DICTAMEN DE LA AUDITORÍA

El dictamen de la auditoría es la medición del nivel de madurez en cada uno de

los procesos evaluados, en el cual se encuentra la empresa actualmente
respecto a la norma aplicada que es el CobIT, mediante el uso de una escala
numérica (0,1,2,3,4,5), donde el nivel más bajo es el 0 y el más alto es el 5,
cada uno de los valores tendrá un significado en cada proceso evaluado. En
general, si el valor es de 0 significa que en el proceso se encontraron muchos
riesgos y que no existen controles en el proceso evaluado. Si es valor es 1
significa que se están aplicando algunos controles esporádicos por algunos
usuarios, pero no se han implementado como procesos. Si el valor es 2
significa es un proceso que se realiza regularmente, pero que aún no están
documentados, ni se han comunicado. Si el valor es 3 significa que los
procesos son documentados, se comunican al personal encargado de los
controles y se hace la capacitación. Si el valor es 4 significa que los procesos
ya están estandarizados, se documentan, se comunican, se capacita al
personal, se monitorea y se hace las mediciones de los controles aplicados. Y
el valor 5 significa que el proceso esta optimizado, es decir, que se están
aplicando todas las normas y controles especificados en la norma.

Para el dictamen de la auditoría en cada uno de los procesos, hay que tener en
cuenta los resultados de las listas de chequeo aplicadas en el proceso donde
se verifica el cumplimiento de controles y los hallazgos encontrados donde se
refleja el grado de exposición a los riesgos. Una vez se tiene estos datos hay
que ir a la norma CobIT 4.1 donde se define la escala de medición y a cada
uno de los procesos evaluados donde al final de cada proceso luego de los
objetivos de control se explica el valor a calificar de acuerdo a los resultados
anteriores

A continuación se presentan los resultados definitivos de la auditoria y las

recomendaciones de mejoramiento por cada proceso COBIT auditado, una vez
revisadas las observaciones y aclaraciones hechas por la empresa al grupo
auditor:1

1
El nivel de Madurez emitido en el dictamen se clasificará en los siguientes niveles:

0-NO EXISTENTE: No se aplican procesos administrativos en lo absoluto

1-INICIAL: Los procesos son espontáneos y desorganizados. No se ha implementado procesos estándar para el procesamiento de
información.
2-REPETIBLE: Los procesos siguen un patrón regular o estándar; pero no se ha documentado suficientemente. Falta capacitación del
personal encargado. La eficiencia y eficacia depende en gran parte del conocimiento y profesionalismo de los empleados y contratistas.
3-DEFINIDO: Los procesos están estandarizados, se documentan, se comunican y se capacita al personal encargado; pero no se miden o
se hacen mediciones parciales de las metas.
4-ADMINISTRADO: Los procesos están estandarizados, se documentan, se comunican, se capacita al personal, se monitorean y se
miden: Se utiliza métricas de rendimiento, se establecen metas de mejoramiento.
5-OPTIMIZADO: Las buenas prácticas se siguen y se automatizan. Los controles son permanentes y se utiliza software para
implementarlos.
PROCESO COBIT: PO4: DEFINIR LOS PROCESOS, ORGANIZACIÓN Y
RELACIONES DEL SISTEMA DE INFORMACIÓN DE LA EMPRESA.

a. Objetivo de la Auditoria: Conceptuar sobre organización y relaciones

entre el personal, los recursos de hardware y software, los documentos
soporte, el centro de cómputo con el fin de establecer el grado de eficiencia
de los procesos que ejecutan en el sistema.

b. Dictamen:

Se califica un nivel de madurez 3 DEFINIDO, por cuanto los procesos,

organización y relaciones del área evaluada están contenidos en un manual
de procesos y los recursos de hardware y software son adecuados. Sin
embargo, este manual no se ha actualizado con respecto a la evolución que
ha tenido el Sistema, lo que hace que no sea posible medirlo y redefinirlo.
En procesos clave de administración del sistema se observa excesiva
dependencia en la capacidad y conocimiento que empleados clave tienen
del sistema.

c. Hallazgos que soportan el Dictamen:

 El manual de procesos y perfiles no se ha actualizado de acuerdo a los

módulos del sistema, acorde con la estructura de cargos de la empresa lo
que dificulta ejecutar planes de contingencia y capacitación cruzada, en
caso de necesidad de reemplazar o rotar personal clave en las
operaciones y administración del sistema.

 Se encontró que la empresa contratista del sistema ejecuta labores de

captura de la información, operación directa sobre tablas de la base de
datos. Igualmente, realiza labores de auditoría y también administra el
sistema operativo, la aplicación y la base de datos. Se considera un nivel de
acceso amplio que dificulta establecer controles por parte de la empresa.

 Se encontró que el funcionario encargado del módulo de auditoría, realiza

solamente el control de usuarios con niveles de seguridad inmediatamente
inferiores a él, pero nadie realiza auditoria a las entradas de los súper
usuarios del sistema.

d. Recomendaciones:

 Diseñar Bitácora de procesos y perfiles de acuerdo al manual actualizado

de funciones y procedimientos del Área Comercial.

 Documentar los procesos de consulta, lecturas y facturación realizados por

fuera del software, para que sean integrados al software. Implementar
 registro de solicitudes de modificaciones y diseño de soluciones y
actualizaciones.

 Documentar y diferenciar en forma precisa los procesos, políticas

administrativas y procedimientos de la administración de riesgos, la
seguridad de la información, la propiedad de datos y del sistema. Esto es,
separar completamente en diferentes responsables los procesos de captura
de lecturas, correcciones masivas sobre las tablas de la base de datos,
administración de la base de datos, auditoria.

 Asignar funciones de auditoría a uno de los funcionarios que esté en

capacidad de registrar los movimientos realizados por los súper usuarios
del sistema, pudiendo el mismo realizar auditorías y ejerciendo controles
adecuados sobre la seguridad del servidor e producción y sobre la base de
datos.

Como se puede ver en el ejemplo, hay que tomar en cuenta los resultados
de los hallazgos en cada proceso para poder calificar el nivel de madurez
de cada uno de los procesos. El objetivo de la auditoría se refiere a lo que
se va a evaluar al aplicar el proceso, eso se puede tomar de los alcances
de la auditoría. La Calificación del dictamen tiene que ver con si se están
aplicando controles o no y si hubo muchos hallazgos en el proceso, por
lo tanto entre más hallazgos y menos controles existan la calificación
será más baja para el proceso, también se debe buscar en el estándar
CobIT específicamente en cada proceso las escalas del nivel de madurez
que están explicadas para cada proceso, con eso yo puedo argumentar el
porqué de la calificación. Los hallazgos son tomados de las tablas de
hallazgos entregadas anteriormente para cada proceso. Y finalmente las
recomendaciones son los que ustedes mencionaron también en el
formato de hallazgos, esas recomendaciones son los controles para
solucionar los hallazgos encontrados.

Este proceso debe aplicarse por cada estuante para cada uno de los
procesos seleccionados por ellos, y hasta aquí termina el proceso
individual.

Luego se elabora el informe final de auditoría donde se menciona el

objetivo de la auditoría, los procesos evaluados, los hallazgos en cada
proceso y las recomendaciones. En este informe deben ir todos los
procesos evaluados, por lo tanto debe elaborarse un solo informe final
por cada grupo.

PROCESO COBIT: P09: EVALUAR Y ADMINISTRAR LOS RIESGOS DEL SIC.

a. Objetivo de la Auditoria: Medir los riesgos, su probabilidad e impacto
sobre el aplicativo, personal, recursos, procesos, soportes

b. Dictamen:

Se estableció un nivel de madurez 2 REPETIBLE por cuanto se hacen

análisis y evaluación al Sistema, pero no son permanentes, ni se ha
documentado suficientemente. Además, falta capacitación del personal
encargado. La detección de riesgos y el establecimiento de controles se
hacen, en gran parte, por iniciativa propia de los empleados, y no en un
procedimiento regular de auditoría.

c. Hallazgos que soportan el Dictamen:

 Aunque existe documentación sobre auditorias anteriores y análisis y

evaluación de riesgos sobre el sistema, no se ha destinado personal para
establecer un plan de controles sobre el mismo, lo que impide prevenir
posibles fraudes, inconsistencias o pérdidas de información y económicas.
Los riesgos tampoco se han clasificado por niveles de criticidad, no se han
establecido riesgos residuales.

 No se encontró una política claramente documentada para el manejo de

riesgos que presentan nivel de criticidad medio o moderada en el sistema,
tales como: infección por virus, plan para enfrentar contingencias en el
sistema, plan para detectar y corregir debilidades o huecos en las
operaciones, y errores de digitación de datos por parte de los usuarios,
generación de pistas de administración y auditoria de datos, actividades de
supervisión para detectar el nivel de confianza en los controles
automatizados, difusión y adopción de las políticas de seguridad en el
procesamiento de datos, revisión metodológica del sistema para proponer
mejoras al diseño inadecuado o cuestionable de algunos módulos,
corrección de las deficiencias u obsolescencias de los mecanismos de
control interno del sistema, determinación de especificaciones técnicas
inapropiadas, detección de deficiencias en el entrenamiento de los
funcionarios que ejecutan los procesos, determinación de estándares de
control de calidad de la información de la base de datos, análisis de
cumplimiento de la validación de las reglas del negocio en el sistema,
Cumplimiento normativo y de las políticas internas en el proceso del área
comercial a cargo del sistema.

d. Recomendaciones:

 Implementar el software de administración de riesgos y establecimiento

de controles al sistema en general, como parte de la Función del SGSI.
 Capacitar al personal encargado de auditar el sistema, sobre la
identificación de riesgos, medición e implementación de controles,
enfocada en la seguridad de acceso e integridad de la base de datos.

 Implementar un estándar como metodología para el análisis y la

evaluación de riesgos informáticos, que permita que este proceso se
lleve a cabo de manera adecuada se debe tener en cuenta que los
estándares son apropiados a ciertos tipos de evaluación, algunos de
ellos son: MAGERIT, ISO 27005, OCTAVE que nos brindan los
estándares y las escalas de evaluación.

 Retomar las recomendaciones que han realizado en las auditorias

anteriores para realizar el análisis, evaluación y gestión de los riesgos
encontrados; establecer un sistema de control adecuado al sistema de
información y trabajar en la documentación del proceso.