Cuestionario: Educar y Entrenar a los Usuarios

CUESTIONARIO CUANTITATIVO REF

ENTIDAD EMPRESA DE TELECOMUNICACIONES PAGINA

AUDITADA 1 DE 1
PROCESO Capacitación Usuarios
AUDITADO
RESPONSABLES Guillermo Alejandro Puentes Gómez
MATERIAL DE COBIT 4.1
SOPORTE
DOMINIO Entregar y dar PROCESO DS7 Educar y Entrenar a
Soporte(DS) los Usuarios
La escala de calificación de cada una de las preguntas va de 1 hasta 5, la calificación puede
ir en el SI, en el NO, donde 1 significa que no es importante tener el control para el auditor
y 5 significa que es importante que se tenga el control, el auditor debe tratar de dar estas
calificaciones lo más objetivamente posible para aplicar la fórmula y calcular el porcentaje
de riesgo.
Las equivalencias utilizadas para la puntuación serán de uno a cinco, siendo uno el valor
mínimo considerado de poca importancia y cinco el máximo considerado de mucha
importancia.
N PREGUNTA SI NO NA REF
1 Se realizan la identificación de las 5
necesidades de entrenamiento de los
usuarios.
2 Programa de entrenamiento con estrategias y 3
requerimientos actuales y futuros del
negocio.
3 Programa de entrenamiento en Valores 4
corporativos (valores éticos, cultura de
control y seguridad, etc.)
4 Programa de entrenamiento en 4
Implementación de nuevo software e
infraestructura de TI
5 programa de entrenamiento en habilidades, 4
perfiles de competencias y certificaciones
actuales
6 registros de desempeño y asistencia de los 5
usuarios a los entrenamientos
7 Registros de llamadas de soporte debido a 4 MENSUAL
problemas de entrenamiento
TOTAL 22 7
TOTAL CUESTIONARIO 29
Porcentaje de riesgo parcial = (22 * 100) / 29 = 75.86
Porcentaje de riesgo total = 100 –75.86= 24.14
PORCENTAJE RIESGO 24.14% (Riesgo Medio Alto)
De acuerdo con el resultado obtenido se puede notar que la empresa a nivel de
entrenamiento de personal se encuentra en un riesgo medio Alto, muchos procesos
de capacitación funcionan y los procesos de capacitación funcionan pero que
también es necesario realizar mejoras ante los programas para que las personas
capacitadas le tomen un mayor interés
RIESGOS CONTRADOS DURANTE LA EVALUACION DEL PROCESO DS7
Educar y Entrenar a los Usuarios:
1. Se deben establecer y actualizar de forma regular los programas de
entrenamiento
2. Definir de forma concreta los Objetivos, requerimientos y futuras capacitaciones
3. Por parte de los capacitados tener claro los objetivos de cada curso que se debe
dictar
4. Tener en cuenta los perfiles y habilidades de cada persona que se llame a
capacitación
5. Los resultados de esta evaluación deben contribuir en la definición futura de los
planes de estudio y de las sesiones de entrenamiento.
6. Organizar las capacitaciones con tiempo suficiente y los entrenamientos

ANALISIS Y EVALUACIÓN DE RIESGOS

Probabilidad Impacto
N° Descripción Medi Moderad
Baja Alta Leve Catastrófico
a o
Proceso: Monitorear y Evaluar el
Responsable: Guillermo Alejandro Puentes
Control Interno
No existe un
R1 método de X X
capacitación
Falta de software
R2 X X
de capacitación
Falta tener un
backup de la base
R3 de datos de los X X
usuarios registrados
en los cursos
Los usuarios
registrados no
R4 cuentan con el sitio X X
especial para recibir
capacitaciones
No se cuenta con el
el equipo de
R5 personal certificado X X
para dictar los
cursos
 No se tiene un
control
automatizado de
R6 que personas X X
toman las
capacitaciones

No se tiene un
R7 proceso de X X
capacitación formal
Falta de
conocimiento de los
usuarios en el
manejo de
R8 X X
herramientas
computacionales y
en el manejo de los
sistemas
No se encuentran
manuales ni
lineamientos de
R9 X X
procedimientos. La
información es
volátil.
No se han realizado
capacitaciones a los
usuarios para
R10 X X
concientizarlos
sobre la seguridad
de los datos.

Tabla 2 Matriz de Clasificación de riesgo

LEVE MODERADO CATASTROFICO

ALTO R4 R6 R7 R8

MEDIO R9 R10 R2 R1 R3 R5
BAJO
ID. Riesgo Descripción Riesgo Tratamiento Riesgo
R1 No existe un método de capacitación Controlarlo
R2 Falta de software de capacitación Transferirlo
R3 Falta tener un backup de la base de Transferirlo
datos de los usuarios registrados en los
cursos
R4 Los usuarios registrados no cuentan con Controlarlo
el sitio especial para recibir
capacitaciones
R5 No se cuenta con el equipo de personal Controlarlo
certificado para dictar los cursos
R6 No se tiene un control automatizado de Transferirlo
que personas toman las capacitaciones

R7 No se tiene un proceso de capacitación Controlarlo

formal
R8 Falta de conocimiento de los usuarios en Controlarlo
el manejo de herramientas
computacionales y en el manejo de los
sistemas
R9 No se encuentran manuales ni Controlarlo
lineamientos de procedimientos. La
información es volátil.
R10 No se han realizado capacitaciones a los Aceptarlo
usuarios para concientizarlos sobre la
seguridad de los datos
 REF

HALLAZGO 1
001

Funcionamiento del acceso y seguridad a la PÁGINA

PROCESO AUDITADO
red de datos 1 DE 1

RESPONSABLE Guillermo Alejandro Puentes

COBIT

MATERIAL DE DS7 Educar y Entrenar a los Usuarios: se requiere identificar las

SOPORTE necesidades de entrenamiento de los usuarios, definir y ejecutar
la estrategia de entrenamiento y medir sus resultados.

DS7 Educar y
Educar y Entrenar
DOMINIO PROCESO entrenar a los
Usuarios
usuarios

DESCRIPCIÓN:

. No existe un programa de capacitación preestablecido

. No hay un sistema para saber que personal ha tenido capacitación
Se evidencia falta de planeación en aspectos formativos, se debe tener un sistema de control

REF_PT:

Software de ingreso a capacitación

Software para capacitación

CONSECUENCIAS:

 Al no existir un programa para registro de capacitaciones no tendremos un control

de quien asiste a las capacitaciones
 Al no existir un software de capacitación se debe realizar todas las capacitaciones
de forma anticuada los cuales ya se pueden realizar en línea y teniendo acceso a
foros a interacción con compañeros sería más fácil el aprendizaje

RIESGO:

 Probabilidad de ocurrencia: = 100%

 Impacto según relevancia del proceso: Alto

RECOMENDACIONES:

 Implementar un sistema para que cada usuario que va a recibir la capacitación

pueda estar registrado y así pueda realizar el ingreso a la capacitación y a los
documentos en los que esta la información necesaria que se va a utilizar en el curso
de capacitación