Documentos de Académico
Documentos de Profesional
Documentos de Cultura
3
Introducción y Fundamentos:
● Ahora que hemos comentado los 4 riesgos presentes en los departamentos se preguntaran
como se manifiestan realmente estos riesgos en una actividad específica de su empresa. En
este ejercicio tendrán la oportunidad de identificar los riesgos asociados en un departamento
de sistemas.
Tarea.
● Identifique los riesgos de departamento, acorde con la información contenida en el mini
caso.
● A la luz del marco referencia COBIT, identifique la oportunidad de mejora que se podría
implementar y el proceso al cual estaría asociado.
A mediados del año 2020 se iniciaron una serie de mejoras a los sistemas de existencias y
administración del costo de producción, se prevé su finalización a mediados del presente año.
Este proceso lo lidera el área de tecnología y solo participa su personal, para la selección de la
funcionalidad se tuvo en cuenta solamente las mejores prácticas del mercado y no las
necesidades del usuario. A medida que la funcionalidad queda lista, la tecnología realiza las
respectivas pruebas y se va liberando en ambiente productivo después de haber capacitado al
usuario.
Se está evaluando la posibilidad de adquirir un paquete de nómina para el equipo IBM AS/400
ya que actualmente corre en un microcomputador. Se adquiere aproximadamente a fin de año y
se piensa adquirir el software provisto por uno de los socios.
La compañía cuenta con un solo centro donde se procesa información denominado oficinas
centrales. Se cuenta con un equipo IBM OS/400 que tiene terminales locales y remotas en los
diferentes departamentos de la compañía.
La configuración del equipo es la siguiente:
Modelo: 9404-B20
Memoria: 1 Gbyte
Capacidad de Disco: 3 Tbytes.
Unidad de cartucho:¼ pulgada
Unidad de DVD: 32X
Estaciones de Trabajo: 12
Impresoras: 2
Sistema Operacional OS/400 Release V7R3
Micros con tarjeta de Emulación 16
El software utilizado es el siguiente:
PC-Support
Query
RPG 400
Operating System OS/400
SEU (Source Entry Utility)
DFU (Data File Utility)
El uso de los utilitarios SEU y DFU no está restringido.
Rack para backups interno con capacidad para 10 Tbytes
Los microcomputadores son IBM Thinkcentre con las siguientes características, 512 de RAM,
40GB de disco duro, Sistema Operacional W2K SP1, cuentan con el siguiente software: Office
365. Este software no fue adquirido legalmente.
El único sistema que solicita contraseñas es el servidor AS/400, en él los jefes de área deben
solicitar mediante un formato la contraseñas o palabras clave de acceso para nuevos
empleados o empleados trasladados. Los retiros son informados al departamento de sistemas
mediante memorando. El usuario solicita el cambio de palabra clave cuando lo considera
necesario.
El sistema IBM AS/400 tiene implementado el nivel de seguridad 20. Por tal motivo no está
implementado el sistema de cambio automático de palabras clave.
Se cuenta con contratos de mantenimiento así: Para el equipo principal y sus periféricos el
mantenimiento es realizado por IBM. Para los microcomputadores es realizado por Basic 3000.
El mantenimiento es preventivo y correctivo.
La compañía cuenta con dos auditores internos. Estos no realizan evaluaciones en el ambiente
de procesamiento electrónico de datos.
La aplicación de ventas tiene el objetivo de capturar, validar y liquidar pedidos, generar órdenes
de despacho, afectar inventarios, cartera y contabilidad. Esta aplicación fue desarrollada por el
departamento de sistema en RPG III. La aplicación no ha tenido cambios desde el año 2018. El
volumen aproximado de transacciones es de 100,000 y 120,000. La aplicación cuenta con
manuales de usuario únicamente.
Riesgos de departamento
● Riesgo 6: Cambios a los programas: Todas las interfases con la aplicación de nómina
son manuales, estas se dejan en una carpeta libre (compartida con todo el mundo)
Riesgos asociados
Pueden surgir errores inadvertidos a partir de cambios no autorizados y/o no aprobados
a los programas de las aplicaciones.
Oportunidad de mejora
● La exposición a pérdidas es reconocida y aceptada. No se toma acción alguna para
atender un riesgo específico y las pérdidas serán aceptadas cuando ocurran. La decisión
de aceptar un riesgo corresponde a los altos niveles de la organización y debe quedar
documentada y ser comunicada (ISACA, 2013).
● Reducir la probabilidad o el impacto de un riesgo transfiriendo o compartiendo una parte
del riesgo con otra entidad. Algunas técnicas comunes son la adquisición de pólizas de
seguro o bien, tercerizar las operaciones o proyectos que implican riesgos relevantes
(ISACA, 2013).
● Una vez identificados los riesgos ante los que la organización debe responder, se debe
seleccionar y priorizar las estrategias para responder al riesgo (ISACA, 2013).