgo Medio
71% - 100% = Riesgo Alto

RIESGO:

Porcentaje de riesgo parcial: = 48,71%

Porcentaje de riesgo = 51,28
Impacto según relevancia del proceso: Riesgo Medio

Cuestionario: Evaluar y administrar los riesgos de TI

CUESTIONARIO CUANTITATIVO REF

ENTIDAD Colegio Mundo de Praga PAGINA

AUDITADA
1 DE 1

PROCESO Infraestructura Tecnológica

AUDITADO

RESPONSABLE Dey Yama – Carlos Mauricio Rosero

S

MATERIAL DE COBIT 4.1

SOPORTE
DOMINIO Planear y PROCESO PO9 Evaluar y
Organizar (PO) administrar los
riesgos de TI

OBJETIVO DE CONTROL

N PREGUNTA SI NO NA REF

1 ¿Existe un marco de referencia para 3

la evaluación sistemática de los
riesgos a los que está expuesta la
infraestructura tecnológica de la
institución?

2 ¿Se realiza la evaluación de los 4

riesgos que pueden afectar la
infraestructura tecnológica
mediante la utilización de una
metodología?

3 ¿Se realiza actualización de los 4

diferentes tipos de riesgos que
pueden afectar la infraestructura
tecnológica?

4 ¿Se utilizan métodos cualitativos o 4

cuantitativos para medir la
probabilidad e impacto de los
riesgos que pueden afectar la
infraestructura tecnológica?

5 ¿Existe un plan de acción para 4

mitigar los riesgos de la
infraestructura tecnológica de
forma segura?

6 ¿Se monitorea el plan de acción? 3

TOTAL 3 19
 TOTAL CUESTIONARIO 22

Porcentaje de riesgo parcial = (3 * 100) / 22 = 13,63 %

Porcentaje de riesgo total = 100 – 13,63 = 86,36 %

PORCENTAJE RIESGO 86,36 % (Riesgo Alto)

Al final se interpreta el resultado obtenido: Por lo tanto, el proceso se

encuentra en un grado de exposición al riesgo alto de acuerdo con los
resultados 86,36 % (Riesgo Alto)