PROGRAMA DE AUDITORIA

CHAUDITORIA CONSULTORES S.A

Grupo 5

Carolina Naranjo García

Leidy Tatiana Giraldo Candamíl

José Leonardo Delgado Ramírez

Universidad Nacional de Colombia

Sede Manizales

2011
Objetivos

Objetivo general
El objetivo principal de la auditoria es el revisar de manera interna a la empresa la estructura,
funcionalidad, y operación de los procesos actuales que se desarrollan en el área de TI, se buscarán
posibles debilidades o ausencias de información, control, integridad, en fin, cualquier aspecto que
afecte negativamente el desempeño y el rendimiento de la organización a corto o largo plazo. Los
procesos que deberán ser evaluados se encuentran dentro del marco de trabajo COBIT en su versión
4.1 sobre gobierno de TI y son: AI4 Facilitar la operación y el uso, AI6 Administrar cambios, DS5
Garantizar la seguridad de los sistemas, DS10 Administrar los problemas y ME2 Monitorear y evaluar
el control interno.

Objetivos específicos
 Realizar sugerencias específicas de aspectos a implementar o adecuar para los procesos
auditados y así mejor el rendimiento de la empresa.
 Conocer los modelos de los procesos auditados con el fin de verificar su veracidad,
integridad, seguridad, accesibilidad, concordancia y comunicación con otros procesos,
siempre y cuando sean pertinentes y se puedan verificar estos aspectos.
 El objetivo de las listas de chequeo es identificar si se cumple o no con los aspectos de
control establecidos para cada proceso, además se pueden adicionar observaciones que
permitan identificar la causa del inconveniente o justificar la elección del auditor.
 El objetivo de las entrevistas en consultar el conocimiento del encargado o responsable del
proceso sobre cómo funciona este, si conoce el comportamiento y relaciones normales del
proceso y otros aspectos específicos para cada proceso. Además las entrevistas corroboran
los datos y procedimientos que fueron suministrados en formato escrito.
 El objetivo de las pruebas aleatorias consiste en examinar de manera no secuencial aspectos
de cada proceso, solo cuando estos aparentemente estén bien estructurados e
implementados y posean muchas variables o aspectos y por esto sean tediosos para evaluar.

Criterios para la auditoria

Fuentes de criterios
Los criterios que se han establecido para efectuar la auditoria se encuentran bajo el marco de
trabajo COBIT versión 4.1 sobre Gobierno de TI, y se establecen los criterios u objetivos de control
necesarios para poder auditar cada proceso, cada proceso en el marco de trabajo posee sus propios
objetivos de control y estos serán incluidos además de los que el auditor considere pertinentes para
evaluar completamente el proceso.

Definición de los criterios

Los criterios generales para todos los procesos objeto de la auditoria son:
  La efectividad tiene que ver con que la información sea relevante y pertinente a los
procesos del negocio, y se proporcione de una manera oportuna, correcta, consistente y
utilizable.
 La eficiencia consiste en que la información sea generada con el óptimo (más productivo y
económico) uso de los recursos.
 La confidencialidad se refiere a la protección de información sensitiva contra revelación no
autorizada.
 La integridad está relacionada con la precisión y completitud de la información, así como
con su validez de acuerdo a los valores y expectativas del negocio.
 La disponibilidad se refiere a que la información esté disponible cuando sea requerida por
los procesos del negocio en cualquier momento. También concierne a la protección de los
recursos y las capacidades necesarias asociadas.
 El cumplimiento tiene que ver con acatar aquellas leyes, reglamentos y acuerdos
contractuales a los cuales está sujeto el proceso de negocios, es decir, criterios de negocios
impuestos externamente, así como políticas internas.
 La confiabilidad se refiere a proporcionar la información apropiada para que la gerencia
administre la entidad y ejerza sus responsabilidades fiduciarias y de gobierno.

Tomado literalmente de Cobit 4.1 (IT Governance Institute)

Procedimientos
1. Solicitud y revisión de la documentación sobre procesos.
2. Aplicar las listas de chequeo.
3. Realizar entrevistas con los encargados y subordinados relacionados a los procesos.
4. Corroborar los datos obtenidos de las listas de chequeo por proceso y entrevistas por medio
del levantamiento de procesos y seguimiento del mismo, en caso de ser procesos con
volúmenes de datos grandes se realizan pruebas aleatorias, y dado el caso de encontrar una
inconsistencia revisar dicho proceso de manera exhaustiva.
5. Realizar un informe previo de auditoría.
6. Presentar y discutir el informe previo para corregir y acordar las inconsistencias en la
auditoria.
7. Realizar el informe final de auditoría con las sugerencias pertinentes.
8. Presentar y sustentar el informe final.
Instrumentos
Listas de chequeo
Cumple
Objeto de control
Si No
AI6 Administrar cambios
Existe un procedimiento que de manera x
estándar maneje las solicitudes para
cambios en la infraestructura y aplicativos
Se evalúan las solicitudes de cambio de los x
sistemas en términos operacionales y
funcionales
Se posee un proceso para cambios de x
emergencia
Se realiza la documentación y pruebas x
después de la implantación de un cambio de
emergencia
Se hace seguimiento y se reportan los x
cambios a los interesados
Se actualiza la documentación de usuario y x
procedimientos después de un cambio
Se posee un plan de revisiones para x
garantizar la completa implantación de
cambios
Observaciones
Todos los cambios, incluyendo el
mantenimiento de emergencia y parches,
relacionados con la infraestructura y las
aplicaciones dentro del ambiente de
producción, se administran formalmente y
controladamente.
Todas las solicitudes son debidamente
revisadas de manera que se genere una
retroalimentación de lo que se tiene y de lo
que se quiere lograr con las operaciones y
aplicaciones
Según el impacto que tenga la empresa en
sus operaciones se procede a hacer cambios
de emergencia según su prioridad de
incidencia, Esto garantiza la reducción de
riesgos que impactan negativamente la
estabilidad o integridad del ambiente de
producción.
Se hace seguimiento y reporte del status del
cambio, que garantice que se tiene un plan
para cada cambio de emergencia.
Se hace seguimiento y reporte del status del
cambio, que garantice que se tiene un plan
para cada cambio de emergencia. Y para
mantener informado a la alta gerencia de
estos procesos
Cada que se hace un cambio se efectúa un
reporte que indique en detalle todo lo
necesario de tal cambio. Y se transfiere a los
usuarios ye interesados
Se poseen aplicaciones que garantizan la
completa implantación de los cambios
Entrevistas
Las entrevistas consisten en un complemento para las listas de chequeo y consisten esencialmente
en la interacción y documentación de las experiencias y justificaciones que brinden los entrevistados
acerca de preguntas especificas relacionadas con los objetivos de control de cada proceso del marco
de trabajo.

En las entrevistas se deberá constatar con otros entrevistados la veracidad de las versiones
anteriormente suministradas. En caso de encontrar inconsistencias se harán las entrevistas
adicionales necesarias. El carácter de las entrevistas es formal y se harán de manera aleatoria y sin
previo aviso en algunos casos.

Durante la entrevista se deberán solicitar ciertos documentos que corroboren lo que dicen los
entrevistados.