Diseño de Instrumentos de auditoría: Para la realización del proceso de auditoría

a la empresa, se utilizaron diferentes instrumentos de recolección de información, a

continuación se describe cada uno de ellos:

FORMATO DE FUENTES DE CONOCIMIENTO

Cuadro de definición de fuentes de conocimiento, pruebas de análisis, y

pruebas de auditoría: Este cuadro es un instrumento que sirve para identificar, cuál
es la información que se necesita para evaluar un determinado proceso dentro de
los dominios del COBIT, también se especifica en el cuales son las pruebas de
análisis y de ejecución que se deben realizar.

Los ítems relacionados a continuación son los que describirán el elemento de

auditoría.

REF: Se refiere al ID del elemento.

ENTIDAD AUDITADA: En este espacio se indicara el nombre de la entidad a la

cual se le está realizando el proceso de auditoría.

PROCESO AUDITADO: En este espacio se indicara el nombre del proceso

objeto de la auditoria, para el caso será Contratación TI.

RESPONSABLES: En este espacio se indicaran los nombres del equipo auditor

que está llevando a cabo el proceso de auditoría.

DESCRIPCIÓN DE ACTIVIDAD/PRUEBA: En este espacio se hace una breve

referencia al objetivo del proceso seleccionado dentro de los dominios del COBIT
que se está revisando.

MATERIAL DE SOPORTE: En este espacio se indicara el nombre del material

que soporta el proceso, para el caso será COBIT.

DOMINIO: Espacio reservado para colocar el nombre del dominio de COBIT que
se está evaluando.

PROCESO: Espacio reservado para el nombre del proceso en específico que se

está auditando dentro de los dominios del COBIT.

FUENTES DE CONOCIMIENTO: En este espacio se deberá consignar todas las

fuentes de donde se extrajo la información para el proceso de auditoría lo que
servirá como respaldo del proceso.

REPOSITORIO DE PRUEBAS: Se divide en dos tipos de pruebas:

DE ANÁLISIS: Este espacio está destinado para describir las pruebas de
análisis que se van a realizar para evaluar el proceso especifico que se
encuentre en estudio.
 DE EJECUCIÓN: Este espacio está destinado para describir las pruebas de
ejecución que se van a realizar para evaluar el proceso especifico que se
encuentre en estudio.

CUADRO DE DEFINICION DE FUENTES DE CONOCIMIENTO, PRUEBAS DE

ANALISIS Y EJECUCCIÓN DE AUDITORIA

REF
CUADRO DE DEFINICION DE FUENTES DE CONOCIMIENTO, PRUEBAS DE
ANALISIS DE AUDITORIA

PAGINA
ENTIDAD AUDITADA Sittulua Ltda
1 DE 1
Funcionamiento de Tecnologías Existentes y
PROCESO AUDITADO
Emergentes
RESPONSABLE Diana Lucía Ávila Tascón
MATERIAL DE SOPORTE COBIT
DOMINIO Planear y Organizar (PO)
PROCESO PO3 Determinar la dirección tecnológica

REPOSITORIO DE PRUEBAS APLICABLES

FUENTES DE CONOCIMIENTO
DE ANALISIS DE EJECUCION
Comprobar que el
inventario tecnológico
coincida con lo
Analizar y revisar las auditado dentro de la
María Doris Lopera tecnologías existentes empresa e identificar
Montoya, Jefe de en la empresa de en el plan qué
acuerdo al informe de tecnologías tienen el
Sistemas Sittulua,
inventario presentado. A potencial de
Informe de inventario su vez revisar planes de oportunidades de
de tecnología, Plan adquisición, estándares negocio.
de adquisición. y estrategias de Comparar que los
migración. estándares definidos
se estén cumpliendo
por el personal
encargado.

AUDITOR RESPONSABLE:
 FORMATO ENTREVISTA

Las entrevistas pueden ser aplicadas al inicio para conocer aspectos generales de
los procesos que se van a evaluar, generalmente las entrevistas recogen la opinión
de algunas de las personas que conozcan el proceso y que me puedan responder
con claridad las preguntas que se hayan preparado para la entrevista.

Es importante determinar a quienes se aplicará la entrevista y los cuestionarios, ya

que no se pueden aplicar a todos los auditados sino solamente al personal que
conozca los aspectos que se vayan a evaluar.

Para la entrevista se debe determinar primero los temas sobre los cuales va a girar
la entrevista y en cada uno de los temas se debe elaborar preguntas puntuales con
la intención de descubrir más riesgos de los que ya se han encontrado en las visitas
realizadas a la empresa auditada.

ENTIDAD Sittulua Ltda. PAGINA

AUDITADA 1 DE 1
OBJETIVO Verificar la existencia de un plan de infraestructura tecnológica y
AUDITORÍA de comité de arquitectura que administre expectativas realistas y
claras de lo que la tecnología puede ofrecer a la empresa en
todas y cada una de las áreas funcionales y críticas para la
empresa, se revisara la dirección tecnológica, los planes de
adquisición, protocolos y contingencias definidos por el área
encargada.
PROCESO Indicadores de funcionamiento del hardware y software
AUDITADO
RESPONSABLE Diana Lucía Ávila Tascón
MATERIAL DE SOPORTE COBIT 4.1
DOMINIO Planear y Organizar PROCESO PO3 Determinar la dirección
(PO) tecnológica

ENTREVISTADO María Doris Lopera Montoya

CARGO Jefe de Sistemas

1. ¿Cada cuánto se realiza el inventario de tecnologías existentes y emergentes?
____________________________________________________________
2. ¿Tienen un plan de adquisición actualizado? ¿Cada cuánto tiempo lo
actualizan? __________
_______________________________________________________________
_______________________________________________________________
3. ¿Tienen claro que debe contener el plan de adquisición? _____
4. ¿Tienen conformado un comité de arquitectura? ______
5. Si no tiene conformado un comité de arquitectura, ¿Conoce como conformar el
comité? ______
6. ¿Tiene planes a largo y corto plazo de tecnología de información? ____
7. ¿Estos planes son conocidos por el personal involucrado? ____
8. ¿Tienen estrategias de migración? ____
9. ¿Ha tenido inconvenientes por no tener estas estrategias definidas? ¿Cuáles?
____
_______________________________________________________________
_______________________________________________________________

María Doris Lopera Montoya Jonathan Valencia

NOMBRE ENTREVISTADO AUDITOR RESPONSABLE
FIRMA
 ENTREVISTA

Planear y Organizar PO3 Determinar la

DOMINIO PROCESO
(PO) dirección tecnológica

OBJETIVO DE CONTROL PO3.1 Planeación de la Dirección Tecnológica

Nº CUESTIÓN RESPUESTA

1 ¿Cada cuánto se realiza el inventario El inventario de tecnologías

de tecnologías existentes y existentes se realiza cada 3
emergentes?
meses y allí se actualiza las
tecnologías que emergen en ese
periodo de tiempo.
2 ¿Tienen un plan de adquisición No.
actualizado? ¿Cada cuánto tiempo
lo actualizan? El plan de adquisición lo
actualiza el gerente en reunión
con los jefes de área, estas
reuniones no son programadas
en el año, sólo surgen con la
necesidad del momento.
3 ¿Tienen claro que debe contener el Si
plan de adquisición?

4 ¿Tienen conformado un comité de No

arquitectura?

5 Si no tiene conformado un comité de No, tenemos a una persona

arquitectura, ¿Conoce como investigando el tema.
conformar el comité?

6 ¿Tiene planes a largo y corto plazo Si

de tecnología de información?

7 ¿Estos planes son conocidos por el Si, a través de una cartelera y

personal involucrado? por medio de correos
corporativo.
 8 ¿Tienen estrategias de migración? No

9 ¿Ha tenido inconvenientes por no Si

tener estas estrategias definidas?
¿Cuáles?
Reprocesos por pérdida de
información de últimos datos
registrados cuando se realizan
cambios en tecnología.
Falta de capacitación con tiempo
suficiente para que los
funcionarios se familiaricen con
los nuevos entornos de software
y/o hardware

LISTA DE CHEQUEO

La lista de chequeo se usa para la verificación de la existencia de controles en el

proceso o procesos auditados, en la lista de chequeo se puede usar escalas
diferentes por ejemplo respuestas cerradas de SI/NO, o respuestas de cumplimiento
por ejemplo CUMPLE TOTALMENTE (CT)/CUMPLE PARCIALMENTE (CP)/NO
CUMPLE (NC), O como en este ejemplo donde se marca las preguntas donde existe
control y se deja en blanco los controles que no se cumplen.

Las preguntas de las listas de chequeo se deben hacer teniendo en cuenta los
objetivos de control, que serán los controles que deben existir en el proceso y se
elabora preguntas sobre la existencia de dicho control, el auditor encargado de
evaluar el proceso será quien aplique la lista de verificación de controles o lista de
chequeo y de acuerdo a la respuesta se determina los hallazgos sobre la no
existencia de controles en el proceso.

Lista chequeo: Instalar y Acreditar Soluciones y Cambios

 LISTA CHEQUEO

Planear y Organizar PO3 Determinar la

DOMINIO PROCESO
(PO) dirección tecnológica

OBJETIVO DE CONTROL PO3.1 Planeación de la Dirección Tecnológica

CONFORME
Nº ASPECTO EVALUADO OBSERVACIÓN
SI NO

¿La empresa cuenta con un plan

1 de tecnologías de la información? X

OBJETIVO DE CONTROL PO3.2 Plan de infraestructura Tecnológica

Es un plan que surge

con la necesidad y no
está bien establecido,
¿Tienen un plan de adquisición sobre todo hay falencias
2 que cumple con la norma? X en las estrategias de
migración y
contingencia de los
componentes de
infraestructura.

PO3.3 Monitoreo de Tendencias y Regulaciones

OBJETIVO DE CONTROL
Futuras

¿Se aplica la norma para la

3 X
compra de la infraestructura?

OBJETIVO DE CONTROL PO3.4 Estándares Tecnológicos

¿La empresa tiene definido un

estándar propio para
requerimientos en la adquisición y
4 X
puesta en marcha de una
tecnología?
OBJETIVO DE CONTROL PO3.5 Consejo de Arquitectura de TI

5 ¿Cuenta con un comité
infraestructura tecnológica?
Realizan reuniones
periódicas con algunos
de X jefes de área, pero no
está establecido como
comité.

FORMATO CUESTIONARIO

Funcionamiento de Tecnologías Existentes y Emergentes

Cuestionario de Control: C1

Dominio Planear y organizar

Proceso PO3 Determinar la dirección tecnológica

Pregunta Si No OBSERVACION
ES

¿Tienen un plan de adquisición actualizado? 4 No. El plan de

¿Cada cuánto tiempo lo actualizan? adquisición lo
actualiza el
gerente en
reunión con los
jefes de área,
estas reuniones
no son
programadas en
el año, sólo
surgen con la
necesidad del
momento.

¿Tienen conformado un comité de arquitectura? 3 No.

Si no tiene conformado un comité de arquitectura, 3 No, tenemos a
¿Conoce como conformar el comité? una persona
investigando el
tema.

¿Tienen estrategias de migración? 4 No.

¿Tienen un plan de adquisición que cumple con la 5 No. Es un plan

norma? que surge con la
necesidad y no
está bien
establecido,
sobre todo hay
falencias en las
estrategias de
migración y
contingencia de
los componentes
de
infraestructura.

¿La empresa tiene definido un estándar propio para 5 No.

requerimientos en la adquisición y puesta en
marcha de una tecnología?

¿Cuenta con un comité de infraestructura 4 No. Realizan

tecnológica? reuniones
periódicas con
algunos jefes de
área, pero no
está establecido
como comité.

¿Tienen claro que debe contener el plan de 5 Si

adquisición?

¿Tiene planes a largo y corto plazo de tecnología 4 Si

de información?

¿Ha tenido inconvenientes por no tener estas 5 Si

estrategias definidas? ¿Cuáles?
 ¿La empresa cuenta con un plan de tecnologías de 5 Si
la información?

¿Se aplica la norma para la compra de la 5 Si

infraestructura?

TOTALES 24 28

La escala de calificación de cada una de las preguntas va de 1 hasta 5, la calificación

puede ir en el SI, en el NO, donde 1 significa que no es importante tener el control
para el auditor y 5 significa que es importante que se tenga el control, el auditor
debe tratar de dar estas calificaciones lo más objetivamente posible para aplicar la
fórmula y calcular el porcentaje de riesgo.

Las equivalencias utilizadas para la puntuación serán de uno a cinco, siendo uno el
valor mínimo considerado de poca importancia y cinco el máximo considerado de
mucha importancia.

PORCENTAJE DE RIESGO: Hace referencia a la probabilidad de que el proceso

se vea afectado por las acciones de las cuales se está indagando, entre mas alto el
porcentaje mayor probabilidad de riesgo tiene el proceso de salir perjudicado.

PREGUNTA: Espacio donde se indicara la descripción de la consulta de la cual se

indagara.

SI – NO: Posibilidades de respuesta, cumple, no cumple, o no aplica para la entidad.

El cálculo de este porcentaje se hace de la siguiente forma:

Porcentaje de riesgo parcial = (Total SI * 100) / Total

Porcentaje de riesgo = 100 - Porcentaje de riesgo parcial

Porcentaje de riesgo parcial = (24 * 100) / 52 = 46.15

Porcentaje de riesgo = 100 – 46.15 = 53.85
Para determinar el nivel de riesgo total, se tiene en cuenta la siguiente
categorización:

1% - 30% = Riesgo Bajo

31% - 70% = Riesgo Medio
71% - 100% = Riesgo Alto

RIESGO:

Porcentaje de riesgo parcial: = 46.15%

Porcentaje de riesgo = 53.85
Impacto según relevancia del proceso: Riesgo Medio