Jeferson Arango López. Daniel Mauricio Hernández García. Origen

Jeferson Arango López. Daniel Mauricio Hernández García. Origen

EMPRESA AUDITAR
AUTILACTEOS S.A.S
EQUIPO AUDITOR:
Jeferson Arango López.
Daniel Mauricio Hernández García.
Origen de la Auditoria:
Solicitud interna realizada por el presidente de la Compañía.
Objetivos:
El objetivo de esta auditoría es la de determinar los procesos que son
realizados por el área de sistemas al momento de la creación de su plan
estratégico para relacionarlos con los objetivos del negocio y su desarrollo para
ofrecer herramientas eficaces y eficientes para apoyar los procesos de
Auditlacteos que lleven a cumplir los objetivos estratégicos establecidos en el
plan Estratégico.
Evaluación:
La auditoria se llevara a cabo con base a COBIT, el cual se enfoca en cuatro
dominios los cuales son:




Planear y Organizar.
Adquirir e implementar.
Entregar y Dar Soporte.
Monitorear y evaluar.
GUIA AUDITORIA
REFERENCIA PROCESO A
AUDITAR
INSTRUMENTO
DESCRIPCION
AI4
Facilitar la
Operación y el
Uso.
Cuestionario.
Con las respuestas al
siguiente cuestionario,
obtendremos los
aspectos que facilitan el
buen uso de las
aplicaciones que ha
suministrado el área de
TI a la empresa.
ME2
Monitorear y
evaluar el
control interno
Entrevista
guiada.
Verificar que se esté
llevando a cabo el
monitoreo del control
interno de Ti para
asegurar la efectividad
del mismo.
DS10
Administrar los
Problemas
Cuestionario
Con el cuestionario
buscaremos conocer los
mecanismos utilizados
para la detección
clasificación de los
problemas.
AI6
Administrar
Cambios
Cuestionario
Este cuestionario busca
recolectar información
con la cual se podrá
determinar los diferentes
procedimientos que se
llevan a cabo con los
diferentes tipos de
cambio que se pueden
presentar.
Nombre proceso :
AI4 Facilitar la Operación y el Uso
Dominio :
Tipo instrumento:
Adquirir e implementar
Cuestionario.
Observaciones:
Con las respuestas a las siguientes preguntas,
obtendremos los aspectos que facilitan el buen uso de
las aplicaciones que ha suministrado el área de TI a la
empresa.
1- ¿La empresa realiza capacitaciones a las personas afectadas con la
implementación de una nueva herramienta de TI? Justifique su
respuesta.
2- ¿La capacitación que se brinda a los usuarios finales permite que las
aplicaciones sean utilizadas de una manera eficaz y eficiente, para
apoyar los procesos que se llevan dentro de la organización? ¿Por qué?
3- ¿Es presentada la información documental de las aplicaciones a los
usuarios finales como lo es el manual de usuario?
4- ¿Son consultados los manuales de las aplicaciones por los usuarios de
estas?
5- ¿Conoce usted si la empresa tiene establecido un plan a la hora de
capacitar a los usuarios para el manejo de aplicaciones?
6- ¿Cuál es el apoyo que se le da a los usuarios cuando tienen problemas
con las aplicaciones que se manejan dentro de la empresa?
7- ¿Se establecen privilegios para el uso de las aplicaciones ofrecidas por
el área de sistemas a la organización?
Nombre proceso :
ME2 Monitorear y evaluar el control interno
Dominio :
Monitorear y Evaluar.
Tipo instrumento:
Entrevista guiada.
Observaciones:
Verificar que se esté llevando a cabo el monitoreo del
control interno de Ti para asegurar la efectividad del
mismo.
 ¿En la empresa se lleva a cabo un monitoreo del control interno?
 ¿Este monitoreo se lleva de forma continua o esporádicamente?
 ¿En qué consiste este monitoreo del control interno?
 ¿El control interno es evaluado con respecto a los objetivos
organizacionales?, ¿Cómo lo hacen?
 ¿Cuál es el proceso que se lleva a cabo ó conducto regular para tratar
una excepción de control? ¿Se tiene en cuenta a los usuarios en este
proceso?
 A parte de un monitoreo del control interno de procesos y sistemas de
Ti, ¿se lleva algún tipo de monitoreo a una auto evaluación de estos a
nivel de gerencia de Ti para evaluar su efectividad?, explique.
 Además del monitoreo del control interno por parte de la misma
empresa, ¿Se llega a contratar a terceros para que evalúen que este
proceso se está realizando de buena manera?

¿Se lleva a cabo un monitoreo al control interno de los proveedores
externos, que si cumplan con los requerimientos exigidos por la
empresa y la ley?
 Cuando se detecta un control interno que no está funcionando o que
está mal implementado, ¿se llevan a cabo acciones correctivas?¿Como
cuáles?
Nombre proceso :
Dominio :
Tipo instrumento:
Observaciones:
DS10 Administrar los problemas.
Entregar y Dar Soporte.
Cuestionario
Con el cuestionario buscaremos conocer los
mecanismos utilizados para la detección clasificación
de los problemas.
1- Describa como cual es el proceso que se da en la empresa para la
detección de los problemas en las herramientas brindadas por el área
de sistema.
2- ¿Cómo son clasificados los problemas?
3- ¿Cómo es el proceso llevado a cabo para mitigar el problema o
solucionarlo?
4- ¿Se lleva un registro de los problemas que se han presentado en la
empresa? Si lo hace por favor describa el ¿Por qué lo hacen?
5- ¿Son atendidos y se les da soluciones a todos los problemas
registrados?
6- ¿Cuál es el procedimiento llevado a cabo para determinar que un
problema se elimino totalmente?
7- ¿El tiempo que tardan para detectar y solucionar los problemas e
incidentes de las TIs son oportunos?
8- ¿Considera usted que las soluciones dadas a los problemas
presentados son las más adecuadas? Justifique la respuesta.
9- ¿Son evaluados los esfuerzos necesarios en la solución de cada uno de
los problemas?
Nombre proceso :
AI6 Administrar Cambios
Dominio :
Adquirir e Implementar
Tipo instrumento:
Cuestionario
Observaciones:
Este cuestionario busca recolectar información con la
cual se podrá determinar los diferentes procedimientos
que se llevan a cabo con los diferentes tipos de cambio
que se pueden presentar.
1- En el momento de implementar cualquier tipo de cambio en
aplicaciones, procesos, etc. ¿Se tiene un procedimiento estándar para
llevar a cabo estas solicitudes?
2- Cuando se recibe una solicitud de cambio, ¿Se evalúa su prioridad o se
ejecuta según su orden de llegada?, si se prioriza ¿Cuáles son los
criterios para hacer que una solicitud sea más importante que otra?
3- Cuando se tiene que realizar un cambio de emergencia, ¿se obliga a
que cumpla con los estándares establecidos, o se lleva a cabo un
proceso diferente? Explique su respuesta.
4- ¿Cuando se realiza un cambio, existe un sistema que informe a los
usuarios acerca de este para que se mantengan actualizados? ¿Cómo
funciona este sistema?
5- ¿Cuando se finaliza la implantación de un cambio en sistemas,
procesos, etc., se realiza una verificación que sirva para garantizar que
se hizo todo de acuerdo a lo que se definió en la solicitud del mismo?