Documentos de Académico
Documentos de Profesional
Documentos de Cultura
INTEGRANTES
Francisco Javier Rendón Arroyave
Juan Crisóstomo Jaramillo Pulgarín
Gustavo Adolfo Benavides Atencio
María Isabel Ramírez Ramírez
María Alejandra Sánchez
Presentado a:
Ing. Angela Dayan Garay Villada
PROBABILIDAD IMPACTO
Raro (1)
Improbable (2)
Posible (3)
HALLAZGOS DE LA AUDITORÍA B1
MATERIAL DE COBIT 5
SOPORTE
CAUSAS
● Desde la dirección de la empresa no se cuenta con una visión de riesgos, por lo cual
no se ha definido un plan estratégico ni modelo de gobierno para los mismos, que
permita evaluar e identificar todos los riesgos a los cuales se encuentra sometido el
negocio y en especial los sistemas de TI.
CONSECUENCIAS
RECOMENDACIONES
3. CUADRO DE CONTROLES
OBJETIVO DE LA AUDITORÍA
DICTAMEN
RECOMENDACIONES
INFORME GENERAL
Señores
Emerge BPO
REF: GESTIONAR EL RIESGO
Estimados señores;
Una vez culminado el proceso de auditoría en el cual se realizó una revisión y análisis
de cada uno de los procesos a nivel de gobierno de la gestión del riesgo en el área de
TI de la compañía, correspondientes al análisis de cumplimiento, métricas e
indicadores que permitan llegar a los objetivos de la organización, se concluye que la
compañía se encuentra en un estado de madurez tipo 1 Inicial, según los estándares
implementados en la metodología de auditoría de sistemas; en esta oportunidad COBIT
5.
Por tal motivo es imperante corregir los hallazgos encontrados, como la falta de
gobierno de gestión de riesgos, planes estratégicos para la identificación, gestión,
prevención y mitigación de los riesgos de los sistemas de TI de la compañía. Con el
establecimiento de dicho gobierno, roles, actividades y la creación de un plan
estratégico avalado por todos los miembros, se podrá llevar a cabo una gestión de
riesgos que le permita actuar a la compañía de manera mucho más alerta, previendo
cualquier amenaza latente que se pueda presentar y corrigiendo las que se encuentran
actualmente por medio de auditorías constantes, que permitan la consecución de los
objetivos y métricas trazadas por la compañía.
Esperamos que las recomendaciones sean contempladas y aplicadas con el fin de dar
solución y les permita alcanzar un nivel de madurez mayor en su compañía Emerge
BPO.
Atentamente,
Equipo auditor
Auditor: Gustavo Adolfo Benavides Atencio
Dominio: Construir, Adquirir e Implementar (BAI)
Proceso: BAI09. Administrar los activos
Probabilidad Impacto
Raro (1)
Posible (3) B1 B5
Probable (4) B4
Casi Seguro
(5)
2. HALLAZGOS
HALLAZGOS DE LA AUDITORÍA B1
MATERIAL DE COBIT 5
SOPORTE
· No cuentan con un proceso que permita la revisión rutinaria de la línea base y así
les permita identificar y optimizar los costos alineados con las necesidades de la
empresa.
· No cuentan con un proceso que les permita realizar una comparación de costos a
la hora de adquirir nuevos activos.
CAUSAS
CONSECUENCIAS
· Muchas veces los costos se duplican al no tener un proceso que les permita
comparar los precios y estudiar el mercado, lo cual genera más gastos a la hora
de adquirir nuevos activos.
RECOMENDACIONES
3. CUADRO DE CONTROLES
4. DICTAMEN DE LA AUDITORÍA
OBJETIVO DE LA AUDITORÍA
Realizar un análisis de la eficiencia de los Sistemas Informáticos de la empresa
Emerge BPO, verificar el cumplimiento de la Normativa en este ámbito, revisar de la
eficaz gestión de los recursos informáticos en departamento TI y la administración de
diferentes activos de la empresa.
DICTAMEN
Se califica un nivel de madurez 4 ADMINISTRADA; La empresa cuenta con un buen
manejo de los recursos y activos de la compañía, cuentan con la mayoría de sus
procesos automatizados lo cual les permite mantener la información actualizada e
invertir muy poco tiempo en procesos manuales, tienen unos procesos definidos para el
manejo de la información de los activos y sus respectivos procesos. Se identificaron
algunas mejoras en unos procesos primordiales de la empresa que les permitirá tener
un control total de los activos siempre y cuando se apliquen las recomendaciones
mencionadas, lo cual podría incurrir en gastos incensarios y mantener la información de
la línea base actualizadas para que puedan tomar mejores decisiones y soportadas por
la información real.
2. HALLAZGOS
Emerge BPO
HALLAZGOS DE LA AUDITORÍA
Departamento de TI -Soporte
PROCESO
AUDITADO
RESPONSABLE Juan Crisóstomo Jaramillo Pulgarín
MATERIAL DE
COBIT 5
SOPORTE
CAUSAS
CONSECUENCIAS
RECOMENDACIONES
● Documentar todos los procesos de las TI, hacer auditorías cada cierto tiempo, realizar
listados de los funcionarios con accesos a los sistemas informáticos que permisos
necesita y que privilegios tienen y en base a esto hace las correcciones respectivas.
● Hacer seguimiento detallado a todos los incidentes y su estado, hacer los correctivos
necesarios, adquirir documentación técnica y capacitar al personal de las TI.
3. CUADRO DE CONTROLES
RIESGOS O TIPO DE CONTROL
SOLUCIONES O
HALLAZGOS
PREVENTIVO CORRECTIVO DETECTIVO CONTROLES
ENCONTRADOS
C1: Realizar
auditoría a los
No se controla el
recursos de red,
acceso a la
file server,
información, los
X auditar que
permisos efectivos
funcionario
sobre los recursos
puede acceder a
de la red.
que información
y solucionarlo.
C1: Organizar y
documentar los
cronogramas de
mantenimiento,
llevar acabo un
cumplimiento
Incumplimiento de estricto de estos,
los cronogramas X verificación por
de mantenimiento parte de los
directivos de las
TI que estos se
realicen de
manera correcta.
P1: Capacitar al
personal técnico,
crear una base
de conocimiento.
Carencia de los
conocimientos C1: Hacer
suficientes por seguimientos y
parte de los revisiones
funcionarios de las constantes de
X X
TI, baja los incidentes y
capacitación en y el estado de
experticia técnica estos, encuestar
para resolver los a los
incidentes. funcionarios y
medir la calidad
del servicio.
4. DICTAMEN DE LA AUDITORÍA
Objetivos de la auditoría.
Recomendaciones
Doctor(a)
Estimados señores; después de haber revisado y auditado cada uno de sus procesos
en el área de sistemas TI, se concluye que su empresa se encuentra en un estado
aceptable de madurez tipo 2 (Repetible) según los estándares usados en la
metodología de auditoría de sistemas para nuestro caso el COBIT.
Los niveles de servicio no son los mejores, ya que se deja durante mucho tiempo casos
abiertos sin resolver afectando esto la productividad de los funcionarios y a su vez el
descontento o inconformidad que el área de soporte, conduciendo esto a la larga a un
desprestigio de esta área y unos bajos niveles de servicio.
Esperamos que las recomendaciones sean tomadas en cuenta y esto de solución y los
lleve a un nivel de eficiencia y productividad en su compañía Emerge BPO.
Auditor: María Isabel Ramírez Ramírez
Dominio: Supervisar, Evaluar y Valorar (MEA)
Proceso: MEA01. Supervisar, Evaluar y Valorar Rendimiento y Conformidad
IMPACTO
PROBABILIDAD
Insignifican Menor Moderad Mayor Catastrófic
te (1) (2) o (3) (4) o (5)
Raro (1) R7 R5 R1
Improbable (2) R6 R3
Posible (3) R4 R2
Probable (4)
2. HALLAZGOS
HALLAZGOS DE LA AUDITORÍA H1
MATERIAL DE
COBIT 5
SOPORTE
CAUSAS
CONSECUENCIAS
RECOMENDACIONES
● El director de TI, debe promover y hacer una capacitación acertada con los líderes de
proceso; donde se defina por medio de un comité evaluativo, los parámetros que se
tendrán en cuenta para la medición de indicadores de cumplimiento. Con el fin de
llevar a la organización a un proceso sólido sobre el análisis de cumplimientos y no
cumplimiento de los requerimientos del área evaluada.
3. CUADRO DE CONTROLES
C1. Recopilación de la
Desactualización de las información que aún no se
encuentran parametrizados
métricas para la en los indicadores.
elaboración de x C2. Creación de formato para
indicadores la identificación de procesos
vigentes y aquellos que ya se
encuentran en ambiente del
cliente.
P1. Planeación y
organización de cronograma
No se evidencia un para evaluar los indicadores
análisis constante de los presentados en comité.
indicadores x x C1. Revisión y constancia en
acta de comité evaluativo
donde se establecen
objetivos para la corrección
de indicadores.
DICTAMEN DE LA AUDITORÍA
PROCESO COBIT: MEA01. Supervisar, Evaluar y Valorar Rendimiento y Conformidad
OBJETIVO DE LA AUDITORÍA
DICTAMEN
Se califica un nivel de madurez 4 ADMINISTRADA; La empresa cuenta con unos
estándares para la supervisión, evaluación y análisis de cada uno de los objetivos de
procesos mediante el uso de indicadores de cumplimiento. Se identifican algunas
acciones de mejora para el proceso, en el cual la organización está comprometida con
la aplicación de medidas correctivas las cuales permitan a cada core del área llevar un
control efectivo de las métricas ya que se identifica baja coordinación por parte de la
dirección de TI entre líderes del área para el análisis de los no cumplimientos en el
proceso de requerimientos, desactualización en los formatos de indicadores y en los
proceso de automatización para la recolección de datos.
RECOMENDACIONES
● Planeación y organización de cronograma para la evaluación de hallazgos
presentados al momento de desarrollo de cada requerimiento con el fin de
identificar los no cumplimientos de forma oportuna.
● Recopilación de la información que aún no se encuentra parametrizados en los
indicadores.
● Creación de formato para la identificación de procesos vigentes y aquellos que
ya se encuentran en ambiente del cliente.
● Revisión y constancia en acta de comité evaluativo donde se establecen
objetivos para la corrección de indicadores.
2. HALLAZGOS
HALLAZGOS DE LA AUDITORIA H1
MATERIAL DE
COBIT
SOPORTE
CAUSAS
CONSECUENCIAS
RECOMENDACIONES
3. CUADRO DE CONTROLES
RIESGOS O TIPO DE CONTROL
SOLUCIONES O
HALLAZGOS
PREVENTIVO CORRECTIVO DETECTIVO CONTROLES
ENCONTRADOS
P1: Elaboración de
formatos que
ayuden a la
gestión de la
empresa y al
Falta de controles control del proceso
X X
administrativos
D1: Hacer
seguimiento al
proceso y realizar
capacitaciones al
personal.
P1: Creación de
una base de datos
para el resguardo
de archivos en el
proceso.
C1: Capacitar a los
trabajadores para
Pérdida de archivos utilizar
X X X
de la empresa adecuadamente
las herramientas e
instrumentos de
trabajo
D1: Realizar
controles
administrativos con
los jefes de área.
P1: Implementar
un plan estratégico
en la empresa que
tenga como
objetivo la
protección de
archivos y su
almacenamiento
adecuado.
C1: Asignar a
Implementación de funcionarios a
un sistema cumplir esa tarea
X x x
estratégico de de verificación de
información este sistema
estratégico.
D1: Hacer
capacitaciones a
los trabajadores de
la empresa para
que cumplan con
el sistema
estratégico de
información de la
empresa.
4. DICTAMEN DE LA AUDITORÍA
PROCESO COBIT: APO12- Gestionar el riesgo
OBJETIVO DE LA AUDITORÍA
La función es generar estrategias para el funcionamiento de la gestión de los riesgos y
su regulación por medio de bases de datos que ayuden a la recuperación, resguardo y
protección de la información de la empresa, teniendo presente sistemas de
modernización e innovación, capacitación del personal y medios para la seguridad del
proceso en mención.
DICTAMEN
Se califica un nivel de madurez 2 REPETIBLE; la gestión que debe realizar la empresa
para el funcionamiento eficaz de los procesos de información por medio de evaluar la
dificultad de los equipos y sus bases de información; sistemas de seguridad en los
equipos de cómputo para la confidencialidad de la empresa y mantenimiento preventivo
de los equipos para evitar la pérdida de información.
Para esto se identifica que la empresa Emerge BPO debe realizar procesos de
innovación en sistema de seguridad en sus equipos de cómputo, implementando bases
de datos o un sistema de recuperación de información o protección del mismo; para
ello se debe implementar un sistema estratégico en el área del proceso, soportado con
capacitaciones a las personas involucradas en el proceso y a sus respectivos jefes,
para mejorar la productividad en el proceso.
HALLAZGOS QUE SOPORTAN EL DICTAMEN:
● No existen procesos definidos
● Falta de controles administrativos
● Pérdida de archivos de la empresa
● Falta de bases de datos para la recuperación de los archivos
● Implementación de un sistema estratégico de información
RECOMENDACIONES
● Se recomienda al personal líder del proceso que se implemente un sistema de
resguardo y protección de la información en una base de datos conectada vía
internet o cableada por toda la empresa; para tener soportes que ayuden a evitar
la pérdida de la información. Implementación de un proceso de mejoramiento
para la empresa (Acción Correctiva).
● Implementación de un Sistema Estratégico en los equipos de la empresa.
● Creación de controles administrativos y verificación del proceso por medio de la
Gerencia General de Emerge BPO
INFORME EJECUTIVO DE AUDITORÍA
Señores;
Emerge BPO
REF: GESTIONAR EL RIESGO
Se debe realizar la implementación de un sistema estratégico en la empresa Emerge
BPO, en donde por medio del resguardo, protección y administración de la
documentación, puede aumentar la calidad de sus productos, mejorar el proceso de
estudio y optimizar la información de la empresa. Para esto debe hacer la inversión de
bases de datos, o un sistema tecnológico que enlace los equipos y ayuden al
almacenamiento de la información y así se evita su perdida; generar capacitaciones al
personal del área para el correcto uso de los instrumentos de trabajos y realizar
intervenciones con áreas administrativas para controles específicos de calidad en las
áreas de trabajo.
La auditoría se realizó con buena disposición por parte del personal encargado del
manejo de los módulos del software.
Hallazgos
La empresa no posee un proceso adecuado para el control especifico del área,
causando así reprocesos, pérdida de la información de la empresa y no existen
controles de calidad o administrativos que ayuden a contrarrestar estos errores que se
presentan en el área. Por otro lado, la falta de bases de datos que ayuden al
almacenamiento de información de respaldo afecta la productividad del área y en sí
mismo de la empresa, porque afecta la productividad de la misma causando pérdidas
económicas y disminuyendo la satisfacción del cliente.
Recomendaciones:
La implementación de bases de datos para la empresa Emerge BPO, que ayuden a la
protección y resguardo de archivos; también el mantenimiento preventivo de los
equipos de cómputo de la empresa ayudaría a mejorar el rendimiento y la productividad
de la empresa; si en caso tal, los equipos ya son obsoletos se recomienda el cambio de
estos.
La creación de una base de datos en la empresa que ayude a la administración de los
datos, la seguridad y el resguardo de los mismo, mejorando así el proceso de la
empresa y protegiendo los datos de la misma.
Por último, se recomienda capacitar al personal del área y a sus respectivos jefes para
aumentar el flujo de su proceso y mejorar continuamente el mismo.
Cordialmente,
CONCLUSIONES
● Se logran identificar los diferentes riesgos que tiene la compañía en la gestión
de sistemas de TI.
● Se elaboran controles de riesgos y se genera su categorización.
● Se realiza el dictamen de la auditoría realizada para llevar a cabo la medición del
nivel de madurez en cada uno de los procesos evaluados.
● Se realiza informe con cada uno de los hallazgos, sus respectivas
recomendaciones y se realiza propuesta para la mitigación de riesgos.
BIBLIOGRÁFICA