CUESTIONARIO DE AUDITORIA PARA TI

La auditoría de TI es de larga data, si bien constantemente evoluciona y se modifica. Como consecuencia de ello, el
Director de Auditoría Interna (DAI), debe continuamente adaptar y desarrollar el enfoque de auditoría de TI, así como el
universo de auditoría de TI para realizar los procedimientos de auditoría de TI necesarios con objeto de lograr un
cumplimiento adecuado de las normas y ayudar en la gestión del riesgo global de negocio de la organización. Por esta
razón a continuación presentamos un conjunto de preguntas que podrían ser útiles para iniciar una evaluación de TI en
cualquier tipo de organización:

EMPRESA : XXXXXXXXXXXX.

No Pregunta SI NO N/A Observación

1 ¿La organización ha definido claramente qué significa la

TI para ella?
2 ¿Se han documentado las áreas de responsabilidad del
director de TI (CIO, en inglés)?
3 ¿Se han considerado todas las áreas en el enfoque de
auditoría de TI al evaluar el riesgo y definir el universo de
auditoría de TI?
4 ¿Anualmente, la función de la auditoría interna realiza
una evaluación efectiva del riesgo de TI?
5 ¿Han participado en dicha evaluación especialistas en
tecnologías de infraestructura, sistemas de aplicación y
procesos de TI?
6 1. ¿La evaluación de los riesgos tiene en cuenta la
arquitectura tecnológica específica y la configuración
empleada por la organización?

7 Cómo se cuantifican los riesgos de TI?

8 ¿Se considera tanto la estimación de su impacto como la
de la probabilidad de su ocurrencia?
9 ¿Qué referencias del sector y “mejores prácticas” se
utilizan para respaldar esas estimaciones?
10 ¿En el universo de auditoría de TI, se planifican
auditorías para cada nivel del entorno de TI?
11 ¿Y de no ser así, por qué?
12 ¿Existen circunstancias especiales o es que el plan de
auditoría no es el óptimo?
13 ¿Cómo se estiman los presupuestos de auditoría de TI?
14 ¿Se han recopilado suficientes datos para respaldar una
estimación correcta? ¿Se ha tenido en cuenta la
configuración específica de la tecnología?.
15 ¿Cómo se definen los procedimientos de auditoría de TI?

16 ¿Se desarrollan internamente para el entorno específico

de la organización, o se emplean cuestionarios
disponibles en el mercado?
17 ¿Se han implementado estructuras de control y normas
de TI dentro de la organización?
18 ¿Si es así, cuáles?
 19 ¿En caso contrario, se han establecido internamente
líneas de base para la seguridad y el control?
20 ¿Si no se ha hecho, el DEA ha recomendado su
implementación como parte de la auditoría de dirección y
gobierno de TI?
21 ¿Se emplean herramientas para acelerar las auditorías
de TI (por ejemplo, aceleradores o facilitadores para la
realización de pruebas)?
22 ¿Si la respuesta es negativa, por qué no?
23 ¿Si la respuesta es positiva, estas han sido probadas y
aprobadas por la gestión de TI?
24 ¿Con qué tipo de personal cuenta el departamento de
TI?
25 ¿Se emplean especialistas para las diversas tecnologías
(por ejemplo, aplicaciones versus tecnologías de
infraestructura)?
26 ¿Si la respuesta es negativa, por qué no?
27 ¿Cómo se revisan los papeles de trabajo de auditoría de
TI en cuanto a su adecuación y calidad?
28 ¿Se ha establecido una estrategia de capacitación para
los auditores de TI?
29 ¿Se consideran todos los niveles del entorno de TI?
30 ¿Se evalúan anualmente los temas emergentes y los
riesgos para determinar su relevancia dentro de la
organización?
31 ¿Cómo se identifican los temas emergentes dentro de la
organización?
32 ¿La función de auditoría ha comparado la función de
auditoría de TI con determinados patrones de referencia
y mejores prácticas de la industria?
33 ¿Se ha empleado la encuesta GAIN u otro repositorio de
datos para facilitar el proceso?
34 ¿Todas las auditorías de proceso contienen
procedimientos que evalúan los parámetros de
configuración de las aplicaciones que automatizan los
procesos?
35 ¿Cómo se coordinan estos procesos entre los recursos
de auditoría (procesos versus TI

ELABORO: FECHA: REVISO: FECHA:

Recuperado de:https://auditool.org/blog/auditoria-de-ti/2849-35-preguntas-de-ti-que-todo-director-de-auditoria-
interna-debe-realizar
 **Se sugiere el siguiente cuestionario para iniciar la evaluación de las funciones desempeñadas en la gestión de
riesgos, sin embargo, el mismo debe ser revisado y ajustado a las necesidades de la organización.

Compañía: XXXXXXXXXXXXX
Cuestionario para evaluar el proceso de Gestión de Riesgos

Respuestas
No Preguntas Comentarios
SI NO

¿La alta gerencia demuestra su compromiso en la gestión de riesgos

1
de la organización?

Si la respuesta a al pregunta anterior fue afirmativa, ¿En que forma se

2
manifiesta su compromiso?

¿ Existe formalizado el proceso de gestión de riesgos a emplear en la

3
Organización?

De existir formalizado el proceso de Gestión de Riesgos, contempla

4
este las responsabilidades de las distintas partes intervinientes.
¿Se tienen asignados presupuestalmente los recursos para
5 desarrollar un plan de concienciación de los riesgos en la
organización?
¿ Se ha desarrollado un plan de comunicaciones sobre el proceso de
6
Gestión de Riesgos?

¿El Consejo de Administración promueve la gestión de riesgos, por

7
medio de un comité especializado?

Con independencia de la existencia del Comité de Riesgos citado en el

8
punto anterior, ¿dispone la organización de un Gestor de Riesgos?

Si la respuesta a al pregunta anterior fue negativa ¿Quién tiene la

9 misión de promover la cultura de gestión de riesgos en la
organización?
 Entre la misión del Gestor de Riesgos, o quien asuma sus
10 responsabilidades, ¿se encuentra la de priorizar los procesos de la
organización y el levantamiento del mapa de riesgos?

11 ¿El proceso de gestión de riesgos es un ente auditable?

¿El Consejo de Administración conoce el impacto de los riesgos

12 aceptados en la operación de la organización, su tratamiento, costos,
beneficios y su impacto en las decisiones de la organización ?

¿ Cada unidad de negocio gestiona los riesgos de su operación

13
diariamente?

¿ Cada unidad de negocio ha definido los objetivos que tiene frente a

14
la gestión del riesgo?

¿Estos objetivos son validados por el Gestor de Riesgos/Comité de

15
Riesgos o Consejo de Administración?

¿ Se desarrollan reuniones periódicas con los líderes de las unidades

16 de negocio para conocer el avance en la gestión de riesgos, así como
identificar nuevas prioridades?

¿ Los lideres de cada unidad de negocio consideran la gestión de

17 riesgos tanto en la etapa de planeación de un proyecto como durante
toda su vigencia?

18 ¿ Se tiene definida la política de gestión de riesgos en la organización?

¿ La política de gestión de riesgos cubre los siguientes aspectos:

- Enfoque de la organización para la gestión de riesgos.

19
- Determinación del Apetito de riesgo en los procesos estratégicos
- Las responsabilidades en todos los niveles de la organización
- La normatividad de los entes reguladores.

¿ El líder de gestión de riesgos, ha diseñado la política y la estrategia

20
que debe tener la organización frente a los riesgos?

¿ El líder de la gestión de riesgos promueve la gestión en todos los

21
niveles de la organización, así como los programas de capacitación ?
 ¿ El líder de riesgos revisa y actualiza periódicamente los procesos
22
establecidos para la gestión de riesgos?

¿ El líder de riesgos coordina las comunicaciones de las áreas frente a

23
la gestión de riesgos a los niveles superiores?

¿ El líder de riesgos es responsable del plan de contingencia y

24
continuidad de la organización?

¿ El líder de riesgos entrega periódicamente los informes sobre

25
gestión de riesgos a la administración?

26 ¿Las auditorías son realizadas con base a riesgos.?

¿Los auditores revisan la gestión de riesgos en cada proceso

27
auditado?
¿Los auditores consideran en sus informes el nivel de confianza que
28
se puede tener en el sistema de gestión de riesgos?
¿ Los auditores contribuyen en la valoración e identificación de
riesgos, por lo cual si se tienen diferencias en la calificación de
29
riesgos de la organización, los mismos son evaluados con el líder de
riesgos?
Si Auditoría Interna considera que la administración ha aceptado un
30 nivel de riesgo que pueda ser inaceptable para la organización, el
tema lo trata con la alta dirección.

En el supuesto de que en la reunión con la alta dirección no se llegue

31
a un acuerdo, ¿se eleva esta situación al Consejo para que lo resuelva?
 Check List para Identificar Factores de Riesgo Externos
El siguiente Check List muestra diferentes factores externos que pueden generar riesgos en la organización, sin
embargo, dicha lista no pretende abarcar todas las situaciones, por lo cual se debe ajustar a las necesidades de cada
organización, según su operación y geografía, entre otros.
Comentarios
No Factor
SI NO N/A

Factores Políticos

1 Inestabilidad en el gobierno

2 Cambios en la legislación nacional con efectos adversos para las industrias

3 Establecimiento de intereses personales sobre los nacionales

4 Terrorismo

5 Altos índices de criminalidad e inseguridad

6 Participación en conflictos internacionales que afectan el libre comercio

Asignación de recursos para el desarrollo de conflictos y no para proyectos que
7 contribuyan en el desarrollo de la economía
Expropiación de las industrias nacionales y extranjeras por parte del gobierno
8 nacional.

9 Pérdida de garantías mínimas para mantener la operación en el país.

10 Corrupción

11 Exigencias de sobornos por parte de los miembros del gobierno

Factores Económicos

11 Aumento del desempleo

Variaciones en los precios a niveles que no son pagaderos por los consumidores,
12 generando reclamaciones y desorden publico

13 Desaceleración en la economía

14 Crisis en el sector financiero del país

15 Declaración de bancarrota de una o más entidades financieras de la economía

16 Mayores tasa de impuesto y/o más impuestos

17 Deficiencias en la infraestructura del país

18 Aplazamiento de proyectos de infraestructura

19 Amplias brechas entre las clases sociales

 Cambios en la legislación que regula la industria con efectos negativos en la
20 operación.
Devaluación y/o revaluación de la economía con efectos adversos para su
21 desarrollo

22 Incremento excesivo de la deuda externa del país

23 Protección de la economía y limitaciones para la libre competencia

24 Restricción al ingreso de trabajadores extranjeros

25 Disminución de la mano de obra calificada bien sea por edad y/o formación

26 Migración masiva de ciudadanos

Factores Ambientales

Propagación de enfermedades y/o epidemias sin medicamentos conocidos para su

27 tratamiento
Efectos del cambio climático en las zonas de trabajo por altas y/o bajas
28 temperaturas, que afectan la productividad.

29 Contaminación del agua que afecta el desarrollo y la sostenibilidad social

30 Daño del ecosistema

31 Aumento del efecto invernadero

Crecimiento desordenado de las ciudades y/o cambio en la regulación de las obras
32 a desarrollar en las ciudades

33 Presentación de eventos naturales, tales como terremotos, tsunamis y tormentas.

Factores de IT

34 Controles de acceso establecidos por el Gobierno

35 Fallas en las redes nacionales

36 Deficiencias en los sistemas de comunicación nacional

37 Ausencia de normas que regulen la operación tecnológica

38 Comercialización de la información privada de los usuarios

39 Ataques externos a los sistemas de información

40 Fraudes externos a los clientes

REFERENCIAS

https://www.auditool.org/blog/auditoria-de-ti/1319-sistemas-de-tecnologia-de-informacion-ti-y-su-efecto-en-
la-auditoria-de-estados-financieros