AUDITORIA DE SISTEMAS

FASE 2 – PLANEACIÓN DE LA AUDITORIA

PRESENTADO POR

ANDRES AUGUSTO HERNANDEZ MARTINEZ

CÓDIGO: 1.077.970.122

JUAN DANIEL REYES SUAREZ

CÓDIGO: 7.179.442

JEAN CARLOS ROJAS FORERO

CÓDIGO: 1.020.844.426

PRESENTADO A

MARÍA CONCUELO RODRIGUEZ

GRUPO: 90168_65

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD

TUNJA/BOYACÁ

MARZO DEL 2020

 INTRODUCCIÓN

Según la norma ISO 19011:2011 la auditoría se define como: “proceso sistemático,

independiente y documentado para obtener evidencias”, este proceso realizado dentro de una

empresa permite la identificación de vulnerabilidades y amenazas que pueden afectar un sistema

tecnológico, sea este hardware o software. El proceso para realizar una auditoría compone una

etapa de conocimiento, planeación, donde se realiza un estudio general de la empresa a ser

auditada, la ejecución de la misma y la entrega de resultados.

En la etapa de planeación se debe realizar el cronograma, planeación de actividades y

presupuesto, para que de esta manera se pueda planificar correctamente el proceso y llevar la

auditoría a buen término. Dentro de este trabajo realizaremos el plan de auditoría basado en

COBIT 4.1, lo que nos permitirá desarrollar nuestros conocimientos en este proceso tan

importante para el desarrollo de nuestro perfil profesional en el área de sistemas. Esperamos que

la información recopilada incremente nuestras capacidades y nos brinde el conocimiento

necesario de este tema para la aplicación en nuestra vida profesional.

Como resultado de la auditoria se busca entregar a la alta gerencia de la empresa como lo es la

empresa de Autos y camiones S.A, el resultado obtenido de manera transparente mostrando, las

fortalezas encontradas, vulnerabilidades de las políticas y procedimientos implementadas sobre

el software con respecto al manejo de la información, la estructura de los datos, la seguridad de

esta auditoría y los tiempos de respuesta hacia los clientes internos y externos.
 OBJETIVOS

1. Objetivo general

 Evaluar y conceptuar sobre control de tecnología relacionada a los diversos procesos

operacionales, misionales y de apoyo de la empresa de Autos y camiones S.A.S ubicada

en Tunja-Boyacá, en base a lineamientos y orientaciones establecidos en el estándar

COBIT.

2. Objetivos específicos

 Evaluar la planeación y organización (PO) de las estrategias y las tácticas que permiten

contribuir al logro de los objetivos de la organización, además de la realización de la

visión estratégica, comunicada y administrada desde todas las perspectivas e

implementación de la estructura organizacional y tecnológica.

 Evaluar la adquisición e implementación de las soluciones en materia de tecnología de

información, así como la integración en los procesos de la entidad, así como el cambio

y el mantenimiento de los sistemas existentes.

 Evaluar la entrega de los servicios requeridos, la prestación del servicio, la

administración de la seguridad y de la continuidad, el soporte del servicio a los

usuarios, la administración de los datos y de las instalaciones operativas.

 Evaluar el monitoreo y evaluación en cuanto a su calidad y cumplimiento de los

requerimientos de control, así como también la administración del desempeño, el

monitoreo del control interno, el cumplimiento regulatorio y la aplicación en la

organización.
3. Estructura organizacional de Autos y Camiones de Boyacá S.A.S

4. Activos informáticos de la empresa.

 Activos de Activos de Activos
Activios fisicos
informacion servicios Humanos
Datos difitales: Servidores. Servicios en red
bases de datos, Oficinas. Servicios de Empleados.
copias de Computadores. autenticacion. Externos.
seguridad, Controles de
claves. ingreso clientes.
Activos tabgibles: Alarmas.
correos, llamadas
raps.
IP.
Software de Discos de
instalacion. backup.
Sistemas Impresoras.
operativos.

5. Servicios del área informática.

a. Mantenimiento de terminales y dispositivos: actualizaciones de hardware y software,

sustitución de piezas, revisión del espacio de disco, revisión de los niveles de respuesta

de los equipos, etc.

- Soporte de usuarios para actualizaciones o reparaciones de servicios informáticos.

- Instalación y actualización de software y hardware.

- Eliminación de software malicioso.

b. Mantenimiento de servidores: En esos servidores se gestionan los datos críticos de la

compañía y además es donde se crean y manejan las copias de seguridad.

- Revisión y actualización de los criterios de seguridad.

- Recuperación de datos y gestión de base de datos.

- Gestión de los servicios de conexión de red.

 c. Mantenimiento de aplicaciones y software: mantenimiento y actualización de las

aplicaciones de software que una empresa tenga, por ejemplo, bases de datos, crm,

facturación electrónica.

6. Sistemas informáticos de la empresa.

a. Servidores, Backup, almacenamiento.

b. Soporte y mantenimiento interno.

c. Cambios de equipos.
d. Redes: Esquema de la red.
7. Descripción de la empresa.

a. La empresa Autos Y Camiones De Boyacá S A S tiene como domicilio principal de su

actividad la dirección, AVENIDA NTE 34- 35 en la ciudad de TUNJA, BOYACA. El

teléfono de Autos Y Camiones De Boyacá S A S es el (8)7405400. Esta empresa fue

constituida como SOCIEDAD POR ACCIONES SIMPLIFICADA y se dedica a

Comercio de vehículos automotores nuevos. Si necesita más información sobre Autos Y

Camiones De Boyacá S A S regístrese y acceda gratis a más información de la empresa.

La actividad principal de Autos Y Camiones De Boyacá S A S es Comercio de vehículos

automotores nuevos. Cuenta con un patrimonio neto de 5.266.667 COP y en el ejercicio

del año 2018 generó un rango de ventas 'Menor de 1.000.000.000 COP' obteniendo un

resultado del ejercicio 'Menor de 1.000.000.000 COP'.

8. Identificar vulnerabilidades, amenazas, riesgos o fallas que puedan suceder o que están

sucediendo en las empresas con respecto al área informática o los sistemas de información.

VULNERABILI RESPONSABLE CONSECUENCIAS RIESGOS

 DADES S Y CAUSAS
FALLAS
AMENAZAS Y
RIESGOS
1 Fallas en el Los principales responsables Problemas de
cableado de red de esta falla serían los navegación o cortes
encargados de revisar en el servicio de
constantemente las internet
instalaciones y el lugar donde
está ubicado.
2 Vulnerabilidad en En esta parte la Posibles fraudes a
la parte responsabilidad me parece la empresa, robos
informática compartida. Por un lado, las de información,
personas que regularmente spyware.
manejan los equipos
(empleados) o los ingenieros
encargados de monitorear el
funcionamiento de los
mismos.
3 Falta de El personal no cuenta con Perdida de
conocimiento de programas de capacitación y información muy
los usuarios en el formación en seguridad importante para la
tema de seguridad informática y de la empresa
informática y de información.
la información
4 Acceso no No se tiene implementado un Control de Talento
autorizado a las sistema de identificación de Humano de
áreas restringidas empleados, visitantes, personal interno y
acompañantes y registro de visitantes empresa
visitantes.
5 Falta de un buen Todos estos respaldos los Pérdida parcial o
respaldo de debe realizar constantemente total de la
información la persona encargada del información
equipo contenida en los
equipos
6 Mal manejo de los Esto se debe al descuido o Programas
equipos inoperancia de los empleados documentos o parte
informáticos mismos. física de los equipos
para reparación o
cambio total.
7 Perdida de Es de vital importancia Sistemas
 información mantener las contraseñas o la vulnerables a
importante como información importante en personas
contraseñas lugares seguros y respaldados. inescrupulosas,
pérdida de tiempo
tratando de
recuperar las claves
del sistema.
8 Fallas que pueden Las fallas que pueda Distintas
producirse en el producirse en los sistemas consecuencias
sistema podrían ser intencionadas o como reparación de
darse de forma accidental equipo de cómputo
o cambios de
software
9 Pérdida o robo de Se puede dar de manera Desfalcos de
equipos de esporádica por diversos información,
computo motivos necesidad de
conseguir nuevo
material
10 Mal manejo de Los empleados pueden Pérdida de tiempo
programas darle un mal uso a los equipos recuperando
importantes para que contienen los programas y totalmente los
la empresa estos versen afectados programas, o
corrigiendo los
daños.
11 Correos Esto se puede producir por Filtración de la
intervenidos personas sin escrúpulos que información que
solo buscan atentar contra las maneja la empresa
políticas de la empresa cada día
12 Ataques de virus Estos ataques se producen por Pueden ocasionar
tener equipos desprotegidos o graves daños a
desactualizados software de la
empresa.

9. Antecedentes.

- Se antecede a esta auditoria las evaluaciones anuales que desarrolla la unidad de

aseguramiento tecnológico e informático USATI, con el ánimo de diagnosticar y evaluar

las condiciones funcionales y procedimentales, procurando identificar las amenazas y

 vulnerabilidades correspondientes a las áreas de sistemas de las gerencias

departamentales colegiadas para posteriormente diseñar estrategias que permitan mitigar

los riegos que estas puedan acarrear.

10. Metodología de la auditoría.

- Para llevar a cabo la auditoria se tendrán en cuenta todos y cada uno de los objetivos

planteados, esta se basará y orientará en el estándar COBIT versión 4.1, para la

evaluación del hardware de equipos de cómputo, red física, equipos de protección

eléctrica, y seguridad física. Para el desarrollo de esta auditoria se hará una inspección

física a todos los componentes que motivan esta auditoria con el ánimo evaluar que la

planeación y organización, la adquisición e implementación, la entrega de los servicios

requeridos, el monitoreo y evaluación y demás acciones pertinentes, están en línea con

los objetivos evaluadores de la auditoria, así como también que estos estén en

concordancia con los principios de eficiencia y eficacia.

- De acuerdo a lo anterior la auditoria estará conformada por las siguientes fases y

actividades correspondientes:

Fase de la auditoria
Fas Nombre de Actividades
e la fase
1 Planeación y 1 Solicitud informe de equipos de cómputo, red física,
programación equipos de protección eléctrica, y seguridad física.
2 Análisis de la información suministrada
3 Diseño del plan de Visitas
4 Mesa de trabajo
2 Ejecución de 5 Visitas e inspección de las infraestructuras de
la auditoria telecomunicaciones y eléctrica.
5.1 Evaluación de la planeación y organización de las
infraestructuras de telecomunicaciones y eléctrica.
5.2 Evaluación la adquisición e implementación de las
infraestructuras de telecomunicaciones y eléctrica.
 5.3 Evaluación la entrega de los servicios requeridos de las
infraestructuras de telecomunicaciones y eléctrica.

5.4 Evaluación el monitoreo y evaluación de las

infraestructuras de telecomunicaciones y eléctrica.
3 Informe y 6 Análisis preliminar de la información recolectada en el
plan de desarrollo de la auditoria.
acción 7 Mesa de trabajo
8 Consolidación del informe de auditoria
9 Entrega y exposición del informe de auditoría a la
gerencia.

11. Alcance de la auditoría.

- En esta auditoria se evaluará la infraestructura física de la empresa autos y camiones de

Boyacá tales como los equipos de cómputo, red física, equipos de protección eléctrica, y

seguridad física ya que estos son los que permiten el funcionamiento de todos los

aplicativos, sistemas de información y soluciones tecnológicas que permiten el

desarrollo de los procesos misionales por parte de las personas que conforman el talento

humano de esta entidad. No obstante, estos aplicativos, sistemas de información y

soluciones tecnológicas no se auditarán, debido a que no es de interés, ni se encuentra en

línea con los objetivos y pretensiones de esta auditoría.

12. Mesas de trabajo.

- Se efectuarán, las mesas de trabajo cada diez (8) días y las que se requieran de acuerdo a

los resultados que se obtengan.

13. Tiempo estimado.

- Se estima que la duración de la auditoria se realizara los días hábiles comprendidos entre

16 de abril al 11 de mayo de 2020. De requerir ampliación de términos se solicitará su

diligencia oportunamente.
14. Recurso humano.

- El equipo auditor que desempeñara la auditoria está conformado por los siguientes

profesionales:

Apellidos y Nombres Roles en la Auditoria

Estudiante 1: Auditor Junior
Estudiante 2: Auditor Junior
Estudiante 3: Andrés Hernández Líder Auditor
Estudiante 4: Auditor Junior
Estudiante 5: Auditor Junior

- Se ha considerado que de requerir personal adicional será oportunamente gestionado.

15. Presupuesto.

ELEMENTOS COSTOS TOTALES

Salario Ejecutivo Superior $ 2.943.450 $ 2.943.450
Salarios auditores: equipos auditores (tres auditores $ 2.000.000 $ 6.000.000
Utilitarios (3 computadores portátiles) $ 1.000.000 $ 3.000.000
Videocámara $ 300.000 $ 300.000
Viáticos para visitas $ 100.000 $ 300.000
Viáticos para la realización de las mesas de trabajo (2 $ 600.000 $ 1.200.000
mesas de trabajo)
Viáticos para posibles gastos adicionales o por si se $ 2.000.000 $ 2.000.000
requiere más personal auditor ser contratado con
tiempo
TOTAL: 15.743.450

- Toda auditoría realizada tiene un coste tanto en tiempo como en términos económicos,

esto depende de la entidad, empresa u organización a auditar, para este caso y por ser la

empresa de autos y camiones de Boyacá S.A.S. Se requerirán 18 días hábiles, acciones

que comenzarán a realizarse desde el día 16 de abril al 11 de mayo de 2020, se ha

realizado el plan de trabajo para tratar de utilizar solo los días planificados en un

principio y para tratar de realizar la auditoria de una forma más llevadera. El coste
 presentado en la anterior tabla es basado en la infraestructura y los requerimientos de la

entidad. Además de la intensidad horaria necesaria para llevar a cabo la auditoria.

- En la anterior tabla de presupuestos de consideró: El salario del Ejecutivo Superior y los

auditores, corresponde a los honorarios que reciben los auditores implicados en realizar

el procedimiento teniendo en cuenta los cargos y responsabilidades de cada auditor.

- Los utilitarios que son los equipos necesarios para llevar a cabo las debidas revisiones y

conclusiones que se puedan sacar del procedimiento. Se maneja un equipo por auditor

porque cada uno tiene a su cargo distintos sectores de la empresa.

- Se considera de gran importancia tener una videocámara de buenas especificaciones para

apoyar las visitas.

- Los viáticos pueden parecer un poco elevados, pero se consideran justos puesto que los

implicados en el proceso no todos pertenecen a la región en la cual se encuentra ubicada

la entidad auditada.

- Los viáticos para las mesas de trabajo son aún más elevados, pero se debe tener en

cuenta aparte de lo enteramente mencionado, que cada mesa de trabajo forma parte vital

de que la auditoria este bien encaminada, y para esto se necesita un ambiente cómodo en

el cual los auditores tengan a su disposición lo que sea necesario.

- Se considera un dinero extra por si se llega a complicar algún equipo, o la salud de un

auditor o simplemente por razones obvias de bastante carga laboral se requiere de más

personal capacitado.
16. Cronograma de actividades.

AUDITORÍA AL HARDWARE DE EQUIPOS DE CÓMPUTO, RED FÍSICA, EQUIPOS DE

PROTECCIÓN ELÉCTRICA, Y SEGURIDAD FÍSICA.
Entidad: Autos y camiones de Boyacá S.A.S
Abril Mayo
N° ACTIVIDAD
16 17 20 21 22 23 24 27 28 29 30 1 4 5 6 7 8 11
Solicitud informe de
equipos de cómputo,
1 red física, equipos de
protección eléctrica, y
seguridad física.
Análisis de la
2 información
suministrada
Diseño del plan de
3
Visitas
4 Mesa de trabajo
Visitas e inspección
de las infraestructuras
5 de
telecomunicaciones y
eléctrica.
Evaluación de la
planeación y
organización de las
5.1
infraestructuras de
telecomunicaciones y
eléctrica.
Evaluación la
adquisición e
implementación de las
5.2
infraestructuras de
telecomunicaciones y
eléctrica.
Evaluación la entrega
de los servicios
requeridos de las
5.3
infraestructuras de
telecomunicaciones y
eléctrica.
 Evaluación el
monitoreo y
evaluación de las
5.4
infraestructuras de
telecomunicaciones y
eléctrica.
Análisis preliminar de
la información
6 recolectada en el
desarrollo de la
auditoria.
7 Mesa de trabajo
Consolidación del
8
informe de auditoria
Entrega y exposición
del informe de
9
auditoría a la
gerencia.

CONCLUSIONES
 La auditoría es una herramienta que nos permite revisar y evaluar uno o varios procesos con

el ánimo de corregir un error y proponer soluciones para mitigar sus causas.

 COBIT es un marco de referencia con el cual se puede comparar los controles de tecnologías

de información con el fin de mejorarlos.

 COBIT ofrece un amplio marco de trabajo con el cual se puede incrementar y fortalecer la

seguridad de la información en las organizaciones.

 Gracias a plan de auditoria se puede tener la certeza de como realizara la auditoria que se

establecen los objetivos, alcance, metodología, recursos humanos, presupuesto y cronograma

de ejecución.

BIBLIOGRAFÍA
 Thorin, Marc; La Auditoría Informática: métodos, reglas, normas, Ed. Masson, S.A., 1989

 Estándar COBIT 4.1, IT Governance Institute. All rights reserved. www.itgi.org, 2007

 Modulo unidad 2, Auditoria de sistemas, universidad nacional abierta y a distancia.

http://campus13.unad.edu.co/campus13_20151/mod/lesson/view.php?id=676

 Derrien, Y. (2009). Técnicas de la auditoría informática. (pp. 29 -123). Recuperado de:

https://bibliotecavirtual.unad.edu.co:2538/lib/unadsp/reader.action?

ppg=41&docID=3176647&tm=1543338969122

 Huesca, G. (2012). Introducción a la auditoría informática. Auditoria informática. (pp. 4-35).

Recuperado de: https://es.scribd.com/document/252662002/Libro-Auditoria-informatica

 Tamayo, A. (2001). La Función de la Auditoría de sistemas. Auditoría de sistemas una visión

práctica. (pp. 9- 29).Recuperado de: https://books.google.com.co/books?

id=HdtpS3UBCuMC&lpg=PA14&dq=auditor

%C3%ADa+de+sistemas+de+informacion&hl=es&pg=PP1#v=onepage&q&f=false

 Solarte, F. N. J. [Universidad UNAD]. (2016, 05,23). Riesgos informáticos y su clasificación.

Recuperado de: http://hdl.handle.net/10596/10236

 Solarte Solarte, F. ( 07,01,2019). Conceptos de Auditoría y Seguridad Informática. [Archivo

de video]. Recuperado de: http://hdl.handle.net/10596/23475

 Solarte, F. N. J. (2011, 30 de noviembre). Auditoría informática y de sistemas. Recuperado

de: http://auditordesistemas.blogspot.com.co/2011/11/conceptos.html