Documentos de Académico
Documentos de Profesional
Documentos de Cultura
AUDITORÍA INFORMÁTICA
AUDITORIA DE SISTEMAS
GRUPO N. 90168_4
Confidencialidad
Disponibilidad
Cumplimento
Instalaciones
Confiabilidad
Aplicaciones
Información
Efectividad
Integridad
Eficiencia
Personas
Dominio
Proceso
Definir un plan
PO1 estratégico de P S - - - - - √ √ √ √
TI
Evaluar y
PO9 administrar los P - - - - - S √ √ √ √
riesgos de TI
7 ¿Los gerentes y otros funcionarios de nivel superior pueden dar órdenes directas a cualquier
empleado del área de informática?
17 ¿Los programas antes mencionados son justo lo que necesita para sus actividades laborales?
18 ¿Existen programas diseñados y elaborados por el área de informática, con los procedimientos
específicos para las actividades que la entidad desarrolla?
37 ¿Cuáles son los riesgos que han identificado y como se los mitiga
√ En el Hospital rosario
de los requerimientos de las aplicaciones y tecnología del
Pumarejo de López” no se
negocio se lleva a cabo de modo reactivo en lugar de hacerlo por
ha establecido un plan
medio de una estrategia organizacional. La posición de riesgo
estratégico consistente
estratégico se identifica de
para la unidad de TI que
manera informal proyecto por proyecto. permita tener las políticas
actualizadas y que cubra
La planeación estratégica de TI se comparte con la gerencia todas las necesidades
del negocio según se necesite. La actualización de los requeridas por las normas
planes de TI ocurre como respuesta a las solicitudes de la políticas.
dirección. Las decisiones estratégicas se toman proyecto
Nivel 2
PO9.3 Identificación de Entrevista a un empleado del área No existen documentos en donde se Los riesgos de área de TI son
Eventos de TI. identifiquen los riesgos del área de identificados de manera reactiva,
TI. primero suceden para saber que se
Entrevista a un auxiliar
debe realizar para corregirlos.
administrativo del hospital.
PO9.4 Evaluación de Riesgos de TI Entrevista al director de TI. No existen documentos en donde se No se evalúan los riesgos, solo se
evalúen los riesgos del área de TI. intenta mitigarlos.
PO9.5 Respuesta a los Entrevista a un empleado del área No existen documentos en donde se Las respuestas a los riesgos son
Riesgos de TI. propongan las respuestas a los reactivas y de ser posible
riesgos del área de TI. inmediatas, pero no están
Entrevista a un auxiliar administrativo
del hospital. programadas por lo que resultan e
algunas ocasiones ineficientes.
Dominio: Planeación y Organización
SI NO
Observaciones
El proceso de evaluación
/ Análisis de riesgos se
encuentra en un nivel 0.
Objetivos no Cumplidos
Los riesgos de TI se toman en cuenta de manera ad hoc. Se El área de TI del Hospital
realizan evaluaciones informales de riesgos según lo Rosario Pumarejo de
determine cada proyecto. En algunas ocasiones se López no toma en cuenta
identifican evaluaciones de riesgos en un plan de proyectos, los riesgos, ni los evalúa o
pero se asignan rara vez a gerentes específicos. Los genera planes de respuesta
riesgos específicos relacionados con TI tales como a los mismos.
seguridad, disponibilidad e integridad se toman en cuenta
ocasionalmente proyecto por proyecto. Los riesgos relativos a √
Nivel 1
TI que afectan las operaciones del día a día, son rara vez
discutidas en reuniones gerenciales. Cuando se toman en
cuenta los riesgos, la mitigación es inconsistente. Existe un
entendimiento emergente de que los riesgos de TI son
importantes y necesitan
ser considerados.
El PO9 debería tener algunos cambios para que pueda ascender a un nivel
de madurez de 1, para lo cual se deberían manejar estrategias a corto y
largo plazo de acuerdo a la metodología de COBIT, se recomiendan las
siguientes:
N. RIE
RIESGO ILIDAD NIO
SGO
B M A B M A
R1 Los funcionarios no conocen el manual de
funciones X X
R6
Divulgación de información o pérdida de esta. X X (PO9)
Impacto
ALTO
Probabilidad
MEDIO
R6, R7, R10
BAJO
R1, R11 R3