Fase3 PlaneaciónyEjecucióndelaAuditoria Grupo 30

Unidad 2- Fase 3.
Planeación y Ejecución de la Auditoria
Entregado por:
Ereyde Paladinez Chávez

Juan Camilo Tobón
José Yecid Verjan
Johan Sebastián Flórez Código:
Grupo: 90168_30
Presentado a:
Francisco Nicolás Solarte
Tutor
Universidad Nacional Abierta Y A Distancia - Unad

Escuela De Ciencias Básicas Tecnología E Ingeniería
Auditoria De Sistemas
Florencia-Caquetá
Marzo De 2018.
Introducción.
El estudiante aprende a diseñar los instrumentos de recolección de la información de

acuerdo al estándar CobIT aplicado.
El estudiante selecciona el personal clave dentro de la empresa que pueda responder a los
instrumentos diseñados y los aplica. Tiene la finalidad de exponer las normas COBIT de
manera simple y comprensible para ello además de realizar un desarrollo teórico de las
mismas se incluye un análisis de la situación actual de los departamentos que comprenden
la empresa “Oficina Provincial de presupuesto Central Administrativa y Contable Florencia
“. Explicando si sus procesos y análisis cumplen con la norma establecida.
En la actualidad, para las organizaciones empresariales, es vital que se evalúen constante y
regularmente todos los procesos que en ellas se llevan a cabo, con el fin de verificar su
calidad y suficiencia en cuanto a los requerimientos de negocio para la información:
control, integridad y confidencialidad.
Por ello, los sistemas informáticos, como medios automatizados para soportar dichos
procesos, permiten materializar uno de los recursos relevantes para cualquier organización
empresarial.
Objetivos.
 Investigar, desarrollar, publicar y promover un conjunto internacional y actualizado

de objetivos de control para las tecnologías de información que sea de uso cotidiano
para gerentes y auditores
 Apoyar las decisiones de inversión en TI y control sobre el rendimiento de las

mismas, analizando la relación de costo beneficio
 Soportar las opiniones sobre los controles de los proyectos de TI , su impacto en la

organización y determinar el control mínimo requerido
 La responsabilidad en los controles de las TI por parte del personal que requieren
sus áreas.
Informe de Construcción Grupal.
Procesos trabajados en la anterior actividad.
 AI2 Adquirir y Mantener Software Aplicativo.

 DS1 Definir y administrar los niveles de servicio.
 DS5 Garantizar la Seguridad de los Sistemas.
 DS7 Educar y Entrenar a los Usuarios.
 DS12 Administración del Ambiente Físico
 ME2 Monitorear y Evaluar el Control Interno.
 ME3 Garantizar el Cumplimiento con Requerimientos Externos.
Cuadro de los procesos seleccionados del estándar CobIT
ESTUDIANTE PROCESO
AI2 Adquirir y Mantener Software Aplicativo.

Ereyde Paladinez Chávez DS5 Garantizar la Seguridad de los Sistemas.
DS7 Educar y Entrenar a los Usuarios.

Juan Camilo Tobón. ME2 Monitorear y Evaluar el Control Interno.
DS12 Administración del Ambiente Físico

José Yecid Verjan ME3 Garantizar el Cumplimiento con
Requerimientos Externos.
Johan Sebastián Flores. DS1 Definir y administrar los niveles de servicio.
 Cuadro de definición de fuentes de conocimiento, pruebas de análisis de

auditoria.
PAGINA
ENTIDAD AUDITADA Oficina Provincial de Presupuesto
1 DE 1
PROCESO AUDITADO Funcionamiento del aspecto físico de la red de datos
RESPONSABLE Grupo colaborativo N° 30
MATERIAL DE
COBIT
SOPORTE
DOMINIO Adquirir e Implementar. (AI).

PROCESO AI2 Adquirir y Mantener Software Aplicativo
REPOSITORIO DE PRUEBAS APLICABLES

FUENTES DE
CONOCIMIENTO DE ANALISIS DE EJECUCION
 Verificar en los
inventarios las
actas de
 Ingeniero de Sistemas, adquisición de los
encargado del área. softwares y los Se implementarán pruebas
números en las de intrusión, para
 Soportes de las licencias de licencias comprobar la efectividad
las aplicaciones. proporcionadas de la protección de la
 Soportes de las fechas de que sean información, y pruebas de
actualizaciones, actualizados. testeo con el fin de
mantenimientos y  Revisión de las verificar la calidad del
configuraciones a cualquier fechas de software.
software adquirido. mantenimientos, de
configuraciones y
actualizaciones de
los softwares.
ENTIDAD PAGINA
Oficina Provincial de Presupuesto
AUDITADA 1 DE 1
PROCESO
Funcionamiento del aspecto físico de la red de datos
AUDITADO
MATERIAL DE
COBIT
SOPORTE
DOMINIO ENTREGAR Y DAR SOPORTE. (DS5).
PROCESO DS5 Garantizar la Seguridad de los Sistemas
FUENTES DE REPOSITORIO DE PRUEBAS APLICABLES
CONOCIMIENTO DE ANALISIS DE EJECUCION
 Verificar en los
 Soportes de las licencias inventarios las actas Se implementarán pruebas de
de los softwares de de adquisición de intrusión, para comprobar la
seguridad. los softwares de efectividad de la protección
 Reportes de las pruebas seguridad, y que los de la información, y pruebas
de actualizaciones de las números en las de testeo con el fin de
cuentas de usuario. licencias sean verificar la calidad del
 Documentos de actualizados. software, pruebas de
implementación de las  Revisión de las seguridad en redes, para
IPs en la empresa. fechas de contar con la seguridad
actualizaciones de necesaria en la red evaluada.
las cuentas de
usuario.
 Verificación de la
implementación de
las IPs
ENTIDAD Oficina Provincial de Presupuesto PAGINA

AUDITADA 1 DE 1
OBJETIVO Analizar el estado real del software y demás componentes del área tecnológica
AUDITORÍA
PROCESO Indicadores de funcionamiento de los componentes del área tecnológica
AUDITADO
MATERIAL DE SOPORTE COBIT
DOMINIO Adquirir e Implementar. PROCESO AI2 Adquirir y Mantener Software
(AI). Aplicativo
ENTREVISTADO María Esperanza Duque

CARGO Auxiliar Contable
1. ¿El software contable que se desarrolló es estable en su funcionamiento?

Cuando estuvo de prueba se caia a cada rato, pero lo mejoraron y en estos momentos su
funcionamiento es estable, tiene caídas, pero no son constantes.
2. ¿Cuándo ha tenido las caídas conserva la información sobre la cual se trabaja o no?
No, si uno no la ha estado guardando se borra.
3. ¿Usted recibió capacitaciones en el momento sobre el uso del software?

Si, pero, solo cuando lo instalaron, en el momento en que desarrollan actualizaciones a
veces me complico porque no hacen las capacitaciones y uno se enreda.
NOMBRE ENTREVISTADO AUDITOR RESPONSABLE
María E. Duque. Ereyde Paladinez

FIRMA
ENTIDAD Oficina Provincial de Presupuesto PAGINA

AUDITADA 1 DE 1
OBJETIVO Analizar el estado real del software y demás componentes del área tecnológica
AUDITORÍA
PROCESO Indicadores de funcionamiento de los componentes del área tecnológica
AUDITADO
MATERIAL DE SOPORTE COBIT
DOMINIO DS5 Garantizar la Seguridad PROCESO ENTREGAR Y DAR SOPORTE.
de los Sistemas (DS5).
ENTREVISTADO María Esperanza Duque

CARGO Auxiliar Contable
4. ¿El software contable le pide contraseña para su ingreso?

Si
5. ¿Su cuenta es conocida por el contador, o alguien más de la administración?
No, son personales, inicialmente nos dan una con el usuario, pero nosotros la cambiamos
luego.
6. ¿Usted usa internet?

Si.
7. ¿Hay algún tipo de restricción en cuanto a las páginas de navegación?

No, cada cual es autónomo en su oficina.
NOMBRE ENTREVISTADO AUDITOR RESPONSABLE
María E. Duque. Ereyde Paladinez

FIRMA
 Formato de entrevista.
ENTREVISTA
Adquirir e Implementar AI2 Adquirir y Mantener
DOMINIO PROCESO
(AI). Software Aplicativo
OBJETIVO DE CONTROL 4. Seguridad y Disponibilidad de las Aplicaciones.
N° CUESTIÓN RESPUESTA
1 ¿Cada vez que se accede al sistema se Es un poco lento, pero todas las
puede trabajar de manera inmediata en aplicaciones abren solo hay que darles
la aplicación que requiere? tiempo.
2 ¿Si alguna aplicación presenta fallas, Si la falla es sencilla si, pero hay ocasiones
se soluciona de forma rápida y eficaz? en que las fallas no se solucionan el mismo
día.
OBJETIVO DE CONTROL 5. Configuración e Implementación de Software Aplicativo
Adquirido.
¿Cuándo se implementó el software Si claro, a todo el personal contable.
3 nuevo, desarrollaron jornadas de
capacitación?
Hubo un tiempo de prueba de más de 2
¿Desde el momento en que se meses, durante ese periodo se caía mucho la
4 implementó el software ha tenido fallas plataforma, en ese caso los ingenieros se
en su funcionamiento? ¿Como las hicieron cargo, y ahora se cae de vez en
solucionaron? cuando, pero pienso que eso pasa en todos
lados.
OBJETIVO DE CONTROL 6. Actualizaciones Importantes en Sistemas Existentes.
5 ¿Cada cuánto tiempo se implementan Cada año, aproximadamente.
actualizaciones del sistema?
¿Cuándo se realizan las actualizaciones Se realizan con la versión más actualizada
6 las realizan con la misma versión u del sistema, debido a que muchas veces se
otra? ¿Con cuál, porque cambian la mejoran las actualizaciones de seguridad y
versión? también otros beneficios
7 ¿Al realizar las actualizaciones, se No.
brindan nuevas capacitaciones?
OBJETIVO DE CONTROL 8. Aseguramiento de la Calidad del Software.
¿Se implementaron pruebas para Si, como le dije anteriormente hubo 2
8 corroborar la calidad del software, meses de prueba.
antes de que fuese definitiva su
adquisición?
ENTREVISTA
DS5 Garantizar la Seguridad de

DOMINIO Entregar Y Dar Soporte PROCESO
los Sistemas
(DS).
OBJETIVO DE CONTROL 3. Administración de Identidad.
1 ¿Cada vez que se accede al sistema Si, la clave y el usuario.
este le solicita una contraseña de
usuario?
2 ¿Qué sucede en el caso de que alguien En ese caso debe informar a la
olvide su contraseña? administración para acceder a una nueva.
OBJETIVO DE CONTROL 4. Administración de Cuentas del Usuario.
¿Cuánto tiempo pasa antes de hacer Cada 3 meses, debido a que tenemos
3 una actualización en el nombre de empleados temporales el sistema se
usuario y contraseña? Explique. mantiene actualizando.
¿Qué medidas toman en caso de que

4 alguien, piense o sienta que su Simplemente se le actualiza por una nueva.
contraseña ha sido comprometida?
OBJETIVO DE CONTROL 9. Prevención, Detección y Corrección de Software
Malicioso.
¿Tienen campañas informativas sobre En realidad, no tantas como se debería, se
5 los softwares maliciosos y la forma de asume de que todos son profesionales en el
prevenirlos? área y eso lo den saber.
6 ¿Todas las personas de la oficina Noo, en realidad no hay restricciones para
tienen restricciones al uso del internet? ninguna persona.
OBJETIVO DE CONTROL 10. Seguridad de la Red.
¿A parte del Ingeniero de Sistemas Si, él tiene dos auxiliares que el mismo
7 encargado de esta zona, alguien más supervisa.
modifica las redes? Si - ¿Quién lo
supervisa?
REF
ENTIDAD Oficina provisional de presupuesto PAGINA

AUDITADA 1 DE 1
OBJETIVO Reconocer nuevos riesgos que de la empresa que se pudieron pasar por alto. En la
AUDITORÍA primera auditoria
PROCESO Ver si el software, hardware y el establecimiento funcionan y si cumplen con las
AUDITADO normas de seguridad.
RESPONSABLE Juan camilo Tobón Gutiérrez
MATERIAL DE SOPORTE COBIT 4.1
DOMINIO Entregar y Dar PROCESO DS7
Soporte (DS)
ENTREVISTADO Faisuli Gómez

CARGO Jefe del departamento administrativo.
1. ¿En qué ubicación están las torres de las computadoras?
Debajo del escritorio

2. ¿Los trabajadores ingieren alimentos en presencia de las computadoras?
Si
Cuales productos alimenticios:
Gaseosas, jugos, empanadas, pan, desayunan, almuerzan.
3. ¿Las computadoras permite a los usuarios descargar programas directamente de internet?
No permite.
4. ¿Qué restricciones tiene la computadora con los usuarios a la hora de acceder a internet?
No se puede ingresar a redes sociales, ni aplicaciones de reproducción en mp4, se bloquean

páginas, y solo se permiten ver imágenes, pero bloquean su enlace para entrar a la página de
origen.
5. Las computadoras cuentan con antivirus.
Si
Cual antivirus:
Avast free antivirus
6. Las computadoras se apagan
Si
Por qué:
Por qué el turno dura 8 horas, las computadoras solo se utilizan para cuando el personal está
activo, por tanto, si no esta no hay necesidad de utilizarlas.
7. ¿La pantalla está ubicada en el escritorio o está pegada en la pared o en otra área diferente?
En el escritorio
8. Los trabajadores pueden ingresar discos cd o memorias USB a la computadora
Si
Faisuli Gómez
Juan camilo Tobón Gutiérrez

REF
ENTIDAD Oficina provisional de presupuesto PAGINA

AUDITADA
1 DE 1
OBJETIVO Reconocer nuevos riesgos que de la empresa que se pudieron pasar por alto. En
AUDITORÍA la primera auditoria
PROCESO Ver si el software, hardware y el establecimiento funcionan y si cumplen con las

AUDITADO normas de seguridad.
RESPONSABLE Juan camilo Tobón Gutiérrez
MATERIAL DE SOPORTE COBIT 4.1
DOMINIO Monitorear y Evaluar PROCESO ME2
ENTREVISTADO Javier Aragón

CARGO Jefe del departamento de Reparación y
Adaptación
1. El establecimiento donde se albergan las computadoras cuanta con Ups.
(sistema de alimentación interruptora)?
Si
2. El establecimiento cuenta con señalización para evacuar en caso de incendio o un desastre natural.
Si
Que señalización tiene:
Señalización para evacuación en caso de incendio, terremoto e inundación, están ubicadas en las paredes
de la empresa con flechas o signos indicando donde ir.
3. Con que equipos de incendio cuenta cada departamento
Por departamento hay 1 extintor,
Pulsadores de alarmas antiincendios.
1 salida de emergencia por cada departamento.
4. El absceso al departamento de terceros está controlado.

Si.
Como:
Hay una regla de cero personal autorizado en los departamentos administrativos.
Utiliza un carnet, para cada trabajador, que los identifica y certifica que son trabajadores de la empresa.
Sin esto no puede pasar a las oficinas.
5. Quienes utilizan los recursos del departamento tic.
Los departamentos administrativos que son los mayores consumidores de estos recursos y la tecnología
informática (departamento de sistemas) que están conformados por 3 personas y computadores.
6. Quien se encarga de verificar que el computador este completo con sus partes (ratón, teclado,
pantalla, micrófonos, auriculares, impresoras etc.)
Departamento de sistemas encargada la ingeniera de sistemas que tiene bajo su poder a los técnicos, para
verificar cada activo del departamento ti.
Javier Aragón Juan camilo Tobón Gutiérrez.
Entrevista: Entrenar y educar a los usuarios
ENTREVISTA
ME2 Monitorear y evaluar el
DOMINIO Monitorear y Evaluar (ME) PROCESO
control interno
Verificar que el establecimiento cuenta con los recursos
OBJETIVO DE CONTROL necesarios para que tenga un buen funcionamiento y
evitar futuros daños.
Nº CUESTIÓN RESPUESTA
1 ¿se realiza una evaluación antes de Si se realiza
acomodar la señalización de evacuación
de la organización?
2 ¿se cambian regularmente las tomas Si se hace una revisión cada 2 meses
eléctricas y el UPS?
3 ¿se verifica que los equipos estén en Si cada 3 meses
buen estado, para estar preparados a los
posibles incendios?
4 ¡La empresa realiza capacitaciones de Si 3 veces en el año
evacuación a sus trabajadores?
Entrevista: Entregar y Dar Soporte
ENTREVISTA
Entregar y Dar Soporte DS7 Entrenar y educar a los
DOMINIO PROCESO
(DS) usuarios
Verificar los procesos que se desarrollan para el
OBJETIVO DE CONTROL trabajador cuide su herramienta de trabajo en este caso
la computadora.
Nº CUESTIÓN RESPUESTA
1 ¿Los computadores fueron ubicados Si
estratégicamente, para a largar su vida?
2 ¿Se presentan normas establecidas para Si se presentan
el cuidado de los computadores?
3 ¿Se evalúa las causas de los daños que Si, se realiza todos los meses
tiene la computadora?
4 ¿La empresa cuenta con sanciones para No existen sanciones si se re
los empleados que no cumplen con las
normas de cuidado para las
computadoras?
Entrevista: Administrar los Servicios de Terceros
ENTREVISTA
ENTREGAR Y DAR SOPORTE DS12: Administración del ambiente

DOMINIO PROCESO
(DS), físico
OBJETIVO DE CONTROL DS12.1 Selección y Diseño del Centro de Datos

1 ¿El lugar donde se desempeñará cuenta Si, se cuenta con los espacios
con los espacios y adecuaciones
suficientes para el óptimo
funcionamiento de los equipos de
cómputo?
2 ¿El cableado estructurado permite el Si, se cuenta con el cableado.

desarrollo normal de las actividades?
OBJETIVO DE CONTROL DS12.2 Medidas de seguridad física

¿En el lugar se implementan puertas de Si, se cuenta con los elementos de seguridad
3 acceso, seguros y demás mecanismos de
seguridad?
¿El área se encuentra adecuada con rejas Si se cuentan con los elementos de seguridad
de seguridad, candados en las puertas de
4 los servidores y seguros en las puertas?
OBJETIVO DE CONTROL DS12.3 Acceso Físico

5 ¿Qué personal está autorizado para Si se controla el acceso
ingresar a este espacio? ¿En qué
condiciones se controla?
¿Se controla el ingreso del personal? Si, se evidencian controles
6
OBJETIVO DE CONTROL DS12.4 Protección Contra Factores Ambientales
¿Se cuenta con un plan de contingencia en Si
7 caso de desastre natural?
8. ¿En caso de siniestro que medidas de De acuerdo con el plan de contingencia

contingencia se adoptan?
OBJETIVO DE CONTROL DS12.5 Administración de Instalaciones Físicas

¿Se adelantan periódicamente los Si se efectúan
9 mantenimientos necesarios a las
locaciones?
10. ¿Se realizan los mantenimientos Si se realizan los debidos mantenimientos
preventivos y correctivos a las redes y
cableados de los equipos eléctricos para el
óptimo funcionamiento de los equipos de
cómputo?
ENTREVISTA
MONITOREAR Y EVALUAR ME3: Garantizar el cumplimiento con

DOMINIO PROCESO
(ME) requerimientos externos
OBJETIVO DE CONTROL ME3.1 Identificar los Requerimientos de las Leyes, Regulaciones y

Cumplimientos Contractuales
1 ¿Se establecen las pautas y cláusulas de Si se revisan los procesos contractuales

permanencia para contratar los servicios
de internet?
2 ¿Se verifican las condiciones para la Si, se hacen las verificaciones por parte del
adquisición de los servicios de comité jurídico
navegación?
OBJETIVO DE CONTROL ME3.2 Optimizar la Respuesta a Requerimientos Externos

¿Se hace el seguimiento necesario a la Si,
3 solicitud de requerimientos?
¿Qué tan efectiva es la respuesta a las No muy asertivas.
solicitudes?
4
OBJETIVO DE CONTROL ME3.3 Evaluación del Cumplimiento con Requerimientos Externos
5 ¿Se evalúa el cumplimiento de los Sí se evalúa
requerimientos por parte de la sección?
¿En qué condiciones se evalúan el Si se realiza dicha evaluación
6 cumplimiento de las solicitudes al personal
de proveedores?
OBJETIVO DE CONTROL ME3.4 Aseguramiento Positivo del Cumplimiento
¿Una vez hecho el seguimiento a un De acuerdo a su justificación
7 requerimiento este es valorado positivo o
negativamente?
8.
¿Según los requerimientos se logra la
Conforme se su evaluación
calificación positiva para la entidad?
OBJETIVO DE CONTROL ME3.5 Reportes Integrados
¿Se evalúan los reportes presentados por Si se evalúan
9 los proveedores con el fin de adoptar la
decisión más viable y funcional?
10. ¿Son los reportes integrados funcionales En ocasiones
para la entidad?
ENTREVISTA
DOMINIO Definición de servicio (DS) PROCESO Definir y administrar

OBJETIVO DE CONTROL Acceso y configuración del sistema
1 ¿Cada vez que se accede al sistema no tiene Abre bien, pero a veces se demora para abrir.
inconvenientes al hacer los trabajos
requeridos?
2 ¿Le parece que la configuración y los Se necesita que la interfaz sea mejor distribuida
iconos están de forma correcta? para entenderla.
OBJETIVO DE CONTROL Actualizaciones y control de acceso.
¿Siente que el programa no recibe cambios Si claro, se hacen los cambios según las
3 de una forma rápida? sugerencias.
Si, la implementación de contraseñas es seguro
¿en el área de trabajo donde labora, usted y no he tenido inconvenientes
4 cree que la forma de ingresar al programa es
segura?
OBJETIVO DE CONTROL Protección de información y capacitación
5 ¿Cuándo está trabajando ha tenido Cada vez que hacen un cambio al sistema,
problemas para encontrar la información que aproximadamente.
necesita?
¿La información que tiene en el equipo se le Algunas veces se pierden los trabajos que se
6 ha perdido? están haciendo, pero en algunos casos se
alcanzan a recuperar parte de la información
7 ¿se brindan nuevas capacitaciones? No.
OBJETIVO DE CONTROL Problemas al guardar la información
¿Se ha presentado el caso de que un trabajo Si, algunas veces no hay copias de la
8 desarrollado en el equipo se halla perdido? información.
 Lista De Chequeo
LISTA CHEQUEO
Adquirir e Implementar. AI2 Adquirir y Mantener
DOMINIO PROCESO
(AI). Software Aplicativo
OBJETIVO DE CONTROL 4. Seguridad y Disponibilidad de las Aplicaciones.
CONFOR
Nº ASPECTO EVALUADO ME OBSERVACIÓN
SI NO
¿Las aplicaciones que usted necesita en su
Algunas no son tan estables, pero
1 trabajo son estables en su uso diario? X
la mayoría sí.
5. Configuración e Implementación de Software Aplicativo

OBJETIVO DE CONTROL
Adquirido.
¿El software que se maneja en esta área es Existen momentos naturalmente
2 X de caídas, pero, es muy bueno
estable?
para trabajar
OBJETIVO DE CONTROL 6. Actualizaciones Importantes en Sistemas Existentes.
3 ¿Hacen actualizaciones constantemente? X
OBJETIVO DE CONTROL 8. Aseguramiento de la Calidad del Software.

¿Están realizando pruebas constantes al
Solo cuando suceden fallas se
4 desarrollo del software? X
determina el daño y se arregla.
LISTA CHEQUEO
Entregar Y Dar Soporte DS5 Garantizar la Seguridad
DOMINIO PROCESO
(DS). de los Sistemas
OBJETIVO DE CONTROL 3. Administración de Identidad.
CONFOR
Nº ASPECTO EVALUADO ME OBSERVACIÓN
SI NO
¿Tienen programas anti-espías? Me parece que esos softwares son
1 X
muy costosos.
OBJETIVO DE CONTROL 4. Administración de Cuentas del Usuario.
¿Entre compañeros se prestan sus equipos En ocasiones, cuando algunos
2 X
de trabajo? equipos están lentos
OBJETIVO DE CONTROL 9. Prevención, Detección y Corrección de Software Malicioso.
3 ¿Hacen actualizaciones constantemente? X
OBJETIVO DE CONTROL 10. Seguridad de la Red.
4 ¿Cambian las contraseñas con frecuencia? X Las actualizan cada 3 meses.
Lista Chequeo
Dominio Entregar y Dar Soporte (DS) Proceso DS7 Entrenar y educar a los usuarios
DS7.1 identificación de necesidades de entrenamiento y
Objetivo de control
educación.
conforme
Nº Aspecto evaluado Observación
SI NO
¿se realizó un análisis de los hábitos
El análisis fue discreto, puesto
que tiene cada trabajador en su turno
1 x que no se quería molestar a los
de 8 horas frente a la computadora?
trabajadores
Objetivo de control DS7.2 Impartición de entrenamiento y educación

¿existe tutores en cargados para
2 x Existe un auditor
auditar?
Objetivo de control DS7.2 Impartición de entrenamiento y educación
¿existe las herramientas, necesarias
Si la organización tiene un
para realizar la auditoria como, el
3 x salón que fue adaptado para la
aula, televisor para la presentación,
auditoria.
computadores, sillas entre otro?
Objetivo de control DS7.3 Evaluación del entrenamiento recibido
¿la organización permite que se
analice a los trabajadores auditados Si pero se debe realizar
4 para saber cómo han mejorado sus x discretamente, para no
hábitos de trabajo? interrumpir a los trabajadores.
Lista Chequeo
Monitorear y Evaluar ME2 Monitorear y evaluar el
Dominio Proceso
(ME) control interno
Objetivo de control ME2.1 Monitoreo del marco de trabajo de control interno
conforme
SI NO
se realizó una inspección del entorno El análisis se realizó en toda la
1 Ti y el entorno administrativo x organización para ver en qué
estado está estos dos entornos
Objetivo de control ME2.2 Revisiones de Auditoria
Se realizo un análisis del control que
Si se revisó la dependencia que
2 tiene el departamento Ti sobre el x
tiene este entorno del entorno ti
administrativo
Objetivo de control ME2.3 Excepciones de Control
Exististe un control de ingreso para Los trabajadores tienen un
3 x
los trabajadores carnet de identificación
Objetivo de control ME2.4 Control de Auto Evaluación
La gerencia toma y recapacita sobre
los contratos que tiene el
4 departamento de ti y es consiente para x
que son utilizados
Objetivo de control ME2.5 Aseguramiento del control interno

Existe revisiones de terceros sobre las
Es importante tener la opinión
5 acciones que toman la empresa x
de una tercera persona
Lista Chequeo
ENTREGAR Y DAR DS12: Administración del
Dominio Proceso
SOPORTE (DS), ambiente físico
Objetivo de control DS12.1 Selección y Diseño del Centro de Datos
conforme
SI NO CP
¿El lugar donde se desempeña cuenta
1 con los espacios y adecuaciones x
suficientes para el óptimo
funcionamiento de los equipos de
cómputo?
¿El cableado estructurado permite el

2 x
desarrollo normal de las actividades?
Objetivo de control DS12.2 Medidas de seguridad física
¿En el lugar se implementan puertas

3 de acceso, seguros y demás x
mecanismos de seguridad?
¿El área se encuentra adecuada con
rejas de seguridad, candados en las
4 x
puertas de los servidores y seguros en
las puertas?
Objetivo de control DS12.3 Acceso Físico
¿Qué personal está autorizado para

5 ingresar a este espacio? ¿En qué x
condiciones se controla?
6 ¿Se controla el ingreso del personal? x
Objetivo de control DS12.4 Protección Contra Factores Ambientales
¿Se cuenta con un plan de

7 contingencia en caso de desastre x
natural?
¿En caso de siniestro que medidas de
8 X
contingencia se adoptan?
Objetivo de control DS12.5 Administración de Instalaciones Físicas
¿Se adelantan periódicamente los

9 mantenimientos necesarios a las X
locaciones?
¿Se realizan los mantenimientos
10 preventivos y correctivos a las redes y X
cableados de los equipos eléctricos
para el óptimo funcionamiento de los
equipos de cómputo?
Lista Chequeo
ME3: Garantizar el
MONITOREAR Y
Dominio Proceso cumplimiento con
EVALUAR (ME)
requerimientos externos
ME3.1 Identificar los Requerimientos de las Leyes,
Objetivo de control
Regulaciones y Cumplimientos Contractuales
conforme
SI NO CP
¿Se establecen las pautas y cláusulas
1 de permanencia para contratar los x
servicios de internet?
¿Se verifican las condiciones para la
2 adquisición de los servicios de x
navegación?
Objetivo de control ME3.2 Optimizar la Respuesta a Requerimientos Externos
¿Se hace el seguimiento necesario a la

3 x
solicitud de requerimientos?
¿Qué tan efectiva es la respuesta a las
4 X
solicitudes?
ME3.3 Evaluación del Cumplimiento con Requerimientos
Objetivo de control
Externos
¿Se evalúa el cumplimiento de los
5 requerimientos por parte de la X
sección?
¿Bajo qué condiciones se evalúan el
6 cumplimiento de las solicitudes al X
personal de proveedores?
ME3.4 Aseguramiento Positivo del Cumplimiento
Objetivo de control
¿Una vez hecho el seguimiento a un
7 requerimiento este es valorado X
positivo o negativamente?
¿Según los requerimientos se logra la
8 X
calificación positiva para la entidad?
Objetivo de control ME3.5 Reportes Integrados
¿Se evalúan los reportes presentados

por los proveedores con el fin de
9 X
adoptar la decisión más viable y
funcional?
¿Son los reportes integrados
10 X
funcionales para la entidad?
 Formato Cuestionario.
Oficina Provincial de presupuesto Central Administrativa y Contable Florencia
Cuestionario de Control: C1
Dominio Adquirir e Implementar. (AI).
Proceso AI2 Adquirir y Mantener Software Aplicativo
Pregunta Si No OBSERVACIONES
¿Los equipos cuentan con el hardware necesario para el

desarrollo del trabajo? 3
¿El software implementado en esta sección es suficiente para 6

un buen desarrollo del trabajo?
¿Usted cree que las el funcionamiento de las aplicaciones con En ocasiones generan
las que interactúa a diario, tienen todos los elementos que mucha lentitud en los
8
necesita para desarrollar con efectividad su trabajo? equipos.
¿A su criterio el programa antivirus que se maneja es

5
suficiente para toda su actividad?
¿Las actualizaciones de las aplicaciones mejoran el 8 En realidad, no se nota su

rendimiento de su trabajo? influencia.
¿Cree que es importante la seguridad que le da su usuario y
contraseña a su equipo de trabajo?
9
TOTALES 18 21
Porcentaje de riesgo parcial = (Total 18 * 100) / 39 = 46.15

Porcentaje de riesgo = 100 – 46.16 = 53.84
1% - 30% = Riesgo Bajo

31% - 70% = Riesgo Medio
71% - 100% = Riesgo Alto
RIESGO:
Porcentaje de riesgo parcial: = 46.16%
Porcentaje de riesgo = 53.84%
Impacto según relevancia del proceso: Riesgo Medio
Dominio Entregar Y Dar Soporte (DS).
Proceso DS5 Garantizar la Seguridad de los Sistemas
Pregunta Si No OBSERVACIONES
En ocasiones ocupamos
¿Los equipos son herramientas de trabajo individuales? otros, cuando se pone lento
7
alguno
¿Las conexiones eléctricas y del sistema permanecen en

óptimas condiciones para brindar un buen desarrollo del
6
trabajo?
¿Solo una persona es encargada de administrar y corregir Generalmente el Ingeniero,

errores con las cuentas de usuario? o si no los auxiliares.
8
5 El buscador que manejamos

¿El buscador que manejan en la internet les avisa
es Chome y no bloquea las
frecuentemente cuando hay peligro de páginas con virus?
paginas
¿Existen informes de incidentes con virus que afectara toda 9

esta área?
¿La red cumple con los requerimientos de este 4 Siempre es muy lento para
departamento? la cantidad del trabajo.
TOTALES 22 17

Porcentaje de riesgo = 100 – 23.41 = 76.58

RIESGO:
Porcentaje de riesgo = 76.58%
Impacto según relevancia del proceso: Riesgo Alto
Dominio ENTREGAR Y DAR SOPORTE (DS),
Proceso DS12.1 SELECCIÓN Y DISEÑO DEL CENTRO DE DATOS
Pregunta Si No OBSERVACIONE
S
¿El lugar donde se desempeñara cuenta con los espacios y 4
adecuaciones suficientes para el óptimo funcionamiento de
los equipos de cómputo?
¿El cableado estructurado permite el desarrollo normal de las 5

actividades?
DS12.2 Medidas de seguridad

Proceso
física
¿En el lugar se implementan puertas de acceso, seguros y 4

demás mecanismos de seguridad?
El área se encuentra adecuada con rejas de seguridad, 5
candados en las puertas de los servidores y seguros en las
puertas?
Proceso DS12.3 Acceso Físico
Qué personal está autorizado para ingresar a este espacio? 3

¿Bajo qué condiciones se controla?
¿Se controla el ingreso del personal? 4
Proceso DS12.4 Protección Contra

Factores Ambientales
¿Se cuenta con un plan de contingencia en caso de desastre 4

natural?
¿En caso de siniestro que medidas de contingencia se 4
adoptan?
DS12.5 Administración de
Proceso
Instalaciones Físicas
¿Se adelantan periódicamente los mantenimientos necesarios 3

a las locaciones?
¿Se realizan los mantenimientos preventivos y correctivos a 3

las redes y cableados de los equipos eléctricos para el óptimo
funcionamiento de los equipos de cómputo?
TOTALES 29 10

Porcentaje de riesgo = 100 – 74.35= 25.65

RIESGO:
Porcentaje de riesgo = 25.65
Dominio MONITOREAR Y EVALUAR (ME)
Proceso ME3: Garantizar el cumplimiento con requerimientos externos
Pregunta Si No OBSERVACIONE
S
¿Se establecen las pautas y cláusulas de permanencia para 5
contratar los servicios de internet?
¿Se verifican las condiciones para la adquisición de los 5

servicios de navegación?
ME3.2 Optimizar la Respuesta a

Proceso
Requerimientos Externos
¿Se hace el seguimiento necesario a la solicitud de
requerimientos?
Que tan efectiva es la respuesta a las solicitudes? 1

Proceso ME3.3 Evaluación del
Cumplimiento con
Requerimientos Externos
Se evalúa el cumplimiento de los requerimientos por parte de 4

la sección?
¿Bajo qué condiciones se evalúan el cumplimiento de las 4

solicitudes al personal de proveedores?
Proceso ME3.4 Aseguramiento Positivo

del Cumplimiento
¿Una vez hecho el seguimiento a un requerimiento este es 3

valorado positivo o negativamente?
¿Según los requerimientos se logra la calificación positiva 3

para la entidad?
Proceso ME3.5 Reportes Integrados
¿Se evalúan los reportes presentados por los proveedores con 4

el fin de adoptar la decisión más viable y funcional?
¿Son los reportes integrados funcionales para la entidad? 4

TOTALES 30 07

Porcentaje de riesgo = 100 – 81.08= 18.92

RIESGO:
Porcentaje de riesgo = 18.92
 Cuestionario Cuantitativo.
cuestionario cuantitativo Ref
Entidad auditada Oficina Provincial de presupuesto Central pagina

Administrativa y Contable Florencia
1 DE 1
proceso auditado Departamento Administrativo y Departamento TI
ResponsableS Ereyde Paladinez
Material de soporte COBIT 4.1
dominio Adquirir e Implementar. proceso AI2 Adquirir y Mantener Software

(AI). Aplicativo
OBJETIVO DE CONTROL
N pregunta SI NO NA REF
1 ¿Están innovando las aplicaciones de trabajo? 8
2 ¿Realizan capacitaciones en sistemas? 4
3 ¿Tienen programas alternos para cuando hay 7
algún inconveniente con las aplicaciones
principales?
4 ¿Han realizado alguna vez simulacros de 6

desastres informáticos?
TOTAL 12 13
TOTAL, CUESTIONARIO 25
Porcentaje de riesgo parcial = (12 * 100) / 25= 48 %
Porcentaje de riesgo total = 100 – 48 = 52 %
PORCENTAJE RIESGO 47.37 % (Riesgo Medio)
CUESTIONARIO CUANTITATIVO Ref
Entidad auditada Oficina provisional de presupuesto pagina

1 DE 1
proceso auditado Departamento Administrativo y Departamento Ti
ResponsableS Juan camilo Tobón Gutiérrez
dominio Monitorear y Evaluar proceso ME2 Monitorear y evaluar el
(ME) control interno
OBJETIVO DE CONTROL ME2.2 Revisiones de Auditoria

1 Existen informes de las inconsistencias 5 donde 1 no es
halladas en los contratos del departamento importante y 5 es muy
Ti importante
2 Existen informes de los daños encontrados 3
en los departamentos administrativo y ti
3 Se realiza mejoras en el establecimiento 4
para prevenir futuros accidentes
4 Se realizan análisis a nivel general para 4
evitar el ingreso de personal no autorizado
5 Existe un plan b si la empresa tiene daños a 5
nivel estructural como un desastre natural
6 Existen informes de todos los negocios que 2
sean realizado con los proveedores.
TOTAL 18 5
TOTAL CUESTIONARIO 23
Porcentaje de riesgo parcial = (18 * 100) / 23 = 78.26 %
Porcentaje de riesgo total = 100 – 78.26 = 21.73 %
PORCENTAJE RIESGO 21.74 % (Riesgo Bajo)
Cuestionario: Evaluar y administrar los riesgos de TI
cuestionario cuantitativo Ref
Entidad auditada Oficina Provincial de presupuesto Central pagina

Administrativa y Contable Florencia
1 DE 1
proceso auditado DS12 administración del ambiente físico
ResponsableS Jose Yecid Verjan
dominio ENTREGAR Y DAR proceso DS12 administración del ambiente

SOPORTE (DS), físico
OBJETIVO DE CONTROL
1 ¿Existe un marco de referencia para la 3
evaluación sistemática de los riesgos a los que
está expuesta la infraestructura tecnológica de la
institución?
2 ¿Se realiza la evaluación de los riesgos que 3
pueden afectar la infraestructura tecnológica
mediante la utilización de una metodología?
3 ¿Se realiza actualización de los diferentes tipos 3
de riesgos que pueden afectar la infraestructura
tecnológica?
4 ¿Se utilizan métodos cualitativos o cuantitativos 4
para medir la probabilidad e impacto de los
riesgos que pueden afectar la infraestructura
tecnológica?
5 ¿Existe un plan de acción para mitigar los 3

riesgos de la infraestructura tecnológica de
forma segura?
6 ¿Se monitorea el plan de acción? 3
TOTAL 10 09
TOTAL CUESTIONARIO 19
Porcentaje de riesgo parcial = (10 * 100) / 19= 52.63 %
Porcentaje de riesgo total = 100 – 52,63 = 47.37 %
PORCENTAJE RIESGO 47.37 % (Riesgo Medio)
Al final se interpreta el resultado obtenido: Por lo tanto, el proceso se encuentra en un grado de exposición
al riesgo medio de acuerdo a los resultados 47,37 % (Riesgo Medio)
Análisis De Riesgos
Proceso.
AI2 Adquirir y Mantener Software Aplicativo.
N° Descripción Probabilidad Impacto

Baja Media Alta Leve Moderado Catastrófico
R1 Lentitud en los equipos.
X X
R2 Demora en las soluciones X X
de problemas.
R3 Capacitación del X X
personal.
R4 Caída del sistema, X X
esporádicamente.
R5 Falta de actualizaciones X X
con más frecuencia.
Se actualiza con las

versiones más resientes
R6 X X
del sistema.
Faltan capacitaciones al
personal, en las nuevas
R7 X X
versiones del sistema.
R8 Pruebas de calidad del X X
software.
Resultado Matriz de Riesgos en el Software.
Alto R7
61-100%
Medio R2, R5,
31-60% R8.
Bajo R1, R3,
0-30% R4, R6.
Leve Moderado Catastrófico
PROBABILIDAD
IMPACTO
Proceso.
DS5 Garantizar la Seguridad de los Sistemas.

R1 Contraseña para ingresar X X
al sistema
R2 Nueva contraseña, por X X
olvido.
R3 Plazo para actualizaciones X X

de contraseña.
Nueva contraseña por
sospecha de estar
R4 X X
comprometida.
R5 Falta de campañas sobre X X
software maliciosos.
R6 Falta de restricciones para X X

el uso de internet.
Supervisión al personal
encargado del área de
R7 X X
sistemas.
Resultado Matriz de Riesgos en la Red.
Alto R7. R3, R5,

61-100% R6.
Medio
31-60%
Bajo R1, R2,
0-30% R4.
PROBABILIDAD
IMPACTO
SE ACÓMODA AMBOS PROCESO COBIT ME2 / DS7

RIESGOS:
1. Incendio:
Inflamabilidad de materiales: posible pérdida de la información falta de copias de seguridad y Backus
2. Inundación, filtraciones de agua y humedad:
Riesgo de choque eléctrico, posible pérdida de la información falta de copias de seguridad y Backus
3. Uso de software no licenciado en la empresa
Falta de actualización de los programas, ya que son copias ilegales que no obtienen actualización oficial
de las marcas.
4. Inundación
Perder todos los computadores de la empresa, parando el proceso de trabajo
5. Ingreso de comidas
Falta de sanciones por ingresar comidas cuando están enfrente de un computador
6. Sanciones
Crear sanciones para los empleado por no cumplir con las normas
7. Daños
La empresa no cuenta con un plan b para cuando halla daños que dañen totalmente las instalaciones de
administración y ti
ANALISIS Y EVALUACIÓN DE RIESGOS

R1 Incendio: X X
Inflamabilidad de
materiales: posible
pérdida de la información
falta de copias de
seguridad y Backus
R2 Inundación, filtraciones X X
de agua y humedad:
Riesgo de choque
eléctrico, posible pérdida
de la información falta de
copias de seguridad y
Backus
R3 Uso de software no X X
licenciado en la empresa
Falta de actualización de
los programas, ya que son
copias ilegales que no
obtienen actualización
oficial de las marcas.
R4 Inundación X X
Perder todos los
computadores de la
empresa, parando el
proceso de trabajo
R5 Ingreso de comidas X X
Falta de sanciones por
ingresar comidas cuando
están enfrente de un
computador
R6 Sanciones X X
Crear sanciones para los
empleado por no cumplir
con las normas
R7 Daños X X
La empresa no cuenta con
un plan b para cuando
halla daños que dañen
totalmente las
instalaciones de
administración y ti
Resultado Matriz de riesgos para hardware
BILIDA
PROBA
R5
D
Alto
61-100%
Medio R6 R3, R2,R4,R7
31-60%
Bajo R1
0-30%
IMPACTO
MATRIZ PARA MEDICIÓN DE PROBABILIDAD E IMPACTO DE RIESGOS
Ingresos no Ausencia de Ausencia en la Acceso a los equipos

autorizados actualizaciones capacitación de personal de computo
Alto
61-100%
Eliminación indebida de La no existencia de
contenidos de copias de respaldo
información
PROBABILIDAD
Medio Configuración
inadecuada de los
31-60%
sistemas informáticos
No existe control en el Uso de software no
acceso a los equipos licenciado en la
empresa
Ingresos no autorizados
Bajo
0-30%
IMPACTO

R1 Acceso a los equipos de x x
computo
R2 Configuración inadecuada x x
de los sistemas
informáticos
R3 Ausencia de x x
actualizaciones
R4 No existe control en el x x
acceso a los equipos
R5 Ausencia en la x x
capacitación de personal
R6 Uso de software no x x
licenciado en la empresa
R7 Eliminación indebida de x x
contenidos de
información
R8 La no existencia de copias x x
de respaldo
R9 Ingresos no autorizados x x
Resultado Matriz de riesgos para hardware
R3 R5, R7 R1,R8
Alto
61-100%
Medio R2, R4,R9 R6
31-60%
Bajo R9
0-30%
PROBABILIDAD

IMPACTO
 Proceso: DS12 administración del ambiente físico

 Proceso: ME3: garantizar el cumplimiento con requerimientos externos
RIESGOS:
1. Riesgo de choque eléctrico, posible pérdida de la información , falta de copias de seguridad y
backups
2. Riesgos de niveles inadecuados de energía eléctrica posible pérdida de la información , falta plan
de contingencia en copias de seguridad y backups
3. Riesgo en la administración de la información, saboteo, robo, o perdida, falta plan de
contingencia en copias de seguridad y backups
4. Riesgo de pérdida de información por el uso incorrecto en el almacenaje de la misma , falta plan
de contingencia en copias de seguridad y backups en equipos externos
5. Riesgo de interrupción en la comunicación , y transferencia de datos, algunos cables de red se
encuentran al alcance de usuarios, lo que podría presentar manipulación no deseada
6. Robo , o destrucción de la información , falta plan de contingencia en copias de seguridad y
backups en equipos externos
7. Riesgo Posible inhabilitación de equipos de cómputo, pérdida o robo de información
8. Riesgo posibles accesos a tomas de red que son libres y no son controladas
9. Riesgo l área del servidor para las conexiones de red de los equipos no se encuentra con ningún
tipo de seguridad
10. Riesgo Falta de controles y restricciones para el acceso a internet.
11. El empleado o trabajador puede ser una víctima directa o indirecta de una agresión externa en
contra de la Empresa.
12. El Ingeniero encargado la administración de los sistemas de la empresa, no cumple con las
funciones de administración de la seguridad del sistema y tampoco tiene implementados controles
de seguridad por lo que se han presentado ataques al sistema

R1 Riesgo de choque
eléctrico, posible pérdida
de la información , falta x X
de copias de seguridad y
backups
R2 Riesgos de niveles
inadecuados de energía
eléctrica posible pérdida
de la información , falta x x
plan de contingencia en
backups
R3 Riesgo en la
administración de la
información, saboteo,
robo, o perdida, falta x x
plan de contingencia en
backups
R4 Riesgo de pérdida de
información por el uso
incorrecto en el
almacenaje de la misma ,
x x
falta plan de contingencia
en copias de seguridad y
backups en equipos
externos
R5 Riesgo de interrupción en
la comunicación , y
transferencia de datos, x x
algunos cables de red se
encuentran al alcance de
usuarios, lo que podría
presentar manipulación
no deseada
R6 Robo , o destrucción de la
información , falta plan
de contingencia en copias x x
de seguridad y backups en
equipos externos
R7 Riesgo Posible
inhabilitación de equipos
x x
de cómputo, pérdida o
robo de información
R8 Riesgo posibles accesos a
tomas de red que son
x x
libres y no son
controladas
R9 Riesgo del área del
servidor para las
conexiones de red de los
x x
equipos no se encuentra
con ningún tipo de
seguridad
R10 Riesgo Falta de controles
y restricciones para el x x
acceso a internet
R11 El empleado o trabajador
puede ser una víctima
directa o indirecta de una x x
agresión externa en contra
de la Empresa.
R12 El Ingeniero encargado la
administración de los
sistemas de la empresa,
no cumple con las
funciones de x x
administración de la
seguridad del sistema y
tampoco tiene
implementados controles
de seguridad por lo que se
han presentado ataques al
sistema
Resultado Matriz de riesgos para la administración del ambiente físico
R1,R3
Alto
61-100%
Medio R2,R4,R6,
31-60% R7,R12
Bajo R5,R8,R9,
0-30% R10,R11
PROBABILIDAD
IMPACTO
CONCLUSIONES.
REFERENCIAS BIBLIOGRAFICAS
 Castello, R. J. (2015). Auditoria en entornos informáticos. Recuperado de

http://es.slideshare.net/zhhane/auditoria-de-sistemas-46686981
 Pinilla, J. D. (1997). Auditoria informática: un enfoque operacional. Bogotá,

Colombia: Editorial Ecoe ediciones.
 Solares, P., Baca, G., Acosta, E. (2010). Administración informática: Análisis y

evaluación de tecnologías de la información. Recuperado de
http://bibliotecavirtual.unad.edu.co:2077/lib/unadsp/detail.action?docID=11013
780
 Maciá, F. (2005). Desarrollo de grandes aplicaciones distribuidas sobre internet.

Recuperado de
http://bibliotecavirtual.unad.edu.co:2162/openurl?sid=EBSCO%3aaci&genre=bo
ok&issn=&ISBN=9788479088156&volume=&issue=&date=20050101&spage=17
1&pages=171-
186&title=Desarrollo+de+Grandes+Aplicaciones+Distribuidas+Sobre+Internet&a
title=AUDITOR%c3%8dA+E+INFORM%c3%81TICA%3a+ALGUNAS+T%c3%89C
NICAS+ACTUALES.&aulast=Blanco+Encinosa%2c+L%c3%a1zaro+J.&id=DOI%3
a&site=ftf-live
 ISACA. (2016). Cobit 4.1 en español. Recuperado de

http://www.isaca.org/Knowledge-Center/cobit/Pages/Downloads.aspx
 Soy, C. (Agosto, 2003). La auditoría de la información, componente clave de la

gestión estratégica de la información. El Profesional De La Información, Vol 12,
núm. (4), pp. 261-268. http://eprints.rclis.org/15630/
 Hernández Hernández, E. (2000). Auditoría en informática. Guadalajara, México:

Editorial CECSA.

Fase3 PlaneaciónyEjecucióndelaAuditoria Grupo 30

Загружено:

Сведения о документе

Авторское право

Доступные форматы

Поделиться этим документом

Поделиться или встроить документ

Параметры публикации

Этот документ был вам полезен?

Это неприемлемый материал?

Авторское право:

Доступные форматы

Fase3 PlaneaciónyEjecucióndelaAuditoria Grupo 30

Загружено:

Авторское право:

Доступные форматы

Unidad 2- Fase 3.

Planeación y Ejecución de la Auditoria

Ereyde Paladinez Chávez

Universidad Nacional Abierta Y A Distancia - Unad

El estudiante aprende a diseñar los instrumentos de recolección de la información de

 Investigar, desarrollar, publicar y promover un conjunto internacional y actualizado

 Apoyar las decisiones de inversión en TI y control sobre el rendimiento de las

 Soportar las opiniones sobre los controles de los proyectos de TI , su impacto en la

Procesos trabajados en la anterior actividad.

 AI2 Adquirir y Mantener Software Aplicativo.

Cuadro de los procesos seleccionados del estándar CobIT

AI2 Adquirir y Mantener Software Aplicativo.

DS7 Educar y Entrenar a los Usuarios.

DS12 Administración del Ambiente Físico

Johan Sebastián Flores. DS1 Definir y administrar los niveles de servicio.

 Cuadro de definición de fuentes de conocimiento, pruebas de análisis de

PROCESO AUDITADO Funcionamiento del aspecto físico de la red de datos

RESPONSABLE Grupo colaborativo N° 30

DOMINIO Adquirir e Implementar. (AI).

REPOSITORIO DE PRUEBAS APLICABLES

ENTIDAD Oficina Provincial de Presupuesto PAGINA

ENTREVISTADO María Esperanza Duque

1. ¿El software contable que se desarrolló es estable en su funcionamiento?

3. ¿Usted recibió capacitaciones en el momento sobre el uso del software?

NOMBRE ENTREVISTADO AUDITOR RESPONSABLE

María E. Duque. Ereyde Paladinez

ENTIDAD Oficina Provincial de Presupuesto PAGINA

ENTREVISTADO María Esperanza Duque

4. ¿El software contable le pide contraseña para su ingreso?

6. ¿Usted usa internet?

7. ¿Hay algún tipo de restricción en cuanto a las páginas de navegación?

NOMBRE ENTREVISTADO AUDITOR RESPONSABLE

María E. Duque. Ereyde Paladinez

DS5 Garantizar la Seguridad de

¿Qué medidas toman en caso de que

ENTIDAD Oficina provisional de presupuesto PAGINA

ENTREVISTADO Faisuli Gómez

Debajo del escritorio

No se puede ingresar a redes sociales, ni aplicaciones de reproducción en mp4, se bloquean

Juan camilo Tobón Gutiérrez

ENTIDAD Oficina provisional de presupuesto PAGINA

PROCESO Ver si el software, hardware y el establecimiento funcionan y si cumplen con las

RESPONSABLE Juan camilo Tobón Gutiérrez

MATERIAL DE SOPORTE COBIT 4.1

DOMINIO Monitorear y Evaluar PROCESO ME2

ENTREVISTADO Javier Aragón

1. El establecimiento donde se albergan las computadoras cuanta con Ups.

(sistema de alimentación interruptora)?

Que señalización tiene:

3. Con que equipos de incendio cuenta cada departamento

Por departamento hay 1 extintor,

Pulsadores de alarmas antiincendios.

1 salida de emergencia por cada departamento.

4. El absceso al departamento de terceros está controlado.

Hay una regla de cero personal autorizado en los departamentos administrativos.

5. Quienes utilizan los recursos del departamento tic.

Javier Aragón Juan camilo Tobón Gutiérrez.

Entrevista: Entrenar y educar a los usuarios

Entrevista: Administrar los Servicios de Terceros

ENTREGAR Y DAR SOPORTE DS12: Administración del ambiente

OBJETIVO DE CONTROL DS12.1 Selección y Diseño del Centro de Datos

2 ¿El cableado estructurado permite el Si, se cuenta con el cableado.

OBJETIVO DE CONTROL DS12.2 Medidas de seguridad física

OBJETIVO DE CONTROL DS12.3 Acceso Físico