Unidad 1 – Fase 2

Planeación de la Auditoría

Informe Colaborativo

Programa de Auditoría
Plan de Auditoría

4
Elaborado por los estudiantes:

Jorge Eliecer Arredondo

C.C. 10017722

Diana Carolina Ibáñez

Código: 52932631

Edwin Antonio Rodríguez

Código: 80234118

William David Gómez

Código: 79958852

Escuela de Ciencias Básicas, Tecnología e Ingeniería, ECBTI.

Universidad Nacional Abierta y a Distancia, UNAD.

90168A-952: Auditoría de Sistemas.

Grupo: 90168-2.

Ing. Pedro Antonio Samper

23 de mayo de 2021
Contenido
Introducción................................................................................................................................................3
Objetivos.....................................................................................................................................................3
Informe........................................................................................................................................................3
Propuesta de empresas..........................................................................................................................3
Descripción de empresa elegida..........................................................................................................36
Programa de auditoria........................................................................................................................37
Plan de auditoria..................................................................................................................................39

4
Objetivo general de la auditoria.....................................................................................................39
Objetivos específicos dentro de la auditoria..................................................................................39
Alcances de la auditoria..................................................................................................................40
Metodología......................................................................................................................................41
Tiempo estimado de realización......................................................................................................42
Conformación equipo auditor.........................................................................................................43
Recursos logístico y técnicos...........................................................................................................43
Estándar...........................................................................................................................................43
Procesos............................................................................................................................................43
Conclusiones..............................................................................................................................................43
Referencias bibliográficas..........................................................................................................................43
Introducción.

En el presente informe, el grupo de trabajo presenta la planificación de la auditoría, la

cual es una parte importante, tanto para auditorías internas como externas. Una buena

planificación de la auditoría nos ayuda a minimizar los riesgos, mejorar la eficiencia de la

auditoría y cumplir los objetivos.

4
En la elaboración del presente informe hemos dado claridad a los conceptos de

vulnerabilidad, amenazas y riesgos informáticos, y de esta manera se nos facilita diagnosticar las

causas que los originan y poder proponer acciones de mejora y preventivas.

Objetivos.

 Presentar por parte de cada estudiante una propuesta de empresa a auditar y después de

un debate grupal, analizar y seleccionar una empresa para ejecutar en ella la auditoria.

 Desarrollar el programa de auditoria.

 Desarrollar el plan de auditoría.

 Definir los procesos usando el estándar COBIT 5.

Informe.

Propuesta de empresas.

Propuesta realizada por Diana Carolina Ibáñez.

COCA COLA FEMSA

Estructura Organizacional con sus cargos y funciones:

 Presidente

Vicepresidente
General

Jefe de Jefe de Recursos

Jefe financiero
Produccion Marketing Humanos

Gerente Gerente de Gerente de

Contador Ventas
Industrial Recursos Calidad

4
Auxiliar de
Inspector Compras Tesoreria Publicidad
Calidad

Auditoria Segmentacion

El organigrama de Coca Cola está compuesto inicialmente por cuatro departamentos, un

vicepresidente y el presidente, cada región tiene su propio organigrama, pero este es el concepto

básico de todas las regiones.

Cabe señalar que la estructura organizacional de Coca Cola está considerada como una de

las mejores.

Estructura organizacional

Presidente: Es la persona que está a cargo de toda la organización, siendo la máxima

autoridad debe responder por cada uno de los departamentos y debe velar por el correcto

funcionamiento de toda su región.

Vicepresidente: Es la mano derecha del presidente ayuda en la gestión de toda la

organización, puede llegar a relevar al presidente en el caso de que no se encuentre.

 Jefe de producción: Encargado de velar por todo lo relacionado con la producción y sus

sub-departamentos, como lo es el área de maquinaria, calidad e inventarios de mercancías en

proceso y terminadas. Es la máxima autoridad en el ámbito de la producción de Coca Cola a

nivel regional.

Gerente industrial: El gerente industrial junto con sus subordinados tienen la función de

4
responder por el mantenimiento y correcto funcionamiento de la maquinaria ante su jefe de área.

Gerente de recursos: Esta área debe responder por el stock de inventarios, así como por

las compras de insumos.

Gerente de calidad: Al ser una empresa tan prestigiosa, Coca Cola mantiene uno

elevados estándares de calidad, esta área debe velar porque en ningún momento la calidad de los

procesos y productos se vean afectadas.

Jefe financiero: Encargado de toda la parte contable y financiera de la empresa, con el

objetivo de medir el rendimiento económico de la misma, el jefe financiero debe presentar

informes constantemente sobre la salud financiera de la organización.

Jefe de marketing: Coca Cola es una empresa que gasta una suma importante en

publicidad, en el año 2018 la empresa gastó casi los 1000 millones de dólares en marketing, este

equipo de velar porque cada moneda invertida valga la pena para la organización impactando al

público.

Recursos humanos: Toda empresa grande o mediana debe contar con un departamento

de recursos humanos y el Organigrama de Coca Cola no es la excepción, debido a sus altos

estándares de calidad el personal de la organización que allí labora debe ser altamente

competitivo.

Organización informática:

Los sistemas de Coca-Cola Company tienen un área de informática central, en la cual se

encuentran los servidores principales que están en la planta, al igual que las oficinas

4
centrales y por último la planta principal de producción. Existen otros lugares diferentes

que a partir del nuevo sistema están conectados directamente a la planta, las cuales 5 de ellas son

unidades operativas como centros de venta y distribución que por obvias razones utilizan un

sistema muy avanzado para verificar que sale y entra, las restantes solo son depósitos de

refrigeradores y centros de reparación de equipos. Para poder mantenerse conectados

entre sí ellos utilizan una red llamada WAN (Wide Área Network) que es propia de la compañía

y para cada área local utilizan la red llamada LAN (Local Área Network) donde uno de los

servidores centrales se conecta a todas las PC’s siempre a través de un cable bien

estructurado y blindado.

Estructura Informática

La estructura informática de Coca-Cola Company se puede esquematizar es 5 peldaños

cada uno con su respectivo nivel de complejidad. El primer peldaño se refiere al

desarrollo de los sistemas de información donde la compañía ha dado un buen soporte desde la

tecnología a las direcciones en el manejo de recursos. En este orden de ideas evolucionan los

sistemas de información, bien en su aplicación o en su concepción. Inicialmente se tenía

aplicaciones completamente independientes y con funciones específicas. Luego se incorporó el

concepto de interacción entre las diferentes aplicaciones y ahora último tenemos una
multiplicidad de puntos de relación con los socios de negocios y clientes que requerimos de

aplicaciones más orientadas al manejo de estas nuevas relaciones. El siguiente peldaño reconoce

la necesidad de administrar también las relaciones con mi cliente en todos sus aspectos y no solo

en el ámbito transaccional, y es aquí donde nacen las aplicaciones bajo la sigla CRM

(Customar Relationship Management), administración de la relación con el cliente). También en

4
este rubro empiezan a aflorar varios oferentes, algunos con un nivel de especialización de

industria. Aunque cada una de las tendencias administrativas y cada una de la aplicación

tecnológica de la misma ameritan para varios libros, hoy pretendemos establecer que todas las

tendencias son válidas y que lo que se debe hacer es incorporar específicas de un rompecabezas

para suplir las funciones con manejo de información. Cada industria es diferente, por lo que la

receta solo puede ser generalizada. miramos la estructura informática como una

pirámide de seis escalones, podríamos establecer que en el primer peldaño se deben tomar las

decisiones sobre la infraestructura a utilizar. La infraestructura se refiere estrictamente a la

disposición de los elementos necesarios para llevar a cabo el proceso de la información,

distinto de las aplicaciones y los datos. Es decir, abarca los equipos, las redes de comunicación,

los procedimientos, las políticas de seguridad y demás componentes que se clasifican en este

rubro. En el segundo peldaño se pueden colocar todos los elementos de tecnología que

normalmente se clasifican entre los Sistemas Operativos. Algunas personas incluyen

aquí las decisiones sobre si se trabaja en sistemas operativos propietarios o abiertos.

También se han dado casos de inclusión a este nivel de los sistemas de procesamiento de datos

en sí mismos, llamadas también bases de datos y estructuras relacionales. En este peldaño

también se define sobre cual bases de datos se utilizarán, con qué herramientas se desarrollan las

aplicaciones y con qué técnica y procedimientos se implementan las mismas. En el tercer

peldaño se puede incluir todos los conjuntos de aplicaciones tendientes a manejar de

forma integrada las diferentes funciones operativas de las empresas en su interior. Es en este

peldaño donde ha habido mayor concentración de oferta por parte de los proveedores y

mayor aceptación por parte de los clientes. Catalogamos en este peldaño las aplicaciones

ERP (Enterprise Resource Planning). Por último, el mayor nivel de agregación se da

4
bajo la teoría del Inteligencia Empresarial, o inteligencia del negocio. Está medido tanto en

la capacidad de utilizar los demás peldaños anteriores para generar decisiones basadas en la

inteligencia del negocio.

Sistemas Operativos y Software Utilizado

 Microsoft Windows NT Server 4.0

Sistema Windows de 32-bit disponible para estaciones de trabajo y versiones para servidores

con una interfaz gráfica similar a la de Windows 95.

 Microsoft SQL Server 6.5

Sistema para la gestión de bases de datos producido por Microsoft basado en el modelo

relacional. Sus lenguajes para consultas son T-SQL y ANSI SQL.

 Microsoft Proxy Serve r 2.0

Microsoft Proxy Server 2.0 es un firewall, servidor de caché de contenidos y proveedor de

seguridad. Mediante el podemos conectar toda una red a Internet.

 System Management Server

 Administra la configuración de la plataforma Microsoft, que permite a las empresas

proporcionar las actualizaciones y el software oportunos de forma rápida y rentable.

 Microsoft Office 365

Se trata de una herramienta que nos permite crear, acceder y compartir documentos de Word,

Excel, OneNote y PowerPoint. En este sentido no presenta cambios con un paquete Office

4
normal, pero la diferencia está en que puedes acceder a todos los programas en tiempo real.

Además, podemos acceder desde cualquier dispositivo que tenga acceso a Internet y OneDrive.

Además de estos programas, también tenemos una serie de herramientas adicionales. Podemos

tener acceso al correo electrónico, mensajería instantánea, videoconferencias, pantallas

compartidas, almacenamiento en la nube, calendarios… Por lo que tenemos una gran cantidad de

herramientas que nos permiten trabajar con total comodidad.

Office 365 es algo que se usa en empresas, ya que nos permite poder trabajar en documentos de

forma compartida. Varias personas al mismo tiempo pueden editar documentos. Ideal si hay

personas trabajando en distintos lugares del mundo.

 Inteleroute

Aplicación de sincronización de información en aparatos HAND HELD con los pedidos de

clientes (Promotores) para hacerlos llegar al programa COMERCIAL. El Departamento de

Ventas / Comercial utiliza esta aplicación para almacenar, registrar y guardar los pedidos

diariamente de los clientes visitados. Posteriormente son enviados al sistema para que se

procesen y entreguen al siguiente día.

 Coca Cola Móvil

 Aplicación para móviles que muestra los catálogos de productos y da a conocer información

acerca de ellos. Está disponible para Móviles y Tabletas Electrónicas.

 Plataformas Digital Móvil

Se utilizan plataformas de videos para crear valor de su marca. El ejemplo con mayor y

mejor impacto fue la estrategia implementada en el marco del Aniversario de 100 años de su

4
botella con un video de 360° en YouTube.

Tecnologías inalámbricas y medios de comunicación

 Internet

Se encuentra disponible solo para Niveles Gerenciales y computadoras con permisos para

hacerlo por medio de un rastreo de actividades.

Radiofrecuencia

Todo el Personal Operativo cuenta con radios enlazados por áreas en procesos comunes.

 Celulares

Todo el personal de Ventas cuenta con teléfono celular registrado en Plan Empresarial para

realizar las llamadas ilimitadas entre números de la compañía.

La TELECOMUNICACIÓN se efectúa a través de Fibra Óptica con múltiples teléfonos

instalados en toda la empresa y de uso controlado por medio de Claves por Empleado.
 Además, se implementó una nueva forma de comunicación. Un Sistema de

Reconocimiento de Voz (VolP) para cuando están preparando los pedidos. Está especializado

para el área de almacén, Fleteo y Supervisores de Producción.

Controles de Seguridad para software / Hardware

 Controles del Departamento de TI

4
 Controles de Procedimiento de Sistemas y Programas

 Controles de seguridad de Acceso

Sistemas De Información Utilizados Por La Empresa Coca-Cola Femsa

Coca Cola Femsa utiliza SAP ERP desde 1996 y recurre a la consultoría QA en las

implementaciones y los procesos de cambio, como en el caso del go-live de los módulos y

soluciones Advanced Planner Optimizer (APO), Business Intelligence (BI), Customer

Relationship Management (CRM) y Supply Relationship Management (SRM).

Clasificación y uso de estos sistemas:

 Business Intelligence (BI)

Es la habilidad para transformar los datos en información, y la información en

conocimiento, de forma que se pueda optimizar el proceso de toma de decisiones en los

negocios.
 La inteligencia de negocio actúa como un factor estratégico para una empresa u organización,

generando una potencial ventaja competitiva, que no es otra que proporcionar información

privilegiada para responder a los problemas de negocio: entrada a nuevos mercados,

promociones u ofertas de productos, eliminación de islas de información, control financiero,

optimización de costes, planificación de la producción, análisis de perfiles de clientes,

4
rentabilidad de un producto concreto, etc.

 Advanced Planner Optimizer (APO)

Es un paquete completo de aplicaciones para la planificación de la cadena de suministro que

aumenta el conocimiento total de la cadena y provee la elaboración de pronósticos, planificación

y optimización.

 Customer Relationship Manager (CRM)

Según Don Alfredo De Goyeneche, en su publicación en la revista Economía y

Administración de la Universidad de Chile, se refiere a que en “CRM estamos frente a un

modelo de negocios cuya estrategia está destinada a lograr identificar y administrar las relaciones
en aquellas cuentas más valiosas para una empresa, trabajando diferentemente en cada una de

ellas de forma tal de poder mejorar la efectividad sobre los clientes”. En resumen, ser más

efectivos al momento de interactuar con los clientes.

Los beneficios del CRM no sólo se concretan en la retención y la lealtad de los clientes,

sino también en tener un marketing más efectivo, crear inteligentes oportunidades de cross-

4
selling y abrir la posibilidad a una rápida introducción de nuevos productos o marcas.

Con la implementación del sistema CRM, la compañía deberá de ser capaz de anticiparse

a los deseos del cliente. El sistema debe ser un medio de obtener información sin llegar al grado

de acosar al cliente. La velocidad de respuesta debe de ser alta, ya que el usuario no va a esperar

eternamente, además de ofrecer varias opciones para que éste pueda establecer contacto con la

empresa. Un “one stop call” y servicio de 24 horas sería lo ideal para el usuario

Finalmente, el verdadero significado de CRM para la empresa es: incrementar ventas,

incrementar ganancias, incrementar márgenes, incrementar la satisfacción del cliente y reducir

los costos de ventas y de marketing.

 Supply Relationship Management (SRM)

El propósito de la SRM es permitir que la empresa mejore la comunicación con sus

distintos proveedores, comparta con ellos una metodología, términos comerciales e información

y mejore la familiaridad entre ellos con el fin de optimizar el proceso de suministro. A su vez, la
SRM está destinada también a que los proveedores se familiaricen con el negocio central de la

empresa y con sus distintos productos para asegurar un proceso de suministro personalizado.

Tecnologías de vanguardia

Coca Cola Femsa, uno de los mayores usuarios de SAP en Latinoamérica, completó sin

incidentes la migración a la versión 6.0 del SAP ERP y, de manera simultánea, realizó la

4
convergencia tecnológica de su división argentina y México. Para dar certeza a esta compleja

operación, en la que participaron decenas de ingenieros de Coca Cola FEMSA y de SAP, la

firma regiomontana utilizó el servicio SAP Quality Assurance (QA), contratado desde hace ocho

años y factor decisivo para alcanzar los mejores resultados.

 SAP Quality Assurance

QA es un servicio de consultoría de alto nivel que utiliza modelos de trabajo muy precisos,

sesiones de control (QA Sessions) y experiencias similares en empresas globales para revisar y

supervisar los proyectos críticos y las migraciones. De esta manera, da certeza, documenta sus

avances, anticipa y disemina los posibles riesgos.

 SAP Enterprise Resource Planning (ERP)

 Un ERP es un sistema informático que facilita la gestión de una empresa en todos sus

ámbitos (recursos humanos, compras, ventas, etc.

La utilidad básica de un software de estas características es la de ayudar a administrar

empresas de cualquier tipo, automatizando todos sus procesos. También ayuda a controlar lo que

una organización tiene (stock e inventario) o hace (flujos de trabajo).

4
La naturaleza de un sistema de gestión empresarial es modular (dividido en partes

independientes), pues intenta organizar y vertebrar a todos los departamentos de una compañía.

Al igual que una empresa se organiza en departamentos, los ERP se organizan en módulos (que

aproximadamente se corresponden con los departamentos de las compañías).

Hardware

 PC de escritorios marcas diversas. (50 Aproximadamente)

 Impresoras de diversas marcas (20 unidades)

 Routers

 Cableado

 Site: Habitación de informática donde se concentran diversos aparatos manejados para el

TI de la Empresa.

 Hand Held: Computadora de bolsillo / organizador donde se recopilan los pedidos con un

sistema de reconocimiento de escritura.

 Conmutador de Red: Utilizado para comunicar las extensiones de la Empresa y lograr la

conmutación tanto interna (entre departamentos) o con los clientes y gente del exterior.

Creación y Administración de Sistemas de Información

 TI UTILIZADOS SI NO COMENTARIOS
Algoritmos X
Almacenamiento de Datos X Microsoft Azure
Capacitación X Beneficio: Permite a todos los
empleados utilizar de manera adecuada
los sistemas.
Comercio Electrónico X Beneficio: Aumenta las Ventas
Documentos en la Nube X Microsoft Cloud
Beneficio: Compartir información en
grandes cantidades además se promueve

4
la Tecnología Verde (Green IT)
CRM X Beneficio: Genera relaciones con el
cliente de largo plazo.
Digital Móvil X Beneficio: Siempre estas comunicado
con tus empleados y permite compartir
datos.
DSS X Beneficio: La mejor toma de decisiones.
ERM X Beneficio: Cuantifica tiempo y
actividades
Inteleroute X Beneficio: Permite distribuir la
información al sistema comercial y hace
mas eficiente el proceso de venta.
Internet X
Intranet X Beneficio: Mantiene una comunicación
activa entre los empleados.
KWS X
Manuales X
Office 365 X Beneficio: Ayuda a las actividades
diarias de la Empresa.
Misión X Beneficio: El personal al identificar la
misión, enfoca su trabajo a lograrlo.
Impresoras X
MRP X Beneficio: Planifica y controla los
materiales y materia prima.
PC’s de Escritorio X
Plataforma Digital X Beneficio: Da a conocer los
acontecimientos de la Empresa en
Internet
Políticas y Procedimientos X
Redes X
SAP X Beneficio: Software que permite realizar
todo tipo de actividades y hace el
funcionamiento de la Empresa más
efectivo.
 Simulador de Escenarios
Sistema de Control de Procesos
Sistema de Información Ejecutiva
Sistema de Procesamiento de
Transacciones
Sistemas de Seguridad para la
Información
X
X
X Beneficio: Es importante para los altos
mandos para tomar decisiones correctas
y previamente analizadas.
X
X Beneficio: Permite el correcto manejo
de la información además se lleva un
control por empleado y evita fugas y el

4
violar la política de privacidad.
Sitio Web X
Sybase X
Tecnología inalámbrica X Beneficio: Es más económica, estética y
de más alcance.
Visión X

Propuesta realizada por Jorge Eliecer Arredondo.

J&A Cargo Express Inc.

Estructura organizacional.

Descentralizado: En J&A Cargo Express, los diferentes departamentos gozan de cierto

margen de autonomia en la toma de grandes decisiones. Aunque aquellas de connotación critica

si son evaluadas por la gerencia y la administración a la que corresponda.

Lineal: Cada departamento o grupos dentro de cada departamento en J&A Cargo

Express, contemplan una jerarquia donde existe un jefe a cargo de un determinado numero de

colaboradores o recurso humano. A su ves, estos jefes tienen superiores en un orden jerarquico.

Departamentalización: En J&A Cargo Express, esta dada por procesos, ya que existe un

lugar determinado y diferenciado para cada proceso en la cadena productiva.

Organigrama:
 4
Cargos y funciones.

Gerencia: Existe un gerente regional por cada agencia en cada ciudad de los estados EEUU

y su agencia en Bogotá. Su función es la de dirigir y administrar la agencia y el recurso humano

a su disposición. Vela por el correcto funcionamiento de todos los procesos que permitan alcanza

r los objetivos de la entidad. Se sienta a la mesa de los accionistas y propietarios para dar reporte

de resultados de su agencia a cargo y proponer mejoras productivas o de solución de coyunturas.

Secretaria: El papel de la secretaría en es apoyar a la gerencia, garantizando el buen

funcionamiento de las gestiones administrativas. Es responsable de:

 Asegurarse de que las reuniones se organicen y se realicen de manera eficaz.

 Llevar registros administrativos efectivos, actualizados y pertinentes.

 Cumplir con los requisitos legales en los documentos que rigen la ley de Courier o correo

en EEUU y Colombia, la ley de sociedades, etc.

 Un efectivo control en la comunicación y correspondencia.

  Ser un punto clave de información y referencia entre la gerencia y las demás

administraciones, aclarando prácticas y decisiones pasadas; confirmar los requisitos

legales; y recuperar la documentación pertinente.

Administración financiera: Tiene a su cargo la dirección y administración de los

departamentos de Marketing, Contable y de Ventas. Procurando una primera línea de

4
concertación y coordinación de procesos adecuados que eleven la producción, posicionen la

marca, se optimicen los recursos y se eleven las ventas.

Departamento de Marketing: El departamento de Marketing juega un papel vital en la

promoción de la empresa y la misión de J&A Cargo Express. Es la cara de la empresa,

coordinando y produciendo todos los materiales que la representan. El objetivo es llegar a los

prospectos, clientes, inversores y/o la comunidad, al tiempo que se crea y se posición la imagen

corporativa de manera positiva. Esto se resume en:

 Definición y gestión de la marca.

 Realización de gestión de campañas para iniciativas de marketing.

 Producción de materiales promocionales y de marketing.

 Creación de contenido que proporciona optimización de motores de búsqueda para su

sitio web. Este punto es una labor altamente coordinada con el Departamento de sistemas.

 Seguimiento y gestión de redes sociales.

 Produciendo comunicaciones internas.

  Sirviendo como enlace con los medios de comunicación externa.

 Realización de estudios de mercado y de clientes.

 Supervisión de agencias y proveedores externos.

Departamento Contable: Se encarga de brindar a la empresa todos los servicios de

4
contabilidad y administrar las finanzas de J&A Cargo Express. Sus responsabilidades incluyen el

registro de cuentas, el pago de facturas, la facturación a clientes, el seguimiento de activos y

gastos, la gestión de la nómina y el seguimiento de documentos fiscales críticos. Junto con el

departamento de Sistemas, diseña y mejora el software contable de la empresa, y ayuda a

gestionar su seguridad.

Departamento de Ventas: Este departamento se encarga de establecer las cuotas de

representantes de ventas individuales, así como el objetivo de volumen general para la empresa.

Para lograr los objetivos de ventas de J&A Cargo Express, se crean estructuras de bonificaciones

y comisiones. Se utilizan cifras de ventas pasadas y proyecciones de expertos para estimar qué

servicios se venderán, dónde, en qué cantidades y de qué manera.

Administración Operativa: Este departamento diseña, planifica, coordina y dirige los

servicios o procesos operativos, del recurso humano y de logística de la empresa, buscando

alcanzar sus objetivos. Realiza un seguimiento del inventario de la organización, gestiona los

problemas de mantenimiento, ofrece apoyo administrativo y responde por el correcto

funcionamiento de las comunicaciones internas y externas de la empresa.

 Administra las operaciones del departamento de Sistemas.

 Administra las operaciones del departamento de Logística.

 Administra las operaciones del departamento de Recursos Humanos.

Departamento de Logística: Su función es la de organizar el almacenamiento y

distribución de mercancías y correo. Se asegurará de que los productos correctos se

4
entreguen en el lugar correcto a tiempo. Se encarga del transporte, el control de

existencias, el almacenamiento y el seguimiento del flujo de mercancías y correo. Es el

enlace con los proveedores de materias primas, los fabricantes, los minoristas y los

consumidores de nuestros servicios de correo.

 Utiliza los sistemas de TI, soportados por el departamento de Sistemas, para gestionar los

niveles de stock, los tiempos de entrega y los costes de transporte.

 Hace uso del software de la empresa para manejar la información asociada que le permite

coordinar y controlar los ciclos de recepción y de entrega de correo.

 Utiliza datos de los sistemas de TI para evaluar el rendimiento y la calidad y planificar

mejoras.

 Asignar y gestionar los recursos de personal de acuerdo con las necesidades cambiantes.

 Enlazar y negociar con clientes y proveedores.

 Desarrollar negocios obteniendo nuevos contratos, analizando problemas logísticos y

produciendo nuevas soluciones. implementar procedimientos de salud y seguridad.

 Gestiona la formación del personal.

 Planifica rutas de vehículos.

Departamento de Recursos Humanos: Contribuye a lograr los objetivos comerciales de

la empresa, contratando el talento humano acorde con las necesidades de la empresa. Se

4
encarga de atraer y retener al mejor talento. Trabaja en mejorar la calidad de vida de los

empleados. Trabaja de la mano con los demás departamentos ayudando a mejorar la

productividad, supervisando el desempeño de los equipos de trabajo. Se asegura de que se

dé cumplimiento a las normativas de J&A Cargo Express.

Departamento de Sistemas: El departamento de sistemas es responsable de los servicios

de tecnología de la información de J&A Cargo Express. Se encarga de diseñar,

desarrollar, implementar, dar mantenimiento y operar el hardware, el software, el

almacenamiento de datos y las redes que componen la infraestructura de TI de J&A

Cargo Express. Apoya, diseña y sugiere nuevas estrategias comerciales y nuevos

productos y servicios basados en la información, y coordina tanto el desarrollo de la

tecnología como los cambios planificados por J&A Cargo Express.

Está estructurado para apoyar los demás departamentos y los procesos de J&A Cargo

Express, de la siguiente manera:

- Unidad de Programadores: Profesionales que diseñan, desarrollan, implementan y

operan el software a la medida de los requerimientos de J&A Cargo Express.

 - Analistas de sistemas: Son los principales enlaces entre el departamento de Sistemas

y el resto de la organización. Levantan datos de los requerimientos de toda la

empresa, y participan del diseño y desarrollo de soluciones informáticas para mejorar

los procesos.

- Técnicos de mantenimiento: Profesionales que diseñan, implementan, cuidan de la

4
seguridad y dan mantenimiento preventivo y correctivo a toda la red de TI de la

empresa. Asisten al personal en todos los departamentos y resuelven sus conflictos

tecnológicos.

- Gerente de sistemas: Es el líder de los equipos de programadores, analistas y

técnicos. Diseña, dirige y gestiona los proyectos.

Activos y sistemas informáticos:

Hardware (Distribuido en 5 agencias):

- 5 Servidores.

- 5 Racks.

- 5 Routers.

- 5 Switchs.

- 5 Módems.

- 25 PCs.
- 25 Portátiles.

- 10 impresoras.

- 50 Discos duros.

- 30 Radios de telecomunicación.

4
- 60 celulares.

- 60 sensores de GPS.

- Metros (indefinidos) de cables para red y conexión a terminales.

Software

- Software desarrollado a la medida de los requerimientos de la compañía.

- Licencia corporativa S.O. Windows 10.

- Licencia corporativa S.O. Windows Server.

- Licencia Corporativa Microsoft Office 365.

- Licencia corporativa Antivirus McAfee.

- Licencia corporativa Visual Studio.

- Licencia corporativa Adobe Photoshop.

- Licencia corporativa Adobe Illustrator.

- Licencia corporativa Adobe InDesign.

- Licencia corporativa Adobe After Effects.

- Licencia corporativa Corel Draw.

4
- Licencia corporativa Microsoft Teams.

- Licencia corporativa de software para protección de red ManageEngine EventLog

Analyzer.

- Sitio web.

- Hosting.

- Dominio.

- 4 Herramientas Telemáticas (Redes sociales).

Recurso Humano:

- 1 gerente de sistemas.

- 2 desarrolladores de software.

- 1 diseñador.

- 2 Desarrolladores BackEnd.
 - 2 Desarrolladores FrontEnd.

- 2 analistas.

- 5 técnicos.

- 40 operarios (stakeholders) del software.

4
Propuesta realizada por William David Gómez.
1.Propuesta

La empresa a la que sugiero que se le puede llevar a cabo la auditoria es Laboratorios

Esko, la cual es una PYME dedicada a la elaboración de cosméticos tanto línea propia como

fabricación a terceros.

2. Estructura Organizacional
 4
Junta de socios Máxima autoridad para toma de decisiones a nivel legal y de funciones

que pueda ejercer la gerencia general que tengan demasiada trascendencia o afecten a la

organización.

La gerencia general toma las decisiones, con capacidades de liderazgo y dirección

además tiene a las gerencias de la compañía y algunos colaboradores adicionales.

Asesor de sistemas es el encardado de probar soluciones tecnológicas y realización de

backups de seguridad

Tecnólogo de sistemas encargado de realizar el soporte a los usuarios internos de la

compañía.

Mensajera: encargada de correspondencia y llevar pedidos puerta a puerta

 Dirección de talento humano: Encargada de la contratación de nuevos talentos para la

compañía

Gerencia de producción: encargado de recibir órdenes de compras y elaborar ordenes de

producción para la realización de producto

Gerencia de Logística: encargado de tener el material para la elaboración de productos

4
cosméticos

Dirección de ventas: Encargada de gestionar ventas de la línea propia.

Directora técnica: encargada de desarrollar nuevos cosméticos de impacto

3. Servicios del área informática

Soporte a sistema contable

Soporte a sistema de producción

Proporcionar soluciones tecnológicas

Instalar o desinstalar programas según requerimientos

4. Activos informáticos

 Rac

 Computadores

5. Sistemas informáticos

World Office

Siles

Propuesta realizada por Edwin Antonio Rodríguez.

Ecopetrol

Estructura organizacional con sus cargos y funciones:

 4
Presidente:

- Orientar y liderar la definición e implementación de la estrategia de negocio y de su

operación general, con el propósito de alcanzar las metas establecidas de crecimiento

operacional, reservas, ingresos y rentabilidad; cumpliendo con las disposiciones del marco ético,

gobierno corporativo, responsabilidad empresarial y las normas legales vigentes; así como los

lineamientos establecidos por la Junta Directiva.

- Liderar y orientar la definición de la estrategia a mediano y largo plazo, así como los

planes de negocio, con el fin de asegurar la disponibilidad de recursos técnicos y financieros para

la ejecución y el logro de las metas corporativas.

 - Controlar la gestión y el alineamiento estratégico de todas las vicepresidencias y

gerencias a cargo, garantizando el cumplimiento de las metas establecidas, en el marco de las

disposiciones legales, políticas internas y externas y las definiciones de casa matriz

Vicepresidente de producción:

- Identificar nuevas oportunidades de desarrollo mediante el monitoreo continuo del

4
entorno y análisis de viabilidad técnica y económica para sus equipos para contribuir con el

desarrollo del negocio e incrementar la rentabilidad de la compañía.

- Brindar lineamientos a gerentes para que los hallazgos encontrados y procesos

realizados se encuentren documentados con el fin de contribuir con la consolidación de la

memoria corporativa.

- Promover el desarrollo de las competencias de los miembros de su vicepresidencia

alineadas a las estrategias del negocio mediante la identificación de fortalezas y debilidades con

el fin de garantizar el personal idóneo

Vicepresidente de exploración:

-Desarrollar y proponer la estrategia de renovación, a partir de la actividad de exploración

y desarrollo de nuevos negocios, que garantice la sostenibilidad y crecimiento de la empresa en

el largo plazo, alineada con la estrategia de renovación del Grupo Empresarial Ecopetrol.

- Identificar y proponer al ST (Equipo Estratégico), el portafolio de oportunidades de

crecimiento y nuevos negocios que materializan la estrategia de renovación.

- Crear y mantener la capacidad organizacional (sistemas, procesos, personas, etc.),

requeridas para la ejecución de la estrategia de crecimiento y renovación.

 Vicepresidente Administrativo y financiero:

- Optimizar los recursos financieros de la empresa para viabilizar la ejecución de la

estrategia de negocio, al mismo tiempo que mitiga los riesgos financieros y operacionales y

asegura el estricto cumplimiento de las normas legales, contables y del grupo empresarial en

materia de control financiero y reportes contable.

4
- Optimizar el soporte a las operaciones por parte de los equipos de servicios

administrativos para fortalecer la competitividad de la empresa.

- Direccionar estratégicamente a la empresa en su rol de directivo senior.

Director de servicios técnicos:

- Proponer costos, tiempo y calidad funcional a las unidades de negocio, para asegurar el

cumplimiento de los proyectos.

- Proponer los estándares operativos alineados con el perfil de riesgo de los proyectos y

las necesidades del negocio, asegurando la integridad de las operaciones.

- Proponer el marco de relacionamiento de la compañía para aprobación del ST,

asegurando que las actividades a su cargo se realizan cumpliendo los acuerdos establecidos entre

contratistas y públicos de interés, para asegurar la continuidad operacional.

Gerente unidad de negocio:

 - Desarrollar, Proponer y Administrar el plan de negocio, cumpliendo con el aporte de la

unidad al plan corporativo a 5 años, con una propuesta de negocio económicamente atractiva

para el accionista.

- Diseñar y proponer el plan de negocio y propuesta de valor de la Unidad, para

maximizar su aporte a la rentabilidad y crecimiento de la compañía, asegurando que se cumplen

4
los lineamientos corporativos.

- Coordinar la ejecución del plan de negocios, para asegurar el cumplimiento de la

promesa de valor y una adecuada gestión de riesgos.

Gerente legal:

- Viabilizar las necesidades del negocio desde la perspectiva legal, logrando la seguridad

jurídica de Hocol y sus funcionarios, protegiendo los intereses de la empresa, mitigando los

riesgos jurídicos y asegurando el cumplimiento de sus obligaciones legales y contractuales.

- Gestionar los aspectos legales propios de la gestión corporativa, gobierno corporativo y

del ejercicio societario (objeto, domicilio y naturaleza jurídica, accionistas, naturaleza de sus

recursos, impactos tributarios y fiscales, etc.).

- Asegurar el cumplimiento de las obligaciones que surgen de la naturaleza privada de la

empresa, e identificar y asegurar el cumplimiento de las obligaciones que surgen de la naturaleza

estatal de su casa matriz.

Gerente de cumplimiento:

- Manejar la relación con los entes de control en el momento en que sea requerido.
 - Demás funciones y actividades que le sean asignadas por la Vicepresidencia

Corporativa de Cumplimiento

- Reportar al Comité de Auditoría de la Junta Directiva, así como a la Junta Directiva los

asuntos relevantes en materia de Ética y Cumplimiento.

Jefatura de auditoria:

4
Diseñar, presentar el Plan General de Auditoria –PGA- a la gerencia y hacerlo aprobar

del Comité de Auditoria de la Junta Directiva –CAJD-, para revisar actividades que podrían

poner en riesgo los objetivos organizacionales.

- Comunicar al CAJD los planes y requerimientos de recursos de auditoría interna,

incluyendo cambios significativos para asegurar la ejecución y evitando posibles limitaciones en

el alcance.

- Contribuir con el desarrollo del sistema de control interno mediante el monitoreo

constante de sus procesos organizacionales para el logro de los objetivos estratégicos y el

fortalecimiento del autocontrol.

- Realizar las pruebas de auditoria aprobadas por el CAJD y que reposan en el PGA para

minimizar la materialización de riesgos que puedan afectar el cumplimiento de los objetivos

estratégicos.

Los servicios del área informática, los activos informáticos y los sistemas

informáticos de la empresa.

Los límites de las tecnologías de la información (IT) y de la operación (OT)

 Las Tecnologías de IT.

Se caracteriza principalmente por el tratamiento de volúmenes de datos a través de

infraestructura de telecomunicaciones.

Las tecnologías de OT.

Está dedicada básicamente al monitoreo, control y seguridad de los procesos industriales.

4
En la Figura 2 y en la Tabla 1, se muestra el enfoque de las tecnologías de IT y OT, según

la prioridad para proteger la información que manejan.

 4
Las tecnologías de la información y las tecnologías de la operación, pueden convivir en el

ámbito industrial. Las arquitecturas de red y de control, presentan similitudes; sin embargo, sus

funciones y entornos son muy distintos.

 Confidencialidad. Información disponible exclusivamente a personas autorizadas.

 Integridad. Mantenimiento de la exactitud y validez de la información, protegiéndola de

manipulaciones o alteraciones.

 Disponibilidad. Acceso y utilización, al momento de ser solicitada por una persona

autorizada.
 4
 El primer nivel o "nivel de campo" incluye los dispositivos tales como: actuadores,

válvulas, sensores, transmisores, etc.; es decir, toda la instrumentación necesaria para la

toma de datos a través de variables físicas presentes en los procesos.

 El segundo nivel o "nivel de control" incluye los dispositivos relacionados con los

sistemas para el monitoreo, control y protección de los procesos.

 El tercer nivel es el "nivel de adquisición”, allí se encuentran los sistemas para la

optimización de los procesos.

 En un nivel superior, se encuentra el “nivel de planificación", allí están los sistemas de

ejecución de la producción (MES).

 La parte superior de la pirámide ("nivel de gestión") la componen los sistemas de gestión

integral de la empresa (ERP).

Hardware (Tangibles)

Las cantidades son aproximadas a nivel Colombia y las marcas diversas.

 10 servidores

 30 racks.

 200 routers.

4
 150 switchs.

 200 módems.

 800 computadores de escritorio.

 600 portátiles.

 70 impresoras.

 300 radios de telecomunicación.

 2000 celulares.

Software (Intangibles)

 Software desarrollado.

 Licencia corporativa S.O. Windows 10.

 Licencia corporativa S.O. Windows Server.

 Licencia Corporativa Microsoft Office 365.

 Licencia corporativa Antivirus McAfee.

 Sitio web.

 Hosting.

 Dominio.
 La implementación de la gestión de activos en OT – caso Gerencia Refinería de

Barrancabermeja (GRB)

El modelo de gestión de activos de ECOPETROL S.A. incorpora los lineamientos de la

PAS55 y ajustándolo posteriormente a la ISO 55000, la experiencia de varios años de operación

y la incorporación de mejores prácticas de compañías multinacionales, con las cuales se ha

4
establecido acuerdos y alianzas estratégicas en diversos programas de mejoramiento continuo, ha

sido nutrido y adaptado a las necesidades específicas del negocio. En la Figura 4, se muestra el

mapa de proceso simplificado del modelo de gestión de activos implementado en la GRB.

Descripción de empresa elegida.

J&A Cargo Express Inc.

- Empresa de Courier (correo) internacional, con sede en la ciudad de Miami y sus

agencias en New Jersey, Los Ángeles, Houston y Bogotá.

 Programa de auditoria.

 Empresa u organización: J&A Cargo Express Inc.

 Extensión: Se auditará el departamento de Sistemas, específicamente los servicios

informáticos:

o Sitio Web.

4
o Dominio.

o Hosting.

o Servicios telemáticos (4 redes sociales).

 Oportunidad: La auditoría se llevará a cabo del 18 de mayo de 2021 al 18 de agosto

del 2021.

 Auditor líder: Jorge Eliecer Arredondo.

 Responsabilidades delegadas:

Proceso a Dominio del Proceso para Tiempo estimado por el

Auditor Observaciones
auditar COBIT 5 la gestión. auditor.
Jorge Eliecer Sitio Web Entregar, Dar DSS03 12 horas, distribuidas en 1 Se hará monitoreo al

Arredondo Servicio y Gestionar los hora semanal durante los funcionamiento del

Soporte Problemas 3 meses que dura la sitio web durante una

auditoria. hora cada fin de

semana.
Diana Dominio Alinear, APO06 24 horas, distribuidas en Se realizará monitoreo

Carolina Planificar y Gestionar el los 3 meses que dura la del funcionamiento.

Ibáñez Organizar. Presupuesto auditoria.

y los Costes.
Edwin Hosting Entregar, Dar DSS05 16 horas, repartidas en 2 Se realizará el

Antonio Servicio y Gestionar los horas semanales durante seguimiento del

Rodríguez Soporte. Servicios de los 2 meses que dura la alojamiento del sitio

Seguridad auditoria. web durante dos horas

los días viernes de

4
cada semana.
William Servicios Supervisar, MEA01

David telemáticos Evaluar y Supervisar,

Gómez (4 redes Valorar Evaluar y

sociales). Valorar

Rendimiento

Conformidad.
 Plan de auditoria.

Objetivo general de la auditoria.

Auditar los procesos de gestión operativa, de servicios y de seguridad en el departamento

de sistemas, específicamente a los servicios y activos informáticos: Sitio Web, Dominio, Hosting

y Servicios telemáticos (4 redes sociales).

4
Objetivos específicos dentro de la auditoria.

a. Para la auditoria al activo “Sitio Web”:

 Evaluar el contenido, analizando las capacidades dinámicas en la transmisión de la

información, evidenciando la importancia y calidad del mismo en virtud de transmitir a

los visitantes los objetivos de la compañía.

 Evaluar la accesibilidad, teniendo en cuenta que el tiempo de descarga sea razonable y el

diseño contraste con la usabilidad.

 Evaluar las estrategias de marketing usadas para el posicionamiento de la marca y la

información pertinente de la empresa.

 Evaluar la estructura de navegación evidenciando fallas o conflictos que deterioren la

experiencia del usuario durante su visita al sitio web.

 Evaluar las estrategias de seguridad para protección del código, contra inclusiones

remotas, protección contra los RFI, inyección cruzada de código, falsificación de

peticiones, cifrado de contraseñas e información crítica, actualización de plugins y

algoritmos y protección de la base de datos.

 b. Para la auditoria al activo “Hosting”:

 La revisión de la gestión del hosting

 El análisis de la eficiencia del hosting

 Las protecciones o posibles falencias.

4
c. Para la auditoria al activo “Dominio”:

d. Para la auditoria al activo “Redes sociales”:

Alcances de la auditoria.

Esta auditoria está limitada a evaluar la calidad, el funcionamiento y la seguridad de los

servicios prestados por los activos informáticos administrados por el departamento de sistemas,

en específico el sitio web, el dominio o nombre que dirige a los usuarios al portal web, el hosting

donde se encuentra hospedado el código y la base de datos y 4 redes sociales en 4 diferentes

plataformas de servicios telemáticos (Facebook, Twitter, Canal de YouTube e Instagram).

Dentro de estos estaremos limitando nuestra auditoria a los aspectos de diseño, información,

funcionalidad, seguridad y objetivos alcanzados.

Con la auditoria al Sitio Web, se evaluarán el contenido, la usabilidad, la rapidez, el

dinamismo, la eficacia al alcanzar los objetivos de la empresa y la seguridad de todo el sitio e

aspectos como el código, la información y las bases de datos.

Con respecto a la auditoria al Hosting, este informe pretende mostrar la actividad,

seguridad, eficiencia y prestación de servicios del servidor adquiriendo para el alojamiento del

código y las bases de datos que estructuran el BackEnd y FrontEnd del sitio web, evidenciando

falencias y posibles ajustes de mejora.

 Metodología.

1. Análisis.

En esta etapa los diferentes auditores estarán realizando un levantamiento de datos,

haciendo una revisión del sitio y las oficinas donde se llevan a cabo los procesos de

administración, implementación y control de los activos que se auditaran.

4
La información recaudada se registrará en el formato electrónico AUD-2021-Recaudo, en

procesador de texto (Word) y almacenado en dispositivo de almacenamiento externo

(usb) con backup a la nube registrada a nombre del grupo auditor.

2. Planeación.

- En esta etapa cada auditor se pondrá en contacto con el representante legal del área en

que opera el activo a auditar, realizando una entrevista donde recaudará información

acerca de los procesos, horarios, personal involucrado, activos y servicios cardinales

al activo auditado, permisos, licencias y demás requerimientos necesarios para poder

desarrollar la auditoria con efectividad y eficiencia. Toda la información quedara

registrada en el formato de requerimientos para ejecución de auditoria, AUD-2021-

Requerimientos.

- Cada auditor establece los pasos a seguir, los horarios de ejecución de cada paso, los

participantes del proceso de la auditoria, las técnicas de recolección de información

(grabaciones, encuestas, cuestionarios, reportes, etc.). Esta información quedará

registrada en el formato de desarrollo de auditoria AUD-2021-Ejecución.

3. Ejecución.

En esta etapa cada auditor ejecuta su plan de auditoria, diligenciando las técnicas de

recolección de información que específico en su plan, cumpliendo los tiempos y horarios

 establecidos en el plan y desarrollando estructuradamente los pasosos definidos en su

plan de auditoria.

4. Evaluación.

En esta etapa el grupo auditor se reúne para evaluar y analizar la información que arrojó

como resultado cada auditoria, realiza análisis estadístico inferencial y prepara el informe

4
final.

5. Presentación.

En esta etapa el grupo auditor presenta a la mesa directiva los resultados de la auditoria,

los análisis de resultados y las propuestas de mejora.

Tiempo estimado de realización.

El proceso de auditoria tomara un tiempo de 3 meses, que se ejecutaran del 18 de mayo del 2021

al 18 de agosto del 2021.

Cronograma de actividades:

Mayo - Junio Junio-Julio Julio-Agosto

Semana 1 Semana 2 Semana 3 Semana 4 Semana 5 Semana 6 Semana 7 Semana 8 Semana 9 Semana Semana Semana
10 11 12
Auditoría 1 hora 1 hora 1 hora 1 hora 1 hora 1 hora 1 hora 1 hora 1 hora 1 hora 1 hora 1 hora
proceso Sábado Sábado Sábado Sábado Sábado Sábado Sábado Sábado Sábado Sábado Sábado Sábado
COBIT 5:
DSS03
Sitio Web
Auditoría 1 hora 1 hora 1 hora 1 hora 1 hora 1 hora 1 hora 1 hora 1 hora 1 hora 1 hora 1 hora
proceso lunes lunes lunes lunes lunes lunes lunes lunes lunes lunes lunes lunes
COBIT 5: 1 hora 1 hora 1 hora 1 hora 1 hora 1 hora 1 hora 1 hora 1 hora 1 hora 1 hora 1 hora
APO06 viernes viernes viernes viernes viernes viernes viernes viernes viernes viernes viernes viernes
Dominio
Auditoría 2 horas 2 horas 2 horas 2 horas 2 horas 2 horas 2 horas 2 horas 2 horas 2 horas 2 horas 2 horas
proceso Viernes Viernes Viernes Viernes Viernes Viernes Viernes Viernes Viernes Viernes Viernes Viernes
COBIT 5:
DSS05
Hosting
Auditoría
proceso
COBIT 5:
MEA01
Redes
Sociales
 Conformación equipo auditor.

- Auditor Líder: Ing. Jorge Eliecer Arredondo.

- Auditor de proceso: Ing. Diana Carolina Ibáñez.

- Auditor de proceso: Ing. Edwin Antonio Rodríguez.

- Auditor de Proceso: Ing. William Davis Gómez.

4
Recursos logístico y técnicos.

Estándar.

 COBIT 5.
Procesos.

Conclusiones.
 Referencias bibliográficas.

 Grupo PowerData. (n.d.). Seguridad de datos: En qué consiste y qué es importante

en tu empresa. Retrieved May 20, 2021, from Powerdata.es website:
https://www.powerdata.es/seguridad-de-datos