AUDITORIA DE SISTEMAS

FASE 2 – PLANEACIÓN DE LA AUDITORIA

PRESENTADO POR

ANDRES AUGUSTO HERNANDEZ MARTINEZ

CÓDIGO: 1.077.970.122

PRESENTADO A

MARÍA CONCUELO RODRIGUEZ

GRUPO: 90168_65

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD

TUNJA/BOYACÁ

MARZO DEL 2020

 INTRODUCCIÓN

Según la norma ISO 19011:2011 la auditoría se define como: “proceso sistemático,

independiente y documentado para obtener evidencias”, este proceso realizado dentro de una

empresa permite la identificación de vulnerabilidades y amenazas que pueden afectar un sistema

tecnológico, sea este hardware o software.

El proceso para realizar una auditoría compone una etapa de conocimiento, planeación, donde se

realiza un estudio general de la empresa a ser auditada, la ejecución de la misma y la entrega de

resultados.

En la etapa de planeación se debe realizar el cronograma, planeación de actividades y

presupuesto, para que de esta manera se pueda planificar correctamente el proceso y llevar la

auditoría a buen término.

Dentro de este trabajo realizaremos el plan de auditoría basado en COBIT 4.1, lo que nos

permitirá desarrollar nuestros conocimientos en este proceso tan importante para el desarrollo de

nuestro perfil profesional en el área de sistemas.

Esperamos que la información recopilada incremente nuestras capacidades y nos brinde el

conocimiento necesario de este tema para la aplicación en nuestra vida profesional.

 OBJETIVOS Y ALCANCE DE LA AUDITORIA

1. Objetivo general

 Evaluar y conceptuar sobre control de tecnología relacionada a los diversos procesos

operacionales, misionales y de apoyo de la empresa de Autos y camiones S.A.S ubicada

en Tunja-Boyacá, en base a lineamientos y orientaciones establecidos en el estándar

COBIT.

2. Objetivos específicos

 Evaluar la planeación y organización (PO) de las estrategias y las tácticas que permiten

contribuir al logro de los objetivos de la organización, además de la realización de la

visión estratégica, comunicada y administrada desde todas las perspectivas e

implementación de la estructura organizacional y tecnológica.

 Evaluar la adquisición e implementación de las soluciones en materia de tecnología de

información, así como la integración en los procesos de la entidad, así como el cambio

y el mantenimiento de los sistemas existentes.

 Evaluar la entrega de los servicios requeridos, la prestación del servicio, la

administración de la seguridad y de la continuidad, el soporte del servicio a los

usuarios, la administración de los datos y de las instalaciones operativas.

 Evaluar el monitoreo y evaluación en cuanto a su calidad y cumplimiento de los

requerimientos de control, así como también la administración del desempeño, el

monitoreo del control interno, el cumplimiento regulatorio y la aplicación en la

organización.
3. Identificar vulnerabilidades, amenazas, riesgos o fallas que puedan suceder o que están

sucediendo en las empresas con respecto al área informática o los sistemas de información.

vulnerabilidad Responsables y causas Consecuencias Riesgos

es fallas
amenazas y
riesgos
1 Fallas en el cableado de Los principales Problemas de
red responsables de esta falla navegación o cortes
serían los encargados de en el servicio de
revisar constantemente internet
las instalaciones y el
lugar donde está ubicado.
2 Vulnerabilidad en la En esta parte la Posibles fraudes a
parte informática responsabilidad me la empresa, robos
parece compartida. Por un de información,
lado, las personas que spyware.
regularmente manejan los
equipos (empleados) o los
ingenieros encargados de
monitorear el
funcionamiento de los
mismos.
3 Falta de un buen Todos estos respaldos los Pérdida parcial o
respaldo de información debe realizar total de la
constantemente la información
persona encargada del contenida en los
equipo equipos
4 Mal manejo de los Esto se debe al descuido o Programas
equipos informáticos inoperancia de los documentos o parte
empleados mismos. física de los equipos
para reparación o
cambio total.

5 Perdida de información Es de vital importancia Sistemas

importante como mantener las contraseñas vulnerables a
contraseñas o la información personas
importante en lugares inescrupulosas,
seguros y respaldados. pérdida de tiempo
tratando de
recuperar las claves
del sistema.
6 Fallas que pueden Las fallas que pueda Distintas
producirse en el sistema producirse en los sistemas consecuencias
podrían ser intencionadas como reparación de
 o darse de forma equipo de cómputo
accidental o cambios de
software
7 Pérdida o robo de Se puede dar de manera Desfalcos de
equipos de computo esporádica por diversos información,
motivos necesidad de
conseguir nuevo
material
8 Mal manejo de Los empleados pueden Pérdida de tiempo
programas importantes darle un mal uso a los recuperando
para la empresa equipos que contienen los totalmente los
programas y estos versen programas, o
afectados corrigiendo los
daños.
9 Correos intervenidos Esto se puede producir Filtración de la
por personas sin información que
escrúpulos que solo maneja la empresa
buscan atentar contra las cada día
políticas de la empresa
10 Ataques de virus Estos ataques se producen Pueden ocasionar
por tener equipos graves daños a
desprotegidos o software de la
desactualizados empresa.

4. Antecedentes.

- Se antecede a esta auditoria las evaluaciones anuales que desarrolla la unidad de

aseguramiento tecnológico e informático USATI, con el ánimo de diagnosticar y evaluar

las condiciones funcionales y procedimentales, procurando identificar las amenazas y

vulnerabilidades correspondientes a las áreas de sistemas de las gerencias departamentales

colegiadas para posteriormente diseñar estrategias que permitan mitigar los riegos que

estas puedan acarrear.

5. Metodología de la auditoría.

- Para llevar a cabo la auditoria se tendrán en cuenta todos y cada uno de los objetivos

planteados, esta se basará y orientará en el estándar COBIT versión 4.1, para la evaluación

del hardware de equipos de cómputo, red física, equipos de protección eléctrica, y

 seguridad física. Para el desarrollo de esta auditoria se hará una inspección física a todos

los componentes que motivan esta auditoria con el ánimo evaluar que la planeación y

organización, la adquisición e implementación, la entrega de los servicios requeridos, el

monitoreo y evaluación y demás acciones pertinentes, están en línea con los objetivos

evaluadores de la auditoria, así como también que estos estén en concordancia con los

principios de eficiencia y eficacia.

- De acuerdo a lo anterior la auditoria estará conformada por las siguientes fases y

actividades correspondientes:

Fase de la auditoria
Fase Nombre de Actividades
la fase
1 Planeación y 1 Solicitud informe de equipos de cómputo, red física, equipos de
programació protección eléctrica, y seguridad física.
n 2 Análisis de la información suministrada
3 Diseño del plan de Visitas
4 Mesa de trabajo
2 Ejecución de 5 Visitas e inspección de las infraestructuras de telecomunicaciones
la auditoria y eléctrica.
5.1 Evaluación de la planeación y organización de las infraestructuras
de telecomunicaciones y eléctrica.
5.2 Evaluación la adquisición e implementación de las infraestructuras
de telecomunicaciones y eléctrica.
5.3 Evaluación la entrega de los servicios requeridos de las
infraestructuras de telecomunicaciones y eléctrica.

5.4 Evaluación el monitoreo y evaluación de las infraestructuras de

telecomunicaciones y eléctrica.
3 Informe y 6 Análisis preliminar de la información recolectada en el desarrollo
plan de de la auditoria.
acción 7 Mesa de trabajo
8 Consolidación del informe de auditoria
9 Entrega y exposición del informe de auditoría a la gerencia.
6. Alcance de la auditoría.

- En esta auditoria se evaluará la infraestructura física de la empresa autos y camiones de

Boyacá tales como los equipos de cómputo, red física, equipos de protección eléctrica, y

seguridad física ya que estos son los que permiten el funcionamiento de todos los

aplicativos, sistemas de información y soluciones tecnológicas que permiten el desarrollo

de los procesos misionales por parte de las personas que conforman el talento humano de

esta entidad. No obstante, estos aplicativos, sistemas de información y soluciones

tecnológicas no se auditarán, debido a que no es de interés, ni se encuentra en línea con

los objetivos y pretensiones de esta auditoría.

7. Mesas de trabajo.

- Se efectuarán, las mesas de trabajo cada diez (8) días y las que se requieran de acuerdo a

los resultados que se obtengan.

8. Tiempo estimado.

- Se estima que la duración de la auditoria se realizara los días hábiles comprendidos entre

16 de abril al 11 de mayo de 2020. De requerir ampliación de términos se solicitará su

diligencia oportunamente.

9. Recurso humano.

- El equipo auditor que desempeñara la auditoria está conformado por los siguientes

profesionales:

Apellidos y Nombres Roles en la Auditoria

Estudiante 1: Auditor Junior
Estudiante 2: Auditor Junior
Estudiante 3: Andrés Hernández Líder Auditor
 Estudiante 4: Auditor Junior
Estudiante 5: Auditor Junior

- Se ha considerado que de requerir personal adicional será oportunamente gestionado.

10. Presupuesto.

ELEMENTOS COSTOS TOTALES

Salario Ejecutivo Superior $ 2.943.450 $ 2.943.450
Salarios auditores: equipos auditores (tres auditores $ 2.000.000 $ 6.000.000
Utilitarios (3 computadores portátiles) $ 1.000.000 $ 3.000.000
Videocámara $ 300.000 $ 300.000
Viáticos para visitas $ 100.000 $ 300.000
Viáticos para la realización de las mesas de trabajo (2 $ 600.000 $ 1.200.000
mesas de trabajo)
Viáticos para posibles gastos adicionales o por si se $ 2.000.000 $ 2.000.000
requiere más personal auditor ser contratado con
tiempo
TOTAL: 15.743.450

- Toda auditoría realizada tiene un coste tanto en tiempo como en términos económicos,

esto depende de la entidad, empresa u organización a auditar, para este caso y por ser la

empresa de autos y camiones de Boyacá S.A.S. Se requerirán 18 días hábiles, acciones

que comenzarán a realizarse desde el día 16 de abril al 11 de mayo de 2020, se ha

realizado el plan de trabajo para tratar de utilizar solo los días planificados en un principio

y para tratar de realizar la auditoria de una forma más llevadera. El coste presentado en la

anterior tabla es basado en la infraestructura y los requerimientos de la entidad. Además

de la intensidad horaria necesaria para llevar a cabo la auditoria.

- En la anterior tabla de presupuestos de consideró: El salario del Ejecutivo Superior y los

auditores, corresponde a los honorarios que reciben los auditores implicados en realizar el

procedimiento teniendo en cuenta los cargos y responsabilidades de cada auditor.

- Los utilitarios que son los equipos necesarios para llevar a cabo las debidas revisiones y

conclusiones que se puedan sacar del procedimiento. Se maneja un equipo por auditor

porque cada uno tiene a su cargo distintos sectores de la empresa.

- Se considera de gran importancia tener una videocámara de buenas especificaciones para

apoyar las visitas.

- Los viáticos pueden parecer un poco elevados, pero se consideran justos puesto que los

implicados en el proceso no todos pertenecen a la región en la cual se encuentra ubicada la

entidad auditada.

- Los viáticos para las mesas de trabajo son aún más elevados, pero se debe tener en cuenta

aparte de lo enteramente mencionado, que cada mesa de trabajo forma parte vital de que la

auditoria este bien encaminada, y para esto se necesita un ambiente cómodo en el cual los

auditores tengan a su disposición lo que sea necesario.

- Se considera un dinero extra por si se llega a complicar algún equipo, o la salud de un

auditor o simplemente por razones obvias de bastante carga laboral se requiere de más

personal capacitado.
11. Cronograma de actividades.

AUDITORÍA AL HARDWARE DE EQUIPOS DE CÓMPUTO, RED FÍSICA, EQUIPOS DE PROTECCIÓN

ELÉCTRICA, Y SEGURIDAD FÍSICA.

Entidad: Autos y camiones de Boyacá S.A.S

Abril Mayo
N° ACTIVIDAD
16 17 20 21 22 23 24 27 28 29 30 1 4 5 6 7 8 11
Solicitud informe de
equipos de cómputo, red
1 física, equipos de
protección eléctrica, y
seguridad física.
Análisis de la información
2
suministrada
3 Diseño del plan de Visitas
4 Mesa de trabajo
Visitas e inspección de las
infraestructuras de
5
telecomunicaciones y
eléctrica.
Evaluación de la
planeación y organización
5.1 de las infraestructuras de
telecomunicaciones y
eléctrica.
Evaluación la adquisición
e implementación de las
5.2 infraestructuras de
telecomunicaciones y
eléctrica.
Evaluación la entrega de
los servicios requeridos de
5.3 las infraestructuras de
telecomunicaciones y
eléctrica.
Evaluación el monitoreo y
evaluación de las
5.4 infraestructuras de
telecomunicaciones y
eléctrica.
Análisis preliminar de la
información recolectada
6
en el desarrollo de la
auditoria.
7 Mesa de trabajo
Consolidación del informe
8
de auditoria
Entrega y exposición del
9 informe de auditoría a la
gerencia.
 CONCLUSIONES

 La auditoría es una herramienta que nos permite revisar y evaluar uno o varios procesos con

el ánimo de corregir un error y proponer soluciones para mitigar sus causas.

 COBIT es un marco de referencia con el cual se puede comparar los controles de tecnologías

de información con el fin de mejorarlos.

 COBIT ofrece un amplio marco de trabajo con el cual se puede incrementar y fortalecer la

seguridad de la información en las organizaciones.

 Gracias a plan de auditoria se puede tener la certeza de como realizara la auditoria que se

establecen los objetivos, alcance, metodología, recursos humanos, presupuesto y cronograma

de ejecución.
 BIBLIOGRAFÍA

 Thorin, Marc; La Auditoría Informática: métodos, reglas, normas, Ed. Masson, S.A., 1989

 Estándar COBIT 4.1, IT Governance Institute. All rights reserved. www.itgi.org, 2007

 Modulo unidad 2, Auditoria de sistemas, universidad nacional abierta y a distancia.

http://campus13.unad.edu.co/campus13_20151/mod/lesson/view.php?id=676

 Derrien, Y. (2009). Técnicas de la auditoría informática. (pp. 29 -123). Recuperado de:

https://bibliotecavirtual.unad.edu.co:2538/lib/unadsp/reader.action?

ppg=41&docID=3176647&tm=1543338969122

 Huesca, G. (2012). Introducción a la auditoría informática. Auditoria informática. (pp. 4-35).

Recuperado de: https://es.scribd.com/document/252662002/Libro-Auditoria-informatica

 Tamayo, A. (2001). La Función de la Auditoría de sistemas. Auditoría de sistemas una visión

práctica. (pp. 9- 29).Recuperado de: https://books.google.com.co/books?

id=HdtpS3UBCuMC&lpg=PA14&dq=auditor

%C3%ADa+de+sistemas+de+informacion&hl=es&pg=PP1#v=onepage&q&f=false

 Solarte, F. N. J. [Universidad UNAD]. (2016, 05,23). Riesgos informáticos y su clasificación.

Recuperado de: http://hdl.handle.net/10596/10236

 Solarte Solarte, F. ( 07,01,2019). Conceptos de Auditoría y Seguridad Informática. [Archivo

de video]. Recuperado de: http://hdl.handle.net/10596/23475

 Solarte, F. N. J. (2011, 30 de noviembre). Auditoría informática y de sistemas. Recuperado

de: http://auditordesistemas.blogspot.com.co/2011/11/conceptos.html