Resultados de La Auditoria

RESULTADOS DE LA AUDITORIA
DICTAMEN DE LA AUDITORIA
Para elaborar el dictamen de la auditoría, el auditor debe tener en cuenta los hallazgos
encontrados en el proceso evaluado y los controles existentes. El dictamen es el concepto del
auditor sobre el nivel de madurez en el que se encuentra el proceso evaluado respecto de la
norma. La escala de medición se encuentra en la norma CobIT 4.1, los valores son de tipo
cuantitaivo, pero se convierten a cualitativos para explicar el porque de esa valoración.
A continuación se presenta un ejemplo de la valoración de dos procesos evaluados en un sistema y

la escala de medición:
DICTAMEN DE LA AUDITORÍA
A continuación se presentan los resultados definitivos de la auditoria y las recomendaciones de

mejoramiento por cada proceso COBIT auditado, una vez revisadas las observaciones y
aclaraciones hechas por la empresa al grupo auditor:1[1]
PROCESO COBIT: PO4: DEFINIR LOS PROCESOS, ORGANIZACIÓN Y RELACIONES DEL SISTEMA DE
INFORMACIÓN DE LA EMPRESA.
a. Objetivo de la Auditoria: Conceptuar sobre organización y relaciones entre el personal, los

recursos de hardware y software, los documentos soporte, el centro de cómputo con el fin
de establecer el grado de eficiencia de los procesos que ejecutan en el sistema.
b. Dictamen:Se califica un nivel de madurez 3 DEFINIDO, por cuanto los procesos,

organización y relaciones del área evaluada están contenidos en un manual de procesos y
los recursos de hardware y software son adecuados. Sin embargo, este manual no se ha
actualizado con respecto a la evolución que ha tenido el Sistema, lo que hace que no sea
posible medirlo y redefinirlo. En procesos clave de administración del sistema se observa
excesiva dependencia en la capacidad y conocimiento que empleados clave tienen del
sistema.
c. Hallazgos que soportan el Dictamen:
 El manual de procesos y perfiles no se ha actualizado de acuerdo a los módulos del

sistema, acorde con la estructura de cargos de la empresa lo que dificulta ejecutar planes
de contingencia y capacitación cruzada, en caso de necesidad de reemplazar o rotar
personal clave en las operaciones y administración del sistema.
 Se encontró que la empresa contratista del sistema ejecuta labores de captura de la

información, operación directa sobre tablas de la base de datos. Igualmente, realiza
labores de auditoría y también administra el sistema operativo, la aplicación y la base de
datos. Se considera un nivel de acceso amplio que dificulta establecer controles por parte
de la empresa.
 Se encontró que el funcionario encargado del módulo de auditoría, realiza solamente el

control de usuarios con niveles de seguridad inmediatamente inferiores a él, pero nadie
realiza auditoria a las entradas de los súper usuarios del sistema.
d. Recomendaciones:
 Diseñar Bitácora de procesos y perfiles de acuerdo al manual actualizado de funciones y

procedimientos del Área Comercial.
 Documentar los procesos de consulta, lecturas y facturación realizados por fuera del
software, para que sean integrados al software. Implementar registro de solicitudes de
modificaciones y diseño de soluciones y actualizaciones.
 Documentar y diferenciar en forma precisa los procesos, políticas administrativas y

procedimientos de la administración de riesgos, la seguridad de la información, la
propiedad de datos y del sistema. Esto es, separar completamente en diferentes
responsables los procesos de captura de lecturas, correcciones masivas sobre las tablas de
la base de datos, administración de la base de datos, auditoria.
 Asignar funciones de auditoría a uno de los funcionarios que esté en capacidad de
registrar los movimientos realizados por los súper usuarios del sistema, pudiendo el
mismo realizar auditorías y ejerciendo controles adecuados sobre la seguridad del servidor
e producción y sobre la base de datos.
PROCESO COBIT: P09: EVALUAR Y ADMINISTRAR LOS RIESGOS DEL SIC.
a. Objetivo de la Auditoria: Medir los riesgos, su probabilidad e impacto sobre el aplicativo,

personal, recursos, procesos, soportes
b. Dictamen:Se estableció un nivel de madurez 2 REPETIBLE por cuanto se hacen análisis y

evaluación al Sistema, pero no son permanentes, ni se ha documentado suficientemente.
Además, falta capacitación del personal encargado. La detección de riesgos y el
establecimiento de controles se hacen, en gran parte, por iniciativa propia de los
empleados, y no en un procedimiento regular de auditoría.
c. Hallazgos que soportan el Dictamen:
 Aunque existe documentación sobre auditorias anteriores y análisis y evaluación de

riesgos sobre el sistema, no se ha destinado personal para establecer un plan de controles
sobre el mismo, lo que impide prevenir posibles fraudes, inconsistencias o pérdidas de
información y económicas. Los riesgos tampoco se han clasificado por niveles de criticidad,
no se han establecido riesgos residuales.
 No se encontró una política claramente documentada para el manejo de riesgos que

presentan nivel de criticidad medio o moderada en el sistema, tales como: infección por
virus, plan para enfrentar contingencias en el sistema, plan para detectar y corregir
debilidades o huecos en las operaciones, y errores de digitación de datos por parte de los
usuarios, generación de pistas de administración y auditoria de datos, actividades de
supervisión para detectar el nivel de confianza en los controles automatizados, difusión y
adopción de las políticas de seguridad en el procesamiento de datos, revisión
metodológica del sistema para proponer mejoras al diseño inadecuado o cuestionable de
algunos módulos, corrección de las deficiencias u obsolescencias de los mecanismos de
control interno del sistema, determinación de especificaciones técnicas inapropiadas,
detección de deficiencias en el entrenamiento de los funcionarios que ejecutan los
procesos, determinación de estándares de control de calidad de la información de la base
de datos, análisis de cumplimiento de la validación de las reglas del negocio en el sistema,
Cumplimiento normativo y de las políticas internas en el proceso del área comercial a
cargo del sistema.
d. Recomendaciones:
· Implementar el software de administración de riesgos y establecimiento de controles al sistema en

general, como parte de la Función del SGSI.
· Capacitar al personal encargado de auditar el sistema, sobre la identificación de riesgos, medición e

implementación de controles, enfocada en la seguridad de acceso e integridad de la base de datos.
· Implementar un estándar como metodología para el análisis y la evaluación de riesgos informáticos,

que permita que este proceso se lleve a cabo de manera adecuada se debe tener en cuenta que
los estándares son apropiados a ciertos tipos de evaluación, algunos de ellos son: MAGERIT, ISO
27005, OCTAVE que nos brindan los estándares y las escalas de evaluación.
· Retomar las recomendaciones que han realizado en las auditorias anteriores para realizar el
análisis, evaluación y gestión de los riesgos encontrados; establecer un sistema de control
adecuado al sistema de información y trabajar en la documentación del proceso.
PLAN DE PRUEBAS
PLAN DE PRUEBAS
El plan de pruebas debe prepararse y ejecutarse con anticipación para poder hacer la solicitudes
de permiso al área informática o al administrador del sistema que será evaluado. Las pruebas
deben llevarse a cabo en el tiempo que demore la auditoría y habrá algunas pruebas que
requieran más tiempo, por lo tanto esas pruebas quedarán dentro de las recomendaciones para
que sean ejecutadas posterior a la auditoría.
Cada uno de los auditores debe planear las pruebas para cada uno de los procesos de acuerdo a
los aspectos que se requiera evaluar, por lo tanto es responsabilidad del auditor determinar las
pruebas que sirvan para soportar el dictamen de la auditoría en cada uno de los procesos.
GUÍA DE PRUEBA P1.

Aulas de informática Institución Educativa R/PT: C1
Guía de Pruebas P1
Dominio Adquisición e Implementación
Proceso AI3: Adquirir y mantener la arquitectura tecnológica
Objetivo de Control Evaluación de Hardware
Riesgos Asociados R15, R16, R18, R19
No Evidencia Descripción
1 No hay bitácoras En las aulas de informática no se lleva un registro de

de mantenimiento mantenimiento y de cambios de hardware
GUÍA DE PRUEBA P2.
Guía de Pruebas P2
Objetivo de Control Mantenimiento Preventivo para Hardware
Riesgos Asociados R15, R16, R18, R19
1 No se programan La Institución educativa no tiene programados jornadas de

mantenimientos mantenimiento estas están sujetas a las programaciones a nivel
nacional
2 No se sugieren La Institución educativa solamente da de baja equipos no

cambios de funcionales, pero no hace solicitudes de cambio de nuevos equipos
equipos o ya que el nuevo hardware está supeditado a los envíos que realiza
solicitudes de la sede central
nuevos equipos
GUÍA DE PRUEBA P3.
Guía de Pruebas P3
Dominio Entrega de Servicios y Soportes
Proceso DS12: Administración de Instalaciones
Objetivo de Control Escolta de Visitantes
Riesgos Asociados R20,R21,R2
1 Img-01: Aula de No hay una buena identificación de las aulas de informática de la

informática 1 Institución educativa
2 Img-04: Área no No existen identificación de áreas restringidas dentro de las salas

Restringida de informática
3 Img-05: No existen No existen ningún tipo de detectores de humo, temperatura

ningún tipo de dentro de las aulas de informática
detectores
4 Img-06: No hay Las señalización para salidas de emergencia no están instaladas o

señalización no existen
5 Img-11: Los interruptores de emergencia no están debidamente

Interruptores de identificados
Emergencia 1
6 Img-12: Los interruptores de emergencia no están debidamente

Interruptores de identificados
Emergencia 2
GUÍA DE PRUEBA P4.

Guía de Pruebas P4
Proceso Protección contra Factores Ambientales
Objetivo de Control Controles Ambientales
Riesgos Asociados R17
1 Img-02: Ventilación Solo una de las salas de informática tiene ventilación, la cual
presenta ruido alto en su funcionamiento y balanceo
GUÍA DE PRUEBA P5.
Guía de Pruebas P5
Objetivo de Control Suministro Ininterrumpido de Energía
Riesgos Asociados R1,R2,R3,R4,R5,R6
1 Img-08: Existen cables en el suelo que estorban a los usuarios

Instalaciones
Eléctricas 1
2 Img-09: Existen en el techo de las salas cables sueltos sin marcar

Instalaciones
Eléctricas 2
3 Img-10: Existen conexiones de 220 voltios sin sellar junto a las fuentes
Instalaciones reguladas
Eléctricas 3
GUÍA DE PRUEBA P6.
Guía de Pruebas P6
Objetivo de Control Seguridad Física
Riesgos Asociados R12, R13
1 Cables de red de datos aéreos sin protección
Img-17: Canales
Redundantes 1
2 Img-19: Canales Canaletas plásticas sin protección

Redundantes 3
3 Img-20: Estándar Existen cables de red de datos sin protección, sin gabinetes y sin
de cableado normas apropiadas
ANALISIS Y EVALUACIÓN DE RIESGOS
ANÁLISIS Y EVALUACIÓN DE RIESGOS
Para este proceso tan importante dentro de la auditoría es necesario que ya se haya identificado
inicialmente las vulnerabilidades y amenazas existentes en cada uno de los procesos evaluados, y
que se hay definido los riesgos existentes a causa de esas debilidades.
Una vez se identifican los riesgos se procede a hacer un análisis y evaluación de los mismos, en el
análisis hay que determinar como se esta presentando el riesgo, las causas posibles que lo
originan, en que procesos se presentan y quien es el personal involucrado en cada uno de ellos.
Una vez analizados los riesgos se procede a hacer la evaluación teniendo en cuenta los criterios de
frecuencia con que se presenta el riesgo en el tiempo (probabilidad) y el impacto que ellos pueden
causar de llegar a concretarse (impacto). Para cada uno de estos criterios existen unas escalas de
valoración de tipo cualitativo que pueden tener una lectura cuantitativa para poder determinar la
probabilidad e impacto de estos riesgos.
Este proceso puede llevarse a cabo inicialmente para determinar una lista de riesgos iniciales
general y proponer el objetivo de la auditoría de acuerdo a los resultados, si se observa que los
problemas se originan en la infraestructura tecnológica entonces la auditoría deberá orientarse
hacia el análisis de dicha infraestructura. Una vez iniciado el proceso de auditoría el proceso de
análisis y evaluación de riesgos me permite evaluar cada uno de los dominios y procesos (CobIT)
que se han seleccionado para la valoración de los riesgos en dicho proceso.
A continuación se muestra un ejemplo de aplicación de dicho proceso, inicialmente se presenta un

listado de vulnerabilidades, amenazas y riesgos, posteriormente se presenta la matriz general que
será usada para la medición de los riesgos donde se presentan las escalas de probabilidad e
impacto y finalmente se hace la valoración con este ejemplo concreto.
VULNERABILIDADES:
1. No existencia de inventario de hardware y redes
2. No se hace mantenimiento preventivo solo se hace manteniemiento correctivo
3. Irregularidad en el servicio de internet por la ubicación de la empresa
4. Obsolescencia de tecnología de hardware de servidores, equipos y redes
5. Obsolescencia en el cableado estructurado
AMENAZA:
1. Poca seguridad en el acceso físico al hardware
2. Equipos de cómputo que no soportan sistemas operativos
3. Existe peligro en la continuidad de los servicos en línea
4. No hay sistemas de vigilancia y monitoreo dentro de la empresa
5. No existe sistema de protección en caídas de energía para protección de equipos
6. No existen sistemas contra incendios
7. Posibles fallos en la conectividad de la red de datos e internet
RIESGOS:
1. No existe restricciones para el acceso a personal externo a los equipos de cómputo
2. Equipos con bajo rendimientopara las operaciones que se deben desarrollar
3. Daño en los equipos por caidas en el fluido eléctrico
4. Insatisfacción por parte de los usurios respecto al servicios internet
5. No se han levantado hojas de vida de los equipos existentes
6. La señal de los operadores de internet presenta fallas por la ubicación de la empresa
7. Se presentan problemas de conexión en la intranet y a internet
8. Se han presentado hurtos y robo de partes de los equipos de cómputo
9. No existen controles y responsables de los equipos de cómputo
MATRIZ DE PROBABILIDAD DE IMPACTO
Esta matriz fue creada para catalogar un riesgo y saber qué clase de daño puede causar un mal
procedimiento en el proceso auditado. En la matriz existe la columna de probabilidad de
ocurrencia donde se pondrá el valor del porcentaje de riesgo según su resultado. Luego se deberá
determinar el impacto según la relevancia del proceso, esta clasificación será hecha por el equipo
auditor basándose en el conocimiento de la entidad y del proceso auditado. Una vez hechos estos
procedimientos se podrá clasificar el riesgo para su mejor entendimiento en la matriz gráfica.
Matriz de probabilidad de ocurrencia e impacto según relevancia del proceso
Zona de Riesgo Zona de riesgo Zona de riesgo
Alto Moderado Importante Inaceptable
61-100%
Medio Zona de riesgo Zona de riesgo Zona de riesgo
31-60% Tolerable Moderado Importante
Bajo Zona de riesgo Zona de riesgo Zona de riesgo Moderado
0-30% Aceptable Tolerable
Leve Moderado Catastrófico

PROBABILIDAD
IMPACTO
EVALUACIÓN DE RIESGOS
N° Descripción Probabilidad Impacto
Baja Media Alta Leve Moderado Catastrófico

R1 No existe restricciones para X X
el acceso a personal externo
a los equipos de cómputo
R2 Equipos con bajo X X

rendimientopara las
operaciones que se deben
desarrollar
R3 Daño en los equipos por X X

caidas en el fluido eléctrico
R4 Insatisfacción por parte de X X

los usurios respecto al
servicios internet
R5 No se han levantado hojas de X X

vida de los equipos existentes
R6 La señal de los operadores de X X

internet presenta fallas por la
ubicación de la empresa
R7 Se presentan problemas de X X
conexión en la intranet y a
internet
R8 Se han presentado hurtos y X X

robo de partes de los equipos
de cómputo
R9 No existen controles y X X
responsables de los equipos
de cómputo
MATRIZ DE RIESGOS
R4, R7 R1
OB
DA
AB
PR
ILI
D
Alto
61-100%
Medio R2, R5 R6
31-60%
Bajo R3, R8 R9
0-30%
Leve Moderado Catastrófico
IMPACTO
En la matriz se oberva las escalas de la probabilidad de ocurrencia y el impacto que pueden causar
en la organización de llegar a concretarse esos riesgos, a continuación se dará una breve
interpretación de cada una de las escalas y su significado.
Escala de probabilidad:
Bajo: Cuando el riesgo se presenta esporádicamente 1 0 2 veces en el año
Medio: Cuando el riesgos se presenta cada mes
Alto: Cuando el riesgo se presenta todas las semanas
Fijense que lo importante es la unidad de tiempo en que se mide, en un sistema puede que se
presenten errores todo los días o varias veces en una hora, por lo tanto la medición de be hacerse
de acuerdo al proceso evaluado y a los riesgos que pueden presentarse, también hay que tener en
cuenta si se está evaluado el área informática, sus activos de hardware, el personal o uno de los
sistemas específicamente.
Escala de impacto:
Leve: Cuando el riesgo afecta a una sola persona o dependencia de la organización
Moderado: Cuando el riesgo afecta a un grupo de personas o a toda una dependencia
Catastrófico: Cuando se paraliza completamente la actividad en la organización
LISTAS DE CHEQUEO O CHECKLIST PARA ÁREAS DE CÓMPUTO
LISTAS DE CHEQUEO
la listas de chequeo tiene como objetivo fundamental la verificación de la existencia de controles

en cada uno de los procesos evaluados, para la construcción de las preguntas de la lista de
chequeo es necesario conocer los objetivos de control en cada proceso, en esos objetivos de
control están descritos los controles en cada proceso de acuerdo al estándar aplicado en la
auditoría.
Las listas de chequeo en general se usarán también para verificar el cumplimiento de una norma
estándar que se debe evaluar en la auditoría, por ejemplo el cumplimiento de normas RETIE de
instalaciones eléctricas o el cumplimiento de normas de cableado estructurado TIA/EIA, o
cualquier otro estándar.
Para el caso del estándar CobIT 4.1, la estructura de la norma se divide en 4 dominios, 32 procesos
y 334 objetivos de control, donde cada dominio se divide en procesos y en cada proceso existen
varios objetivos de control. En cada objetivo de control están descritos los controles generales que
debería existir, por lo tanto las preguntas de la lsita de chequeo deben ser solamente de existencia
de esos controles en el proceso evaluado.
Las respuestas a esas preguntas de la lista de chequeo para cada proceso deben responderse
marcando solemente la respuesta SI o NO o N/A (SI/NO/NA) o cumple totalemente, cumple
parcialmente o no cumple (CT/CP/NC).
A continuación se presenta un modelo de formato para las listas de chequeo para los procesos del
estándar CobIT:
Lista de chequeo Aulas de informática Institución Educativa R/PT

Cuestionario de Control LC1
Objetivo de Control Evaluación de Nuevo Hardware
Cuestionario
Pregunta SI NO N/A
¿Se cuenta con un inventario de todos los equipos que integran el
centro de cómputo?
¿Con cuanta frecuencia se revisa el inventario?
¿Se posee de bitácoras de fallas detectadas en los equipos?
Características de la bitácora (señale las opciones).
 ¿La bitácora es llenada por personal especializado?
 ¿Señala fecha de detección de la falla?
 ¿Señala fecha de corrección de la falla y revisión de que el
equipo funcione correctamente?
 ¿Se poseen registros individuales de los equipos?
 ¿La bitácora hace referencia a hojas de servicio, en donde se
detalla la falla, y las causas que la originaron, así como las
refacciones utilizadas?
¿Se lleva un control de los equipos en garantía, para que a la

finalización de ésta, se integren a algún programa de mantenimiento?
¿Se cuenta con servicio de mantenimiento para todos los equipos?
¿Con cuanta frecuencia se realiza mantenimiento a los equipos?
¿Se cuenta con procedimientos definidos para la adquisición de nuevos
equipos?
¿Se tienen criterios de evaluación para determinar el rendimiento de
los equipos a adquirir y así elegir el mejor?
Documentos probatorios presentados:
LISTA DE CHEQUEO 2

Objetivo de Control Mantenimiento Preventivo para Hardware
Cuestionario
Pregunta SI NO N/A
¿Se lleva un control de los equipos en garantía, para que a la
finalización de ésta, se integren a algún programa de mantenimiento?
¿Se cuenta con servicio de mantenimiento para todos los equipos?
¿Con cuanta frecuencia se realiza mantenimiento a los equipos?
¿Se cuenta con procedimientos definidos para la adquisición de nuevos
equipos?
¿Se tienen criterios de evaluación para determinar el rendimiento de
los equipos a adquirir y así elegir el mejor?
lISTA DE CHEQUEO 3
Aulas de informática Institución Educativa R/PT

Lista de chequeo LC3
Proceso DS12: Administración de Instalaciones.
Objetivo de Control Escolta de Visitantes
Cuestionario
Pregunta SI NO N/A
¿Las instalaciones (aulas, cubículos y oficinas) fueron diseñadas o
adaptadas específicamente para funcionar como un centro de
cómputo?
¿Se tiene una distribución del espacio adecuada, de forma tal que
facilite el trabajo y no existan distracciones?
¿Existe suficiente espacio dentro de las instalaciones de forma que
permita una circulación fluida?
¿Existen lugares de acceso restringido?
¿Se cuenta con sistemas de seguridad para impedir el paso a lugares de
acceso restringido?
¿Se cuenta con sistemas de emergencia como son detectores de humo,
alarmas, u otro tipo de censores?
¿Existen señalizaciones adecuadas en las salidas de emergencia y se
tienen establecidas rutas de evacuación?
¿Se tienen medios adecuados para extinción de fuego en el centro de
cómputo?
¿Se cuenta con iluminación adecuada y con iluminación de emergencia
en casos de contingencia?
¿Se tienen sistemas de seguridad para evitar que se sustraiga equipo de
las instalaciones?
¿Se tiene un lugar asignado para papelería y utensilios de trabajo?
¿Son funcionales los muebles instalados dentro del centro de cómputo:
cintoteca, Discoteca, archiveros, mesas de trabajo, etc?
¿Existen prohibiciones para fumar, consumir alimentos y bebidas?
¿Se cuenta con suficientes carteles en lugares visibles que recuerdan
estas prohibiciones?
¿Con cuanta frecuencia se limpian las instalaciones?
¿Con cuanta frecuencia se limpian los ductos de aire y la cámara de aire
que existe debajo del piso falso (si existe)?
lISTA DECHEQUEO 4

Objetivo de Control Controles Ambientales
Cuestionario
Pregunta SI NO N/A
¿El centro de cómputo tiene alguna sección con sistema de
refrigeración?
¿Con cuanta frecuencia se revisan y calibran los controles ambientales?

¿Se tiene contrato de mantenimiento para los equipos que
proporcionan el control ambiental?
¿Se tienen instalados y se limpian regularmente los filtros de aire?
¿Con cuanta frecuencia se limpian los filtros de aire?
¿Se tiene plan de contingencia en caso de que fallen los controles
ambientales?
LISTA DE CHEQUEO 5

Proceso DS12 Administración de Instalaciones.
Objetivo de Control Suministro Ininterrumpido de Energía
Cuestionario
Pregunta SI NO N/A
¿Se cuenta con instalación con tierra física para todos los equipos?
¿La instalación eléctrica se realizó específicamente para el centro de
cómputo?
¿Se cuenta con otra Instalación dentro el centro de cómputo, diferente
de la que alimenta a los equipos de cómputo?
¿La acometida llega a un tablero de distribución?
¿El tablero de distribución esta en la sala, visible y accesible?
¿El tablero considera espacio para futuras ampliaciones de hasta de un
30 % (Considerando que se dispone de espacio físico para la instalación
de más equipos)?
¿La Instalación es independiente para el centro de cómputo?
¿La misma instalación con tierra física se ocupa en otras partes del
edificio?
¿La iluminación está alimentada de la misma acometida que los
equipos?
¿Las reactancias (balastros de las lámparas) están ubicadas dentro de la
sala?
¿Los ventiladores y aire acondicionado están conectados en la misma
instalación de los equipos a la planta de emergencia?
¿Los ventiladores y aire acondicionado están conectados en la misma
instalación de los equipos a los no-brake?
¿Se cuenta con interruptores generales?
¿Se cuenta con interruptores de emergencia en serie al interruptor
general?
¿Se cuenta con interruptores por secciones ó aulas?
¿Se tienen los interruptores rotulados adecuadamente?
¿Se tienen protecciones contra corto circuito?
¿Se tiene implementado algún tipo de equipo de energía auxiliar?
¿Se cuenta con Planta de emergencia?
¿Se tienen conectadas algunas lámparas del centro de cómputo a la
planta de emergencia?
¿Qué porcentaje de lámparas: % están conectadas a la planta de
emergencia (recomendable el 25 %)?
LISTA DE CHEQUEO 6

Objetivo de Control Seguridad Física
Cuestionario
Pregunta SI NO N/A
¿Se tienen lugares de acceso restringido?
¿Se poseen mecanismos de seguridad para el acceso a estos lugares?
¿A este mecanismo de seguridad se le han detectado debilidades?
¿Tiene medidas implementadas ante la falla del sistema de seguridad?
¿Con cuanta frecuencia se actualizan las claves o credenciales de
acceso?
¿Se tiene un registro de las personas que ingresan a las instalaciones?
PAPELES DE TRABAJO - DISEÑO DE FORMATOS PARA AUDITORÍA
DISEÑO DE FORMATOS PARA AUDITORÍA DE SISTEMAS

Para la planeación del proceso de auditoría es necesario el diseño de los formatos para el proceso
de recolección de información y la presentación de los resultados de la auditoría, estos
documentos denominados papeles de trabajo finalmente son organizados por cada proceso
evaluado y al final se presenta el dictamen y el informe final de resultados.
A continuación se presentará algunos de los formatos que se usan en el proceso de auditoría

FORMATO DE DEFINICION DE FUENTES DE CONOCIMIENTO
Los formatos de fuentes de conocimiento son usados para especificar quienes tiene la información
o que docuemntos la poseen y las pruebas de análisis o ejecución que deberán practicarse en cada
proceso que sea evaluado.
REF
CUADRO DE DEFINICION DE FUENTES DE CONOCIMIENTO
PAGINA
ENTIDAD AUDITADA
1 DE 1
PROCESO AUDITADO
RESPONSABLE
MATERIAL DE SOPORTE COBIT
DOMINIO
PROCESO
REPOSITORIO DE PRUEBAS APLICABLES

FUENTES DE CONOCIMIENTO
DE ANALISIS DE EJECUCION
AUDITOR RESPONSABLE:
En este formato se observa los siguientes campos que deben ser diligenciados por el auditor para
cada uno de los procesos evaluados.
REF: Se refiere al ID del elemento.
ENTIDAD AUDITADA: En este espacio se indicara el nombre de la entidad a la cual se le está

realizando el proceso de auditoría.
PROCESO AUDITADO: En este espacio se indicara el nombre del proceso objeto de la auditoria,
para el caso será Contratación TI.
RESPONSABLE: En este espacio se indicaran los nombres del equipo auditor que está llevando a
cabo el proceso de auditoría.
MATERIAL DE SOPORTE: En este espacio se indicara el nombre del material que soporta el
proceso, para el caso será COBIT.
DOMINIO: Espacio reservado para colocar el nombre del dominio de COBIT que se está evaluando.
PROCESO: Espacio reservado para el nombre del proceso en especifico que se está auditando
dentro de los dominios del COBIT.
REF
ENTREVISTA I
FUENTES DE CONOCIMIENTO: Espacio donde se indicara la fuente de donde proviene la

información (documento, plano, manual, entrevista con la persona, otra fuente).
REPOSITORIO DE PRUEBAS APLICABLES: Pruebas que serán aplicadas en cada uno de los procesos
de acuerdo a los objetivos de control que pretendan evaluarse.
PRUEBAS DE ANÁLISIS: Las pruebas de análisis hacen referencia a las pruebas que pueden
aplicarse en el proceso mediante comparación (benchmarking) o por revisión y análisis
documental.
PRUEBAS DE EJECUCIÓN: Las pruebas de ejecución hacen referencia a las pruebas que se pueden
hacer en caliente sobre los sistemas o software que se pretende auditar. Estas pruebas
generalmente se hacen sobre los sistemas en producción en las auditorías de seguridad (redes,
base de datos, seguridad lógica, sistemas operativos), auditorias a la funcionalidad del software y
las entradas y salidas del sistema.
FORMATO DE ENTREVISTA
Las entrevistas son una fuente deinformación importante dentro de la audtoría, en ellas se refleja
la opinión de los auditados acerca del tema tratado y en muchas ocasiones las grabaciones son la
fuente de evidencia que soporta la auditoría. la entrevista puede aplicarse al inicio de la auditoría
para conocer los aspectos generales y durante el proceso de auditoría con la intención de conocer
en profundidad el tema evaluado. La entrevista generalmente se aplica solo al personal clave
(administrador del sistema, usuarios de mayor experiencia, administrador del área informática,
otros).
PAGINA
ENTIDAD AUDITADA
DE
AREA AUDITADA
SISTEMA
OBJETIVO ENTREVISTA
ENTREVISTADO
CARGO
TEMA1:
1. ¿PREGUNTA?
_________________________________________________________________
_________________________________________________________________
TEMA 2:
2. ¿ ?
_________________________________________________________________
_________________________________________________________________
TEMA 3:
3. ¿ ?
_________________________________________________________________
_________________________________________________________________
FECHA dd/mm/aaaa
AUDITORES APLICACIÓN

ÁREA O SISTEMA AUDITADO: En este espacio se indicara el área o sistema auditado.
RESPONSABLES: En este espacio se indicaran los nombres del equipo auditor que está llevando a
OBJETIVO DE LA ENTREVISTA: En este espacio se hace una breve referencia al objetivo que se
pretende con la aplicación de la entrevista y el proceso COBIT que se está revisando.
ENTREVISTADO: Espacio destinado al nombre de la persona entrevistada.
CARGO: Espacio destinado para el nombre del cargo de la persona que será entrevistada.
TEMA: Los temas que serán tratados en la entrevista por parate del auditor
PREGUNTA: Espacio donde se indicara la descripción de la consulta de la cual se indagara.
AUDITORES: Información de quien será el auditor que aplica la entrevista.
FECHA DE APLICACIÓN: Fecha en que se aplica la entrevista
FORMATO DE CUESTIONARIO
El formato del cuestionario tiene dos objetivos, en primer lugar la confirmación de los riesgos ya
detectados anteriormente y en segurndo lugar descubrir nuevos riesgos que aún no se haya
detectado. El cuestionario se aplica solamente al personal clave que posee la información para
responderlo, por eso es necesario identificar las personas que puedan dar respuesta a los
interrogantes planteados en el cuestionario. Las preguntas en el cuestionario son de dos tipos, el
primer tipo son las preguntas sobre la existencia de controles o riesgos, y el sugundo tipo son las
de completitud que tienen por objetivo saber si se esta aplicando completamente los controles o
de manera parcial.
Al responder cada una de las preguntas no solamente se debe marcar la respuesta de SI o NO con
una XX sino que se debe dar un valor cuantitativo en una escala de 1 a 5, donde el valor más bajo
1,2,3 son valores de la poca importancia de la existencia de controles y 4, 5 que son los valores
más altos en la escala significan que tienen mayor importancia para el auditor. Mediante estas
calificaciones se trata de medir el grado del riesgo a que se ve expuesto el proceso que esta siendo
evaluado.
A continuación se muestra el diseño de formatos para los cuestionarios:

PLAN
R
E
F
ENTIDAD AUDITADA PAGINA

1 DE 1
PROCESO AUDITADO
RESPONSABLE
DOMINIO PROCESO
PREGUNTA SI NO NA REF FUENTE

1. ¿ ?
2. ¿ ?
TOTALES
TOTAL CUESTIONARIO
PORCENTAJE DE RIESGO
AUDITOR RESPONSABLE
Este cuestionario cuantitativo está conformado por los siguientes ítems:

DESCRIPCIÓN DE ACTIVIDAD/PRUEBA: En este espacio se hace una breve referencia al objetivo

del proceso seleccionado dentro de los dominios del COBIT que se está revisando.
SI – NO: Posibilidades de respuesta cuantitativa (1,2,3,4,5) para medicipon del nivel de riesgo.
REF: referencia a la evidencia o el hallazgo que se obtuvo después de indagar.
PORCENTAJE DE RIESGO: Hace referencia a la probabilidad de que el proceso se vea afectado por
las acciones de las cuales se está indagando, entre mas alto el porcentaje mayor probabilidad de
riesgo tiene el proceso de salir perjudicado.
El cálculo de este porcentaje se hace de la siguiente forma:
Porcentaje de riesgo parcial = (Total SI * 100) / Total

Porcentaje de riesgo = 100 - Porcentaje de riesgo parcial
Las equivalencias utilizadas para la puntuación serán de uno a cinco, siendo uno el valor mínimo
considerado de poca importancia y cinco el máximo considerado de mucha importancia.
Para determinar el nivel de riesgo total, se tiene en cuenta la siguiente categorización:

1% - 30% = Riesgo Bajo
31% - 70% = Riesgo Medio
71% - 100% = Riesgo Alto
CUESTIONARIO PARA HARDWARE

Aulas De Informática Facultad De Ingeniería
Cuestionario de Control: C1
Pregunta Si No OBSERVACIONES
¿Se cuenta con un inventario de equipos de cómputo? 4
¿Si existe inventario contiene los siguientes ítems?
Número del computador
Fecha
Ubicación
Responsable
Características(memoria, procesador, monitor, disco duro)
Se lleva una hoja de vida por equipo
¿La hoja de vida del equipo tiene los datos? 5
Numero de hoja de vida
Número del computador correspondiente
Falla reportada
Diagnóstico del encargado
Solución que se le dio
¿Se posee un registro de fallas detectadas en los equipos? 4
¿En el registro de fallas se tiene en cuenta con los siguientes
datos?
Fecha
Hora
Número de registro
Número del computador
Encargado
¿Al momento de presentar una falla en el equipo, la De 1 a 5 dias
atención que se presta es?
Inmediata
De una a 24 horas
De un día a 5 días
Más de 5 días
¿Se cuenta con servicio de mantenimiento para todos los 4 Semestral
equipos?
¿Qué tipo de mantenimiento se lleva a cabo? Correctivo
Mantenimiento preventivo
Mantenimiento correctivo
¿Profesores y/o estudiantes pueden instalar y desinstalar 4
programas en el computador?
¿Al finalizar el horario de clase en dichas aulas, se hace una 3
revisión de los equipos?
¿El personal que se encarga del mantenimiento es personal 4
capacitado?
¿Se lleva un procedimiento para la adquisición de nuevos 3
equipos?
¿La infraestructura tecnológica de los equipos soporta la 3
instalación de diferentes sistemas operativos?
¿Son compatibles software y hardware? 5
TOTALES 19 20
La escala de calificación de cada una de las preguntas va de 1 hasta 5, la calificación puede ir en el

SI, en el NO, donde 1 significa que no es importante tener el control para el auditor y 5 significa
que es importante que se tenga el control, el auditor debe tratar de dar estas calificaciones lo más
objetivamente posible para aplicar la fórmula y calcular el porcentaje de riesgo.
Las equivalencias utilizadas para la puntuación serán de uno a cinco, siendo uno el valor mínimo
considerado de poca importancia y cinco el máximo considerado de mucha importancia.
PORCENTAJE DE RIESGO: Hace referencia a la probabilidad de que el proceso se vea afectado por
las acciones de las cuales se está indagando, entre mas alto el porcentaje mayor probabilidad de
riesgo tiene el proceso de salir perjudicado.
SI – NO: Posibilidades de respuesta, cumple, no cumple, o no aplica para la entidad.
El cálculo de este porcentaje se hace de la siguiente forma:
Porcentaje de riesgo parcial = (Total SI * 100) / Total

Porcentaje de riesgo = 100 - Porcentaje de riesgo parcial
Porcentaje de riesgo parcial = (19 * 100) / 39 = 48.71

Porcentaje de riesgo = 100 – 48.71 = 51.28
Para determinar el nivel de riesgo total, se tiene en cuenta la siguiente categorización:

1% - 30% = Riesgo Bajo
31% - 70% = Riesgo Medio
71% - 100% = Riesgo Alto
RIESGO:
Porcentaje de riesgo parcial: 48.71
Porcentaje de riesgo = 51.28
Impacto según relevancia del proceso: Riesgo Medio
FORMATO DE HALLAZGOS
Una vez los riesgos han sido conformados mediante pruebas y evidaneias, estos riesgos parasn a
denominarse hallazgos. Los formatos de los hallazgos son de suma importancia en la auditoría ya
que llevan la información de todo el proceso realizado y una descripción de como se esta
presentando el riesgo y sus consecuencias para la medición o valoración de los riesgos en el
proceso de evaluación de riesgos que se lleva a cabo posteriormente. Además en el formato de
hallazgos se puede encontrar la información de las recomendaciones para determinar los posibles
controles para mitigarlos.
REF
HALLAZGO
PÁGINA
PROCESO AUDITADO Funcionamiento de la red de datos
1 DE 1
RESPONSABLE
DOMINIO PROCESO
DESCRIPCIÓN:
REF_PT:
CONSECUENCIAS:
RIESGO:
RECOMENDACIONES:
Esta información será desglosada de la siguiente manera:


HALLAZGO: Aquí se encontrara la descripción de cada hallazgo, así como la referencia al

cuestionario cuantitativo que lo soporta.
CONSECUENCIAS Y RIESGOS: En este apartado se encuentra la descripción de las consecuencias

del hallazgo así como la cuantificación del riesgo encontrado.
EVIDENCIAS: Aquí encontramos en nombre de la evidencia y el numero del anexo donde ésta se
encuentra.
RECOMENDACIONES: En este último apartado se hace una descripción de las recomendaciones
que el equipo auditor ha presentado a las entidades auditadas.
Ejemplo Hallazgos
Tabla Hallazgo 1
REF
HALLAZGO 1
HHDN_O1
Funcionamiento del aspecto físico de la red de PÁGINA

PROCESO AUDITADO
datos 1 DE 1
RESPONSABLE Francisco Solarte
Definir un plan
Planear y Organizar
DOMINIO PROCESO estratégico de TI
(PO)
(PO1)
DESCRIPCIÓN:
· No existe un grupo encargado de evaluar y estudiar el desempeño de la red de datos en su

aspecto físico.
· No existen políticas ni procedimientos relacionados con la conformación adecuada de la
arquitectura y del aspecto físico de la red de datos.
Esto es debido a la falta del manual de funciones donde se especifique el personal a cargo de la
red de datos ni los procedimientos que se realizaran por parte de los funcionarios.
REF_PT:
CUESTIONARIOS_CHDN/PLAN_PO1(ANEXO 1)
E_AUDIO/A_CHDN_01
CONSECUENCIAS:
 Al no existir un grupo encargado de evaluar y estudiar el desempeño del aspecto físico de

la red de datos se pierde la claridad para tomar decisiones pertinentes en caso de un
desempeño no aceptado de la red de datos.
 Al no existir políticas ni procedimientos relacionados con la conformación de la
arquitectura y del aspecto físico de la red de datos se pierde la opción de ajustar a las
condiciones adecuadas que necesita la entidad los servicios de red de datos.
RIESGO:
· Probabilidad de ocurrencia: Media
· Impacto según relevancia del proceso: Moderado
RECOMENDACIONES:
· Conformar un grupo determinado de funcionarios que evalúen y estudien el desempeño de la

red física de datos para con ello tomen decisiones oportunas y adecuadas en la eventualidad de no
cumplir objetivos planteados.
· Elaborar e implementar políticas y procedimientos relacionados con la conformación de la
arquitectura y del aspecto físico de la red de datos para ajustar los servicios de red a las
necesidades propias que necesite la entidad.
PROGRAMA DE AUDITORIA – COBIT
El programa de auditoría hace referencia a la programación de las actividades y asignación de los

procesos a auditar a cada uno de los miembros del equipo auditor, por lo tanto inicialmente se
debe determinar el estándar que se va a aplicar, quienes serán los miembros del equipo auditor y
la especialidad de cada uno de ellos, y posteriormente se hace la asiganación de las tareas para
cada uno de ellos.
Para este caso se usará el estándar CobIT 4.1 de donde se tomará los procesos y objetivos de
control relacionados directamente con el objetivo general y alcances que fueron determinados en
el plan de auditoría.
Cabe mencionar que dentro de cada proceso existen varios objetivos de control y que no se debe
seleccionar solo un objetivo de control sino que pueden ser todos o aquellos que más estén
relacionados con los alcances de la auditoría.
Ejemplo de programa de auditoría para un sistema de información.

Incialmente hay que tener en cuenta el plan de auditoría porque allí se tiene el objetivo que se
pretende en la auditoría y los alcances de cada uno de los ítem evaluados.
Plan de auditoría
Objetivo general: Evaluar el sistema de información de usado para el sistema de matrícula para
garantizar la seguridad en cuanto a confidencialidad, integridad y disponibilidad que permitan el
mejoramiento del sistema de control existente.
Alcances: En cuanto a los alcances de la auditoría se trabajará el módulo de matrícula académica

en línea, incluyendo los procesos de registro y control, y el sistema de control interno que maneja
la dependencia para la protección de los datos e información.
Del módulo de matrícula académica se evaluará: Asignaturas a matricular del Pensum,

Asignaturas a matricular de formación humanística, Matricular idiomas extranjeros, Cancelación
de asignaturas del Pensum, Cancelación de formación humanísticas, Cancelación idiomas
extranjeros, Autorizaciones, Reporte de Matrícula, Actualización de información, Calificaciones,
Calendario Horarios, Horarios Humanística.
En cuanto al hardware: En cuanto al hardware se evaluará el inventario de hardware de

servidores, equipos y redes, incluyendo los procesos mantenimiento, adquisición y actualización
de los mismos.
En cuanto al sistema: En cuanto al sistema se evaluará la funcionalidad, procesamiento, seguridad

perimetral del sistema, seguridad interna del sistema, entradas y salidas generadas por el sistema,
calidad de los datos de entrada, la configuración del sistema, la administración del sistema, planes
de contingencias.
En cuanto a la operatividad del sistema: En cuanto a la operatividad del sistema se evaluará los
usuarios que manejan la información, la administración del sistema y el monitoreo del sistema.
Teniendo en cuenta el objetivo y los alcances especificados anteriormente, y una vez seleccionado
el estándar a trabajar (CobIT 4.1), se selecciona los dominios y procesos del estándar que tengan
relación directa con el objetivo y los alcances.
PROGRAMA DE AUDITORÍA
Para realizar el proceso de auditoría al Sistema de información de Registro y control académico, se

utilizará el estándar de mejores práctica en el uso de Tecnología de información (TI) COBIT
(Objetivos de Control para la Información y Tecnologías Relacionadas), donde se especifica el
dominio, el proceso y los objetivos de control que se debe trabaar en relación directa con el
objetivo y alcances, dentro de ellos se elegiría los siguientes:
Dominio: Planeación Y Organización (PO). Este dominio cubre las estrategias y las tácticas, tiene
que ver con identificar la manera en que las tecnologías de información pueden contribuir de la
mejor manera al logro de los objetivos de una entidad.
Los procesos seleccionados que se revisará y los objetivos de control a verificar son los siguientes:
Proceso: PO1 Definir un Plan Estratégico de TI: La definición de un plan estratégico de tecnología
de información, permite la gestión y dirección de los recursos de TI de acuerdo a las estrategias y
requerimientos de la dependencia.
Los objetivos de control relacionados con los alcances de la auditoría son los siguientes:
PO1.3 Ecaluación del desempeño y la capacidad actual: La dependencia de registro y control

académico manteiene una evaluación períodica del desempeño de los planes institucionales y de
los sistemas de información encaminados a la contribución del cumplimiento de los objetivos de la
dependencia.
PO2 Definir la Arquitectura de la Información: Permite definir un modelo de información, con el

fin de integrar de forma transparente las aplicaciones dentro de los procesos de la dependencia.
Los objetivos de control que se evaluaran son los siguientes:

PO2.2 Diccionario de datos y reglas de sintaxis de datos: Es necesario la existencia de un
diccionario de datos del sistema en la dependencia y las actualizaciones que se hayan realizado al
mismo en las actualizaciones del sistema de acuerdo a los nuevos requerimientos.
PO2.3 Esquema de clasificación de los datos: Se debe establecer un marco de referencia de los
datos, clasificándolos por categorias, y con la definición de normas y políticas de acceso a dichos
datos.
PO2.4 Administración de la integridad de datos: Los desarrolladores de la aplicación deben

garantizar la integridad y consistencia de los datos almacenados mediante la creación de procesos
y procedimientos.
PO4 Definir los Procesos, Organización y Relaciones de TI: Dentro del área de sistemas debe estar
claro y definido el personal de la tecnología de la información, los roles, las funciones y
responsabilidades, permitiendo el buen funcionamiento de servicios que satisfagan los objetivos
de la Institución.
Los objetivos de control que se evaluarán son los siguientes:
PO4.6 Establecer roles y responsabilidades: Evaluar el comportameinto de los roles y las

responsabilidades definidas para el personal de TI, el el área informática (administradores de la
red. administrador de sistema, supervisor de los indicadores de cumplimiento, otros)
PO4.7 Responsabilidad del aseguramiento de la calidad de TI: Se debe asignar la responsabilidad

para el desempñeo de la función de aseguramiento de la calidad (QA) proporcionando el grupo QA
del área informática los controles y la experiencia para comunicarlos. Ademas se debe asegurar
que la ubicación organizacional, la responsabilidades y el tamaño del grupo de QA satisfacen los
requerimientos de la dependencia.
PO4.8 Responsabilidad sobre el riesgo, la seguridad y el cumplimiento: Se debe establecer la

propiedad y la responsabilidad de los riesgos relacionados con TI a un nivel superior apropiado.
Definir y asignar roles críticos para administrar los riesgos de TI, incluyendo la responsabilidad
específica de la seguridad de la información, la seguridad física y el cumplimiento. Establecer
responsabilidad sobre la adminsitración del riesgo y la seguridad a nivel de toda la dependencia
para manejar los problemas a nivel institucional. Es necesario asignar responsabilidades
adicionales de administración de la seguridad a nivel del sistema específico para manejar
problemas relacionados con la seguridad.
PO4.9 Propiedad de datos y del sistema: Proporcionar a la dependencia de registro y control los
procedimientos y herramientas que le permitan enfrentar sus responsabilidades de propiedad
sobre los datos y los sistemas de información.
PO4.13 Personal clave de TI: Definir e identificar el personal clave de TI y minimizar la dependencia
de una sola persona desempeñando la función de trabajo crítico.
PO8 Administrar la Calidad: Se debe elaborar y mantener un sistema de administración de

calidad, el cual incluya procesos y estándares probados de desarrollo y de adquisición. Esto se
facilita por medio de la planeación, implantación y mantenimiento del sistema de administración
de calidad, proporcionando requerimientos, procedimientos y políticas claras de calidad. Los
requerimientos de calidad se deben manifestar y documentar con indicadores cuantificables y
alcanzables. La mejora continua se logra por medio del constante monitoreo, corrección de
desviaciones y la comunicación de los resultados a los interesados. La administración de calidad es
esencial para garantizar que TI está dando valor a la información de la dependencia, mejora
continua y transparencia para los interesados.
Los objetivos de control que serán evaluados son los siguientes:
PO8.3 Estándares de desarrollo y de adquisición: Adoptar y mantener estándares para desarrollo y

adquisición que siga el ciclo de vida, hasta los entregables finales incluyendo la aprobación o no en
puntos clave con base en los criterios de aceptación acordados. Los temas a considerar incluyen
los estándares de codificación del software, normas de nomenclatura, los formatos de archivos,
estándares de diseño para los esquemas y diccionarios de datos, estándares para interfaz de
ususrio, inter operatividad, eficiencia en el desempaño del sistema, escalabilidad, estándares para
el desarrollo y pruebas, validación de los requerimientos, planes de pruebas, pruebas unitarias, y
de integración.
PO8.5 Mejora continua: Mantener y comunicar regularmente un plan global de calidad que
promueva la mejora contínua.
PO9 Evaluar y administrar los riesgos de TI: Encargado de identificar, analizar y comunicar los
riesgos de TI y su impacto potencial sobre los procesos y metas de la dependencia, con el objetivo
de asegurar el logro de los objetivos de TI.
PO9.1 Marco de trabajo de administración de riesgos: Se debe establecer un marco de referencia

de evaluación sistemática de riesgos que contenga una evaluación regular de los riesgos de la
parte física de las comunicaciones, servidores y equipos con indicadores de cumplimiento.
PO9.3 Identificación de eventos: Identificar los riesgos (una amenaza explota las vulnerabilidades
existentes), clasificandolas si son relevantes y en que medida afectan al área informática y la
dependencia de registro y control donde se maneja el sistema de información.
PO9.4 Evaluación de los riesgos de TI: Medir los riesgos a través de la evaluación periódica de la
probabilidad e impacto de los riesgos identificados, usando métodos cuantitativos y cualitativos,
que permitan la medición del riesgo encontrado.
PO9.5 Respuesta a los riesgos: Definir un plan de acción contra riesgos, el proceso de respuesta a
riesgos debe identificar las estrategias tales como evitar, reducir, compartir o aceptar los riesgos
determinando los niveles de tolerancia a los riesgos y los controles para mitigarlos.
PO9.6 Mantenimiento y monitoreo de un plan de acción de riesgos: Priorizar y planear las

actividades de control y respuesta a la solución de riesgos encontrados, teniendo en cuenta
también la parte económica de la solución de esta prioridad. Monitorear la ejecucción de los
planes y reportar cualquier desviciación a la alta dirección.
Dominio: Adquirir e implementar (AI) Para llevar a cabo la estrategia TI, se debe identificar las
soluciones, desarrollarlas y adquirirlas, así como implementarlas e integrarlas en la empresa, esto
para garantizar que las soluciones satisfaga los objetivos de la empresa.
De este dominio se ha seleccionado los siguientes procesos y objetivos de control:
AI2 Adquirir y Mantener Software Aplicativo: Las aplicaciones deben estar disponibles de acuerdo
con los requerimientos de la dependencia. Este proceso cubre el diseño de las aplicaciones, la
inclusión apropiada de controles aplicativos y requerimientos de seguridad, y el desarrollo y la
configuración en sí de acuerdo a los estándares. Esto permite apoyar la operatividad de la
dependencia de forma apropiada con las aplicaciones automatizadas correctas.
AI2.1 Diseño de Alto Nivel: Traducir los requerimientos a una especificación de diseño de alto nivel
para la adquisición de software, teniendo en cuenta las directivas tecnológicas y la arquitectura de
información dentro de la dependencia. Tener aprobadas las especificaciones de diseño por la
dependencia para garantizar que el diseño de alto nivel responde a los requerimientos. Reevaluar
cuando sucedan discrepancias significativas técnicas o lógicas durante el desarrollo o
mantenimiento.
AI2.2 Diseño Detallado: Preparar el diseño detallado y los requerimientos técnicos del software de
aplicación. Definir el criterio de aceptación de los requerimientos. Aprobar los requerimientos
para garantizar que corresponden al diseño de alto nivel. Realizar reevaluaciones cuando sucedan
discrepancias significativas técnicas o lógicas durante el desarrollo o mantenimiento.
AI2.3 Control y Posibilidad de Auditar las Aplicaciones: Implementar controles de aplicación

automatizados tal que el procesamiento sea exacto, completo, oportuno, autorizado y auditable.
AI2.4 Seguridad y Disponibilidad de las Aplicaciones: Abordar la seguridad de las aplicaciones y los
requerimientos de disponibilidad en respuesta a los riesgos identificados y en línea con la
clasificación de datos, la arquitectura de la información, la arquitectura de seguridad de la
información y la tolerancia a riesgos de la organización.
AI2.5 Configuración e Implantación de Software Aplicativo Adquirido: Configurar e implementar

software de aplicaciones adquiridas para conseguir los objetivos de negocio.
AI2.6 Actualizaciones Importantes en Sistemas Existentes: En caso de cambios importantes a los
sistemas existentes que resulten en cambios significativos al diseño actual y/o funcionalidad,
seguir un proceso de desarrollo similar al empleado para el desarrollo de sistemas nuevos.
AI2.7 Desarrollo de Software Aplicativo: Garantizar que la funcionalidad de automatización se

desarrolla de acuerdo con las especificaciones de diseño, los estándares de desarrollo y
documentación, los requerimientos de calidad y estándares de aprobación. Asegurar que todos los
aspectos legales y contractuales se identifican y direccionan para el software aplicativo
desarrollado por terceros.
AI2.9 Administración de los Requerimientos de Aplicaciones: Seguir el estado de los requerimientos

individuales durante el diseño, desarrollo e implementación, y aprobar los cambios a los
requerimientos a través de un proceso de gestión de cambios establecido.
AI2.10 Mantenimiento de Software Aplicativo: Desarrollar una estrategia y un plan para el

mantenimiento de aplicaciones de software.
AI3 Adquirir y Mantener Infraestructura Tecnológica: Las Dependencias deben contar con
procesos para adquirir, Implementar y actualizar la infraestructura tecnológica. Esto requiere de
un enfoque planeado para adquirir, mantener y proteger la infraestructura de acuerdo con las
estrategias tecnológicas convenidas y la disposición del ambiente de desarrollo y pruebas. Esto
garantiza que exista un soporte tecnológico en la organización.
AI3.1 Plan de Adquisición de Infraestructura Tecnológica: Generar un plan para adquirir,

Implementar y mantener la infraestructura tecnológica que satisfaga los requerimientos
establecidos funcionales y técnicos que esté de acuerdo con la dirección tecnológica de la
dependencia. El plan debe considerar extensiones futuras para adiciones de capacidad, costos de
transición, riesgos tecnológicos y vida útil de la inversión para actualizaciones de tecnología.
Evaluar los costos de complejidad y la viabilidad del software al añadir nueva capacidad técnica.
AI3.2 Protección y Disponibilidad del Recurso de Infraestructura: Implementar medidas de control

interno, seguridad y auditabilidad durante la configuración, integración y mantenimiento del
hardware y del software de la infraestructura para proteger los recursos y garantizar su
disponibilidad e integridad. Se deben definir y comprender claramente las responsabilidades al
utilizar componentes de infraestructura sensitivos por todos aquellos que desarrollan e integran
los componentes de infraestructura. Se debe monitorear y evaluar su uso.
AI3.3 Mantenimiento de la Infraestructura: Desarrollar una estrategia y un plan de mantenimiento

de la infraestructura y garantizar que se controlan los cambios, de acuerdo con el procedimiento
de administración de cambios de la dependencia. Incluir una revisión periódica contra las
necesidades, administración de parches y estrategias de actualización, riesgos, evaluación de
vulnerabilidades y requerimientos de seguridad.
AI3.4 Ambiente de Prueba de Factibilidad: Establecer el ambiente de desarrollo y pruebas para

soportar la efectividad y eficiencia de las pruebas de factibilidad e integración de aplicaciones e
infraestructura, en las primeras fases del proceso de adquisición y desarrollo. Hay que considerar
la funcionalidad, la configuración de hardware y software, pruebas de integración y desempeño,
migración entre ambientes, control de la versiones, datos y herramientas de prueba y seguridad.
AI6 Administrar cambios: Para realizar algún cambio bien sea de software, de hardware de
comunicaciones o de servidores, debe existir un proceso que administre formalmente y
controladamente dichos cambios, cada cambio debe seguir un proceso de recepción, evaluación,
prioridad y autorización previo a la implantación, sin obviar la constatación o revisión después del
cambio, esto con el fin de reducir riesgos que impacten negativamente la estabilidad o integridad
del ambiente del buen funcionamiento de las comunicaciones y servidores.
AI6.3 Cambios de emergencia: La Dependencia debe tener establecido un proceso para definir,
plantear, evaluar y autorizar los cambios de emergencia que no sigan el proceso de cambio
establecido. La documentación y pruebas se realizan, posiblemente, después de la implantación
del cambio de emergencia.
AI6.4 Seguimiento y reporte del estatus de cambio: Se debe hacer un seguimiento a través de un
reporte de las solicitudes de cambio, de solución y autorización.
AI6.5 Cierre y documentación del cambio: Establecer un proceso de revisión para garantizar la
implantación completa de los cambios.
Dominio Entregar Y Dar Soporte (DS). Encargado de garantizar la entrega de los servicios
requeridos por la empresa, dentro de este dominio se evaluará los siguientes procesos y objetivos
de control:
DS4 Garantizar la Continuidad del Servicio: Es importante que dentro de la dependencia se

garantice la continuidad de los servicios de TI, para ello es importante desarrollar, mantener y
probar planes de continuidad y así asegurar el mínimo impacto en caso de una interrupción de
servicios TI, esto se logra con el desarrollo y mantenimiento (mejorado) de los planes de
contingencia de TI, con entrenamiento y pruebas de los planes de contingencia de TI y guardando
copias de los planes de contingencia.
DS4.2 Planes de continuidad de TI: La metodología de continuidad debe ser diseñado para reducir
el impacto de un desastre, debe presentar diferentes alternativas de recuperación inmediata de
los servicios, también debe cubrir los lineamientos de uso, los roles y responsabilidades, los
procedimientos, los procesos de comunicación y el enfoque de pruebas.
DS4.3 Recursos críticos de TI: Revisar si se lleva un control de los planes de continuidad, de acuerdo
al nivel de prioridad, asegurarse de que la respuesta y la recuperación están alineadas con las
necesidades prioritarias de la dependencia y considerar los requerimientos de resistencia,
respuesta y recuperación para diferentes niveles de prioridad.
DS4.4 Mantenimiento del plan de continuidad de TI: Se debe mantener el plan de continuidad
activo, vigente y actualizado y que refleje de manera continua los requerimientos actuales del
Área Informática y de la dependencia de registro y control.
DS4.5 Pruebas del plan de continuidad de TI: Es importante que dentro de la dependencia el plan
de continuidad sea conocido por todas las partes interesadas, es esencial que los cambios en los
procedimientos y las responsabilidades sean comunicados de forma clara y oportuna. Hacer
pruebas de continuidad de forma regular para asegurar que los procesos de TI pueden ser
recuperados de forma efectiva y así probar que el plan es efectivo o sino corregir deficiencias en el
plan, y así ejecutar un plan de acción para permitir que el plan permanezca aplicable.
DS4.6 Entrenamiento del plan de continuidad de TI: La organización debe asegurarse que todos las
partes involucradas reciban capacitaciones de forma regular respecto a los procesos y sus roles y
responsabilidades en caso de incidente o desastre. Verificar e incrementar el entrenamiento de
acuerdo con los resultados de las pruebas de contingencia.
DS4.9 Almacenamiento de Respaldos Fuera de las Instalaciones: Almacenar fuera de las

instalaciones todos los medios de respaldo, documentación y otros recursos de TI críticos,
necesarios para la recuperación de TI y para los planes de continuidad de la dependencia. El
contenido de los respaldos a almacenar debe determinarse en conjunto entre los responsables de
los procesos de la dependencia y el personal de TI. La administración del sitio de almacenamiento
externo a las instalaciones, debe apegarse a la política de clasificación de datos y a las prácticas de
almacenamiento de datos de la organización. Las directivas de TI debe asegurar que los acuerdos
con sitios externos sean evaluados periódicamente, al menos una vez por año, respecto al
contenido, a la protección ambiental y a la seguridad. Asegurarse de la compatibilidad del
hardware y del software para poder recuperar los datos archivados y periódicamente probar y
renovar los datos archivados.
DS4.10 Revisión Post Reanudación: Una vez lograda una exitosa reanudación de las funciones de TI
después de un desastre, determinar si las directivas de TI ha establecido procedimientos para
valorar lo adecuado del plan y actualizar el plan en consecuencia.
DS5 Garantizar la seguridad de los sistemas: Garantizar la protección de la información e

infraestructura de TI con el fin de minimizar el impacto causado por violaciones o debilidades de
seguridad de la TI.
Los objetivos de control que se evaluarán son los siguientes:
DS5.2 Plan de Seguridad de TI: Trasladar los requerimientos de la dependencia, riesgos y

cumplimiento dentro de un plan de seguridad de TI completo, teniendo en consideración la
infraestructura de TI y la cultura de seguridad. Asegurar que el plan esta implementado en las
políticas y procedimientos de seguridad junto con las inversiones apropiadas en los servicios,
personal, software y hardware. Comunicar las políticas y procedimientos de seguridad a los
interesados y a los usuarios.
DS5.3 Administración de Identidad: Asegurar que todos los usuarios (internos, externos y
temporales) y su actividad en sistemas de TI (Entorno de TI, operación de sistemas, desarrollo y
mantenimiento) deben ser identificables de manera única. Permitir que el usuario se identifique a
través de mecanismos de autenticación. Confirmar que los permisos de acceso del usuario al
sistema y los datos están en línea con las necesidades del módulo definidas y documentadas y que
los requerimientos de trabajo están adjuntos a las identidades del usuario. Asegurar que los
derechos de acceso del usuario se solicitan por la gerencia del usuario, aprobados por el
responsable del sistema e implementado por la persona responsable de la seguridad. Las
identidades del usuario y los derechos de acceso se mantienen en un repositorio central. Se
despliegan técnicas efectivas en coste y procedimientos rentables, y se mantienen actualizados
para establecer la identificación del usuario, realizar la autenticación y habilitar los derechos de
acceso.
DS5.4 Administración de Cuentas del Usuario: Garantizar que la solicitud, establecimiento, emisión,
suspensión, modificación y cierre de cuentas de usuario y de los privilegios relacionados, sean
tomados en cuenta por un conjunto de procedimientos. Debe incluirse un procedimiento de
aprobación que describa al responsable de los datos o del sistema otorgando los privilegios de
acceso. Estos procedimientos deben aplicarse a todos los usuarios, incluyendo administradores,
usuarios externos e internos, para casos normales y de emergencia. Los derechos y obligaciones
relativos al acceso a los sistemas e información del módulo deben acordarse contractualmente
para todos los tipos de usuarios. Realizar revisiones regulares de la gestión de todas las cuentas y
los privilegios asociados.
DS5.5 Pruebas, Vigilancia y Monitoreo de la Seguridad: Garantizar que la implementación de la

seguridad en TI sea probada y monitoreada de forma pro-activa. La seguridad en TI debe ser re-
acreditada periódicamente para garantizar que se mantiene el nivel seguridad aprobado. Una
función de ingreso al sistema (loggin) y de monitoreo permite la detección oportuna de
actividades inusuales o anormales que pueden requerir atención.
DS5.6 Definición de Incidente de Seguridad: Implementar procedimientos para atender casos de

incidentes, mediante el uso de una plataforma centralizada con suficiente experiencia y equipada
con instalaciones de comunicación rápidas y seguras. Igualmente establecer las responsabilidades
y procedimientos para el manejo de incidentes.
DS5.7 Protección de la Tecnología de Seguridad: Garantizar que la tecnología relacionada con la

seguridad sea resistente al sabotaje y no revele documentación de seguridad innecesaria.
DS5.8 Administración de Llaves Criptográficas: Asegurar que la información de transacciones (datos,
password, llaves criptográficas) es enviada y recibida por canales confiables (trustedpaths),
mediante encriptamiento de sistemas y usuarios.
DS5.9 Prevención, Detección y Corrección de Software Malicioso: Garantizar procedimientos para el

manejo y corrección de problemas ocasionados por software malicioso generalmente en el caso
de virus.
DS5.10 Seguridad de la Red: En la organización al existir conexión a la red de internet se debe

implementar el uso de técnicas de seguridad y procedimientos de administración asociados como
firewalls, para proteger los recursos informáticos y dispositivos de seguridad.
DS7 Educar y Entrenar a los Usuarios: Para una educación efectiva de todos los usuarios de
sistemas de TI, incluyendo aquellos dentro de TI, se requieren identificar las necesidades de
entrenamiento de cada grupo de usuarios. Además de identificar las necesidades, este proceso
incluye la definición y ejecución de una estrategia para llevar a cabo un entrenamiento efectivo y
para medir los resultados. Un programa efectivo de entrenamiento incrementa el uso efectivo de
la tecnología al disminuir los errores, incrementando la productividad y el cumplimiento de los
controles clave tales como las medidas de seguridad de los usuarios.
Para ello se tomaran en cuenta los siguientes objetivos de control:
DS7.1 Identificación de Necesidades de Entrenamiento y Educación: Establecer y actualizar de

forma regular un programa de entrenamiento para cada grupo objetivo de empleados, que
incluya: Implementar procedimientos junto con el plan de largo plazo, valores sistémicos (valores
éticos, cultura de control y seguridad, otros), implementación de nuevo software e infraestructura
de TI (paquetes y aplicaciones), perfiles de competencias y certificaciones actuales y/o
credenciales necesarias, metodos de impartir la capacitación, tamaño del grupo, accesibilidad y
tiempo.
DS7.3 Evaluación del Entrenamiento Recibido: Al finalizar el entrenamiento, evaluar el contenido

del entrenamiento respecto a la relevancia, calidad, efectividad, percepción y retención del
conocimiento, costo y valor. Los resultados de esta evaluación deben contribuir en la definición
futura de los planes de estudio y de las sesiones de entrenamiento.
DS8 Administrar la Mesa de Servicio y los Incidentes: asegurar que cualquier problema
experimentado por los usuarios o estudiantes sea atendido apropiadamente realizando una mesa
de ayuda que proporcione soporte y asesoría de primera línea.
DS8.1 Mesa de Servicios: Establecer la función de mesa de servicio, la cual es la conexión del
usuario con TI, para registrar, comunicar, atender y analizar todas las llamadas, incidentes
reportados, requerimientos de servicio y solicitudes de información. Deben existir procedimientos
de monitoreo y escalamiento basados en los niveles de servicio acordados en los SLAs, que
permitan clasificar y priorizar cualquier problema reportado como incidente, solicitud de servicio o
solicitud de información. Medir la satisfacción del usuario final respecto a la calidad de la mesa de
servicios y de los servicios de TI.
DS8.3 Escalamiento de Incidentes: Establecer procedimientos de mesa de servicios de manera que

los incidentes que no puedan resolverse de forma inmediata sean escalados apropiadamente de
acuerdo con los límites acordados en el SLA y, si es adecuado, brindar soluciones alternas.
Garantizar que la asignación de incidentes y el monitoreo del ciclo de vida permanecen en la mesa
de servicios, independientemente de qué grupo de TI esté trabajando en las actividades de
resolución.
DS8.4 Cierre de Incidentes: Establecer procedimientos para el monitoreo puntual de la resolución

de consultas de los usuarios. Cuando se resuelve el incidente la mesa de servicios debe registrar la
causa raíz, si la conoce, y confirmar que la acción tomada fue acordada con el usuario.
DS8.5 Análisis de Tendencias: Emitir reportes de la actividad de la mesa de servicios para permitir a
la dependencia medir el desempeño del servicio y los tiempos de respuesta, así como para
identificar tendencias de problemas recurrentes de forma que el servicio pueda mejorarse de
forma continua.
DS9 Administración de la Configuración: Mantener un depósito centralizado donde se almacene

la información de configuración de software y hardware, ofreciendo así mayor disponibilidad a los
usuarios y administradores del sistema, además de mantener un inventario actualizado de la
existencia física de TI.
El objetivo de control que se evalua es el siguiente:
DS9.3 Revisión de Integridad de la Configuración: El Área Informática debe revisar periódicamente

los datos de configuración para verificar y confirmar la integridad de la configuración actual y
ejecuta rutinas de revisión de software instalado para establecer inconsistencias o desviaciones
que perjudiquen los intereses de la organización o que violen políticas de uso.
DS12 Administración del Ambiente Físico: La protección del equipo de cómputo y del personal,
requiere de instalaciones bien diseñadas y bien administradas. El proceso de administrar el
ambiente físico incluye la definición de los requerimientos físicos del centro de datos (site), la
selección de instalaciones apropiadas y el diseño de procesos efectivos para monitorear factores
ambientales y administrar el acceso físico. La administración efectiva del ambiente físico reduce
las interrupciones del módulo ocasionadas por daños al equipo de cómputo y al personal.
DS12.1 Selección y Diseño del Centro de Datos: Registro y control y el Área Informática deben
definir y seleccionar los centros de datos físicos para el equipo de TI para soportar la estrategia de
tecnología ligada a la estrategia del negocio. Esta selección y diseño del esquema de un centro de
datos debe tomar en cuenta el riesgo asociado con desastres naturales y causados por el hombre.
También debe considerar las leyes y regulaciones correspondientes, tales como regulaciones de
seguridad y de salud en el trabajo.
DS12.2 Medidas de Seguridad Física: Evaluar las medidas de seguridad físicas alineadas con los
requerimientos de la organización. Las medidas deben incluir, zonas de seguridad, la ubicación de
equipo crítico y de las áreas de envío y recepción. En particular mantenga un perfil bajo respecto a
la presencia de operaciones críticas de TI. Deben establecerse las responsabilidades sobre el
monitoreo y los procedimientos de reporte y de resolución de incidentes de seguridad física.
DS12.3 Acceso Físico: Evaluar e implementar procedimientos para otorgar, limitar y revocar el
acceso a locales, edificios y áreas de emergencias. El acceso a locales, edificios y áreas debe
justificarse, autorizarse, registrarse y monitorearse. Esto aplica para todas las personas que
accedan a las instalaciones, incluyendo personal, estudiantes, visitantes o cualquier tercera
persona.
DS12.4 Protección Contra Factores Ambientales: Diseñar e implementar medidas de protección
contra factores ambientales. Deben instalarse dispositivos y equipo especializado para monitorear
y controlar el ambiente.
DS12.5 Administración de Instalaciones Físicas: Se debe administrar las instalaciones, incluyendo el

equipo de comunicaciones y de suministro de energía, de acuerdo con las leyes y los reglamentos,
los requerimientos técnicos y de la institución, las especificaciones del proveedor y los
lineamientos de seguridad y salud.
DS13 Administración de Operaciones: Se requiere de una efectiva administración protección de

datos de salida sensitivos, monitoreo de infraestructura y mantenimiento preventivo de hardware
en la organización.
Para ello se evalua el siguiente objetivo de control:
DS13.5 Mantenimiento Preventivo del Hardware: Evaluar los procedimientos para garantizar el
mantenimiento oportuno de la infraestructura para reducir la frecuencia y el impacto de las fallas
o de la disminución del desempeño.
Dominio Monitorear Y Evaluar (ME). Todos los procesos del módulo de matrícula necesitan ser
evaluados regularmente a través del tiempo para verificar su calidad y suficiencia en cuanto a los
requerimientos de control, integridad y confidencialidad, por tal se evaluara el sigueinte proceso:
ME2 Monitorear y Evaluar el Control Interno: Se debe proporcionar e incrementar los niveles de
confianza entre la organización, empleados y clientes con respecto a las operaciones eficientes y
efectivas dentro del módulo.
ME2.3 Excepciones de Control: Identificar los incidentes, analizar e identificar sus causas raíz
subyacentes para establecer acciones correctivas necesarias y verificar si los resultados de los
controles, son reportados y analizados rápidamente, para evitar errores e inconsistencias y que
sean corregidos a tiempo.
Finalmente se establecerá las responsabilidades de cada integrante del grupo auditor respecto a
los procesos que serán evaluados y se crea un cronograma de las actividades de evaluación que
se realizarán en el proceso de auditoría.
PLAN DE AUDITORIA O MEMORANDO DE PLANEACIÓN
Una vez se haya seleccionado la empresa, el área o sistema a evaluar lo primero que se debe hacer
es determinar el objetivo que se pretende en la auditoría.
En general quien contrata el proceso de auditoría es que define cuál es el objetivo de la auditoría,
pero cuando se trata de seleccionar el objetivo primero se hace un reconocimiento de la empresa,
el área o sistema mediante visitas de campo para determinar cuáles son las vulnerabilidades,
amenazas y riesgos a que se enfrenta la organización.
El objetivo se definirá teniendo en cuenta el área o sistema donde se presentan mayores

dificultades, ya sea por la probabilidad de ocurrencia de los riesgos o por el impacto que estos
pueden causar de llegar a concretarse el riesgo.
INDICACIONES PARA ELABORAR EL PLAN DE AUDITORIA
Una vez conocido el área auditada o sistema de información en la fase de conocimiento, se

pueden evidenciar las vulnerabilidades y amenazas de manera preliminar que pueden ser las
fuentes de riesgos potenciales, lo ideal es que cada miembro del equipo de trabajo haga una lista
de los problemas observados y que posteriormente en reuniones del equipo auditor se pueda
analizar lo observado por cada integrante y hacer un listado consolidado de los problemas
observados.
El objetivo general de la auditoría tendrá en cuenta la fuente que origina el proceso de auditoría y
los problemas que se evidencian en la realidad, de esta manera el objetivo quedará definido en
concordancia con lo que desea quien origina el proceso y dará solución a los problemas que se
están presentando.
Una vez definido el objetivo de la auditoría, se desglosa los ítems que serán evaluados (hardware,
software, redes, sistemas de información, bases de datos, seguridad física, seguridad lógica, otros)
y de cada uno de ellos se debe definir el alcance donde se especifica que aspectos se tendrán en
cuanta en cada ítem evaluado. Una vez está definido el objetivo general, para alcanzarlo se
definen los objetivos específicos teniendo en cuenta la metodología de la auditoría que se
descompone en tres o cuatro fases dependiendo si es una auditoría interna o es una auditoría
externa, para cada fase será necesario definir un objetivo específico que permita cumplirlo. Como
se puede mirar en el cuadro anterior las fases de la auditoría en general son las siguientes:
conocer el sistema, planear la auditoría, ejecutar la auditoría, y la fase de resultados, para cada
fase se define un objetivo específico.
Por ejemplo, si la fuente de la auditoría es el gerente, el informará que aspectos quiere que sean
auditados y la intencionalidad de llevar a cabo el proceso, una vez conocidos los aspectos que se
desea sean auditados, se procede a realizar visitas al sitio "in situ" a el área o sistema para hacer la
observación y entrevistas con el administrador del área informática, los empleados de dicha área,
los sistemas de información y usuarios para detectar posibles vulnerabilidades y amenazas que
puedan ocasionar riesgos potenciales.
Si las vulnerabilidades y amenazas se presentan en las redes, conectividad y el servicio de internet

y en la infraestructura tecnológica de hardware, el objetivo podría ser: Realizar la auditoría a la
red de datos y la infraestructura de hardware que soportan los sistemas de información en la
empresa "xxxxxx" de la ciudad de "xxxxxx".
De acuerdo a este objetivo se definen los objetivos específicos teniendo en cuanta las etapas de la
auditoría, por ejemplo:
Objetivo 1: Conocer las redes de datos y la infraestructura tecnológica que soportan los
sistemas de información con el fin de analizar los riesgos que puedan presentarse en la
funcionalidad de los sistemas de información y servicios que se prestan mediante visitas a la
empresa y entrevistas con empleados y usuarios.
Objetivo 2: Elaborar el plan de auditoría, y programa de auditoría teniendo en cuenta los

estándares que serán aplicados para hacer el diseño de los instrumentos de recolección y plan
de pruebas que serán aplicados en el proceso de auditoría con el fin de obtener una información
confiable para realizar el dictamen.
Objetivo 3: Aplicar los instrumentos de recolección de información y pruebas que se han

diseñado para determinar los riesgos existentes en la red de datos y la infraestructura
tecnológica de acuerdo a las vulnerabilidades y amenazas que se han evidenciado
preliminarmente con el fin de hacer la valoración de los riesgos que permitan medir la
probabilidad de ocurrencia y el impacto que causa en la organización.
Objetivo 4: De acuerdo a los hallazgos comprobados mediante pruebas, elaborar el dictamen de

la auditoría de acuerdo al nivel de madurez en los procesos evaluados, determinar el
tratamiento de los riesgos y definir posibles soluciones que serán recomendadas en el informe
final para se entrega a quien originó la auditoría.
Una vez definidos los objetivos de la auditoría, para cada ítem se menciona los aspectos más
relevantes que serán evaluados en cada uno de ellos. Por ejemplo, los alcances serían:
De la red de datos se evaluará los siguientes aspectos:
- El inventario hardware de redes

- La obsolescencia del hardware y cableado estructurado
- El cumplimiento de la norma de cableado estructurado
- La seguridad en la red de datos
- Del servicio de internet se evaluará:
- El contrato con la empresa que presta el servicio de internet
- La seguridad que brinda el operador para el servicio de internet
- La seguridad de la red inalámbrica wifi
- La monitorización de la red por parte del administrador
Estos son algunos de los aspectos elegidos para ser evaluados en cuanto a la red, lo mismo debe
hacerse para el hardware de servidores y equipos terminales que soportan los sistemas y algo
importante es la opinión de los usuarios respecto a los problemas que se están presentando a
causa de la infraestructura tecnológica y la red que soportan los sistemas.
La intención es que los integrantes del grupo de auditoría se distribuyan las actividades de acuerdo
a su especialidad y se pueda concretar los aspectos a evaluar y las pruebas que se pueden realizar
para poder evidenciar las vulnerabilidades, amenazas y riesgos encontrados inicialmente.
Posteriormente se debe especificar la metodología donde se trata de especificar las actividades

para lograr cada uno de los objetivos específicos propuestos anteriormente, aquí cada objetivo
específico se descompone en actividades generales que se deberán realizar para poder cumplirlos.
A continuación se presenta un ejemplo con el primer objetivo formulado:
Metodología para Objetivo 1: Conocer las redes de datos que soportan la infraestructura
tecnológica con el fin de analizar algunos de los riesgos que puedan presentarse realizando visitas
a la empresa y entrevistas con los usuarios.
 Solicitar la documentación de los planos de la red

 Solicitar el inventario del hardware de las redes
 Realizar una entrevista inicial con el encargado de administrar la red
 Realizar pruebas de seguridad en las redes para determinar las vulnerabilidades
 Conocer los problemas más frecuentes en la red por parte de los usuarios
- Estas son las actividades para lograr el primer objetivo, de la misma manera se hace para los otros
objetivos específicos planteados.
Posteriormente se hace una relación de los recursos que uno necesita para desarrollar la auditoría,
en este caso los recursos se dividen en talento humano que serán los integrantes del equipo
auditor, los recursos físicos que son el sitio o empresa donde se llevará a cabo la auditoría, los
recursos tecnológicos (el hardware, cámaras, grabadoras digitales, memorias, celulares y el
software que se necesite para pruebas) y los recursos económicos que se presentan en una tabla
de presupuesto.
Recursos humanos: Nombres y apellidos del grupo auditor
Recursos físicos: La auditoría se llevará a cabo en el área informática de la empresa xxxxx.
Recursos tecnológicos: grabadora digital para entrevistas, cámara fotográfica para pruebas que
servirán de evidencia, computador portátil, software para pruebas de auditoría sobre escaneo y
tráfico en la red
Recursos económicos:
Ítem Cantidad subtotal
Computador 2 1200
Cámara digital 1 300
Grabadora digital 1 120
otros …. ….
Total 0000000000
Y finalmente se hace el cronograma de actividades, mediante un diagrama de GANNT, para

construirlo se toman las actividades que han sido definidas para cumplir cada objetivo y se
especifica el tiempo de duración de cada actividad en el tiempo. El tiempo se debe definir desde
ahora hasta la entrega final del informe de auditoría.
A continuación se presenta un ejemplo completo de un plan de auditoría o memorando de

planeación donde se muestra los contenidos de cada uno de los ítems:
Plan de Auditoria
Antecedentes: En las Aulas de informática de una Institución educativa se realiza anualmente un

plan de seguimiento a todos los procesos técnicos y académicos de la institución, esto debido a
que las instituciones requieren la acreditación de calidad en el manejo de sus procesos y para ello
se hace necesario realizar auditorías internas permanentes y de tipo externo periódicamente para
lograrlo.
Uno de los recursos tecnológicos disponibles en las instituciones educativas es el de la red de
datos que opera en las diferentes sedes y que generalmente se encuentra certificada bajo la
normas de la IEEE\EIA\TIA, las cuales se deben cumplir estrictamente.
Objetivos
· Objetivo general: Realizar la revisión y verificación del cumplimiento de normas mediante una
auditoría a la infraestructura física de la red de datos en una de las instituciones educativas.
· Objetivos específicos:
· Planificar la auditoría que permita identificar las condiciones actuales de la red de datos de la
institución educativa.
· Aplicar los procesos de auditoría teniendo en cuenta el modelo estándar de auditoría COBIT
como herramienta de apoyo en el proceso inspección de la red de datos de la institución
educativa.
· Identificar las soluciones para la construcción de los planes de mejoramiento a la red de la

institución educativa de acuerdo a los resultados obtenidos en la etapa de aplicación del modelo
de auditoría.
Alcance y delimitación: La presente auditoria pretende identificar las condiciones actuales del
hardware, la red de datos y eléctrica de la institución educativa, con el fin de verificar el
cumplimiento de normas y la prestación del servicio de internet para optimizar el uso de los
recursos existentes para mejorar el servicio a los usuarios.
Los puntos a evaluar serán los siguientes:
De las instalaciones físicas se evaluará:
 Instalaciones eléctricas
 Instalación cableado de la red de datos
 Sistemas de protección eléctricos
 Seguridad de acceso físico a las instalaciones
De equipos o hardware se evaluará:
 Inventarios de hardware de redes y equipos

 Mantenimiento preventivo y correctivo de equipos y redes
 Hojas de vida de los equipos de cómputo y redes
 Los programas de mantenimiento de los equipos de cómputo y redes
 Revisión de informes de mantenimiento
 Personal encargado de mantenimiento
 Obsolescencia de la tecnología
Metodología: Para el cumplimiento de los objetivos planteados en la auditoría, se realizaran las
siguientes actividades:
1. Investigación preliminar: visitas a la institución para determinar el estado actual de la

organización, entrevistas con administradores y usuarios de las redes para determinar posibles
fallas, entrevistas con administrador y usuarios para determinar la opinión frente al hardware
existente y obsolecencia de equipos.
2. Recolectar información: Diseño de formatos de entrevistas, diseño de formatos para listas de

chequeo, diseño de formatos para cuestionarios, diseño del plan de pruebas, selección del
estándar a aplicar, elaboración del programa de auditoría, distribución de actividades para los
integrantes del grupo de trabajo.
3. Aplicación de instrumentos: Aplicar entrevistas al administrador y usuarios, aplicar listas de

chequeo para verificar controles, aplicar cuestionarios para descubrir nuevos riesgos y conformar
los que han sido detectados anteriormente.
4. Ejecución de las pruebas: ejecutar las pruebas para determinar la obsolescencia del hardware,
ejecutar pruebas sobre la red, ejecutar pruebas para comprobar la correspondencia de los
inventarios con la realidad.
5. Realizar el proceso de análisis y evaluación de riesgos: elaborar el cuadro de vulnerabilidades y

amenazas a que se ven enfrentados, determinar los riesgos a que se ven expuestos, hacer la
evaluación de riesgos, elaborar el mapa o matriz de riesgos.
6. Tratamiento de riesgos: determinar el tratamiento de los riesgos de acuerdo a la matriz de

riesgos, proponer controles de acuerdo a la norma de buenas práctica aplicada, definir las posibles
soluciones
7. Dictamen de la auditoría: Determinar el grado de madurez de la empresa en el manejo de cada

uno de los procesos evaluados, medir el grado de madurez de acuerdo a los hallazgos detectados
en cada proceso.
8. Informe final de auditoría: elaboración del borrador del informe técnico de auditoría para
confrontarlo con los auditados, elaboración del informe técnico final, elaboración del informe
ejecutivo, organización de papeles de trabajo para su entrega.
Recursos:
· Humanos: La auditoría se llevará a cabo por el grupo de auditores especializados en redes de

datos con la asesoría metodológica de un Ingeniero Auditor.
· Físicos: Instalaciones de la institución educativa, aulas de informática y dispositivos de red.
· Tecnológicos: equipos de cómputo, software instalado para la red, cámara digital, Intranet
institución educativa
Presupuesto:
Ítem Valor
Útiles y Papelería $ 2000.oo
Equipos de Oficina $ 1800.oo
Medios de almacenamiento magnético como: 1 caja de CD, 1 caja DVD, discos $ 500.oo
externos
Gastos generales: Cafetería, imprevistos, transporte, etc. $300.oo
Pago de Honorarios (2000 mensual x c/u) $4.000.oo
Total presupuesto $8600.oo
Cronograma
Mes 1 Mes 2 Mes 3

Actividad
1 2 3 4 1 2 3 4 1 2 3 4
Estudio Preliminar
Planificar la
auditoría Determinación de Áreas
Críticas de Auditoria
Elaboración de Programa
Aplicar el de Auditoria
modelo de
auditoria Evaluación de Riesgos
Ejecución de Pruebas y
Obtención de Evidencias
Construir los Elaboración de Informe

planes de
mejoramiento Sustentación de Informe
METODOLOGÍA PARA REALIZAR AUDITORÍA
Etapa de Planeación de la Auditoria
El primer paso para realizar una auditoría de sistemas es la planeación de cómo se va a ejecutar la
auditoria, donde se debe identificar de forma clara las razones por las que se va a realizar la
auditoria, la determinación del objetivo de la misma, el diseño de métodos, técnicas y
procedimientos necesarios para llevarla a cabo y para la solicitud de documentos que servirán de
apoyo para la ejecución, terminando con la elaboración de la documentación de los planes,
programas y presupuestos para llevarla a cabo.
Identificar el origen de la auditoria: Este es el primer paso para iniciar la planeación de la

auditoria, en esta se debe determinar por qué surge la necesidad o inquietud de realizar una
auditoría. Las preguntas que se deben contestar ¿de dónde?, ¿porqué?, ¿Quién? o ¿para qué? Se
quiere hacer la evaluación de algún aspecto de los sistemas de la empresa.
Visita Preliminar al Área informática: Este es el segundo paso en la planeación de la auditoria y

consiste en realizar una visita preliminar al área de informática que será auditada, luego de
conocer el origen de la petición de realizar la auditoria y antes de iniciarla formalmente; el
propósito es el de tener un primer contacto con el personal asignado a dicha área, conocer la
distribución de los sistemas y donde se localizan los servidores y equipos terminales en el centro
de cómputo, sus características, las medidas de seguridad y otros aspectos sobre que
problemáticas que se presentan en el área auditada.
Aquí se deben tener en cuenta aspectos tales como:
- La visita inicial para el arranque de la auditoria cuya finalidad es saber ¿Cómo se encuentran
distribuidos los equipos en el área?, ¿Cuántos, cuáles, cómo y de que tipo son los servidores y
terminales que existen en el área?, ¿Qué características generales de los sistemas que serán
auditados?, ¿Qué tipo de instalaciones y conexiones físicas existen en el área?, ¿Cuál es la reacción
del personal frente al auditor?, ¿Cuáles son las medidas de seguridad física existentes en el área?,
y ¿Qué limitaciones se observan para realizar la auditoria?. Con esta información el auditor podrá
diseñar las medidas necesarias para una adecuada planeación de la auditoria y establecer algunas
acciones concretas que le ayuden al desarrollo de la evaluación.
Establecer los Objetivos de la Auditoria: Los objetivos de la planeación de la auditoria son:

- El objetivo general que es el fin global de lo que se pretende alcanzar con el desarrollo de la
auditoría informática y de sistemas, en el se plantean todos los aspectos que se pretende evaluar.
- Los objetivos específicos que son los fines individuales que se pretenden para el logro del
objetivo general, donde se señala específicamente los sistemas, componentes o elementos
concretos que deben ser evaluados.
Determinar los Puntos que serán evaluados: Una vez determinados los objetivos de la auditoria
se debe relacionar los aspectos que serán evaluados, y para esto se debe considerar aspectos
específicos del área informática y de los sistemas computacionales tales como: la gestión
administrativa del área informática y el centro de cómputo, el cumplimiento de las funciones del
personal informático y usuarios de los sistemas, los sistemas en desarrollo, la operación de los
sistemas en producción, los programas de capacitación para el personal del área y usuarios de los
sistemas, protección de las bases de datos, datos confidenciales y accesos a las mismas, protección
de las copias de seguridad y la restauración de la información, entre otros aspectos.
Elaborar Planes, programas y Presupuestos para Realizar la auditoria: Para realizar la planeación
formal de la auditoria informática y de sistemas, en la cual se concretan los planes, programas y
presupuestos para llevarla a cabo se debe elaborar los documentos formales para el desarrollo de
la auditoria, donde se delimiten las etapas, eventos y actividades y los tiempos de ejecución para
el cumplimiento del objetivo, anexando el presupuesto con los costos de los recursos que se
utilizarán para llevarla a cabo.
Algunos de los aspectos a tener en cuenta serán: Las actividades que se van a realizar, los
responsables de realizarlas, los recursos materiales y los tiempos; El flujo de eventos que sirven de
guía; la estimación de los recursos humanos, materiales e informáticos que serán utilizados; los
tiempos estimados para las actividades y para la auditoria; los auditores responsables y
participantes de las actividades; Otras especificaciones del programa de auditoría.
Identificar y seleccionar los Métodos, herramientas, Instrumentos y Procedimientos necesarios

para la Auditoria: En este se determina la documentación y medios necesarios para llevar a cabo
la revisión y evaluación en la empresa, seleccionando o diseñando los métodos, procedimientos,
herramientas, e instrumentos necesarios de acuerdo a los planes, presupuestos y programas
establecidos anteriormente para la auditoria. Para ello se debe considerar los siguientes puntos:
establecer la guía de ponderación de cada uno de los puntos que se debe evaluar; Elaborar una
guía de la auditoria; elaborar el documento formal de la guía de auditoría; determinar las
herramientas, métodos y procedimientos para la auditoria de sistemas; Diseñar los sistemas,
programas y métodos de pruebas para la auditoria.
Asignar los Recursos y Sistemas computacionales para la auditoria: Finalmente se debe asignar
los recursos que serán utilizados para realizar la auditoria. Con la asignación de estos recursos
humanos, informáticos, tecnológicos y de cualquier otro tipo se llevará a cabo la auditoria.
Etapa de Ejecución de la Auditoria

La siguiente etapa después de la planeación de la auditoria es la ejecución de la misma, y está
determinada por las características propias, los puntos elegidos y los requerimientos estimados en
la planeación.
Etapa de Dictamen de la Auditoria
La tercera etapa Lugo de la planeación y ejecución es emitir el dictamen, que es el resultado final
de la auditoria, donde se presentan los siguientes puntos: la elaboración del informe de las
situaciones que se han detectado, la elaboración del dictamen final y la presentación del informe
de auditoría.
Analizar la información y elaborar un informe de las situaciones detectadas: Junto con la

detección de las oportunidades de mejoramiento se debe realizar el análisis de los papeles de
trabajo y la elaboración del borrador de las oportunidades detectadas, para ser discutidas con los
auditados, después se hacen las modificaciones necesarias y posteriormente el informe final de las
situaciones detectadas.
Elaborar el Dictamen Final: El auditor debe terminar la elaboración del informe final de auditoría y
complementarlo con el dictamen final, para después presentarlo a los directivos del área auditada
para que conozcan la situación actual del área, antes de presentarlo al representante o gerente de
la empresa.
Una vez comentadas las desviaciones con los auditados, se elabora el informe final, lo cual es
garantía de que los auditados ya aceptaron las desviaciones encontradas y que luego se llevan a
documentos formales.
Elaborar el Dictamen Formal: El último paso de esta metodología es presentar formalmente el

informe y el dictamen de la auditoria al más alto de los directivos de la empresa donde se informa
de los resultados de la auditoria. Tanto el informe como el dictamen deben presentarse en forma
resumida, correcta y profesional. La presentación de la misma se hace en una reunión directiva y
por eso es indispensable usar un lenguaje claro tanto en el informe como en la exposición del
mismo. El informe debe contener los siguientes puntos: la carta de presentación, el dictamen de la
auditoria, el informe de situaciones relevantes y los anexos y cuadros estadísticos.
Al elaborar el dictamen formal se hace tomando en cuenta el informe comentado a los directivos,
junto al formato de hallazgos o desviaciones y los papeles de trabajo de cada uno de los auditores.
La integración del dictamen y el informe final de auditoría deben ser elaborados con la máxima
perfección, tratando de evitar errores. También deben contener de manera clara y concreta, las
desviaciones detectadas en la evaluación.
Tabla 1: Etapas proceso de autoría de sistemas
FASE ACTIVIDADES
Conocimiento 1. Identificar el origen de la auditoria.
del sistema o
área auditada 2. Realizar visitas para conocer procesos, activos informáticos, procesos y
organización del área auditada.
3. Determinar las vulnerabilidades, y amenazas informáticas a que está

expuesta la organización.
4. Determinar el objetivo de la auditoría de acuerdo a las vulnerabilidades, y

amenazas informáticas encontradas.
1. Elaborar el plan de auditoría
2. Seleccionar los estándares a utilizar de acuerdo al objetivo (CobIT, MAGERIT,

ISO/IEC 27001, ISO/IEC 27002, otro)
3. De acuerdo al estándar elegido, seleccionar los ítems que serán evaluados

que estén en relación directa con el objetivo y alcances definidos en el plan.
Planeación de
la Auditoria de
4. Seleccionar el equipo de trabajo y asignar tareas específicas
Sistemas
5. Determinar las actividades que se llevarán a cabo y los tiempos en que serán
llevadas a cabo en cada ítem evaluado. (Programa de auditoría)
6. Diseñar instrumentos para recolección de información (formatos de

entrevistas, formatos de listas de chequeo, formatos de cuestionarios)
7. Diseñar el plan de pruebas (formato pruebas)
1. Aplicar los instrumentos de recolección de información diseñados
2. Ejecutar las pruebas del plan de pruebas
3. Levantar la información de activos informáticos de la organización auditada
Ejecución de la
4. Determinar las vulnerabilidades y amenazas informáticas aplicando una
Auditoria de metodología (MAGERIT)
Sistemas
5. Realizar la valoración de las amenazas y vulnerabilidades encontradas y
probadas
6. Realizar el proceso de evaluación de riesgos
7. Determinar el tratamiento de los riesgos

1. Determinar las soluciones para los hallazgos encontrados (controles)
2. Elaborar el Dictamen para cada uno de los procesos evaluados.

Resultados de
la Auditoria de
3. Elaborar el informe final de auditoría para su presentación y sustentación
Sistemas
4. Integrar y organizar los papeles de trabajo de la auditoria
5. Diseñar las políticas y procedimientos integrando los controles definidos
COBIT (Objetivos de Control para la información y Tecnologías relacionadas)
Las mejores prácticas en auditoria recomiendan Cobit como la herramienta estándar para
tecnologías de información más utilizada en la ejecución de auditorías; a continuación se explica
detalladamente algunos conceptos manejados por ésta y los dominios, procesos y actividades que
lo conforman:
Efectividad. Se refiere a que la información relevante sea pertinente para el proceso del
negocio, así como a que su entrega sea oportuna, correcta, consistente y de manera utilizable.
Eficiencia. Se refiere a la provisión de información a través de la utilización óptima (más productiva

y económica) de recursos.
Confidencialidad. Se refiere a la protección de información sensible contra divulgación no

autorizada.
Integridad. Se refiere a la precisión y suficiencia de la información, así como a su validez de

acuerdo con los valores y expectativas del negocio.
Disponibilidad. Se refiere a la disponibilidad de la información cuando ésta es requerida por el

proceso de negocio ahora y en el futuro. También se refiere a la salvaguarda de los recursos
necesarios y capacidades asociadas.
Cumplimiento. Se refiere al cumplimiento de aquellas leyes, regulaciones y acuerdos contractuales

a los que el proceso de negocios está sujeto, por ejemplo, criterios de negocio impuestos
externamente.
Confiabilidad de la información. Se refiere a la provisión de información apropiada para la

administración con el fin de operar la entidad y para ejercer sus responsabilidades de reportes
financieros y de cumplimiento.
Datos. Los elementos de datos en su más amplio sentido, (por ejemplo, externos e internos),
estructurados y no estructurados, gráficos, sonido, etc.
Aplicaciones. Se entiende como sistemas de aplicación la suma de procedimientos manuales y

programados.
Tecnología. La tecnología cubre hardware, software, sistemas operativos, sistemas de
administración de bases de datos, redes, multimedia, etc.
Instalaciones. Recursos para alojar y dar soporte a los sistemas de información.
Personal. Habilidades del personal, conocimiento, conciencia y productividad para planear,

organizar, adquirir, entregar, soportar y monitorear servicios y sistemas de
información.
Niveles de Cobit: La estructura del estándar Cobit se divide en dominios que son agrupaciones de
procesos que corresponden a una responsabilidad personal, procesos que son una serie de
actividades unidas con delimitación o cortes de control y objetivos de control o actividades
requeridas para lograr un resultado medible.
3.1.1 Distribución de los dominios y procesos de COBIT
TABLA DE CLASIFICACION DE DOMINIOS, PROCESOS Y OBJETIVOS DE CONTROL – COBIT 4.1
DOMINIOS PROCESOS OBJETIVOS DE CONTROL
PO1.1 Administración del Valor de TI
PO1.2 Alineación de TI con el Negocio
PO1.3 Evaluación del Desempeño y la

Capacidad Actual
PO1 Definir un Plan
Estratégico de TI PO1.4 Plan Estratégico de TI
PO1.5 Planes Tácticos de TI
PO1.6 Administración del Portafolio de TI
PO2.1 Modelo de Arquitectura de Información

PLANIFICAR
Empresarial
Y
PO2 Definir la PO2.2 Diccionario de Datos Empresarial y
ORGANIZAR Arquitectura de la Reglas de Sintaxis de Datos
Información
PO2.3 Esquema de Clasificación de Datos
PO2.4 Administración de Integridad
PO3.1 Planeación de la Dirección Tecnológica
PO3.2 Plan de Infraestructura Tecnológica
PO3.3 Monitoreo de Tendencias y

PO3 Determinar la Regulaciones Futuras
Dirección Tecnológica
PO3.4 Estándares Tecnológicos
PO3.5 Consejo de Arquitectura de TI
PO4.1 Marco de Trabajo de Procesos de TI
PO4.2 Comité Estratégico de TI
PO4.3 Comité Directivo de TI
PO4.4 Ubicación Organizacional de la Función

de TI
PO4.5 Estructura Organizacional
PO4.6 Establecimiento de Roles y

Responsabilidades
PO4.7 Responsabilidad de Aseguramiento de

Calidad TI
PO4.8 Responsabilidad sobre el Riesgo, la

Seguridad y el Cumplimiento
PO4 Definir los
Procesos, Organización PO4.9 Propiedad de Datos y de Sistema
y Relaciones de TI
PO4.10 Supervisión
PO4.11 Segregación de Funciones
PO4.12 Personal de TI
PO4.13 Personal Clave de TI
PO4.14 Políticas y Procedimientos para

Personal Contratado
PO4.15 Relaciones
PO5.1 Marco de Trabajo para la
Administración Financiera
PO5.2 Prioridades Dentro del Presupuesto de

TI
PO5 Administrar la
Inversión en TI PO5.3 Proceso Presupuestal
PO5.4 Administración de Costos de TI
PO5.5 Administración de Beneficios
PO6.1 Ambiente de Políticas y de Control
PO6.2 Riesgo Corporativo y Marco de

Referencia de Control Interno de TI
PO6 Comunicar las
Aspiraciones y la PO6.3 Administración de Políticas para TI
Dirección de la
PO6.4 Implantación de Políticas de TI
Gerencia
PO6.5 Comunicación de los Objetivos y la
Dirección de TI
PO7.1 Reclutamiento y Retención del Personal
PO7.2 Competencias del Personal
PO7.3 Asignación de Roles
PO7.4 Entrenamiento del Personal de TI
PO7.5 Dependencia Sobre los Individuos
PO7 Administrar PO7.6 Procedimientos de Investigación del

Recursos Humanos de Persona
TI
PO7.7 Evaluación del Desempeño del
Empleado
PO7.8 Cambios y Terminación de Trabajo
PO8.1 Sistema de Administración de Calidad
PO8.2 Estándares y Prácticas de Calidad
PO8 Administrar la PO8.3 Estándares de Desarrollo y de

Calidad Adquisición
PO8.4 Enfoque en el Cliente de TI
PO8.5 Mejora Continua
PO8.6 Medición, Monitoreo y Revisión de la

Calidad
PO9.1 Marco de Trabajo de Administración de

Riesgos
PO9.2 Establecimiento del Contexto del Riesgo
PO9.3 Identificación de Eventos
PO9 Evaluar y PO9.4 Evaluación de Riesgos de TI

Administrar los Riesgos
de TI PO9.5 Respuesta a los Riesgos
PO9.6 Mantenimiento y Monitoreo de un Plan

de Acción de Riesgos
PO10.1 Marco de Trabajo para la

Administración de Programas
PO10.2 Marco de Traba
PO10.3 Enfoque de Administración de

Proyectos
PO10.4 Compromiso de los Interesados
PO10.5 Declaración de Alcance del Proyecto
PO10.6 Inicio de las Fases del Proyecto
PO10.7 Plan Integrado del Proyecto
PO10.8 Recursos del Proyecto

PO10 Administrar
Proyectos PO10.9 Administración de Riesgos del
Proyecto
PO10.10 Plan de Calidad del Proyecto
PO10.11 Control de Cambios del Proyecto

PO10.13 Medición del Desempeño, Reporte y
Monitoreo del Proyecto
PO10.14 Cierre del Proyecto
AI1.1 Definición y Mantenimiento de los

Requerimientos Técnicos y Funcionales del
Negocio
AI1 Identificar AI1.2 Reporte de Análisis de Riesgos

soluciones
automatizadas AI1.3 Estudio de Factibilidad y Formulación de
Cursos de Acción Alternativos
AI1.4 Requerimientos, Decisión de Factibilidad

y Aprobación
AI2.1 Diseño de Alto Nivel
AI2.2 Diseño Detallado
AI2.3 Control y Posibilidad de Auditar las

Aplicaciones
AI2.4 Seguridad y Disponibilidad de las

Aplicaciones
AI2.5 Configuración e Implementación de

Software Aplicativo Adquirido
ADQUIRIR AI2.6 Actualizaciones Importantes en Sistemas

AI2 Adquirir y
Existentes
E IMPLEMENTAR Mantener Software
Aplicativo AI2.7 Desarrollo de Software Aplicativo
AI2.8 Aseguramiento de la Calidad del

Software
AI2.9 Administración de los Requerimientos de

Aplicaciones
AI2.10 Mantenimiento de Software Aplicativo
AI3 Adquirir y AI3.1 Plan de Adquisición de Infraestructura

Mantener Tecnológica
Infraestructura AI3.2 Protección y Disponibilidad del Recurso
Tecnológica de Infraestructura
AI3.3 Mantenimiento de la infraestructura
AI3.4 Ambiente de Prueba de Factibilidad
AI4.1 Plan para Soluciones de Operación
AI4.2 Transferencia de Conocimiento a la

Gerencia del Negocio
AI4 Facilitar la AI4.3 Transferencia de Conocimiento a

Operación y el Uso Usuarios Finales
AI4.4 Transferencia de Conocimiento al

Personal de Operaciones y Soporte
AI5.1 Control de Adquisición
AI5.2 Administración de Contratos con

AI5 Adquirir Recursos Proveedores
de TI
AI5.3 Selección de Proveedores
AI5.4 Adquisición de Recursos TI
AI6.1 Estándares y Procedimientos para

Cambios
AI6.2 Evaluación de Impacto, Priorización y

Autorización
AI6.3 Cambios de Emergencia

AI6 Administrar
Cambios AI6.4 Seguimiento y Reporte del Estatus de
Cambio
AI6.5 Cierre y Documentación del Cambio
AI7.1 Entrenamiento
AI7.2 Plan de Prueba

AI7 Instalar y Acreditar
AI7.3 Plan de Implementación
Soluciones y Cambios
AI7.4 Ambiente de Prueba
AI7.5 Conversión de Sistemas y Datos
AI7.6 Pruebas de Cambios
AI7.7 Prueba de Aceptación Final
AI7.8 Promoción a Producción
AI7.9 Revisión Posterior a la Implantación
DS1.1 Marco de Trabajo de la Administración

de los Niveles de Servicio
DS1.2 Definición de Servicios
DS1 Definir y DS1.3 Acuerdos de Niveles de Servicio

administrar los niveles DS1.4 Acuerdos de Niveles de Operación
de servicio
DS1.5 Monitoreo y Reporte del Cumplimiento
de los Niveles de Servicio
DS1.6 Revisión de los Acuerdos de Niveles de

Servicio y de los Contratos
DS2.1 Identificación de Todas las Relaciones

con Proveedores
DS2.2 Gestión de Relaciones con Proveedores

DS2 Administrar los
Servicios de Terceros DS2.3 Administración de Riesgos del
Proveedor
DS2.4 Monitoreo del Desempeño del

Proveedor
ENTREGAR Y DAR DS3.1 Planeación del Desempeño y la

SOPORTE Capacidad
DS3 Administrar el DS3.2 Capacidad y Desempeño Actual

Desempeño y la
DS3.3 Capacidad y Desempeño Futuros
Capacidad
DS3.4 Disponibilidad de Recursos de TI
DS3.5 Monitoreo y Reporte

DS4.1 Marco de Trabajo de Continuidad de TI
DS4.2 Planes de Continuidad de TI
DS4.3 Recursos Críticos de TI
DS4.4 Mantenimiento del Plan de Continuidad

de TI
DS4.5 Pruebas del Plan de Continuidad de TI
DS4.6 Entrenamiento del Plan de Continuidad

de TI
DS4 Garantizar la
DS4.7 Distribución del Plan de Continuidad de
Continuidad del
TI
Servicio
DS4.8 Recuperación y Reanudación de los
Servicios de TI
DS4.9 Almacenamiento de Respaldos Fuera de

las Instalaciones
DS4.10 Revisión Post Reanudación
DS5.1 Administración de la Seguridad de TI
DS5.2 Plan de Seguridad de TI
DS5.3 Administración de Identidad
DS5.4 Administración de Cuentas del Usuario
DS5.5 Pruebas, Vigilancia y Monitoreo de la

Seguridad
DS5.6 Definición de Incidente de Seguridad

DS5 Garantizar la
DS5.7 Protección de la Tecnología de
Seguridad de los
Seguridad
Sistemas
DS5.8 Administración de Llaves Criptográficas
DS5.9 Prevención, Detección y Corrección de

Software Malicioso
DS5.10 Seguridad de la Red

DS5.11 Intercambio de Datos Sensitivos
DS6.1 Definición de Servicios
DS6 Identificar y DS6.2 Contabilización de TI

Asignar Costos DS6.3 Modelación de Costos y Cargos
DS6.4 Mantenimiento del Modelo de Costos
DS7.1 Identificación de Necesidades de

Entrenamiento y Educación
DS7 Educar y Entrenar a
DS7.2 Impartición de Entrenamiento y
los Usuarios
Educación
DS7.3 Evaluación del Entrenamiento Recibido
DS8.1 Mesa de Servicios
DS8.2 Registro de Consultas de Clientes

DS8 Administrar la
Mesa de Servicio y los DS8.3 Escalamiento de Incidentes
Incidentes
DS8.4 Cierre de Incidentes
DS8.5 Análisis de Tendencias
DS9.1 Repositorio y Línea Base de

Configuración
DS9 Administrar la DS9.2 Identificación y Mantenimiento de

Configuración Elementos de Configuración
DS9.3 Revisión de Integridad de la

Configuración
DS10.1 Identificación y Clasificación de

Problemas
DS10 Administración de DS10.2 Rastreo y Resolución de Problemas

Problemas DS10.3 Cierre de Problemas
DS10.4 Integración de las Administraciones de

Cambios, Configuración y Problemas
DS11.1 Requerimientos del Negocio para

Administración de Datos
DS11 Administración de DS11.2 Acuerdos de Almacenamiento y

Datos Conservación
DS11.3 Sistema de Administración de Librerías

de medios
DS11.4 Eliminación
DS11.5 Respaldo y Restauración
DS11.6 Requerimientos de Seguridad para la

Administración de Datos
DS12.1 Selección y Diseño del Centro de Datos
DS12.2 Medidas de Seguridad Física
DS12 Administración DS12.3 Acceso Físico

del Ambiente Físico
DS12.4 Protección Contra Factores
Ambientales
DS12.5 Administración de Instalaciones Físicas
DS13.1 Procedimientos e Instrucciones de

Operación
DS13.2 Programación de Tareas
DS13 Administración de DS13.3 Monitoreo de la Infraestructura de TI

Operaciones
DS13.4 Documentos Sensitivos y Dispositivos
de Salida
DS13.5 Mantenimiento Preventivo del

Hardware
ME1.1 Enfoque del Monitoreo

ME1 Monitorear y
ME1.2 Definición y Recolección de Datos de
Evaluar el Desempeño
Monitoreo
de TI
ME1.3 Método de Monitoreo
ME1.4 Evaluación del Desempeño

ME1.5 Reportes al Consejo Directivo y a
Ejecutivos
ME1.6 Acciones Correctivas
ME2.1 Monitoreo del Marco de Trabajo de

Control Interno
ME2.2 Revisiones de Auditoría

MONITOREAR Y
ME2.3 Excepciones de Control
EVALUAR
ME2 Monitorear y
Evaluar el Control ME2.4 Control de Auto Evaluación
Interno ME2.5 Aseguramiento del Control Interno
ME2.6 Control Interno para Terceros
ME2.7 Acciones Correctivas
ME3.1 Identificar los Requerimientos de las

Leyes, Regulaciones y Cumplimientos
Contractuales
ME3.2 Optimizar la Respuesta a

ME3 Garantizar el Requerimientos Externos
Cumplimiento con
Requerimientos ME3.3 Evaluación del Cumplimiento con
Externos Requerimientos Externos
ME3.4 Aseguramiento Positivo del

Cumplimiento
ME3.5 Reportes Integrados
ME4.1 Establecimiento de un Marco de

Gobierno de TI
ME4.2 Alineamiento Estratégico
ME4 Proporcionar ME4.3 Entrega de Valor

Gobierno de TI
ME4.4 Administración de Recursos
ME4.5 Administración de Riesgos
ME4.6 Medición del Desempeño

ME4.7 Aseguramiento Independiente
Fuente: Estándar de mejores prácticas COBIT 4.1
Se definen 34 objetivos de control generales, uno para cada uno de los procesos de las TI. Estos
procesos están agrupados en cuatro grandes dominios que se describen a continuación junto con
sus procesos y una descripción general de las actividades de cada uno:
Dominio: Planificación y Organización
Cubre la estrategia y las tácticas, se refiere a la identificación de la forma en que la tecnología

información puede contribuir de la mejor manera al logro de los objetivos de la organización. La
consecución de la visión estratégica debe ser planeada, comunicada y administrada desde
diferentes perspectivas y debe establecerse una organización y una infraestructura tecnológica
apropiadas.
Procesos:
PO1 Definición de un plan Estratégico: El objetivo es lograr un balance óptimo entre las
oportunidades de tecnología de información y los requerimientos de TI de negocio, para asegurar
sus logros futuros.
PO2 Definición de la arquitectura de Información: El objetivo es satisfacer los requerimientos de

la organización, en cuanto al manejo y gestión de los sistemas de información, a través de la
creación y mantenimiento de un modelo de información de la organización.
PO3 Determinación de la dirección tecnológica: El objetivo es aprovechar al máximo de la

tecnología disponible o tecnología emergente, satisfaciendo los requerimientos de la organización,
a través de la creación y mantenimiento de un plan de infraestructura tecnológica.
PO4 Definición de la organización y de las relaciones de TI: El objetivo es la prestación de

servicios de TI, por medio de una organización conveniente en número y habilidades, con tareas y
responsabilidades definidas y comunicadas.
PO5 Manejo de la inversión: El objetivo es la satisfacción de los requerimientos de la organización,

asegurando el financiamiento y el control de desembolsos de recursos financieros.
PO6 Comunicación de la dirección y aspiraciones de la gerencia: El objetivo es asegurar el

conocimiento y comprensión de los usuarios sobre las aspiraciones de la gerencia, a través de
políticas establecidas y transmitidas a la comunidad de usuarios, necesitándose para esto
estándares para traducir las opciones estratégicas en reglas de usuario prácticas y utilizables.
PO7 Administración de recursos humanos: El objetivo es maximizar las contribuciones del

personal a los procesos de TI, satisfaciendo así los requerimientos de negocio, a través de técnicas
sólidas para administración de personal.
PO8 Asegurar el cumplimiento con los requerimientos Externos: El objetivo es cumplir con
obligaciones legales, regulatorias y contractuales, para ello se realiza una identificación y análisis
de los requerimientos externos en cuanto a su impacto en TI, llevando a cabo las medidas
apropiadas para cumplir con ellos.
PO9 Evaluación de riesgos: El objetivo es asegurar el logro de los objetivos de TI y responder a las
amenazas hacia la provisión de servicios de TI, mediante la participación de la propia organización
en la identificación de riesgos de TI y en el análisis de impacto, tomando medidas económicas para
mitigar los riesgos.
PO10 Administración de proyectos: El objetivo es establecer prioridades y entregar servicios

oportunamente y de acuerdo al presupuesto de inversión, para ello se realiza una identificación y
priorización de los proyectos en línea con el plan operacional por parte de la misma organización.
Además, la organización deberá adoptar y aplicar sólidas técnicas de administración de proyectos
para cada proyecto emprendido.
PO11 Administración de calidad: El objetivo es satisfacer los requerimientos del cliente. Mediante
una planeación, implementación y mantenimiento de estándares y sistemas de administración de
calidad por parte de la organización.
Dominio: Adquisición e implementación
Para llevar a cabo la estrategia de TI, las soluciones de Ti deben ser identificadas, desarrolladas o
adquiridas, así como implementadas e integradas dentro del proceso del negocio. Además, este
dominio cubre los cambios y el mantenimiento realizados a sistemas existentes.
Procesos:
AI1 Identificación de Soluciones Automatizadas: El objetivo es asegurar el mejor enfoque para

cumplir con los requerimientos del usuario, mediante un análisis claro de las oportunidades
alternativas comparadas contra los requerimientos de los usuarios.
AI2 Adquisición y mantenimiento del software aplicativo: El objetivo es proporcionar funciones

automatizadas que soporten efectivamente la organización mediante declaraciones específicas
sobre requerimientos funcionales y operacionales y una implementación estructurada con
entregables claros.
AI3 Adquisición y mantenimiento de la infraestructura tecnológica: El objetivo es proporcionar

las plataformas apropiadas para soportar aplicaciones de negocios mediante la realización de una
evaluación del desempeño del hardware y software, la provisión de mantenimiento preventivo de
hardware y la instalación, seguridad y control del software del sistema.
AI4 Desarrollo y mantenimiento de procedimientos: El objetivo es asegurar el uso apropiado de

las aplicaciones y de las soluciones tecnológicas establecidas, mediante la realización de un
enfoque estructurado del desarrollo de manuales de procedimientos de operaciones para
usuarios, requerimientos de servicio y material de entrenamiento.
AI5 Instalación y aceptación de los sistemas: El objetivo es verificar y confirmar que la solución
sea adecuada para el propósito deseado mediante la realización de una migración de instalación,
conversión y plan de aceptaciones adecuadamente formalizadas.
AI6 Administración de los cambios: El objetivo es minimizar la probabilidad de interrupciones,

alteraciones no autorizadas y errores, mediante un sistema de administración que permita el
análisis, implementación y seguimiento de todos los cambios requeridos y llevados a cabo a la
infraestructura de TI actual.
Dominio: Servicios y soporte
En este dominio se hace referencia a la entrega de los servicios requeridos, que abarca desde las
operaciones tradicionales hasta el entrenamiento, pasando por seguridad y aspectos de
continuidad. Con el fin de proveer servicios, deberán establecerse los procesos de soporte
necesarios. Este dominio incluye el procesamiento de los datos por sistemas de aplicación,
frecuentemente clasificados como controles de aplicación.
Procesos
DS1 Definición de niveles de servicio: El objetivo es establecer una comprensión común del nivel
de servicio requerido, mediante el establecimiento de convenios de niveles de servicio que
formalicen los criterios de desempeño contra los cuales se medirá la cantidad y la calidad del
servicio.
DS2 Administración de servicios prestados por terceros: El objetivo es asegurar que las tareas y
responsabilidades de las terceras partes estén claramente definidas, que cumplan y continúen
satisfaciendo los requerimientos, mediante el establecimiento de medidas de control dirigidas a la
revisión y monitoreo de contratos y procedimientos existentes, en cuanto a su efectividad y
suficiencia, con respecto a las políticas de la organización.
DS3 Administración de desempeño y capacidad: El objetivo es asegurar que la capacidad

adecuada está disponible y que se esté haciendo el mejor uso de ella para alcanzar el desempeño
deseado, realizando controles de manejo de capacidad y desempeño que recopilen datos y
reporten acerca del manejo de cargas de trabajo, tamaño de aplicaciones, manejo y demanda de
recursos.
DS4 Asegurar el Servicio Continuo: El objetivo es mantener el servicio disponible de acuerdo con
los requerimientos y continuar su provisión en caso de interrupciones, mediante un plan de
continuidad probado y funcional, que esté alineado con el plan de continuidad del negocio y
relacionado con los requerimientos de negocio.
DS5 Garantizar la seguridad de sistemas: El objetivo es salvaguardar la información contra uso no
autorizados, divulgación, modificación, daño o pérdida, realizando controles de acceso lógico que
aseguren que el acceso a sistemas, datos y programas está restringido a usuarios autorizados.
DS6 Educación y entrenamiento de usuarios: El objetivo es asegurar que los usuarios estén
haciendo un uso efectivo de la tecnología y estén conscientes de los riesgos y responsabilidades
involucrados realizando un plan completo de entrenamiento y desarrollo.
DS7 Identificación y asignación de costos: El objetivo es asegurar un conocimiento correcto

atribuido a los servicios de TI realizando un sistema de contabilidad de costos asegure que éstos
sean registrados, calculados y asignados a los niveles de detalle requeridos.
DS8 Apoyo y asistencia a los clientes de TI: El objetivo es asegurar que cualquier problema
experimentado por los usuarios sea atendido apropiadamente realizando una mesa de ayuda que
proporcione soporte y asesoría de primera línea.
DS9 Administración de la configuración: El objetivo es dar cuenta de todos los componentes de TI,
prevenir alteraciones no autorizadas, verificar la existencia física y proporcionar una base para el
sano manejo de cambios realizando controles que identifiquen y registren todos los activos de TI
así como su localización física y un programa regular de verificación que confirme su existencia.
DS10 Administración de Problemas: El objetivo es asegurar que los problemas e incidentes sean
resueltos y que sus causas sean investigadas para prevenir que vuelvan a suceder implementando
un sistema de manejo de problemas que registre y haga seguimiento a todos los incidentes.
DS11 Administración de Datos: El objetivo es asegurar que los datos permanezcan completos,
precisos y válidos durante su entrada, actualización, salida y almacenamiento, a través de una
combinación efectiva de controles generales y de aplicación sobre las operaciones de TI.
DS12 Administración de las instalaciones: El objetivo es proporcionar un ambiente físico

conveniente que proteja al equipo y al personal de TI contra peligros naturales (fuego, polvo, calor
excesivos) o fallas humanas lo cual se hace posible con la instalación de controles físicos y
ambientales adecuados que sean revisados regularmente para su funcionamiento apropiado
definiendo procedimientos que provean control de acceso del personal a las instalaciones y
contemplen su seguridad física.
DS13 Administración de la operación: El objetivo es asegurar que las funciones importantes de

soporte de TI estén siendo llevadas a cabo regularmente y de una manera ordenada a través de
una calendarización de actividades de soporte que sea registrada y completada en cuanto al logro
de todas las actividades.
Dominio: Monitoreo
Todos los procesos de una organización necesitan ser evaluados regularmente a través del tiempo
para verificar su calidad y suficiencia en cuanto a los requerimientos de control, integridad y
confidencialidad.
Procesos
M1 Monitoreo del Proceso: El objetivo es asegurar el logro de los objetivos establecidos para los
procesos de TI. Lo cual se logra definiendo por parte de la gerencia reportes e indicadores de
desempeño gerenciales y la implementación de sistemas de soporte así como la atención regular a
los reportes emitidos.
M2 Evaluar lo adecuado del Control Interno: El objetivo es asegurar el logro de los objetivos de
control interno establecidos para los procesos de TI.
M3 Obtención de Aseguramiento Independiente: El objetivo es incrementar los niveles de

confianza entre la organización, clientes y proveedores externos. Este proceso se lleva a cabo a
intervalos regulares de tiempo.
M4 Proveer Auditoria Independiente: El objetivo es incrementar los niveles de confianza y

beneficiarse de recomendaciones basadas en mejores prácticas de su implementación, lo que se
logra con el uso de auditorías independientes desarrolladas a intervalos regulares de tiempo.
RECOLECCIÓN DE INFORMACIÓN PARA AUDITORÍA INFORMÁTICA Y DE SISTEMAS
Observación
Es una de las técnicas más utilizadas para examinar los diferentes aspectos que intervienen en el
funcionamiento del área informática y los sistemas software, permite recolectar la información
directamente sobre el comportamiento de los sistemas, del área de informática, de las funciones y
actividades, los procedimientos y operación de los sistemas, y de cualquier hecho que ocurra en el
área. En el caso específico de la auditoria se aplica para observar todo lo relacionado con el área
informática y los sistemas de una organización con el propósito de percibir, examinar, o analizar
los eventos que se presentan en el desarrollo de las actividades del área o de un sistema que
permita evaluar el cumplimiento de las funciones, operaciones y procedimientos.
Entrevistas
Esta técnica es la más utilizada por los auditores ya que a través de esta se obtiene información
sobre lo que esta auditando, además de tips que permitirán conocer más sobre los puntos
a evaluar o analizar. La entrevista en general es un medio directo para la recolección de
información para la captura de los datos informados por medio de grabadoras digitales o cualquier
otro medio. En la entrevista, el auditor interroga, investiga y conforma directamente sobre los
aspectos que se está auditando. En su aplicación se utiliza una guía general de la entrevista, que
contiene una serie de preguntas sobre los temas que se quiere tocar, y que a medida que avanza
pueden irse adaptando para profundizar y preguntar sobre el tema.
Cuestionarios
Los cuestionarios son preguntas impresas en formatos o fichas en que el auditado responde de
acuerdo a su criterio, de esta manera el auditor obtiene información que posteriormente puede
clasificar e interpretar por medio de la tabulación y análisis, para evaluar lo que se está auditando
y emitir una opinión sobre el aspecto evaluado.
Encuestas
Las encuestas son utilizadas frecuentemente para recolectar información sobre aspectos como el
servicio, el comportamiento y utilidad del equipo, la actuación del personal y los usuarios, entre
otros juicios de la función informática. No existen reglas para el uso de las encuestas, solo los que
regulan los aspectos técnicos y estadísticos tales como la elección del universo y la muestra, que
se contemplan dentro de la aplicación de métodos probabilísticas y estadísticos para hacer la
mejor elección de las muestras y recolección de opiniones.
Inventarios
Consiste en hacer el recuento físico de lo que se está auditando, con el fin de compararla con la
que existe en los documentos en la misma fecha. Consiste en comparar las cantidades reales
existentes con las que debería haber para comprobar que sean iguales, de lo contrario iniciar la
investigación de la diferencia para establecer las causas. Con la aplicación de esta herramienta de
la auditoria tradicional, el auditor de sistemas también puede examinar las existencias de los
elementos disponibles para el funcionamiento del área informática o del sistema, contabilizando
los equipos de cómputo, la información y los datos de la empresa, los programas, periféricos,
consumibles, documentos, recursos informáticos, y demás aspectos que se desee conocer, con el
fin de comparar la cantidad real con las existencias que se registra en los documentos.
TÉCNICAS E INSTRUMENTOS PARA REALIZAR AUDITORIA INFORMÁTICA Y DE SISTEMAS
Evaluación
Consiste en analizar mediante pruebas la calidad y cumplimiento de funciones, actividades y

procedimientos que se realizan en una organización o área. Las evaluaciones se utilizan para
valorar registros, planes, presupuestos, programas, controles y otros aspectos que afectan la
administración y control de una organización o las áreas que la integran. La evaluación se aplica
para investigar algún hecho, comprobar alguna cosa, verificar la forma de realizar un proceso,
evaluar la aplicación de técnicas, métodos o procedimientos de trabajo, verificar el resultado de
una transacción, comprobar la operación correcta de un sistema software entre otros muchos
aspectos.
Inspección
La inspección permite evaluar la eficiencia y eficacia del sistema, en cuanto a operación y
procesamiento de datos para reducir los riesgos y unificar el trabajo hasta finalizarlo. La
inspección se realiza a cualquiera de las actividades, operaciones y componentes que rodean los
sistemas.
Confirmación
El aspecto más importante en la auditoria es la confirmación de los hechos y la certificación de los

datos que se obtienen en la revisión, ya que el resultado final de la auditoria es la emisión de un
dictamen donde el auditor expone sus opiniones, este informe es aceptado siempre y cuando los
datos sean veraces y confiables. No se puede dar un dictamen en base a suposiciones o emitir
juicios que no sean comprobables.
Comparación
Otra de las técnicas utilizadas en la auditoria es la comparación de los datos obtenidos en un área
o en toda la organización y cotejando esa información con los datos similares o iguales de otra
organización con características semejantes. En auditoria a los sistemas software se realiza la
comparación de los resultados obtenidos con el sistema y los resultados con el procesamiento
manual, el objetivo de dicha comparación es comprobar si los resultados son iguales, o determinar
las posibles desviaciones, y errores entre ellos.
Revisión Documental
Otra de las herramientas utilizadas en la auditoria es la revisión de documentos que soportan los
registros de operaciones y actividades de una organización. Aquí se analiza el registro de
actividades y operaciones plasmadas en documentos y archivos formales, con el fin de que el
auditor sepa cómo fueron registrados las operaciones, resultados y otros aspectos inherentes al
desarrollo de las funciones y actividades normales de la organización. En esta evaluación se
revisan manuales, instructivos, procedimientos, funciones y actividades. El registro de resultados,
estadísticas, la interpretación de acuerdos, memorandos, normas, políticas y todos los aspectos
formales que se asientan por escrito para el cumplimiento de las funciones y actividades en la
administración de las organizaciones.
Matriz de Evaluación
Es uno de los documentos de mayor utilidad para recopilar información relacionada con la
actividad, operación o función que se realiza en el área informática, así como también se puede
observar anticipadamente su cumplimiento. La escala de valoración puede ir desde la mínima con
puntaje 1 (baja, deficiente) hasta la valoración máxima de 5(superior, muy bueno, excelente).
Cada una de estas valoraciones deberá tener asociado la descripción del criterio por el cual se da
ese valor. Esta matriz permite realizar la valoración del cumplimiento de una función específica de
la administración del centro de cómputo, en la verificación de actividades de cualquier función del
área de informática, del sistema software, del desarrollo de proyectos software, del servicio a los
usuarios del sistema o cualquier otra actividad del área de informática en la organización.
Matriz DOFA
Este es un método de análisis y diagnóstico usado para la evaluación de un centro de cómputo,

que permite la evaluación del desempeño de los sistemas software, aquí se evalúan los factores
internos y externos, para que el auditor puede evaluar el cumplimiento de la misión y objetivo
general del área de informática de la organización.
CONCEPTOS APLICABLES A LA AUDITORÍA
Control
“Es el conjunto de normas, técnicas, acciones y procedimientos que interrelacionados e

interactuando entre sí con los sistemas y subsistemas organizacionales y administrativos, permite
evaluar, comparar y corregir aquellas actividades que se desarrollan en las organizaciones,
garantizando la ejecución de los objetivos y el logro de las metas institucionales”[1].
[1] Auditoría de Sistemas – Una visión práctica, pag.14.
Control interno
Se ejerce con el fin de lograr el cumplimiento de los objetivos de la empresa, y es el proceso que
se realiza al interior de ellas y es impulsado por las directivas y administradores quien designa
para que lo ejerza a una persona que posee la suficiente ética, moral y formación académica que
le amerita credibilidad.
Control externo
Es aquel ejercido por personal externo a la empresa y su propósito es evaluar en qué proporción
las metas y objetivos trazados en las políticas, planes, programas por la administración de la
misma se están cumpliendo.
Control Interno Informático
El establecimiento de controles internos en el área informática y los sistemas de información es

muy importante y ayuda a la evaluación de la eficiencia y eficacia de la gestión administrativa,
dependiendo de los objetivos que se pretenda con dichos controles. Además el control interno es
indispensable en la protección de los bienes y el buen desarrollo de las actividades y operación de
los sistemas.
A través del control interno se pretende la aplicación de los siguientes objetivos específicos:
· Establecer como prioridad la seguridad y protección de los bienes informáticos, la

información y los sistemas de información.
· Promover la confiabilidad, oportunidad y veracidad de la captura de datos, su procesamiento y
la emisión de reportes en la empresa.
· Implementar los métodos, técnicas y procedimientos necesarios para contribuir al desarrollo

eficiente de las funciones, actividades, y tareas de los servicios que presta el área informática
para satisfacer las necesidades de la empresa.
· Instaurar y hacer cumplir las normas, políticas y procedimientos que regulen las actividades de
sistematización de la empresa.
· Establecer acciones necesarias para el buen desarrollo del software, a fin de que presten un
buen servicio en la empresa.
Papeles de trabajo
Son la herramienta y soporte en la planeación, organización y coordinación del examen de

auditoría, y a su vez brindan respaldo a la opinión del auditor. Estos se preparan de acuerdo al
criterio, experiencia y preferencia del auditor y se organizan teniendo en cuenta su uso y
contenido. Según José Dagoberto Pinilla[1] Define los papeles de trabajo así: “comprende el
conjunto de cédulas preparadas por el auditor y/o personal colaborador, con motivo del desarrollo
del programa de auditoría para obtener evidencia comprobatoria suficiente y competente, que
sirva como base objetiva para emitir una opinión independiente sobre el objeto auditado”.
Los papeles de trabajo son registros que mantiene el auditor de los procedimientos aplicados,
pruebas desarrolladas, información obtenida y conclusiones pertinentes a que se llegó en el
trabajo. Algunos ejemplos de papeles de trabajo son los programas de auditoría, los análisis, los
memorandos, las cartas de confirmación y declaración, resúmenes de documentos de la compañía
y cédulas o comentarios preparados u obtenidos por el auditor. Los papeles de trabajo también
pueden obtener la forma de información almacenada en cintas, películas u otros medios.
Objetivos de los papeles de trabajo
 Proporcionar la información básica y fundamental necesaria para facilitar la planeación,

organización y desarrollo de todas las etapas del proceso de auditoría.
 Respaldar la opinión del auditor permitiendo realizar un examen de supervisión y
proporcionando los informes suficientes y necesarios que serán incluidos en el informe
de auditoría, además, sirve como evidencia en caso de presentarse alguna demanda.
 Permiten demostrar si el trabajo del auditor fue debidamente planeado, determinando
su eficiencia y eficacia.
 Permiten establecer un registro histórico disponible permanentemente en caso que se
presente algún requerimiento.
 Servir como punto de referencia para posteriores auditorías.
 Servir de puente entre el informe de auditoría y las áreas auditadas.
Tipos de papeles de trabajo

 Archivo permanente: La información que aquí se almacena cubre varios períodos de la
auditoria y son de utilidad en exámenes posteriores, representando interés para el
administrador de la aplicación y fuente de consulta de aspectos como la naturaleza y
justificación de la aplicación, reseña de la aplicación, estructura organizacional respecto al
manejo de la aplicación, interacción con otras aplicaciones, documentación de entrada y
salidas, diccionario de datos, programas, menús, diagramas del sistema, naturaleza y
definición de cada proceso.
 Archivo corriente: Se almacena la información correspondiente al periodo auditado,

constituyéndose en evidencia del trabajo desarrollado por el auditor, mostrando todas sus
fases y sirviendo como respaldo para presentar los informes respectivos., Como ejemplo
se tiene: el programa de trabajo, utilización de datos de prueba, verificación al contenido
de archivos, utilización de programas de auditoría, revisión lógica a los programas del área
auditada.

Resultados de La Auditoria

Cargado por

Copyright:

Formatos disponibles

Resultados de La Auditoria

Cargado por

Información del documento

Descripción original:

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Resultados de La Auditoria

Cargado por

Copyright:

Formatos disponibles

RESULTADOS DE LA AUDITORIA

A continuación se presenta un ejemplo de la valoración de dos procesos evaluados en un sistema y

A continuación se presentan los resultados definitivos de la auditoria y las recomendaciones de

a. Objetivo de la Auditoria: Conceptuar sobre organización y relaciones entre el personal, los

b. Dictamen:Se califica un nivel de madurez 3 DEFINIDO, por cuanto los procesos,

 El manual de procesos y perfiles no se ha actualizado de acuerdo a los módulos del

 Se encontró que la empresa contratista del sistema ejecuta labores de captura de la

 Se encontró que el funcionario encargado del módulo de auditoría, realiza solamente el

 Diseñar Bitácora de procesos y perfiles de acuerdo al manual actualizado de funciones y

 Documentar y diferenciar en forma precisa los procesos, políticas administrativas y

PROCESO COBIT: P09: EVALUAR Y ADMINISTRAR LOS RIESGOS DEL SIC.

a. Objetivo de la Auditoria: Medir los riesgos, su probabilidad e impacto sobre el aplicativo,

b. Dictamen:Se estableció un nivel de madurez 2 REPETIBLE por cuanto se hacen análisis y

c. Hallazgos que soportan el Dictamen:

 Aunque existe documentación sobre auditorias anteriores y análisis y evaluación de

 No se encontró una política claramente documentada para el manejo de riesgos que

· Implementar el software de administración de riesgos y establecimiento de controles al sistema en

· Capacitar al personal encargado de auditar el sistema, sobre la identificación de riesgos, medición e

· Implementar un estándar como metodología para el análisis y la evaluación de riesgos informáticos,

GUÍA DE PRUEBA P1.

Dominio Adquisición e Implementación

Proceso AI3: Adquirir y mantener la arquitectura tecnológica

Objetivo de Control Evaluación de Hardware

Riesgos Asociados R15, R16, R18, R19

1 No hay bitácoras En las aulas de informática no se lleva un registro de

GUÍA DE PRUEBA P2.

Aulas de informática Institución Educativa R/PT: C2

Dominio Adquisición e Implementación

Proceso AI3: Adquirir y mantener la arquitectura tecnológica

Objetivo de Control Mantenimiento Preventivo para Hardware

Riesgos Asociados R15, R16, R18, R19

1 No se programan La Institución educativa no tiene programados jornadas de

2 No se sugieren La Institución educativa solamente da de baja equipos no

GUÍA DE PRUEBA P3.

Aulas de informática Institución Educativa R/PT: C3

Dominio Entrega de Servicios y Soportes

Proceso DS12: Administración de Instalaciones

Objetivo de Control Escolta de Visitantes

Riesgos Asociados R20,R21,R2

1 Img-01: Aula de No hay una buena identificación de las aulas de informática de la

2 Img-04: Área no No existen identificación de áreas restringidas dentro de las salas

3 Img-05: No existen No existen ningún tipo de detectores de humo, temperatura

4 Img-06: No hay Las señalización para salidas de emergencia no están instaladas o

5 Img-11: Los interruptores de emergencia no están debidamente

6 Img-12: Los interruptores de emergencia no están debidamente

GUÍA DE PRUEBA P4.

Dominio Entrega de Servicios y Soportes

Proceso Protección contra Factores Ambientales

Objetivo de Control Controles Ambientales

Riesgos Asociados R17

GUÍA DE PRUEBA P5.

Aulas de informática Institución Educativa R/PT: C5

Dominio Entrega de Servicios y Soportes

Proceso DS12: Administración de Instalaciones

Objetivo de Control Suministro Ininterrumpido de Energía

Riesgos Asociados R1,R2,R3,R4,R5,R6

1 Img-08: Existen cables en el suelo que estorban a los usuarios

2 Img-09: Existen en el techo de las salas cables sueltos sin marcar

GUÍA DE PRUEBA P6.