Escolar Documentos
Profissional Documentos
Cultura Documentos
PRESENTADO POR:
MILTON ANDRES ZUÑIGA
COD:83091923
CARLOS HERNAN LARA MOLINA
COD:1117507881
PRESENTADO A:
FRNCISXO NICOLAS SOLARTE
TUTOR
AUDITORIA DE SISTEMAS
REF
FUENTES DE CONOCIMIENTO, PRUEBAS DE ANALISIS DE AUDITORIA
PAGINA
ENTIDAD AUDITADA
1 DE 1
Funcionamiento del aspecto físico de la red de datos y el sistema de
PROCESO AUDITADO
instrucción.
RESPONSABLE Estudiantes del Curso Auditoria de Sistemas de la UNAD
MATERIAL DE SOPORTE COBIT
DOMINIO Planificar y Organizar (PO)
PO3 Determinar la Dirección Tecnológica
PROCESO
PO9 Evaluar y administrar los riesgos de TI
REPOSITORIO DE PRUEBAS APLICABLES
FUENTES DE CONOCIMIENTO
DE ANALISIS DE EJECUCION
AUDITOR RESPONSABLE:
CARLOS HERNAN LARA MOLINA
MILTON ANDRES ZUÑIGA
formato de entrevista
FORMATO ENTREVISTA
PAGINA
ENTIDAD AUDITADA Comercios
1 DE 2
Conocer los problemas relacionados con el sistema de
OBJETIVO AUDITORÍA
instrucción al área administrativa de la empresa
Si, todos los equipos cuentan con sistemas operativos actualizados y de última generación.
Si, pero a medida que las nuevas tecnologías surjan la planta de equipos seguramente serán actualizados,
todo a medida de la necesidad que se presente.
Siempre es necesario adquirir nuevas y mejores tecnologías con el propósito de mejorar el rendimiento y
calidad en los servicios que brindamos.
Lista chequeo aplicado al proceso PO9 estándar CobIT: Evaluar y administrar los
riesgos de TI.
LISTA CHEQUEO
PO9 Evaluar y
DOMINIO Planificar y organizar (PO) PROCESO administrar los riesgos
de TI
PO9.1 Marco de Trabajo de Administración de Riesgos
OBJETIVO DE CONTROL
CONFORME
Nº ASPECTO EVALUADO SSI NNO OBSERVACIÓN
¿Cuentan con un marco de trabajo
basado en la identificación,
1 definición y actualización de riesgos XX X
en la estructura tecnologíca de la
empresa?
PO9.2 Establecimiento del Contexto del Riesgo
OBJETIVO DE CONTROL
¿Se registra los parámetros internos
2 y externos en la tecnología de X x
riesgos?
PO9.3 Identificación de Eventos
OBJETIVO DE CONTROL
¿Cuentan con un plan de
3 mantenimiento frente a eventos X x
potenciales?
PO9.4 Evaluación de Riesgos de TI
OBJETIVO DE CONTROL
¿Cuentan con un sistema de
4 X
evaluación periódica de los riesgos?
PO9.5 Respuesta a los Riesgos
OBJETIVO DE CONTROL
¿Existe respuesta en acciones y
5 opciones para reducir las amenzas y X
alcanzar los objetivos?
PO9.6 Mantenimiento y Monitoreo de un Plan de
OBJETIVO DE CONTROL Acción de Riesgos
¿Existe monitoreo y mantenimiento
6 en respuesta ante un inminente X
riesgo?
LISTA CHEQUEO
PO3 Determinar la
DOMINIO Planear y Organizar (PO) PROCESO Dirección
Tecnológica
OBJETIVO DE
PO3.3 Monitoreo de Tendencias y Regulaciones Futuras:
CONTROL
CONFORME
Nº ASPECTO EVALUADO OBSERVACIÓN
SI NO
¿Existe un proceso para monitorear la
1 infraestructura de seguridad existentes X
en las instalaciones?
OBJETIVO
DE PO3.4 Estándares Tecnológicos:
CONTROL
¿Existen canales de comunicación con
personal especializado, donde se reciban
2 sugerencias de correcciones a los X
sistemas y las debidas soluciones viables
para la compañía?
OBJETIVO
DE PO3.5 Consejo de Arquitectura de TI:
CONTROL
¿Existe un consejo de arquitectura de
TI, que brinde los pasos a seguir para
3 las mejoras que se implementaran y X
vigile el cumplimiento adecuado del
mismo?
Formato de cuestionarios
FORMATO CUESTIONARIO
Comercios
Cuestionario de Control: C1
Dominio Planear y Organizar (PO)
Proceso PO3 Determinar la Dirección Tecnológica
Pregunta Si No OBSERVACIONES
¿Se cuenta con un
inventario de equipos de 5
cómputo?
¿Si existe inventario
contiene los siguientes ítems?
Número del computador
Fecha
Ubicación
5
Responsable
Características (memoria,
procesador, monitor, disco duro)
Se lleva una hoja de vida
por equipo
¿La hoja de vida del
equipo tiene los datos?
Numero de hoja de vida
Número del computador
5
correspondiente
Falla reportada
Diagnóstico del encargado
Solución que se le dio
¿Se posee un registro de
fallas detectadas en los 4
equipos?
¿En el registro de fallas se
tiene en cuenta con los
siguientes datos?
Fecha
4
Hora
Número de registro
Número del computador
Encargado
¿Al momento de presentar
una falla en el equipo, la
atención que se presta es? 4 De 1 a 5 días
Inmediata
De una a 24 horas
De un día a 5 días
Más de 5 días
¿Se cuenta con servicio de Semestral
mantenimiento para todos los 5
equipos?
¿Qué tipo de Correctivo
mantenimiento se lleva a cabo?
Mantenimiento preventivo
Mantenimiento correctivo
¿Los empleados pueden
instalar y desinstalar programas 4
en el computador?
¿Al finalizar la jornada
laboral, se hace una revisión de 5
los equipos?
¿El personal que se
encarga del mantenimiento es 5
personal capacitado?
¿Se lleva un
procedimiento para la 4
adquisición de nuevos equipos?
¿La infraestructura
tecnológica de los equipos
4
soporta la instalación de
diferentes sistemas operativos?
¿Son compatibles software
5
y hardware?
TOTALES 37 17
Porcentaje de riesgo parcial = (Total SI * 100) / Total
Porcentaje de riesgo = 100 - Porcentaje de riesgo parcial
RIESGO:
Porcentaje de riesgo parcial: 68,52
Porcentaje de riesgo = 31,48
Impacto según relevancia del proceso: Riesgo Medio
Empresa de actividad comercial
Cuestionario de Control: C1
Dominio Planear y Organizar (PO)
Proceso PO9: Evaluar y administrar los riesgos de TI
Pregunta Si No OBSERVACIONES
¿Se cuenta con un inventario de 5 4
equipos de cómputo?
¿Si existe inventario contiene los 4
siguientes ítems?
Número del computador
Fecha
Ubicación
Responsable
Características (memoria,
procesador, monitor, disco duro)
Se lleva una hoja de vida por
equipo
¿La hoja de vida del equipo tiene 5 3
los datos?
Numero de hoja de vida
Número del computador
correspondiente
Falla reportada
Diagnóstico del encargado
Solución que se le dio
¿Se posee un registro de fallas 3
detectadas en los equipos?
¿En el registro de fallas se tiene 4
en cuenta con los siguientes datos?
Fecha 3
Hora
Número de registro
Número del computador
Encargado
¿Al momento de presentar una 4 De 1 a 5 dias
falla en el equipo, la atención que se
presta es?
Inmediata
De una a 24 horas
De un día a 5 días
Más de 5 días
¿Se cuenta con servicio de 5 Semestral
mantenimiento para todos los equipos?
¿Qué tipo de mantenimiento se Correctivo
lleva a cabo?
Mantenimiento preventivo
Mantenimiento correctivo
¿Los empleados pueden instalar y 3
desinstalar programas en el
computador?
¿Al finalizar la jornada de trabajo, 5
se hace una revisión de los equipos?
¿El personal que se encarga del 5 4
mantenimiento es personal capacitado?
¿Se lleva un procedimiento para la 4
adquisición de nuevos equipos?
¿La infraestructura tecnológica de 15
los equipos soporta la instalación de
diferentes sistemas operativos?
¿Son compatibles software y 5
hardware?
TOTALES 45 11
Porcentaje de riesgo parcial = (45 * 100) / 56=80.35
Porcentaje de riesgo = 100 - Porcentaje de riesgo parcial
No poseen un registro de
R5 fallas detectadas en los equipos. 4 4
IMPACTO
PROBABILIDAD Insignificante Menor Moderado Mayor Catastrófico
(1) (2) (3) (4) (5)
Improbable (2) R9