Está en la página 1de 29

FASE DE EJECUCION DE LA AUDITORIA DE SISTEMAS

PRESENTADO POR:
LUKDARY ABRIL RUEDA
ZULLY KATERIN MALAGN

GRUPO: 90168_27

DIRECTOR:
FRANCISCO NICOLS SOLARTE

TUTOR:
CARMEN EMILIA RUBIO

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA


ESCUELA DE CIENCIAS BASICAS TECNOLOGIA E INGENIERIA
PROGRAMA INGENIERIA DE SISTEMAS
COLOMBIA
Octubre 19 2015

TABLA DE CONTENIDO
INTRODUCCION............................................................................................................................3
OBJETIVOS.....................................................................................................................................4
General:.........................................................................................................................................4
Especficos:....................................................................................................................................4
METODOLOGA DE LA AUDITORIA DE SISTEMAS................................................................5
PROCESO: AI2 ADQUIRIR Y MANTENER SOFTWARE APLICATIVO.................................10
Aplicacin de instrumentos de recoleccion de informacion........................................................12
Anlisis y evaluacin de riesgos..................................................................................................15
Cuadro de hallazgos detectados...................................................................................................16
PROCESO: DS7 EDUCAR Y ENTRENAR A LOS USUARIOS.................................................17
Diseo de instrumentos de recoleccin de informacin..............................................................19
Anlisis y evaluacin de riesgos..................................................................................................24
Guas de hallazgos detectados ....................................................................................................25
CONCLUSIONES..........................................................................................................................28
REFERENCIAS BIBLIOGRFICAS............................................................................................29

INTRODUCCION
Con el desarrollo de las empresas y sus distintos procesos, se hace necesario contar con
herramientas adecuadas para la investigacin. La auditora de sistemas es el campo que nos
ocupa en esta actividad, definindola como la verificacin de controles en el procesamiento de la
informacin, desarrollo de sistemas y su instalacin; con el objetivo de evaluar su desempeo y
presentar informes a la gerencia para la toma de decisiones ms oportunas para su correccin.
Mediante la realizacin de esta actividad se pretende poner en prctica los conocimientos sobre
auditoria de sistemas, comenzando por la escogencia de una empresa cualquiera para conocerla y
analizar sus procesos y sistemas de informacin; siguiendo con la planeacin y finalizando con
la ejecucin o puesta en marcha de la auditoria de sistemas. Todo esto teniendo en cuenta los
pasos para su realizacin.

OBJETIVOS

General:

Revisar y Evaluar los controles, sistemas, procedimientos de informtica; de los equipos de


cmputo, su utilizacin, eficiencia y seguridad, de la organizacin que participan en el
procesamiento de la informacin, a fin de que por medio del sealamiento de cursos
alternativos se logre una utilizacin ms eficiente y segura de la informacin que servir para
una adecuada toma de decisiones.

Especficos:
Profundizar un poco ms mediante la prctica en el campo de las auditorias y su
importancia en el desempeo exitoso de una empresa.
Lograr identificar las falencias en los sistemas de informacin de la empresa,
generando un informe final por escrito con esas novedades.
Conocer la eficacia en el manejo de las tecnologas por parte de la empresa para el
manejo

METODOLOGA DE LA AUDITORIA DE SISTEMAS


Existen algunas metodologas de Auditoras de Sistemas y todas dependen de lo que se pretenda
revisar o analizar, se pueden definir muchas etapas diferentes, ms o menos detalladas segn el
criterio de cada auditor, las cuatro fases principales son:

Estudio preliminar

Planeamiento

Revisin y evaluacin de controles y seguridades

Examen detallado de reas criticas

Comunicacin de resultados

Informe

Seguimiento

Estudio preliminar: Esta etapa consiste en definir el grupo de trabajo, el Programa de Auditora,
efectuar visitas a la unidad informtica para conocer detalles de la misma, elaborar un
cuestionario para la obtencin de informacin para evaluar preliminarmente el control interno,
solicitud de plan de actividades, Manuales de polticas, reglamentos, Entrevistas con los
principales funcionarios del PAD.

Pgina

Planeamiento: En esta etapa se define la estrategia que se debe seguir en la Auditora. Lo


anterior conlleva planear los temas que se deben ejecutar, de manera que aseguren la realizacin
de una Auditora de alta calidad y que se logre con la economa, eficiencia, eficacia y prontitud
debidas.
Partiendo de los objetivos y alcance previstos para la Auditora y considerando toda la
informacin obtenida y conocimientos adquiridos sobre la entidad en la etapa de exploracin, el
jefe de grupo procede a planear las tareas a desarrollar y comprobaciones necesarias para
alcanzar los objetivos de la Auditora.
Igualmente, debe determinar la importancia relativa de los temas que se van a auditar y reevaluar
la necesidad de personal de acuerdo con los elementos de que dispone.

Revisin y evaluacin de controles y seguridades: El propsito de esta etapa es recopilar las


pruebas que sustenten las opiniones del auditor en cuanto al trabajo realizado, es la fase, por decir
de alguna manera, del trabajo de campo, esta depende grandemente del grado de profundidad con
que se hayan realizado las dos etapas anteriores, en esta se elaboran los Papeles de Trabajo y las
hojas de nota, instrumentos que respaldan excepcionalmente la opinin del auditor actuante
Consiste de la revisin de los diagramas de flujo de procesos, realizacin de pruebas de
cumplimiento de las seguridades, revisin de aplicaciones de las reas crticas, Revisin de
procesos histricos (backups), Revisin de documentacin y archivos, entre otras
actividades

Pgina

Examen detallado de reas crticas: Con las fases anteriores el auditor descubre las reas
crticas y sobre ellas hace un estudio y anlisis profundo en los que definir concretamente su
grupo de trabajo y la distribucin de carga del mismo, establecer los motivos, objetivos, alcance
Recursos que usara, definir la metodologa de trabajo, la duracin de la Auditora, Presentar el
plan de trabajo y analizara detalladamente cada problema encontrado con todo lo anteriormente
analizado.

Comunicado de resultados: Se elaborara el borrador del informe a ser discutido con los
ejecutivos de la empresa hasta llegar al informe definitivo, el cual presentara esquemticamente
en forma de matriz, cuadros o redaccin simple y concisa que destaque los problemas
encontrados , los efectos y las recomendaciones de la Auditora.
El informe debe contener lo siguiente:

Motivos de la Auditora.

Objetivos.

Alcance.

Estructura Orgnico-Funcional del rea Informtica.

Configuracin del Hardware y Software instalado.

Control Interno.

Resultados de la Auditora.

Pgina
7

Informe: En esta etapa el Auditor se dedica a formalizar en un documento los resultados a los
cuales llegaron los auditores en la Auditora ejecutada y dems verificaciones vinculadas con el
trabajo realizado.
El informe parte de los resmenes de los temas y de las Actas de Notificacin de los Resultados
de Auditora que se vayan elaborando y analizando con los auditados, respectivamente, en el
transcurso de la Auditora.
La elaboracin del informe final de Auditora es una de las fases ms importante y compleja de la
Auditora, por lo que requiere de extremo cuidado en su confeccin.
El informe de Auditora debe tener un formato uniforme y estar dividido por secciones para
facilitar al lector una rpida ubicacin del contenido de cada una de ellas.

Seguimiento: En esta etapa se siguen, como dice la palabra, los resultados de una Auditora,
generalmente una Auditoria evaluada de Deficiente o mal, as que pasado un tiempo aproximado
de seis meses o un ao se vuelve a realizar otra Auditora de tipo recurrente para comprobar el
verdadero cumplimiento de las deficiencias detectadas en la Auditoria.

EMPRESA ESCOGIDA: SERVIENTREGA S.A


Teniendo en cuenta que lo que se desea medir, analizar e identificar, son los problemas con los
que cuenta Servientrega S.A con respecto a la seguridad fsica y lgica de sus equipos, adems la
calidad y capacidad en su sistema informtico relacionado a funcionalidad, operatividad y
accesibilidad de la informacin respectivamente, se hace necesario orientar esta auditoria hacia
una Auditora informtica de seguridad.
La estructura del estndar Cobit
Se divide en dominios que son agrupaciones de procesos que corresponden a una
responsabilidad personal, procesos que son una serie de actividades unidas con delimitacin o
cortes de control y objetivos de control o actividades requeridas para lograr un resultado
medible. Se trabaj con los siguientes dominios y procesos:

Dominio: adquisicin e implementacin (ai)


-

Proceso: ai2 adquirir y mantener software aplicativo

Dominio: servicios y soporte (ds)


-

Proceso: ds7 educar y entrenar a los usuarios

DOMINIO: ADQUISICIN E IMPLEMENTACIN (AI)


PROCESO: AI2 ADQUIRIR Y MANTENER SOFTWARE APLICATIVO
Las aplicaciones deben estar disponibles de acuerdo con los requerimientos del negocio. Este
proceso cubre el diseo de las aplicaciones, la inclusin apropiada de controles aplicativos y
requerimientos de seguridad, y el desarrollo y la configuracin en s de acuerdo a los estndares.
Esto permite a las organizaciones apoyar la operatividad del negocio de forma apropiada con las
aplicaciones automatizadas correctas.

Control sobre el proceso TI de Adquirir y dar mantenimiento a software aplicativo que satisface
el requisito de negocio de TI para construir las aplicaciones de acuerdo con los requerimientos
del negocio y hacindolas a tiempo y a un costo razonable enfocndose en garantizar que exista
un proceso de desarrollo oportuno y confiable

Se logra con:
La traduccin de requerimientos de negocio a especificaciones de diseo
La adhesin a los estndares de desarrollo para todas las modificaciones
La separacin de las actividades de desarrollo, de pruebas y operativas

Se mide con:
Nmero de problemas en produccin por aplicacin, que causan tiempo perdido
significativo
Porcentaje de usuarios satisfechos con la funcionalidad entregada

Objetivos de control

AI2.5 Configuracin e implantacin de software aplicativo adquirido: configurar e


implementar software de aplicacin adquirido para conseguir los objetivos del negocio.

AI2.10 Mantenimiento de software aplicativo: desarrollar una estrategia y un plan para


el mantenimiento de aplicaciones de software.
Pgina

10

Objetivos General

Alinear los requerimientos del negocio con las especificaciones tcnicas y de diseo para
la adquisicin de software, de forma tal que se pueda responder a las directivas
tecnolgicas y a la arquitectura de informacin manejada por la organizacin.

Aplicar los controles necesarios para garantizar el procesamiento correcto y oportuno de


la informacin, as como tambin para cumplir con los niveles de seguridad obligatorios.

Garantizar la disponibilidad de las aplicaciones de forma que se d respuesta a los


requerimientos de tiempo de repuesta y manejo de la informacin.

Implementar estrategias con tendencia a asegurar el mantenimiento de las aplicaciones y


un alto nivel de calidad en las mismas.

ALCANCE

Se quiere comprobar cules son los controles manejados por la organizacin en la adquisicin de
software y de qu forma se garantizan tanto la calidad y buen desempeo, como la seguridad en
el manejo de las aplicaciones y la informacin que se pone a su disposicin.

Aplicaremos los instrumentos y herramientas para la auditoria:


Para esta fase se utilizaran las siguientes herramientas:
Entrevistas, cuestionarios de control, lista de chequeos sern entregados con anticipacin a los
empleados directos del rea a auditar

Pgina
11

Aplicacin de instrumentos de recoleccion de informacion

Pgina
13

Lista de chequeo

Dominio
Proce
so

sistema de informacin Servientrega S.A


Cuestionario de Control
Adquisicin e Implementacin
AI2: Adquirir y mantener software aplicativo

Pregunt
a proyecto y un proceso de
Existe un plan de pruebas del
aprobacin del usuario
Los materiales de soporte y referencia para usuarios,
as como las instalaciones de ayuda en lnea estn
disponibles?
Son autorizadas y probadas las correcciones
realizadas?
Se posee un registro de fallas detectadas en los
equipos?
Existen procesos de adquisicin y mantenimiento de
aplicaciones, con diferencias pero similares, en base a
la experiencia dentro de la operacin de TI.
Se da el proceso de reevaluacin siempre que ocurren
discrepancias tecnolgicas y/o lgicas significativas?
Se cuenta con servicio de mantenimiento para todos
los equipos?
Se lleva a cabo actualmente un plan de
mantenimiento para la solucin del sistema de
informacin?
Existe un proceso claro, definido y de comprensin

S
i

N
o
X

X
X
x

El proceso de Adquirir y
Mantener
Software
Aplicativo est en el nivel de
madurez

Dar a conocer el proceso de


adquisicin y mantenimiento
del Sistema de Informacin
(software) y aplicaciones

general para la adquisicin y mantenimiento de


software aplicativo. Este proceso va de acuerdo con la
estrategia de TI y del negocio?
Tiene el sistema de informacin manuales tcnicos,
de operacin y de usuario?

El personal que se encarga del mantenimiento es


personal capacitado?
Se lleva un procedimiento para la adquisicin de
nuevos equipos?
Existe una metodologa formal y bien comprendida
que incluye un proceso de diseo y especificacin, un
criterio de adquisicin, un proceso de prueba y
requerimientos para la documentacin?

Son compatibles software y hardware?

OBSERVACIONES

X
X

Determinar la metodologa
formal
para
la
documentacin del software
en uso.

Anlisis y evaluacin de riesgos del proceso: AI2 Adquirir y mantener software aplicativo
N

R1
R2
R3

R4
R5
R6
R7
R8

Descrip
cin
falta de mantenimiento de los equipos
Equipos con bajo rendimiento
No se ha asignado un espacio locativo para
el ejercicio del mantenimiento preventivo y
correctivo.
No se ha definido un protocolo para la
organizacin de los equipos dependiendo que
clase de mantenimiento se proceder a
efectuar
No
hay una hoja de vida de la existencia
de los equipos
Sobrecalentamiento de equipos de computo
No existe monitorio continuo de software
instalado en los equipos de computo
Salida de informacin por accesos no
autorizados

R9

Sistemas operativos mal configurados


y mal organizados

R1
0

El Software no cumple con los estndares de


seguridad requeridos pues nunca fue diseado
para dar soporte a una organizacin.
Daos al software y sistema operativo de los
equipos de la empresa
Software sin licencia
aplicativos cumplan con los requerimientos
del negocio
No hay plan de gestin de riesgos de
seguridad de la aplicacin

R1
1
R1
2
R1
3
R1
4

Baja
030%

Probabilidad
Alta
Me
61dia
X
100%
X

Impacto
M
C
X
X

X
X

X
X

X
X

X
X
X
X

PROBABILIDAD

Resultado Matriz de probabilidad


Alto 61Medio 3160%
Bajo 030%

R1,
R2,R5,R
R2, R5
R3,
R7
Lev
e

R9
Modera
do
IMPA
CTO

R4,R7,
R10,R
R6

Menor impacto o probabilidad de


ocurrencia
Probabilidad y ocurrencia media
Alta probabilidad de ocurrencia

Catastr
fico

Cuadro de hallazgos detectados, identificando la posible causa que los origina, y los recursos afectados
Hallazgos
No se cuenta con un
Software que permita la
seguridad
de
los
programas
y
la
restriccin y/o control
del acceso de los
mismos

Causas
Cuando se instalaron programas
en los equipos con los que cuenta
la empresa no se asegur que se
tuviera la suficiente seguridad
para que
estos no fueran manipulados por
otras personas

Recursos Afectados
la seguridad de la
informacin
de
la
empresa, las claves de
los usuarios autorizados

Recomendaciones
Evaluar e implementar
un software que permita
mantener el resguardo
de acceso de los
archivos de programas y
de los programadores.

Las modificaciones a
los programas son
solicitadas
generalmente
sin
notas internas, en
donde se describen
los
cambios
o
modificaciones que
se requieren.
No cuenta con
documentaciones
tcnicas del sistema
integrado de la Empresa
y tampoco no cuenta
con un control o
registro formal de las
modificaciones
efectuadas.

Cuando se incrementa an ms la
posibilidad de producir
modificaciones errneas y/o no
autorizadas a los programas o
archivos y que las mismas no
sean detectadas en forma
oportuna

Las actualizaciones en
cuanto a los cambios
en los programas.

Implementar y conservar
todas
las
documentaciones
de
prueba de los sistemas,
como as tambin las
modificaciones
y
aprobaciones
de
programas
realizadas
Elaborar
la
documentacin tcnica
correspondiente a los
sistemas implementados
y establecer normas
y procedimientos para
los desarrollos en forma
peridica
y
su
actualizacin.
Utilizar
software
gratuito o sacar crdito
con banco para evitar
posibles multas. Debe
ser
resuelto
inmediatamente

Software sin licencia

Falta de planes y
Programas
Informticos

La escasa documentacin
tcnica de cada sistema
dificulta la compresin de las
normas, demandando tiempos
considerables para su
mantenimiento e
imposibilitando la
capacitacin del personal
nuevo en el rea.
Equipos sin licencia, debido al
alto costo de las mismas.

Poca informacin personal sin


experiencia

El desarrollo del trabajo


del usuario del trabajo
del usuario, la
capacitacin de un nuevo
personal.

Prdidas de
informacin causadas
por fallas en los
sistemas, y a incurrir
en gastos extra por no
contar con garantas y
formal.
Elasistencia
sistema se
ve afectado
al no poderse actualizar
de acuerdo a las
tecnologas actuales,
igualmente se afecta a la
gestin de la
documentacin.

Aplicar la solucin ms efectiva


posible.

Pgina

16

DOMINIO: ENTREGAR Y DAR SOPORTE


PROCESO: DS7 EDUCAR Y ENTRENAR A LOS USUARIOS

Para una educacin efectiva de todos los usuarios de sistemas de TI, incluyendo aquellos dentro
de TI, se requieren identificar las necesidades de entrenamiento de cada grupo de usuarios.
Adems de identificar las necesidades, este proceso incluye la definicin y ejecucin de una
estrategia para llevar a cabo un entrenamiento efectivo y para medir los resultados.
Un programa efectivo de entrenamiento incrementa el uso efectivo de la tecnologa al disminuir
los errores, incrementando la productividad y el cumplimiento de los controles clave tales como
las medidas de seguridad de los usuarios.

Satisface el requerimiento del negocio de TI para: El uso efectivo y eficiente de soluciones y


aplicaciones tecnolgicas y el cumplimiento del usuario con las polticas y procedimientos

Enfocndose en:
Un claro entendimiento de las necesidades de entrenamiento de los usuarios de TI, la ejecucin
de una efectiva estrategia de entrenamiento y la medicin de resultados

Se logra con

Establecer un programa de entrenamiento

Organizar el entrenamiento

Impartir el entrenamiento

Monitorear y reportar la efectividad del entrenamiento


Pgina
17

Y se mide con

Nmero de llamadas de soporte debido a problemas de entrenamiento

Porcentaje de satisfaccin de los Interesados con el entrenamiento recibido


Lapso de tiempo entre la identificacin de la necesidad de entrenamiento y la imparticin del
mismo

Objetivos de control:
DS7.1 Identificacin de Necesidades de Entrenamiento y Educacin
DS7.2 Imparticin de Entrenamiento y Educacin
DS7.3 Evaluacin del Entrenamiento recibido

Diseo de instrumentos de recoleccin de informacin

Pgina

20

Listas de chequeo:

Cuestionario de control C1

Empresa Sevientrega
Cuestionario de control
Dominio
Proceso
Objetivo de control

13/10/2015
C1

Entregar y dar soporte


DS7 Educar y entrenar a los usuarios
Identificacin de necesidades y de entrenamiento y educacin
Cuestionar
Pregunta
Si
N io N/
Observaciones
o
A
X
Se llevan a cabo
Si se realizan entrenamientos, los
entrenamientos a los usuarios de
cuales son de carcter obligatorio
la empresa?
X
Se lleva a cabo un anlisis de
Se
cuenta con un registro de
factibilidad
los prerrequisitos para la
ejecucin de la capacitacin?
X
La empresa tiene material
Los materiales de entrenamiento son
de entrenamiento para
tomados como los distintos manuales
transferir el conocimiento?
que se tienen a la hora de entrega de un
software
X
Se cuenta con la opinin y el
El rea de sistemas trabaja en conjunto
apoyo de las dems reas para
con el departamento de recursos
la planeacin de las
humanos para llevar a cabo las
capacitaciones?
capacitaciones y comunicacin de los
planes hacia los dems empleados.
X
Se tiene en cuenta la opinin
Se tienen en cuenta los aportes de
del usuario en estas actividades
los usuarios para realizar los
de comunicacin de servicios,
planes de comunicacin y
capacitacin y soporte?
capacitacin.
X
No se cuenta con dicho registro
Existe un registro de llamadas
de soporte debido a problemas
por falta de entrenamiento?

Pgina
21

Cuestionario de control C2

Empresa Sevientrega
Cuestionario de control
Dominio
Proceso
Objetivo de control

13/10/2015

C2
Entregar y dar soporte
DS7 Educar y entrenar a los usuarios
Imparticin de entrenamiento y educacin
Cuestionar
Pregunta
Si
N io N/
Observaciones
o
A
X
Las capacitaciones van
A todos los usuarios que requieran del
dirigidas a todos los grupos de
uso de software para el cumplimiento
usuarios de la empresa?
de sus funciones
X
Se utilizan mtodos para la
Se cuenta con polticas de capacitacin
imparticin del
establecidas para el personal nuevo y
conocimiento?
para la capacitacin en la
implementacin de software nuevo
pero no se especifican mtodos de
capacitacin ni el procedimiento a
seguir
X
La documentacin existente
Al
momento de realizar un software
est
disponible
para
la
se muestran manuales tanto tcnicos
transferencia de conocimiento a
como de usuarios y estn disponibles
los usuarios?
para que los usuarios accedan a ellos
y se instruyan
X
Se tiene definido un mtodo para
No hay un mtodo definido para
la designacin de los instructores
la designacin de instructores de
para la capacitacin?
capacitacin
X
No se cuenta dicho registro
Se cuenta con un registro de los
usuarios que han recibido
capacitacin?

Cuestionario de control C3

Empresa Sevientrega
13/10/2015
Cuestionario de control
C3
Entregar y dar soporte
Dominio
DS7 Educar y entrenar a los usuarios
Proceso
Evaluacin del entrenamiento recibido
Objetivo de control
Cuestionar
Pregunta
Si
N io N/
Observaciones
o
A
X
Se cuenta con control sobre
No se cuenta con los acuerdos
los acuerdos de
de confidencialidad
confidencialidad firmados por
los empleados acerca de la
informacin manejada en la
empresa?
X
Se
han ejecutado revisiones
Luego de llevar a cabo las
posteriores a las actividades
capacitaciones se realizan revisiones
de comunicacin y cules
posteriores
son sus resultados?
X
No hay especificacin de dicho
Existe un proceso definido
proceso
para la evaluacin el
desempeo dentro de las
capacitaciones?
Las
actividades de
comunicacin son llevadas a
cabo segn lo planeado
inicialmente?
Se
tienen procesos definidos
para monitorear la efectividad
en las semanas posteriores de
haberse realizado las
capacitaciones y actividades
de comunicacin?

Es ocasiones se realizan
modificaciones a los condiciones
iniciales
No se tienen procesos definidos para
medir la efectividad de las
capacitaciones tiempo despus de
haber sido realizadas

Anlisis y evaluacin de riesgos

R1

Riesgos /
Valoracin
No se cuenta con personal capacitado para la ejecucin

Probabilidad
A
M
B C
X

R2

de las capacitaciones
No hay metodologas definidas para la planeacin de

Impacto
M
L
X
X

las capacitaciones
R3
R4

No se lleva registro de llamadas a soporte tcnico


No se especifican mtodos para la imparticin de

X
X

R5

conocimiento
No hay mtodo definido para la seleccin de

R6

instructores de capacitacin
No existe registro de usuarios que han

recibido capacitacin
R7
R8

No hay registro sobre los acuerdos de confidencialidad


No hay proceso definido para la evaluacin de

X
X

R9

desempeo en las capacitaciones


No se lleva a cabalidad los planes diseados para la

R10

capacitacin
No se realiza evaluacin de la efectividad tiempo

R11

despus de haber sido realizadas las capacitaciones


No hay conocimiento de los usuarios sobre las polticas

R12

de seguridad de la informacin
Desconocimiento de medidas bsicas de seguridad del

Probabilidad

Clasificacin de riesgos
Impacto
Moderado
R2, R6, R10

Catastrfico

Alto

Leve
R9

Medio

R4, R8

R3, R5, R11

R7, R12

Bajo

R1

X
X

rea de tecnologas de la informacin


-

X
X

Guas de hallazgos detectados identificando la posible causa que los origina, y los recursos
afectados
-

Gua de hallazgos H1

Empresa Servientrega Ccuta


R/PT:
P1
Hallazgos dela
H1
auditoria
Servicios y soporte
Dominio
DS7 Educar y entrenar a los usuarios
Proceso
Identificacin de necesidades de entrenamiento y educacin
Objetivo de control
R1, R3, R5
Riesgos asociados
Descripcin
No se cuenta con una metodologa para la seleccin del personal que realizara la
capacitacin, por lo cual en muchas ocasiones se elige personal que no est capacitado o no
cuenta con el conocimiento suficiente sobre el hardware o software que se va a tratar.
Adicionalmente, para la planeacin de las capacitaciones no se tienen en cuenta los temas
relacionados con las llamadas realizadas a soporte tcnico.
Causa
Falta de personal en la empresa con el conocimiento suficiente para poder impartir
las capacitaciones.
No hay control sobre los soportes realizados.
Recursos
afectados
Integridad de los datos en los sistemas de informacin
Recomendacin
Solicitar apoyo con las empresas proveedoras de los productos de hardware y software, para
que el personal de sistemas pueda recibir orientaciones directamente de ellos, con el fin de
que el rea de sistemas se pueda estar actualizando constantemente sobre el uso de las
herramientas y puedan brindar mejores capacitaciones y soportes a las dems reas .
Disear planillas en donde se registre el rea que solicita el soporte, fecha, hora, motivo y
descripcin del soporte realizado, y firma del que da el soporte y quien lo recibe.
Nivel de riesgo
En cuanto a la probabilidad de ocurrencia est clasificado en medio, en cuanto al impacto
es moderado

Gua de hallazgos H2

Empresa Servientrega Ccuta


R/PT:
P2
Hallazgos dela
H2
auditoria
Servicios
y soporte
Dominio
DS7 Educar y entrenar a los usuarios
Proceso
Imparticin de entrenamiento y educacin
Objetivo de control
R2, R4, R6, R11, R12
Riesgos asociados
Descripcin
No se tienen definidos los mtodos que sern utilizados para la ejecucin de las
capacitaciones, adems no se lleva control del personal que ha recibido capacitacin y
sobre qu temas.
Causa
Falta de organizacin del personal y de investigacin sobre mtodos de imparticin
de conocimiento
Recursos
afectadosy recursos tecnolgicos
Seguridad de la informacin
Recomendacin
Entre el rea de sistemas y recursos humanos debern definir la metodologa estndar
que ser usada para la ejecucin de las capacitaciones, tomando como base la cantidad
de empleados y las temticas que se van a tratar.
Para cada actividad de comunicacin y capacitacin se llevara un formato en donde se
registre el asunto de la capacitacin, fecha, hora de inicio y fin, nombre del instructor,
y cdigo, nombre, rea y firma de las personas asistentes.
Nivel de riesgo
En cuanto a la probabilidad de ocurrencia est clasificado en medio, en cuanto al
impacto es moderado

Gua de hallazgos H3

Empresa Servientrega Ccuta


R/PT:
P3
Hallazgos dela
H3
auditoria
Servicios
y soporte
Dominio
DS7 Educar y entrenar a los usuarios
Proceso
Evaluacin de entrenamiento recibido
Objetivo de control
R7, R8, R9, R10
Riesgos asociados
Descripcin
Aunque desde el principio se realiza un plan y cronograma de trabajo para la
capacitacin no es llevado a cabalidad, lo que genera que muchos temas que tratar no
se realicen. Posterior a esto no se realiza seguimiento en las actividades de los
empleados para verificar que estn haciendo buen uso de los recursos y sistemas
Causa
No se realiza un buen diseo en el cronograma, dejando por fuera temticas que son
importantes tratar, lo cual genera alteraciones en el tiempo de ejecucin.
Recursos
Credibilidad de afectados
la empresa ante los clientes
Recomendacin
Hacer un estudio previo teniendo en cuenta las opiniones de los dems empleados, as
se podr tener una idea ms clara de los problemas que ms se presentan en las
diferentes reas, y as mismo poder realizar un cronograma que se acomode mejor con
las necesidades. Igualmente, con ayuda de las opiniones de los empleados se puede
buscan los mtodos de imparticin de conocimiento que ms se acomoden al grupo de
usuarios y temticas a tratar.
Nivel de riesgo
En cuanto a la probabilidad de ocurrencia est clasificado en alto, en cuanto al impacto
es moderado

CONCLUSIONES

Con los resultados de la auditoria se evidencian las falencias del rea auditada, teniendo
presente elaborar las correcciones a las mismas.

En este caso elaborar planes y seguimientos de la informacin para su manipulacin, con


medios que brinden seguridad.

Otro aspecto de vital importancia sealado en el resultado de la auditoria, es la mala


organizacin de los puestos de trabajo y la falta de compromiso por parte de los
empleados para con la empresa. Este es un factor muy importante ya que por ms
seguridad y mantenimiento que se tenga en los equipos, y en los sistemas de informacin,
el componente humano es la base fundamental de la empresa.

REFERENCIAS BIBLIOGRFICAS

Bertha A. Naranjo S. Metodologa de una auditoria de sistemas. 2015, de Galeon.com Sitio web:
http://anaranjo.galeon.com/metodo_audi.htm

Gernimo Manso. (2008). Etapas de una auditoria de sistemas. De Geronet Sitio web:
http://www.geronet.com.ar/?p=48

IT Governance Institute. COBIT 4.1. 2007, Recuperado de:


http://cs.uns.edu.ar/~ece/auditoria/cobiT4.1spanish.pdf