Diseo de Instrumentos de auditora: Para la realizacin del proceso de

auditora a la empresa, se utilizaron diferentes instrumentos de recoleccin de

informacin, a continuacin se describe cada uno de ellos:

FORMATO DE FUENTES DE CONOCIMIENTO

Cuadro de definicin de fuentes de conocimiento, pruebas de anlisis, y

pruebas de auditora:

REF: AI2

ENTIDAD AUDITADA: STARNET

PROCESO AUDITADO: Adquirir e implementar nuevo software antivirus.

RESPONSABLES: Michael Tutistar.

DESCRIPCIN DE ACTIVIDAD/PRUEBA: El objetivo es revisar el software

utilizado en los equipos de cmputo y principalmente en el servidor para
determinar el antivirus y los firewall que poseen para as actualizar o adquirir
nuevos aplicativos para mejorar y fortalecer la seguridad informtica y as
proteger los datos de los clientes y el personal de la empresa.

MATERIAL DE SOPORTE: COBIT.

DOMINIO: Adquirir e implementar

PROCESO: AI2 Adquirir e implementar software aplicativo.

FUENTES DE CONOCIMIENTO: Derrien, Yann. Tcnicas de la auditora

informtica, ISACA. (2007). COBIT 4.1 en Espaol. IT Governance Institute.

REPOSITORIO DE PRUEBAS: Se divide en dos tipos de pruebas:

DE ANLISIS: Auditoria, Entrevista

DE EJECUCIN: Lista de chequeo

Tabla 2: CUADRO DE DEFINICION DE FUENTES DE CONOCIMIENTO,
PRUEBAS DE ANALISIS Y EJECUCCIN DE AUDITORIA

RE
CUADRO DE DEFINICION DE FUENTES DE F
CONOCIMIENTO, PRUEBAS DE ANALISIS DE AI2
AUDITORIA

ENTIDAD PAGINA
STARNET
AUDITADA 1 DE 1
PROCESO
Adquirir e implementar software aplicativo
AUDITADO
RESPONSABLE Michael Tutistar
MATERIAL DE
COBIT
SOPORTE
DOMINIO Adquirir e implementar
PROCESO Adquirir e implementar software aplicativo

FUENTES DE REPOSITORIO DE PRUEBAS APLICABLES

CONOCIMIENTO DE ANALISIS DE EJECUCION
Pruebas mediante uso
Pruebas que se hacen de software, pruebas
por anlisis de de seguridad en redes,
documentos: manuales pruebas de seguridad
Organizacin de software adquirido en bases de datos,
STARNET en cuanto a los antivirus pruebas de intrusin
que estn instalados en en antivirus, pruebas
los equipos de cmputo de ataques
de la empresa. informticos a equipos
de cmputo.

AUDITOR RESPONSABLE:
Michael Tutistar Trejo
 LISTA DE CHEQUEO

Las lista de chequeo se usan para la verificacin de la existencia de controles en

el proceso o procesos auditados, en la lista de chequeo se puede usar escalas
diferentes por ejemplo respuestas cerradas de SI/NO, o respuestas de
cumplimiento por ejemplo CUMPLE TOTALMENTE (CT)/CUMPLE
PARCIALMENTE (CP)/NO CUMPLE (NC), O como en este ejemplo donde se
marca las preguntas donde existe control y se deja en blanco los controles que no
se cumplen.

Las preguntas de las listas de chequeo se deben hacer teniendo en cuenta los
objetivos de control, que sern los controles que deben existir en el proceso y se
elabora preguntas sobre la existencia de dicho control, el auditor encargado de
evaluar el proceso ser quien aplique la lista de verificacin de controles o lista de
chequeo y de acuerdo a la respuesta se determina los hallazgos sobre la no
existencia de controles en el proceso.

Aulas De Informtica
F-CHK 01
Fecha:
Realizado por:
SI NO
Existe sistema de ventilacin

El cableado elctrico est protegido

Los conectores de alimentacin de energa estn en

buen estado
Los equipos de cmputo tienen todas sus partes

Hay equipos con tecnologa obsoleta

Los equipos que se encuentren en mal estado

Hay un horario en cada aula de monitores asignados

El cableado estructurado se encuentra en buen

estado
Existe un sistema de seguridad en cada aula
 El cableado que corresponde al equipo est
protegido

FORMATO ENTREVISTA

Las entrevistas pueden ser aplicadas al inicio para conocer aspectos generales de
los procesos que se van a evaluar, generalmente las entrevistas recogen la
opinin de algunas de las personas que conozcan el proceso y que me puedan
responder con claridad las preguntas que se hayan preparado para la entrevista.

Es importante determinar a quienes se aplicar la entrevista y los cuestionarios, ya

que no se pueden aplicar a todos los auditados sino solamente al personal que
conozca los aspectos que se vayan a evaluar.

Para la entrevista se debe determinar primero los temas sobre los cuales va a
girar la entrevista y en cada uno de los temas se debe elaborar preguntas
puntuales con la intencin de descubrir ms riesgos de los que ya se han
encontrado en las visitas realizadas a la empresa auditada.

ENTIDAD DISPROPAN S.A.S. PAGINA REF

AUDITADA 1 D 1
PLAN
E
OBJETIVO
AUDITORA
PROCESO Indicadores de funcionamiento del hardware y software
AUDITADO
RESPONSABL
E
MATERIAL DE SOPORTE COBIT
DOMI PROCE
NIO SO

ENTREVISTADO
CARGO

1. Las caractersticas del equipo son suficientes para el desempeo de su

trabajo?
_______________________________________________________________
_
2. Qu hace en caso de que el equipo falle? a quien acude?
_________________
_______________________________________________________________
___
3. Cuntos Mantenimiento se le han realizado al equipo?
______________________
4. Qu nivel de conocimientos tiene en el manejo de un Computador y/o Mvil?
_______________________________________________________________
___
5. Ud. maneja el software de SYSCAFE?
__________________________________
6. Ud. Ha recibido asesoramiento o capacitacin sobre el manejo de
SYSCAFE?
_______________________________________________________________
___
7. Qu procesos de SYSCAFE utiliza?
____________________________________
8. Conoce y ha hecho uso del manual de SYSCAFE?
________________________
9. Ha tenido problemas con el Software SYSCAFE? Cules?
________________
_______________________________________________________________
___
10. Cmo resuelve los problemas encontrados en el Software SYSCAFE?
_________
11. Cul es el tiempo mximo en solucionar el problema de SYSCAFE?
___________
NOMBRE ENTREVISTADO AUDITOR RESPONSABLE
FIRMA

FORMATO CUESTIONARIO
 Aulas De Informtica Facultad De Ingeniera
Cuestionario de Control: C1
Dominio Adquisicin e Implementacin
Proceso AI3: Adquirir y mantener la arquitectura tecnolgica

Pregunta Si No OBSERVACION
ES
Se cuenta con un inventario de equipos de 4
cmputo?
Si existe inventario contiene los siguientes
tems?
Nmero del computador
Fecha
Ubicacin
Responsable
Caractersticas(memoria, procesador, monitor,
disco duro)
Se lleva una hoja de vida por equipo
La hoja de vida del equipo tiene los datos? 5
Numero de hoja de vida
Nmero del computador correspondiente
Falla reportada
Diagnstico del encargado
Solucin que se le dio
Se posee un registro de fallas detectadas en los 4
equipos?
En el registro de fallas se tiene en cuenta con los
siguientes datos?
Fecha
Hora
Nmero de registro
Nmero del computador
Encargado
Al momento de presentar una falla en el equipo, De 1 a 5 dias
la atencin que se presta es?
Inmediata
De una a 24 horas
De un da a 5 das
Ms de 5 das
Se cuenta con servicio de mantenimiento para 4 Semestral
todos los equipos?
Qu tipo de mantenimiento se lleva a cabo? Correctivo
Mantenimiento preventivo
Mantenimiento correctivo
Profesores y/o estudiantes pueden instalar y 4
desinstalar programas en el computador?
Al finalizar el horario de clase en dichas aulas, se 3
hace una revisin de los equipos?
El personal que se encarga del mantenimiento es 4
personal capacitado?
Se lleva un procedimiento para la adquisicin de 3
nuevos equipos?
La infraestructura tecnolgica de los equipos 3
soporta la instalacin de diferentes sistemas
operativos?
Son compatibles software y hardware? 5
TOTALES 19 20

La escala de calificacin de cada una de las preguntas va de 1 hasta 5, la

calificacin puede ir en el SI, en el NO, donde 1 significa que no es importante
tener el control para el auditor y 5 significa que es importante que se tenga el
control, el auditor debe tratar de dar estas calificaciones lo ms objetivamente
posible para aplicar la frmula y calcular el porcentaje de riesgo.

Las equivalencias utilizadas para la puntuacin sern de uno a cinco, siendo uno
el valor mnimo considerado de poca importancia y cinco el mximo considerado
de mucha importancia.

PORCENTAJE DE RIESGO: Hace referencia a la probabilidad de que el proceso

se vea afectado por las acciones de las cuales se est indagando, entre mas alto
el porcentaje mayor probabilidad de riesgo tiene el proceso de salir perjudicado.

PREGUNTA: Espacio donde se indicara la descripcin de la consulta de la cual se

indagara.

SI NO: Posibilidades de respuesta, cumple, no cumple, o no aplica para la

entidad.

El clculo de este porcentaje se hace de la siguiente forma:

Porcentaje de riesgo parcial = (Total SI * 100) / Total

Porcentaje de riesgo = 100 - Porcentaje de riesgo parcial

Porcentaje de riesgo parcial = (19 * 100) / 39 = 48.71

 Porcentaje de riesgo = 100 48.71 = 51.28

Para determinar el nivel de riesgo total, se tiene en cuenta la siguiente

categorizacin:

1% - 30% = Riesgo Bajo

31% - 70% = Riesgo Medio
71% - 100% = Riesgo Alto

RIESGO:

Porcentaje de riesgo parcial: 48,71

Porcentaje de riesgo = 51,28
Impacto segn relevancia del proceso: Riesgo Medio

FORMATO DE HALLAZGOS

En este formato se describe las inconsistencias encontradas. Esta informacin

ser desglosada de la siguiente manera:

REF: Se refiere al ID del elemento.

ENTIDAD AUDITADA: En este espacio se indicara el nombre de la entidad

a la cual se le est realizando el proceso de auditora.

PROCESO AUDITADO: En este espacio se indicara el nombre del proceso

objeto de la auditoria, para el caso ser Contratacin TI.

RESPONSABLES: En este espacio se indicaran los nombres del equipo

auditor que est llevando a cabo el proceso de auditora.

MATERIAL DE SOPORTE: En este espacio se indicara el nombre del

material que soporta el proceso, para el caso ser COBIT.

DOMINIO: Espacio reservado para colocar el nombre del dominio de

COBIT que se est evaluando.

PROCESO: Espacio reservado para el nombre del proceso en especifico

que se est auditando dentro de los dominios del COBIT.

HALLAZGO: Aqu se encontrara la descripcin de cada hallazgo, as como

la referencia al cuestionario cuantitativo que lo soporta.
 CONSECUENCIAS Y RIESGOS: En este apartado se encuentra la
descripcin de las consecuencias del hallazgo as como la cuantificacin
del riesgo encontrado.

EVIDENCIAS: Aqu encontramos en nombre de la evidencia y el nmero

del anexo donde sta se encuentra.

RECOMENDACIONES: En este ltimo apartado se hace una descripcin

de las recomendaciones que el equipo auditor ha presentado a las
entidades auditadas.

REF

HALLAZGO

PROCESO Funcionamiento del aspecto fsico de PGINA

AUDITADO la red de datos 1 DE 1

RESPONSABLE

MATERIAL DE
COBIT
SOPORTE

DOMINIO PROCESO

DESCRIPCIN:

REF_PT:

CONSECUENCIAS:
RIESGO:

RECOMENDACIONES: