AUDITORIA DE SISTEMAS

PRESENTADO POR:

DANIELA RENGIFO SANCHEZ C.C. 1.077.453.396

GRUPO:

90168_61

TUTOR:

NILDA BECERRA

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

ESCUELA CIENCIAS BÁSICAS, TECNOLOGÍA E INGENIERÍA ECBTI

2019
 INTRODUCCIÓN

En el presente trabajo se podrá apreciar una series de consultas que nos ayudaran

a conocer los conceptos de: vulnerabilidad, amenazas, riesgos, controles

informáticos. Los cuales también los vamos a visualizar en un mapa conceptual el

cual va ha mostrar las relaciones que tienen cada uno de ellos.

También se apreciará los conceptos de control interno informático y auditoria

informática mediante un cuadro comparativo el cual va a mostrar las diferencias

entre ellos, el cual realizaremos un proceso de auditoria en una empresa del sector

informático.
 OBJETIVOS

 Objetivo general

En el presente trabajo tendrá como objetivo fortalecer nuestros

conocimientos sobre auditoria de sistemas, teniendo encanta cada una de

las definiciones consultadas.

 Objetivo específico

 Fortalecer los conocimientos de auditoría de sistemas

 Aplicar los conocimientos adquiridos en la realización de mapa

conceptuales y cuadro comparativ

 CUADRO COMPARATIVO

CONTROL INTERNO INFORMATICO AUDITOR INFORMÁTICO

Análisis de los controles en el día a día. Análisis en un momento determinado

Informa a la Dirección del Informa a la Dirección General de la

Departamento de Informática. Organización
Solo persona interno. Tanto personal interno como externo.

El alcance de sus funciones es El alcance de sus funciones tiene

únicamente sobre el Departamento de cobertura sobre todos los componentes
Informática. de los sistemas de información de la
Organización
DIFERENCIAS
El control realiza las tareas de control La auditoría lleva a cabo una tarea que se
interno, anteriores al trabajo de la auditoria. considera una parte más del proceso de
control interno busca mejorar, de norma
continua, la unción del control.
El control supervisa las tareas que La auditoría evalúa, como una actividad
forman parte de la propia operatividad independiente y objetiva, dichos
de la organización, en base a los procesos y procedimientos para mejorar
procesos y procedimientos la gestión de la empresa.
establecidos, para asegurar la
consecución de los objetivos
empresariales
 CADA ESTUDIANTE PROPONE UNA EMPRESA PARA LLEVAR A CABO LA

AUDITORIA.

 HOSTAL PLAYA ORO

 S.A ESP CANDECERT

 CLÍNICA CASANARE

EL GRUPO SELECCIONA UNA DE LAS EMPRESAS PROPUESTAS PARA

REALIZAR LA AUDITORÍA.

 S.A ESP CANDECERT

EL ESTUDIANTE DESCRIBE LA EMPRESA SELECCIONADA: LA

ESTRUCTURA ORGANIZACIONAL, LOS CARGOS Y FUNCIONES, Y LOS

SERVICIOS DEL ÁREA INFORMÁTICA, LOS ACTIVOS INFORMÁTICOS Y LOS

SISTEMAS INFORMÁTICOS DE LA EMPRESA.

EMPRESA DE SERVICIOS PUBLICOS MISTA LA CANDELARIA DEL

MUNICPIO DE CERTEGUI

S.A ESP CANDECERT

Es una empresa de servicios público mixto del Municipio de Cértegui S.A ESP, de

acueducto, alcantarillado y aseo.

Organizacionalmente se encuentra 2 áreas:

Área Administrativa, financiera y comercial, el cual está a cargo del GERENTE /

tiene como función la dirección, coordinación y control de todas las actividades que

se desarrollen en la empresa.

Técnico administrativo / es el encargado de realizar las actividades relacionadas

con las cuentas que se llevan en la empresa por lo tanto desempeña las funciones

como auxiliar contable a la ves manejan presupuesto y sistema informático.

Funciones esta:

 Mantener en correcto estado de servicio, prestación y funcionamientos los

implementos y equipos de trabajos que se le confíen.

 Elaborar y asesorar la legalización de los diferentes contratos que realice la

empresa

 Coordinar y velar por el adecuado manejo y custodia del archivo de contratos

de la empresa con sus respetivos soportes como son: pólizas, reservas

presupuestales, actas parciales de recibo y demás documentos.

 Coordinar y controlar las operaciones relacionadas con el registro contable

de los boletines diarios de caja, comprobantes de ingreso/egreso y demás

documentos que aportan la contabilidad de la empresa.

 Coordinar y controlar el trámite oportuno de cuentas por pagar y cobrar

 Transcribir en computador la correspondencia, actas e informes tomados en

la empresa y/o particulares a las distintas reuniones con el gerente.

  Llevar el archivo de las nóminas y demás documentos soportes, al igual que

en forma sistemática todo el archivo correspondiente a las hojas de vida de

los funcionarios y exfuncionarios de la empresa.

Área Operativa, está a cargo CONDUCTOR / conducir el vehículo de la empresa

para transportar los desechos desde el sitio de origen hasta el lugar de disposición

final y participar en la recolección de desechos.

TÉCNICO OPERATIVO: cargo FONTANERO. OPERADOR DE PLANTA DE

AGUA POTABLE/ es el encargado de adelantar actividades necesarias para la

operación, mantenimiento y correcto funcionamiento de las redes de acueducto y

(alcantarillado cuando sea necesario), planta de agua potable y el suministro

constante de agua potable.

Operador de aseo: cargo ESCOBITA RECOLECTORA DE RESIDUOS SOLIDOS/

Relacionado con la ejecución del área operativa y técnica, tiene como fin realizar

actividades de aseo de las vías y lugares públicos.

EL GRUPO ELABORA EL PLAN DE AUDITORIA QUE INCLUYA: EL OBJETIVO

DE LA AUDITORIA, LOS ALCANCES DE LA AUDITORÍA, LA METODOLOGÍA,

LOS RECURSOS PARA EL DESARROLLO, Y EL CRONOGRAMA DE

ACTIVIDADES.

OBJETIVO GENERAL

Realizar la auditoría a la red de datos (área comercial, procesos de

facturación, recuperación de carteras y atención al cliente de E.S.P.M.S.P).

y seguridad propia del sistema.

OBJETIVO ESPECIFICO

Conocer el funcionamiento de las redes de datos que soportan la

infraestructura tecnológica del hardware que soportan los sistemas de

información.

Elaborar el plan de auditoría diseñando los formatos de fuentes de

recolección de información, diseñando el plan de pruebas a realizar, la

selección del CobIT como estándar de buenas prácticas que será aplicado y

presentando a consideración los recursos y personal necesario para llevarla

a cabo.
 Ejecutar las pruebas que han sido diseñadas y aplicar los instrumentos de

recolección de información que se han diseñado para encontrar los riesgos

existentes para los procesos de CobIT relacionados directamente con los

activos a evaluar (red de datos) y hacer el análisis y evaluación de riesgos

hasta llegar a la matriz de riesgos donde se mostrará la probabilidad e

impacto de los riesgos encontrados.

Elaborar los informes de resultados y el dictamen de la auditoría para los

procesos evaluados en el estándar para presentarlos en la empresa.

ACTIVOS

De la red de datos se evaluará los siguientes aspectos:

Disponibilidad de copias de seguridad backup

La obsolescencia del hardware y cableado estructurado

El cumplimiento de la norma de cableado estructurado

La seguridad en la red de datos

Configuración de los servicios de red disponibles

La administración de los usuarios en la red

METODOLOGÍA

Conocer el funcionamiento de las redes de datos que soportan la infraestructura

tecnológica del hardware que soportan los sistemas de información.

Solicitar el inventario del hardware de equipos y de red

Solicitar la documentación de los planos de la red

 Realizar una entrevista inicial con el encargado de administrar la red para

conocer los problemas más frecuentes en la red

Elaborar el plan de auditoría diseñando los formatos de fuentes de recolección de

información, diseñando el plan de pruebas a realizar, la selección del CobIT como

estándar de buenas prácticas que será aplicado y presentando a consideración los

recursos y personal necesario para llevarla a cabo.

Consultar los formatos de recolección de información

Consultar documentación relacionado con CobIT

Identificar cada uno los aspectos de recolección de información

Ejecutar las pruebas que han sido diseñadas y aplicar los instrumentos de

recolección de información que se han diseñado para encontrar los riesgos

existentes para los procesos de CobIT relacionados directamente con los activos a

evaluar (red de datos) y hacer el análisis y evaluación de riesgos hasta llegar a la

matriz de riesgos donde se mostrará la probabilidad e impacto de los riesgos

encontrados.

Realizar pruebas en equipos tecnológicos

Aplicar instrumento de recolección de información

Elaborar los informes de resultados y el dictamen de la auditoría para los procesos

evaluados en el estándar para presentarlos en la empresa.

Identificar cada unos de los factores que afectan la integridad de la empresa

Mostrar dichos resultados mediante informes

RECURSOS
RECURSOS HUMANOS:

Hayder Manuel Mosquera Tordecilla

Katerine Yiceth Mosquera

Reiner Mosquera

RECURSOS FÍSICOS:

la auditoría se llevará a cabo en la empresa CANDECERT, de la ciudad de

choco específicamente en el área de las TICs

RECURSOS TECNOLÓGICOS:

Grabadora digital para entrevistas

cámara fotográfica para pruebas que servirán de evidencia,

computador portátil,

software para pruebas de auditoría sobre escaneo y tráfico en la red

RECURSOS ECONÓMICOS:

ÍTEM CANTIDAD SUBTOTAL

Computador 2 $2.000.000
Cámara digital 1 $400.000
Grabadora digital 1 $120.000
TOTAL $4.520.000

CRONOGRAMA
 EL GRUPO CONSULTA EN EL BLOG LA ESTRUCTURA DEL ESTÁNDAR

COBIT (DOMINIOS, PROCESOS, Y LOS OBJETIVOS DE CONTROL),

SELECCIONAN 5 PROCESOS CON SUS RESPECTIVOS OBJETIVOS DE

CONTROL Y ACTIVIDADES DE CONTROL Y ELABORA EL PROGRAMA DE

AUDITORÍA.

PROGRAMA DE AUDITORIA

Objetivo General. Evaluar el proceso de facturación, recuperación de carteras y

atención al cliente de E.S.P.M.S.P al igual que la seguridad del sistema software en

cuanto la realizaciones dichas tareas.

Alcance. La auditoría se trabajó sobre el sistema bancario/o financiero, atender

adecuadamente las actividades de redacción y atención a los usuarios y

funcionarios de la empresa.

En el Área técnico administrativo se evaluó: la atención a funcionarios de la

empresa, directos y particulares la legalización y codificación de los nuevas

matrículas y por la solución de los diferentes peticiones quejas y reclamos

presentados por clientes.

En cuanto al hardware: los procesos de actualización, mantenimiento y adquisición

de servidores, terminales, dispositivos de red.

En cuanto al sistema de información: se evaluó la funcionalidad, procesamiento,

seguridad de la base de datos, seguridad del sistema operativo y seguridad de la

red, las entradas y salidas generadas por el sistema, la calidad de los datos de

entrada, la configuración del sistema, la administración del sistema, y planes de

contingencias.

En cuanto a la operatividad del sistema: se evaluó a los funcionarios que manejan

la información, la administración del sistema y el monitoreo del sistema.

Para realizar el proceso de auditoría al técnico administrativo, financiero y

comercial determinado teniendo en cuenta las vulnerabilidades, amenazas y

riesgos informáticos que se están presentando dentro de la empresa.

La empresa también tiene unos riesgos en la parte administrativa, comercial y de

factores externos como son la competencia, normas de regulación vigilancia y

control entre otras. El riesgo se puede definir como factores o situaciones que son

una amenaza para la viabilidad financiera de la empresa y que no permiten que esta

pueda supervivir y crecer en situaciones de competencia.

Riesgos administrativos
Se puede detectar la facilidad como muchas de las entidades tanto las de carácter

privado como oficial, están expuestas a un sinnúmero de actos que ponen el peligro

su estabilidad o su supervivencia, este se refiere a los que se enfrentar las personas

y las herramientas de trabajo que utiliza el personal del área administrativa.

Dentro de estos riesgos se puede hablar de:

 Riesgos financieros

 Riesgos logísticos

 Riesgos de competitividad

 Riesgos seguridad en la información, aseguramiento de la calidad de la

información

 Riesgos aseguramiento de bienes e inmuebles de la empresa

 Pagos de cuentas sin el control establecido para la revisión de las mismas

que permitan veracidad de pagos.

 Falta de liquidez para el cumplimiento de las obligaciones financieras/

intereses mora, litigios, mal imagen para la empresa

 La no respuesta en los términos y tiempos del proceso de peticiones quejas

y reclamos. / usuarios insatisfechos.

 Inestabilidad de los voltajes de energía/ perdida de la información existente

en los sistemas.

 Extravió de las planillas de lecturas de los usuarios de los servicios públicos

prestado por la empresa.

  Estallamiento de redes de distribución por sobre presión de la misma / daño

de propiedad a terceros, calles y vías publicas

Riesgos operativos

Se puede decir que son todo los que afecta la infraestructura de redes de

distribución de servicios públicos domiciliarios prestado por la empresa y el nivel de

operatividad sobre el poder restablecer en un momento determinado. Esto implica

en la medición de daños de redes de distribución de Acueducto Y alcantarillado o

en caso concreto del servicio de Aseo el deterioro de los vehículos de recolección

o de vida del relleno sanitario.

 Daños en la base de datos de los sistemas de presupuesto y contabilidad /

confiablidad en la información.

 Perdida de las claves o descubrimiento de la mismas de la información de la

empresa/ perdida de la información o de las misma claves.

 Manipulación de los sistemas de información/ descuadres de caja con

relación a lo facturado y al debido cobrar por la facturación del mes

correspondiente.

 Uso indebido de los equipos de cómputos/ daños de los equipos de cómputos

existentes y la información existente en los sistemas.

 Perdida de agua no contabilizada/ perdida de agua no contabilizada por fugas

en la red de distribución.

Dominio: Planeación y organización (PO):

Coordinar, dirigir, controlar todo lo relacionado con correcto estado de servicio,

presentación y funcionamiento. Desde las perspectivas comercial, procesos de

facturación lecturas, recuperación de carteras y atención al cliente de E.S.P.M.S.P

al igual que la seguridad del sistema software en cuanto a los perfiles de usuarios y

seguridad propia del sistema.

 PO1 Definir un Plan Estratégico de A: El objetivo es elaborar flujos y/o

estudios de tesorería, y movimientos que la empresa requiere en sistema

bancario y/o financiero para asegurar sus logros futuros.

 PO2 Definir la Arquitectura de la Información: El objetivo es satisfacer los

requerimientos de la organización, en cuanto al manejo y gestión de los

sistemas de información.

 PO2.1 Modelo de Información: en la atención de funcionarios de la empresa,

directivos y particulares a través de la creación de un sistema informático

que permita tener un modelo de información de la organización.

 PO2.2 Esquema de Clasificación de datos: Coordinar y atender los reclamos

que formulen los suscriptores o clientes relacionados con la legalización de

nuevas matrículas, consumos, lecturas e instalación y cobro de medidores.

 PO2.3 Administración de Integridad: transcribir llevar un archivo de las

nóminas y demás documentos de soportes, al igual

 PO3 Determinar la dirección tecnológica: El objetivo es aprovechar al

máximo la tecnología disponible o tecnología emergente, satisfaciendo los

 requerimientos de la organización, a través de la creación y mantenimiento

de un plan de infraestructura tecnológica.

 PO4 Definir la Organización y Relaciones de TI: El objetivo es la prestación

de servicios de TI, por medio de una organización conveniente en número y

habilidades, con tareas y responsabilidades definidas y comunicadas.

 PO5 Manejar la Inversión en TI: El objetivo es la satisfacción de los

requerimientos de la organización, asegurando el financiamiento y el control

de desembolsos de recursos financieros.

 PO6 Comunicar las directrices y aspiraciones gerenciales: El objetivo es

asegurar el conocimiento y comprensión de los usuarios sobre las

aspiraciones de la gerencia, a través de políticas establecidas y transmitidas

a la comunidad de usuarios, necesitándose para esto estándares para

traducir las opciones estratégicas en reglas de usuario prácticas y utilizables.

 PO7 Administrar Recursos Humanos: El objetivo es maximizar las

contribuciones del personal a los procesos de TI, satisfaciendo así los

requerimientos de negocio, a través de técnicas sólidas para administración

de personal.

 PO8 Asegurar el cumplir Requerimientos Externos: El objetivo es cumplir

con obligaciones legales, regulatorias y contractuales, para ello se realiza

una identificación y análisis de los requerimientos externos en cuanto a su

impacto en TI, llevando a cabo las medidas apropiadas para cumplir con

ellos.

 PO9 Evaluar Riesgos: El objetivo es asegurar el logro de los objetivos de TI

y responder a las amenazas hacia la provisión de servicios de TI, mediante

 la participación de la propia organización en la identificación de riesgos de TI

y en el análisis de impacto, tomando medidas económicas para mitigar los

riesgos.

 PO10 Administrar proyectos: El objetivo es establecer prioridades y entregar

servicios oportunamente y de acuerdo al presupuesto de inversión, para ello

se realiza una identificación y priorización de los proyectos en línea con el

plan operacional por parte de la misma organización. Además, la

organización deberá adoptar y aplicar sólidas técnicas de administración de

proyectos para cada proyecto emprendido.

 PO11 Administrar Calidad: El objetivo es satisfacer los requerimientos del

cliente., mediante una planeación, implementación y mantenimiento de

estándares y sistemas de administración de calidad por parte de la

organización.

ADQUISICIÓN E IMPLEMENTACIÓN (AI)

Para llevar a cabo la estrategia de TI, las soluciones de TI deben ser identificadas,

desarrolladas o adquiridas, así como implementadas e integradas dentro del

proceso del negocio. Además, este dominio cubre los cambios y el mantenimiento

realizados a sistemas existentes.

 AI1 Identificar Soluciones: El objetivo es asegurar el mejor enfoque para

cumplir con los requerimientos del usuario, mediante un análisis claro de las

oportunidades alternativas comparadas contra los requerimientos de los

usuarios.

 AI2 Adquirir y Mantener Software de Aplicación: El objetivo es proporcionar

funciones automatizadas que soporten efectivamente la organización

mediante declaraciones específicas sobre requerimientos funcionales y

operacionales, y una implementación estructurada con entregables claros.

 AI3 Adquirir y Mantener Arquitectura de TI: El objetivo es proporcionar las

plataformas apropiadas para soportar aplicaciones de negocios mediante la

realización de una evaluación del desempeño del hardware y software, la

provisión de mantenimiento preventivo de hardware y la instalación,

seguridad y control del software del sistema.

 AI4 Desarrollar y Mantener Procedimientos relacionados con TI: El objetivo

es asegurar el uso apropiado de las aplicaciones y de las soluciones

tecnológicas establecidas, mediante la realización de un enfoque

estructurado del desarrollo de manuales de procedimientos de operaciones

para usuarios, requerimientos de servicio y material de entrenamiento.

 AI5 Instalar y Acreditar Sistemas: El objetivo es verificar y confirmar que la

solución sea adecuada para el propósito deseado mediante la realización de

una migración de instalación, conversión y plan de aceptaciones

adecuadamente formalizadas.

 AI6 Administrar Cambios: El objetivo es minimizar la probabilidad de

interrupciones, alteraciones no autorizadas y errores, mediante un sistema

 de administración que permita el análisis, implementación y seguimiento de

todos los cambios requeridos y llevados a cabo a la infraestructura de TI

actual.

 SERVICIOS Y SOPORTE (DS)

 En este dominio se hace referencia a la entrega de los servicios requeridos,

que abarca desde las operaciones tradicionales hasta el entrenamiento,

pasando por seguridad y aspectos de continuidad. Con el fin de proveer

servicios, deberán establecerse los procesos de soporte necesarios. Este

dominio incluye el procesamiento de los datos por sistemas de aplicación,

frecuentemente clasificados como controles de aplicación.

 DS1 Definir niveles de servicio: El objetivo es establecer una comprensión

común del nivel de servicio requerido, mediante el establecimiento de

convenios de niveles de servicio que formalicen los criterios de desempeño

contra los cuales se medirá la cantidad y la calidad del servicio.

 DS2 Administrar Servicios de Terceros: El objetivo es asegurar que las tareas

y responsabilidades de las terceras partes estén claramente definidas, que

cumplan y continúen satisfaciendo los requerimientos, mediante el

establecimiento de medidas de control dirigidas a la revisión y monitoreo de

contratos y procedimientos existentes, en cuanto a su efectividad y

suficiencia, con respecto a las políticas de la organización.

 DS3 Administrar Desempeño y Calidad: El objetivo es asegurar que la

capacidad adecuada está disponible y que se esté haciendo el mejor uso de

ella para alcanzar el desempeño deseado, realizando controles de manejo

de capacidad y desempeño que recopilen datos y reporten acerca del manejo

 de cargas de trabajo, tamaño de aplicaciones, manejo y demanda de

recursos.

 DS4 Asegurar Servicio Continuo: El objetivo es mantener el servicio

disponible de acuerdo con los requerimientos y continuar su provisión en

caso de interrupciones, mediante un plan de continuidad probado y funcional,

que esté alineado con el plan de continuidad del negocio y relacionado con

los requerimientos de negocio.

 DS5 Garantizar la Seguridad de Sistemas: El objetivo es salvaguardar la

información contra usos no autorizados, divulgación, modificación, daño o

pérdida, realizando controles de acceso lógico que aseguren que el acceso

a sistemas, datos y programas está restringido a usuarios autorizados.

 DS6 Identificar y Asignar Costos: El objetivo es asegurar un conocimiento

correcto atribuido a los servicios de TI realizando un sistema de contabilidad

de costos que asegure que éstos sean registrados, calculados y asignados

a los niveles de detalle requeridos.

 DS7 Capacitar Usuarios: El objetivo es asegurar que los usuarios estén

haciendo un uso efectivo de la tecnología y estén conscientes de los riesgos

y responsabilidades involucrados realizando un plan completo de

entrenamiento y desarrollo.

 DS8 Asistir a los Clientes de TI: El objetivo es asegurar que cualquier

problema experimentado por los usuarios sea atendido apropiadamente

realizando una mesa de ayuda que proporcione soporte y asesoría de

primera línea.
 DS9 Administrar la Configuración: El objetivo es dar cuenta de todos los

componentes de TI, prevenir alteraciones no autorizadas, verificar la

existencia física y proporcionar una base para el sano manejo de cambios

realizando controles que identifiquen y registren todos los activos de TI así

como su localización física y un programa regular de verificación que

confirme su existencia.

 DS10 Administrar Problemas e Incidentes: El objetivo es asegurar que los

problemas e incidentes sean resueltos y que sus causas sean investigadas

para prevenir que vuelvan a suceder implementando un sistema de manejo

de problemas que registre y haga seguimiento a todos los incidentes.

 DS11 Administrar Datos: El objetivo es asegurar que los datos permanezcan

completos, precisos y válidos durante su entrada, actualización, salida y

almacenamiento, a través de una combinación efectiva de controles

generales y de aplicación sobre las operaciones de TI.

 DS12 Administrar Instalaciones: El objetivo es proporcionar un ambiente

físico conveniente que proteja el equipo y al personal de TI contra peligros

naturales (fuego, polvo, calor excesivos) o fallas humanas lo cual se hace

posible con la instalación de controles físicos y ambientales adecuados que

sean revisados regularmente para su funcionamiento apropiado definiendo

procedimientos que provean control de acceso del personal a las

instalaciones y contemplen su seguridad física.

 DS13 Administrar Operaciones: El objetivo es asegurar que las funciones

importantes de soporte de TI estén siendo llevadas a cabo regularmente y de

una manera ordenada a través de una calendarización de actividades de

 soporte que sea registrada y completada en cuanto al logro de todas las

actividades.

MONITOREO (M)

Todos los procesos de una organización necesitan ser evaluados regularmente a

través del tiempo para verificar su calidad y suficiencia en cuanto a los

requerimientos de control, integridad y confidencialidad.

 M1 Monitorear los procesos: El objetivo es asegurar el logro de los objetivos

establecidos para los procesos de TI, lo cual se logra definiendo por parte de

la gerencia reportes e indicadores de desempeño gerenciales y la

implementación de sistemas de soporte, así como la atención regular a los

reportes emitidos.

 M2 Evaluar lo adecuado del control interno.: El objetivo es asegurar el logro

de los objetivos de control interno establecidos para los procesos de TI.

 M3 Obtener aseguramiento independiente: El objetivo es incrementar los

niveles de confianza entre la organización, clientes y proveedores externos.

Este proceso se lleva a cabo a intervalos regulares de tiempo.

 M4 Proveer auditoría independiente: El objetivo es incrementar los niveles de

confianza y beneficiarse de recomendaciones basadas en mejores prácticas

de su implementación, lo que se logra con el uso de auditorías

independientes desarrolladas a intervalos regulares de tiempo.

DS7 Educar y Entrenar a los Usuarios: Para una educación efectiva de todos los

usuarios de sistemas de TI, incluyendo aquellos dentro de TI, se requieren identificar

las necesidades de entrenamiento de cada grupo de usuarios. Además de identificar

las necesidades, este proceso incluye la definición y ejecución de una estrategia

para llevar a cabo un entrenamiento efectivo y para medir los resultados. Un

programa efectivo de entrenamiento incrementa el uso efectivo de la tecnología al

disminuir los errores, incrementando la productividad y el cumplimiento de los

controles clave tales como las medidas de seguridad de los usuarios. Para ello se

tomarán en cuenta los siguientes objetivos de control:

 DS7.1 Identificación de Necesidades de Entrenamiento y Educación:

Establecer y actualizar de forma regular un programa de entrenamiento para

cada grupo objetivo de empleados, que incluya:

o Implementar procedimientos junto con el plan a largo plazo.

o Valores sistémicos (valores éticos, cultura de control y seguridad, etc.)

o Implementación de nuevo software e infraestructura de TI (paquetes y

aplicaciones)

o Habilidades, perfiles de competencias y certificaciones actuales y/o

credenciales necesarias.

o Métodos de impartición (por ejemplo, aula, web), tamaño del grupo

objetivo, accesibilidad y tiempo.

 DS7.3 Evaluación del Entrenamiento Recibido: Al finalizar el entrenamiento,

evaluar el contenido del entrenamiento respecto a la relevancia, calidad,

efectividad, percepción y retención del conocimiento, costo y valor. Los

resultados de esta evaluación deben contribuir en la definición futura de los

planes de estudio y de las sesiones de entrenamiento.

DISEÑAR Y APLICAR LOS INSTRUMENTOS DE RECOLECCIÓN DE

INFORMACIÓN (ENTREVISTAS, LISTAS DE CHEQUEO, CUESTIONARIOS,

PRUEBAS) PARA DESCUBRIR VULNERABILIDADES, AMENAZAS Y RIESGOS

PARA CADA PROCESO ASIGNADO.

REF
FUENTES DE CONOCIMIENTO, PRUEBAS DE ANALISIS
DE AUDITORIA

PAGINA
ENTIDAD AUDITADA SA ESP CANDECERT
1 DE 1
PROCESO AUDITADO Funcionamiento del aspecto físico de los recursos TI
RESPONSABLE Daniela Rengifo
MATERIAL DE SOPORTE COBIT
DOMINIO AI Adquirir e Implementar
PROCESO AI5 adquirir recursos de TI

FUENTES DE REPOSITORIO DE PRUEBAS APLICABLES

CONOCIMIENTO DE ANALISIS DE EJECUCION
Pruebas que se hacen
por análisis de
Pruebas mediante uso
documentos (contratos,
de software, pruebas
manuales) o
para levantar
Documento, o persona que comparaciones inventarios, pruebas de
tiene la información que (compara los contenidos
seguridad en redes,
necesita el auditor de un manual respecto a
pruebas de seguridad
lo que dice la teoría que
en bases de datos,
debe contener)
pruebas de intrusión,
comparar (la empresa
pruebas de testeo.
auditada con una
empresa certificada)

AUDITOR RESPONSABLE:
Hayder Manuel Mosquera Tordecilla

LISTA CHEQUEO
Adquirir e implementar AI5 adquirir recursos de
Dominio Proceso
(AI) TI
Objetivo de control AI5.1 Control de adquisición:
conforme
Nº Aspecto evaluado Observación
SI NO
¿Cuentan con un plan de
1 adquisición, para adquirir,
implementar y mantener recursos
de Infraestructura Tecnológica?
 ¿Cuentan con registros de cada
2 una de las adquisición
tecnológicas?
¿La empresa SA ESP
3 CANDECERT cuenta con
monitoreos de equipos
tecnológicos para verificar fallas?
¿En el inventario se registran los
4 equipos informáticos existentes?
(marca, modelo, ubicación, fecha
de adquisición, capacidad, etc.)
Objetivo de control AI5.2 Administración de contratos con proveedores

¿El procedimiento de contrato con

5 los proveedores contiene los
parámetros de responsabilidad y
obligaciones legales?
¿Existen formularios para
6 establecer, modificar y concluir
contratos para todos los
proveedores?
7 ¿Cuentan con registros de cada
contratación?
Objetivo de control AI5.3 Selección de proveedores

¿Cuentan con plan de selección

8 para determinar cuál será el
proveedor?
9 ¿Existen algunos parámetros para
determinar el proveedor?
¿dentro el plan de selección del
10 proveedor se garantiza la En algunos casos
integridad de dicho control?
Objetivo de control AI5.4 Adquisición de las TI:

11 ¿Se realizan revisiones a las

distintas adquisidores TI?
¿Los contratos de adquisición
cuentan con todos los derechos y
12 obligaciones de todas las partes en
los términos contractuales para la
adquisición de software?
¿Los contratos de adquisición de
13 softwares, infraestructuras y
servicios están plenamente
registrados?
ENTIDAD SA ESP CANDECERT PAGIN
AUDITADA A
1 D 1
E
OBJETIVO Conocer los proseos de adquisición en la empresa SA ESP
AUDITORÍA CANDECERT
PROCESO AI5.1 Control de adquisición:
AUDITADO
RESPONSABLE Daniela rengifo
MATERIAL DE SOPORTE COBIT
DOMI Adquirir e Implementar - AI PROCESO AI5 adquirir recursos de TI
NIO
Entrevista
Cargo
Tema 1: Administración de contratos con proveedores

¿El procedimiento de contrato con los proveedores contiene los parámetros de

responsabilidad y obligaciones legales? ¿SI /No por qué?
__________________________________________________________________
_______________
¿Existen formularios para establecer, modificar y concluir contratos para todos los
proveedores? ¿SI /No por qué?
__________________________________________________________________
____
Tema 2: Control de adquisición

¿Cuentan con un plan de adquisición? ¿SI /No por qué?

_____________________________________
¿La empresa SA ESP CANDECERT cuenta con monitoreos de equipos
tecnológicos? ¿SI /No por qué?
__________________________________________________________________
__________
NOMBRE DEL ENTREVISTADO AUDITOR RESPONSABLE
FIRMA FIRMA
SA ESP CANDECERT
CUESTIONARIO DE CONTROL: AI
DOMINIO ADQUISICIÓN E IMPLEMENTACIÓN
PROCESO AI5 ADQUIRIR RECURSOS DE TI
PREGUNTA SI NO OBSERVACIONES
¿Cuentan con un plan de adquisición, para adquirir,
implementar y mantener recursos de Infraestructura
Tecnológica?
¿Cuentan con registros de cada una de las adquisición
tecnológicas?
¿En el inventario se registran los equipos informáticos
existentes? (marca, modelo, ubicación, fecha de
adquisición, capacidad, etc.)
¿El procedimiento de contrato con los proveedores
contiene los parámetros de responsabilidad y
obligaciones legales?
¿Existen formularios para establecer, modificar y concluir
contratos para todos los proveedores?
¿Cuentan con plan de selección para determinar cuál
será el proveedor?
¿Existen algunos parámetros para determinar el
proveedor?
¿dentro el plan de selección del proveedor se garantiza
la integridad de dicho control?
¿Se realizan revisiones a las distintas adquisidores TI?
¿Los contratos de adquisición de softwares,
infraestructuras y servicios están plenamente
registrados?
¿El procedimiento de contrato con los proveedores
contiene los parámetros de responsabilidad y
obligaciones legales?
¿Existen formularios para establecer, modificar y
concluir contratos para todos los proveedores?
¿La empresa SA ESP CANDECERT cuenta con
monitoreos de equipos tecnológicos?
¿Se cuenta con un inventario de equipos de cómputo?
¿Se cuenta con servicio de mantenimiento para todos
los equipos?
¿Se posee un registro de fallas detectadas en los
equipos?
TOTALES
RIESGO:
Porcentaje de riesgo parcial:
Porcentaje de riesgo:
Impacto según relevancia del proceso:
 DISEÑAR Y APLICAR UN CONJUNTO DE PRUEBAS QUE PERMITAN

CONFIRMAR LAS VULNERABILIDADES, AMENAZAS Y RIESGOS

DETECTADOS CON LOS INSTRUMENTOS DE RECOLECCIÓN DE

INFORMACIÓN.

LISTA CHEQUEO
Adquirir e implementar AI5 adquirir recursos de
Dominio Proceso
(AI) TI
Objetivo de control AI5.1 Control de adquisición:
conforme
Nº Aspecto evaluado Observación
SI NO
¿Cuentan con un plan de
1 adquisición, para adquirir, x
implementar y mantener recursos
de Infraestructura Tecnológica?
¿Cuentan con registros de cada
2 una de las adquisición x
tecnológicas?
¿La empresa SA ESP
3 CANDECERT cuenta con x
monitoreos de equipos
tecnológicos para verificar fallas?
¿En el inventario se registran los
4 equipos informáticos existentes? x
(marca, modelo, ubicación, fecha
de adquisición, capacidad, etc.)
Objetivo de control AI5.2 Administración de contratos con proveedores

¿El procedimiento de contrato con

5 los proveedores contiene los x
parámetros de responsabilidad y
obligaciones legales?
¿Existen formularios para
6 establecer, modificar y concluir x
contratos para todos los
proveedores?
7 ¿Cuentan con registros de cada x
contratación?
Objetivo de control AI5.3 Selección de proveedores
 ¿Cuentan con plan de selección
8 para determinar cuál será el x
proveedor?
9 ¿Existen algunos parámetros para x
determinar el proveedor?
¿dentro el plan de selección del
10 proveedor se garantiza la x En algunos casos
integridad de dicho control?
Objetivo de control AI5.4 Adquisición de las TI:

11 ¿Se realizan revisiones a las x

distintas adquisidores TI?
¿Los contratos de adquisición
cuentan con todos los derechos y
12 obligaciones de todas las partes en x
los términos contractuales para la
adquisición de software?
¿Los contratos de adquisición de
13 softwares, infraestructuras y x
servicios están plenamente
registrados?
ENTIDAD SA ESP CANDECERT PAGIN
AUDITADA A
1 D 1
E
OBJETIVO Conocer los proseos de adquisición en la empresa SA ESP
AUDITORÍA CANDECERT
PROCESO AI5.1 Control de adquisición:
AUDITADO
RESPONSABLE Daniela rengifo
MATERIAL DE SOPORTE COBIT
DOMI Adquirir e Implementar - AI PROCESO AI5 adquirir recursos de TI
NIO

Entrevista
Cargo
Tema 1: Administración de contratos con proveedores

¿El procedimiento de contrato con los proveedores contiene los parámetros de

responsabilidad y obligaciones legales? ¿SI /No por qué?

No porque la empresa no cuenta con los lineamientos estructúrales para

garantizar que proveedor es el idóneo
¿Existen formularios para establecer, modificar y concluir contratos para todos los
proveedores? ¿SI /No por qué? No porque la empresa solo se basa en
contratación verbal ala hora de realizar la adquisición de un producto
Tema 2: Control de adquisición

¿Cuentan con un plan de adquisición? ¿SI /No por qué? No por que la empresa
solo cuenta con contrato verbales ala hora de realizar dichas adquisiciones
¿La empresa SA ESP CANDECERT cuenta con monitoreos de equipos
tecnológicos? ¿SI /No por qué? Si ya que se ha desempeñado una persona la
cual es la encargada de realizar dichos procedimientos
NOMBRE DEL ENTREVISTADO AUDITOR RESPONSABLE

FIRMA FIRMA
SA ESP CANDECERT
CUESTIONARIO DE CONTROL: AI
DOMINIO ADQUISICIÓN E IMPLEMENTACIÓN
PROCESO AI5 ADQUIRIR RECURSOS DE TI
PREGUNTA SI N OBSERVACIO
O NES
¿Cuentan con un plan de adquisición, para adquirir, 4
implementar y mantener recursos de Infraestructura
Tecnológica?
¿Cuentan con registros de cada una de las adquisición 4
tecnológicas?
¿En el inventario se registran los equipos informáticos
existentes? (marca, modelo, ubicación, fecha de adquisición,
capacidad, etc.)
¿El procedimiento de contrato con los proveedores contiene 4
los parámetros de responsabilidad y obligaciones legales?
¿Existen formularios para establecer, modificar y concluir 4
contratos para todos los proveedores?
¿Cuentan con plan de selección para determinar cuál será el 4
proveedor?
¿Existen algunos parámetros para determinar el proveedor? 4
¿dentro el plan de selección del proveedor se garantiza la 4
integridad de dicho control?
¿Se realizan revisiones a las distintas adquisidores TI? 4
¿Los contratos de adquisición de softwares, infraestructuras 4
y servicios están plenamente registrados?
¿El procedimiento de contrato con los proveedores contiene 4
los parámetros de responsabilidad y obligaciones legales?
¿Existen formularios para establecer, modificar y concluir 4
contratos para todos los proveedores?
¿La empresa SA ESP CANDECERT cuenta con monitoreos 4
de equipos tecnológicos?
¿Se cuenta con un inventario de equipos de cómputo? 4
¿Se cuenta con servicio de mantenimiento para todos los 4
equipos?
¿Se posee un registro de fallas detectadas en los equipos? 4
TOTALES 4 60
RIESGO:
Porcentaje de riesgo parcial: = 6660%
Porcentaje de riesgo = 3340%
Impacto según relevancia del proceso: Riesgo Medio
(4 ∗ 100)/64 = 66.6
100 − 66.6 = 33.4
 ELABORAR UN CUADRO DE LAS VULNERABILIDADES, AMENAZAS Y

RIESGOS DETECTADOS PARA CADA PROCESO EVALUADO.

VULNERABILIDAD AMENAZA RIESGO

1. No cuenta con plan 1. Realizar adquisición 1. Tener equipos
de adquisición de que no son útiles para tecnológicos que
infraestructura la empresa pueden comprometer
tecnológica la integridad de los
datos
2. No cuenta con 2. Perdida de la 2. Perder los registros de
copias de seguridad información de la la empresa
empresa
3. No cuenta con 3. Perdida de 3. No contar con un
inventario de información de registro podría
equipos adquiridos equipos de cómputos ocasionar perdidas a
nivel monetario ya que
al no contar con eso no
se sabría que equipos
se tienen
4. No existen 4. Contratar 4. Equipos tecnológicos
formularios para proveedores no aptos no aptos o sin licencias
contratar, modificar
proveedores
5. No se cuenta con 5. Seleccionar 5. Comprar equipos sin
plan de selección proveedores sin saber saber su procedencia
sus competencias
6. No se realizan 6. Daño en los equipos 6. Perdida de información
revisión a los equipos de cómputos de la de la empresa
empresa poniendo así la
de cómputos vulnerabilidad de
ataques cibernéticos
 REALIZAR EL ANÁLISIS Y EVALUACIÓN DE RIESGOS PARA CADA

PROCESO ASIGNADO.

N° Descripción Probabilidad Impacto

Baja Media Alta Leve Moderado Catastrófico
R1 Tener
equipos
tecnológicos
que pueden X X
comprometer
la integridad
de los datos
R2 Perder los
registros de la X X
empresa
R3 No contar con
un registro
podría
ocasionar
perdidas a
nivel
monetario ya X X
que al no
contar con
eso no se
sabría que
equipos se
tienen
R4 Equipos
tecnológicos
X X
no aptos o sin
licencias
R5 Comprar
equipos sin
X X
saber su
procedencia
R6 Perdida de
información
de la
empresa
poniendo así X X
la
vulnerabilidad
de ataques
cibernéticos
 ELABORAR LA MATRIZ DE RIESGOS DE CADA PROCESO EVALUADO.

Leve Moderado Catastrófico

Alto
R6 R1, R2, R5
61-100%
Medio
R4 R3
31-60%
Bajo
0-30%

ELABORAR EL CUADRO DE TRATAMIENTO DE RIESGOS PARA CADA RIESGO DETECTADO.

B Zona de riesgo Baja: Asumir el riesgo

M Zona de riesgo Moderada: Asumir el riesgo, reducir el riesgo
A Zona de riesgo Alta: Reducir el riesgo, evitar, compartir o transferir
E Zona de riesgo Extremo: Reducir el riesgo, evitar, compartir o transferir

ID. Riesgo Descripción Riesgo Tratamiento Riesgo

Tener equipos tecnológicos que pueden
R1 Transferir
comprometer la integridad de los datos
R2 Perder los registros de la empresa Transferir
No contar con un registro podría ocasionar
R3 perdidas a nivel monetario ya que al no contar con Controlarlo
eso no se sabría que equipos se tienen
R4 Equipos tecnológicos no aptos o sin licencias Controlarlo
R5 Comprar equipos sin saber su procedencia Transferir
Perdida de información de la empresa poniendo así
R6 Transferir
la vulnerabilidad de ataques cibernéticos
 ELABORAR EL FORMATO DE HALLAZGOS PARA CADA UNO DE LOS RIESGOS CUYO
TRATAMIENTO SEA CONTROLARLO O EJERCER CONTROL.
REF
HALLAZGO 1
HHDN_01

Conocer los proseos de PAGINA

PROCESO AUDITADO adquisición en la empresa SA
1 DE 1
ESP CANDECERT
RESPONSABLE Daniela Rengifo Sánchez
MATERIAL DE SOPORTE COBIT
Adquisición e AI5 adquirir recursos
DOMINIO PROCESO
Implementación de TI

DESCRIPCIÓN:
 La empresa no cuenta con formularios que le ayuden a establecer y modificar contratos
de proveedores el cual es algo muy malo ya que es de suma importancia llevar un registro
de todo los datos.
 En pocas palabra la empresa no cuenta con un plan de adquisición adecuado causando
con eso una vulnerabilidad a la hora de realizar adquisición de productos nuevos

CASUSAS: No contar con un registro podría ocasionar perdidas a nivel monetario ya que al no
contar con eso no se sabría que equipos se tienen

CONSECUENCIAS:
 Al no existir un plan de adquisición adecuado esto podría causar vulnerabilidad a la hora
de realizar adquisición de productos nuevos.
 Al no existir un plan de adquisición de proveedores resultara más complicado y tediosos
para los proveedores y la empresa realizar un buen registro de los productos a comprar

VALORACIÓN DEL RIEGO:

Probabilidad de ocurrencia: Media
impacto según relevancia del proceso: Riesgo Medio

RECOMENDACIONES:
 Conformar un grupo determinado de funcionarios que evalúen y estudien el un plan de
adquisición adecuado para que ello tomen decisiones oportunas y adecuadas en la
eventualidad de no cumplir objetivos planteados.

REF_PT:
CUESTIONARIOS_CHDN/PLAN_PO1
E_AUDIO/A_CHDN_01
 REF
HALLAZGO 2
HHDN_02

Conocer los proseos de PAGINA

PROCESO AUDITADO adquisición en la empresa SA
1 DE 1
ESP CANDECERT
RESPONSABLE Daniela rengifo
MATERIAL DE SOPORTE COBIT
Adquisición e AI5 adquirir recursos
DOMINIO PROCESO
Implementación de TI

DESCRIPCIÓN:
 La empresa no cuenta con equipos licenciados los cuales esto conlleva a sanciones y
perdida de dinero.
 El uso de software sin licencia impide la creación de puestos de empleo ya que
imposibilita el crecimiento de las empresas desarrolladoras de software en nuestro país
y la mejora de sus productos. Debido a ello, los fabricantes de software se han visto
obligados a desarrollar nuevas soluciones para luchar contra la piratería.

CASUSAS: Al no tener equipos de cómputos con licenciamiento puedo ocasionar sanciones

CONSECUENCIAS:
 Al no existir un plan de adquisición adecuado esto podría causar vulnerabilidad a la hora
de realizar adquisición de productos nuevos.
 Al no existir un plan de adquisición de proveedores resultara más complicado y tediosos
para los proveedores y la empresa realizar un buen registro de los productos a comprar

VALORACIÓN DEL RIEGO:

Probabilidad de ocurrencia: Media
impacto según relevancia del proceso: Riesgo Medio

RECOMENDACIONES:
 Realizar comparar en servicios autorizados o utilizar versiones de Linux las cuales son
de uso libre

REF_PT:
CUESTIONARIOS_CHDN/PLAN_PO1
E_AUDIO/A_CHDN_01
 ELABORAR UN CUADRO DE LOS CONTROLES PROPUESTOS, Y CLASIFICARLOS COMO
CONTROLES PREVENTIVOS, DETECTIVES Y CORRECTIVOS.
Riesgos o hallazgos
Tipo de control
encontrados
Tener equipos tecnológicos
que pueden comprometer la
integridad de los datos
Perder los registros de la
empresa
No contar con un registro
podría ocasionar perdidas a
nivel monetario ya que al no
contar con eso no se sabría
que equipos se tienen
Equipos tecnológicos no aptos
o sin licencias
Comprar equipos sin saber su
procedencia
Perdida de información de la
empresa poniendo así la
vulnerabilidad de ataques
cibernéticos
Soluciones o controles
Realizar un análisis de los
quipos para así poder
Preventivo
determinar la confiabilidad
de cada uno de ellos
Realizar periódicamente
copias de seguridad para
Preventivo
así evitar perdida de los
archivos
Conformar un grupo
determinado de funcionarios
que evalúen y estudien el un
plan de adquisición adecuado
Correctivo para que ello tomen
decisiones oportunas y
adecuadas en la eventualidad
de no cumplir objetivos
planteados.
Realizar comparar en
servicios autorizados o
Correctivo
utilizar versiones de Linux las
cuales son de uso libre
Apropiarse de la compra e ir
a lugares reconocidos para
Preventivo
evitar problemas de
contrabando
Contratar personal idóneo
en cuanto a la seguridad
Preventivo cibernética para así evitar
ataques y perdida de
información
ELABORAR EL DICTAMEN DE LA AUDITORÍA PARA LA MEDICIÓN DEL NIVEL DE MADUREZ DE

CADA PROCESO EVALUADO.

PROCESO COBIT: AI5 ADQUIRIR RECURSOS DE TI

 Control de adquisición: desarrollar y seguir un conjunto de procedimientos

consistentes con el proceso de adquisiciones de la organización y con la estrategia

para adquirir infraestructuras relacionadas con la TI. Instalación de hardware,

software y servicios necesarios para el negocio.

 Dictamen:

Se califica un nivel de madurez 3 DEFINIDO, por cuanto los procesos ya que se

presenta mucha diligencia por parte de los funcionarios de la empresa a la hora de

la realización de compra de equipos de cómputos, lo que ocasiona que tenga mucha

vulnerabilidad de los datos y sanciones por no saber si los equipos de cómputos

cuentan con licencias.

 Hallazgos que soportan el Dictamen:

o La empresa no cuenta con formularios que le ayuden a establecer y modificar

contratos de proveedores el cual es algo muy malo ya que es de suma

importancia llevar un registro de todo los datos.

o En pocas palabra la empresa no cuenta con un plan de adquisición adecuado

causando con eso una vulnerabilidad a la hora de realizar adquisición de

productos nuevos

o La empresa no cuenta con equipos licenciados los cuales esto conlleva a

sanciones y perdida de dinero.
 o El uso de software sin licencia impide la creación de puestos de empleo ya

que imposibilita el crecimiento de las empresas desarrolladoras de software

en nuestro país y la mejora de sus productos. Debido a ello, los fabricantes

de software se han visto obligados a desarrollar nuevas soluciones para

luchar contra la piratería.

 Recomendaciones:

o Conformar un grupo determinado de funcionarios que evalúen y estudien el

un plan de adquisición adecuado para que ello tomen decisiones oportunas

y adecuadas en la eventualidad de no cumplir objetivos planteados.

o Realizar comparar en servicios autorizados o utilizar versiones de Linux las

cuales son de uso libre

 ELABORAR EL INFORME FINAL DE AUDITORÍA CON LOS HALLAZGOS Y RECOMENDACIONES

INFORME DE AUDITORIA

Identificación del informe

 AI5 ADQUIRIR RECURSOS DE TI

Identificación del Cliente

 El área de Informática

Identificación de la Entidad Auditada

 SA ESP CANDECERT

Objetivos de control

 AI5.1 Control de adquisición: desarrollar y seguir un conjunto de procedimientos

consistentes con el proceso de adquisiciones de la organización y con la estrategia

para adquirir infraestructuras relacionadas con la TI. Instalación de hardware,

software y servicios necesarios para el negocio.

 AI5.2 Administración de contratos con proveedores: formular un procedimiento

para establecer, modificar y concluir contratos para todos los proveedores. El

procedimiento debe tener responsabilidades y obligaciones legales, financieras,

organizacionales, documentales, de desempeño, de seguridad, de propiedad

intelectual y responsabilidades de conclusión, así como obligaciones que incluyan

cláusulas de penalización.

 AI5.3 Selección de proveedores: seleccionar proveedores de acuerdo a una práctica

justa y formal según los requerimientos especificados. Estos deben ser optimizados

con la entrada de los proveedores potenciales.

  AI5.4 Adquisición de las TI: proteger los intereses de la organización en todos los

contratos de adquisiciones, incluyendo los derechos y obligaciones de todas las

partes en los términos contractuales para la adquisición de software, recursos de

desarrollo, infraestructura y servicios.

5. Hallazgos Potenciales

 Tener equipos tecnológicos que pueden comprometer la integridad de los datos

 Perder los registros de la empresa

 No contar con un registro podría ocasionar perdidas a nivel monetario ya que al no

contar con eso no se sabría que equipos se tienen

 Equipos tecnológicos no aptos o sin licencias

 Comprar equipos sin saber su procedencia

 Perdida de información de la empresa poniendo así la vulnerabilidad de ataques

cibernéticos

Auditoria de sistemas

 Carece de control de adquisición de los equipos de computo

Alcance de la auditoria

 Nuestra auditoria, comprende el presente periodo 2019 y se ha realizado

especialmente al Departamento de centro de cómputo de acuerdo con las normas

y demás disposiciones aplicable al efecto.

  El alcance ha de definir con precisión el entorno y los límites en que va a

desarrollarse la auditoria procesos de adquisición, se complementa con los objetivos

de ésta.

Conclusiones:

 Como resultado de la Auditoria podemos manifestar que hemos cumplido con

evaluar cada uno de los objetivos contenidos en el programa de auditoria.

 El Departamento de centro de cómputo presenta deficiencias sobre el debido

cumplimiento de Normas de seguridad.

 La escasez de personal debidamente capacitado.

Recomendaciones:

 Conformar un grupo determinado de funcionarios que evalúen y estudien el un plan

de adquisición adecuado para que ello tomen decisiones oportunas y adecuadas en

la eventualidad de no cumplir objetivos planteados.

 Realizar comparar en servicios autorizados o utilizar versiones de Linux las cuales

son de uso libre

Atentamente;
___________________ ______________________
xxxxxxxxxx XXXXXX
Auditor Auditor
 LISTA CHEQUEO
(AI) ADQUIRIR E (AI4 )FACILITAR LA
DOMINIO PROCESO
IMPLEMENTAR OPERACIÓN Y EL USO.
OBJETIVO DE CONTROL AI4.1 Plan para soluciones de operación
CONFORME
Nº ASPECTO EVALUADO SI NO OBSERVACIÓN
¿Se dispone de un formato para
1 registrar el funcionamiento de los X
aspectos técnicos de la entidad?
¿Cuenta la entidad con un formato
2 de evaluación y desempeño de la X
capacidad operacional?
¿Se emplea un registro de cuáles
3 son los niveles de servicios X
requeridos por la entidad?
AI4.2 Transferencia de conocimientos a la gerencia
OBJETIVO DE CONTROL
del negocio
¿Se otorgan permisos exclusivos
4 en el sistema de datos a la X
gerencia de la entidad?
¿Se envía la información de datos
5 completa y a tiempo a la X
administración de la entidad?
AI4.3 Transferencia de conocimiento a usuarios
OBJETIVO DE CONTROL
finales
¿Se dispone de un plan de
6 entrenamiento del sistema para los X
usuarios de la entidad?
¿Se disponen de parámetros de
7 retroalimentación de los usuarios X
para la entidad?
¿Se cuenta con accesibilidad de
información necesaria para la
8 X
eficiencia de los usuarios dentro de
la entidad?
AI4.4 Transferencia de conocimiento al personal de
OBJETIVO DE CONTROL
operaciones y soporte
¿Se dispone de un plan de
9 entrenamiento del sistema para los X
operarios de la entidad?
¿Cuenta la entidad con un manual
10 de funcionamiento para los X
operadores?
 ¿Se realizan juntas de verificación
11 y avaluación del funcionamiento X
operacional de la entidad?
 CONCLUSIÓN
En el presente documento podemos concluir que la auditoria de sistema es un

proceso llevado a cabo por profesionales especialmente capacitados para el efecto,

y que consiste en recoger, agrupar y evaluar evidencias para determinar si un

Sistema de Información salvaguarda el activo empresarial, mantiene la integridad

de los datos.

Con el desarrollo de este trabajo se comprendió conceptos que permitieron

guiarse hacia el desarrollo de una auditoria en la que se usaron formatos como la

entrevista, la lista de chequeo, el formulario, las matrices y de más con las cuales

se puede ejecutar una auditoria con la información precisa y necesaria.

 BIBLIOGRAFÍA

1.3. Riesgo, Amenaza y Vulnerabilidad. (2019). Epn.gov.co. Retrieved 5 February

2019, from
http://epn.gov.co/elearning/distinguidos/SEGURIDAD/13_riesgo_amenaza_y_vuln
erabilidad.html
Controles Informáticos. (2019). prezi.com. Retrieved 5 February 2019, from
https://prezi.com/qzuex5apfeb5/controles-informaticos/
Auditoría informática. (2019). Es.wikipedia.org. Retrieved 12 February 2019, from
https://es.wikipedia.org/wiki/Auditor%C3%ADa_inform%C3%A1tica
1.3. Control interno - Auditoria en Informatica CUN. (2019). Sites.google.com.
Retrieved 12 February 2019, from
https://sites.google.com/site/auditoriaeninformaticacun/concepto-de-
auditoria/control-interno