FASE 4 RESULTADOS

EMPRESA EMERGE BPO

INTEGRANTES
Francisco Javier Rendón Arroyave
Juan Crisóstomo Jaramillo Pulgarín
Gustavo Adolfo Benavides Atencio
María Isabel Ramírez Ramírez
María Alejandra Sánchez

Presentado a:
Ing. Angela Dayan Garay Villada

Universidad Nacional Abierta y a Distancia – UNAD

Escuela de Ciencias Básicas, Tecnología e Ingeniería
Curso Auditoría de Sistemas
Mayo 2021
 INTRODUCCIÓN

Con el presente documento se pretende hacer un desarrollo con los resultados de la

auditoría para este caso en particular con la compañía emerge BPO se pretende
también abordar las descripciones y los hallazgos en los diferentes procesos
asignados, también se abordan las causas las consecuencias y las valoraciones del
riesgo basados en la matriz de riesgo diseñada en la fase anterior y ceñido en la
metodología del COBIT 5.

También se tiene un cuadro de control donde se reflejan los diferentes riesgos

encontrados, los tipos de controles aplicados ya sea preventivo correctivo o detectivos
y adicional la respectiva solución o recomendación dada por cada auditor en los
diferentes procesos, se refleja también la descripción del hallazgo las causas y las
consecuencias que puede acarrear la falencia o riesgo encontrado.

Finalmente se hace un dictamen en la auditoría donde se le hacen las sugerencias a la

empresa auditada se indica los pasos recomendables a seguir según los estándares
del COBIT 5 y los criterios de cada auditor
 OBJETIVOS
Lograr identificar claramente las causas que origina los riesgos dentro de la compañía,
para de esta manera proponer controles y soluciones más adecuados, que permitan,
de acuerdo con la norma, mitigarlos y que la compañía pueda cumplir con sus
respectivas métricas y los objetivos corporativos a los cuales se encuentran orientados.
 Auditor: Francisco Javier Rendón Arroyave
Dominio: Evaluar, Dirigir y Monitorear (EDM)
Proceso: EDM03 – Asegurar la optimización de los riesgos

1. MATRIZ DE RIESGOS FASE 3 – EJECUCIÓN

EVALUACIÓN Y MEDIDAS DE RESPUESTA

PROBABILIDAD IMPACTO

Insignificante Menor (2) Moderado Mayor (4) Catastrófico

(1) (3) (5)

Raro (1)

Improbable (2)

Posible (3)

Probable (4) R5 R2, R6

Casi Seguro (5) R1, R3, R4

Cuadro de tratamiento de riesgos.

Zona de riesgo Baja: Asumir el riesgo, Aceptar el riesgo

Zona de riesgo Moderada: Asumir el riesgo, reducir el riesgo

Zona de riesgo Alta: Reducir el riesgo, evitar, compartir o transferir

R1, R2, R3,

R4, R5, R6 Zona de riesgo Extremo: Reducir el riesgo, evitar, compartir o transferir
 2. HALLAZGOS

Emerge BPO REF

HALLAZGOS DE LA AUDITORÍA B1

PROCESO Departamento de TI PÁGINA

AUDITADO
1 DE 1

RESPONSABLE Francisco Javier Rendón Arroyave

MATERIAL DE COBIT 5
SOPORTE

DOMINIO Evaluar, Dirigir y PROCESO EDM03 – Asegurar la optimización

Monitorear (EDM) de los riesgos

DESCRIPCIÓN DEL HALLAZGO

● No existe en la empresa una visión de riesgo ni se han tomado decisiones respecto a

los riesgos.
● No se han evaluado todos los riesgos a los que los sistemas de TI de la empresa
están expuestos.
● Se requiere definir el plan estratégico para la gestión de riesgos de la empresa.
● No se tiene establecida una evaluación periódica de los riesgos de los sistemas de IT
de la empresa.

● No se cuenta con un plan de capacitación y concientización sobre la gestión de

riesgos de TI para los colaboradores de la empresa.

● No se cuenta con un modelo de gobierno de TI para la gestión de riesgos de TI.

CAUSAS
 ● Desde la dirección de la empresa no se cuenta con una visión de riesgos, por lo cual
no se ha definido un plan estratégico ni modelo de gobierno para los mismos, que
permita evaluar e identificar todos los riesgos a los cuales se encuentra sometido el
negocio y en especial los sistemas de TI.

CONSECUENCIAS

● Desinformación y no gestión para llevar a cabo las respectivas métricas de la

empresa en cuanto al gobierno de los procesos de la gestión de riesgos, afectando
los objetivos específicos de la organización.

● No se pueden llevar a cabo planes de prevención, mitigación y mejora de riesgos, al

no tener un plan establecido.

VALORACIÓN DEL RIESGO

● Porcentaje de riesgo parcial: 17,5%

● Porcentaje de riesgo = 82.5%

● Impacto según relevancia del proceso: Riesgo Alto

● Zona de riesgo Extremo: Reducir el riesgo, evitar, compartir o transferir.

RECOMENDACIONES

Desde la Dirección de la empresa, se debe establecer un gobierno de TI para la gestión de

riesgos, generar un plan estratégico para la elaboración de los diferentes modelos que
permitan tener una visión y gestión general de los riesgos de TI en toda la empresa, en
donde se puedan mitigar y prevenir los riesgos actuales y se pueda capacitar al personal
para crear una concientización interna en todos los colaboradores.

3. CUADRO DE CONTROLES

RIESGOS O HALLAZGOS TIPO DE CONTROL SOLUCIONES O

ENCONTRADOS CONTROLES
PREVENT CORREC DETECT
IVO TIVO IVO

Falta de modelo de gobierno X C1: Creación y definición

de TI para la gestión de de gobierno de gestión
riesgos.
No existe visión de riesgo ni
se han tomado decisiones
respecto a los riesgos.
Falta de evaluación de todos
los riesgos de los sistemas
de TI.
Falta de definición de plan
estratégico para la gestión
de riesgos.
Falta plan de capacitación y
concientización sobre la
gestión de riesgos para los
colaboradores.
de riesgos (Comité de
Gestión de Riesgos).
C2: Definición de los
diferentes roles dentro
del gobierno de gestión
de riesgos, definiendo
actividades y
responsabilidades a
cargo por cada rol.
X C1: Definir dirección
estratégica dentro de la
organización para la
gestión, identificación,
mitigación y prevención
de riesgos de los
sistemas de TI.
X C1: Analizar los
diferentes riesgos de los
sistemas de TI y evaluar
las medidas a tomar para
mitigar y prevenir los
mismos.
X C1: Crear plan
estratégico para revisar y
gestionar los diferentes
riesgos de los sistemas
de TI.
X C1: Crear plan de
capacitación para
concientizar y enseñar a
los colaboradores de la
empresa, sobre la
gestión de riesgos.
Falta de evaluación X X X P1: Realizar procesos de
periódica de los riesgos de auditoría interna
mensual, para revisar el
TI. estado de los riesgos.

P2: Evaluar en comité de

gestión de riesgos, las
acciones a tomar con los
nuevos hallazgos
encontrados
semanalmente

C1: Crear plan de

auditorías internas,
estableciendo los
diferentes parámetros a
evaluar sobre los
sistemas de TI para
validar sus riesgos.

C2: Mitigar amenazas

encontradas durante el
proceso de auditoría
interna.

D1: Crear procesos de

automatización de
monitoreo de sistemas
de TI, con el fin de que
se puedan generar
alertas que puedan ser
revisadas y remediadas
de forma rápida.
 4. DICTAMEN DE LA AUDITORÍA
PROCESO COBIT: EDM03 – Asegurar la optimización de los riesgos

OBJETIVO DE LA AUDITORÍA

Realizar un análisis de la eficiencia de los Sistemas Informáticos de la empresa

Emerge BPO, verificar el cumplimiento de la Normativa en este ámbito, revisar de la
eficaz gestión de los recursos informáticos en departamento TI y la administración de
diferentes activos de la empresa.

DICTAMEN

Se califica un nivel de madurez 1 INICIAL. La empresa es consciente de que se deben

establecer procesos que permitan que la organización pueda gestionar los riesgos de
TI y que, para poder llevar a cabo las métricas del negocio, deben ser establecidas. Se
deben crear los organismos de gobierno de gestión de riesgos de TI, roles y
actividades asignadas, para llevar a cabo la estandarización de los procesos,
estableciendo planes de monitoreo y auditorías internas, que puedan prevenir, detectar
y mitigar cualquier riesgo latente que surja. Adicionalmente, se debe crear un plan de
concientización interna con los colaboradores, para reducir cualquier especie de riesgo
que pueda surgir desde allí.

HALLAZGOS QUE SOPORTAN EL DICTAMEN:

● No existe en la empresa una visión de riesgo ni se han tomado decisiones

respecto a los riesgos.
● No se han evaluado todos los riesgos a los que los sistemas de TI de la empresa
están expuestos.
● Se requiere definir el plan estratégico para la gestión de riesgos de la empresa.
● No se tiene establecida una evaluación periódica de los riesgos de los sistemas
de IT de la empresa.
● No se cuenta con un plan de capacitación y concientización sobre la gestión de
riesgos de TI para los colaboradores de la empresa.
● No se cuenta con un modelo de gobierno de TI para la gestión de riesgos de TI.

RECOMENDACIONES

● Crear y definir el gobierno de gestión de riesgos de TI (Comité de Gestión de

Riesgos).
 ● Definir los diferentes roles y actividades que se llevarán a cabo, para lograr el
cumplimiento de los objetivos del negocio y las métricas de seguridad sobre las
cuales están basados los mismos.
● Crear el plan estratégico de gestión de riesgos, para que, por medio de la
definición estratégica generada desde la dirección de la compañía o el comité de
gestión de riesgos, se puedan identificar, gestionar, prevenir y mitigar los riesgos
relevantes y que vayan surgiendo con los sistemas de TI.
● Establecer planes de auditoría mensuales que permitan hacer seguimiento sobre
los riesgos encontrados previamente y que permitan identificar riesgos
resultantes de las remediaciones previas y que permitan al Comité, evaluar las
acciones a tomar.
● Establecer planes de monitoreo y de alarmas constantes, con el fin de lograr
identificar amenazas que vayan surgiendo en el día a día y que permitan la
remediación pronta y efectiva.
● Crear planes de capacitación con los colaboradores de la compañía en donde se
pueda informar y concientizar sobre la gestión de riesgos de sistemas de TI

INFORME GENERAL

Medellín, 08 de mayo del 2021

Señores

Emerge BPO
REF: GESTIONAR EL RIESGO

Estimados señores;

Una vez culminado el proceso de auditoría en el cual se realizó una revisión y análisis
de cada uno de los procesos a nivel de gobierno de la gestión del riesgo en el área de
TI de la compañía, correspondientes al análisis de cumplimiento, métricas e
indicadores que permitan llegar a los objetivos de la organización, se concluye que la
compañía se encuentra en un estado de madurez tipo 1 Inicial, según los estándares
implementados en la metodología de auditoría de sistemas; en esta oportunidad COBIT
5.

Se debe tener presente que, aunque la empresa es consciente de las acciones y

procesos a llevar a cabo de ahora en adelante para poder cumplir con los objetivos y
métricas trazadas, es necesario llevarlas a cabo en el menor tiempo posible, esto con
el fin de evitar sucesos que puedan ser lamentables para la organización en un corto
plazo.

Por tal motivo es imperante corregir los hallazgos encontrados, como la falta de
gobierno de gestión de riesgos, planes estratégicos para la identificación, gestión,
prevención y mitigación de los riesgos de los sistemas de TI de la compañía. Con el
establecimiento de dicho gobierno, roles, actividades y la creación de un plan
estratégico avalado por todos los miembros, se podrá llevar a cabo una gestión de
riesgos que le permita actuar a la compañía de manera mucho más alerta, previendo
cualquier amenaza latente que se pueda presentar y corrigiendo las que se encuentran
actualmente por medio de auditorías constantes, que permitan la consecución de los
objetivos y métricas trazadas por la compañía.

Esperamos que las recomendaciones sean contempladas y aplicadas con el fin de dar
solución y les permita alcanzar un nivel de madurez mayor en su compañía Emerge
BPO.

Atentamente,

Francisco Javier Rendón

Gustavo Adolfo Benavides

María Alejandra Sánchez

Juan Crisóstomo Jaramillo

María Isabel Ramírez

Equipo auditor
 Auditor: Gustavo Adolfo Benavides Atencio
Dominio: Construir, Adquirir e Implementar (BAI)
Proceso: BAI09. Administrar los activos

1. MATRIZ DE RIESGOS FASE 3 – EJECUCIÓN

Evaluación y Medidas de Respuesta

Probabilidad Impacto

Insignificante Menor (2) Moderado Mayor (4) Catastrófico

(1) (3) (5)

Raro (1)

Improbable (2) B2, B3, B6

Posible (3) B1 B5

Probable (4) B4

Casi Seguro
(5)

2. HALLAZGOS

Emerge BPO REF

HALLAZGOS DE LA AUDITORÍA B1

PROCESO Departamento de TI PÁGINA

AUDITADO 1 DE 1

RESPONSABLE Gustavo Benavides

MATERIAL DE COBIT 5
SOPORTE

DOMINIO Construir, Adquirir e PROCES BAI09. Administrar los activos

Implementar (BAI) O

DESCRIPCIÓN DEL HALLAZGO

· No cuentan con un proceso que permita la revisión rutinaria de la línea base y así
les permita identificar y optimizar los costos alineados con las necesidades de la
empresa.

· No cuentan con un proceso que les permita realizar una comparación de costos a
la hora de adquirir nuevos activos.

CAUSAS

· No realizan el aprovechamiento de la tecnología para la automatización de varios

procesos que se realizan manualmente hoy día en la empresa, como lo son la
revisión de la línea base de activos de la empresa y un proceso de comparación
de costos que permita a la empresa optimizar los costos.

CONSECUENCIAS

· Se logra evidenciar la disminución de los gastos producto de no contar con la

información actualizada de activos que forman parte de la empresa, lo cual
muchas veces incurren en gastos innecesarios.

· Muchas veces los costos se duplican al no tener un proceso que les permita
comparar los precios y estudiar el mercado, lo cual genera más gastos a la hora
de adquirir nuevos activos.

VALORACIÓN DEL RIESGO

· Porcentaje de riesgo parcial: 81,57%

 · Porcentaje de riesgo = 18,42%

· Impacto según relevancia del proceso: Riesgo Bajo

· Zona de riesgo Extremo: Reducir el riesgo, evitar, compartir o transferir

RECOMENDACIONES

· El gerente de TI, debe incentivar la creación de varios procesos que permitan

automatizar algunos procedimientos que se realizan hoy día manualmente, un
proceso que permita tener actualizada la línea base de activos de la empresa que
les permita contar con información actualizada y que les permita tomar mejores
decisiones, así como también un proceso que les permita la comparación de
precios lo cual les permita adquirir nuevos activos a mejores precios y les permita
disminuir los gastos.

3. CUADRO DE CONTROLES

RIESGOS O TIPO DE CONTROL SOLUCIONES O

HALLAZGOS CONTROLES
ENCONTRADOS
PREVENT CORRECT DETECTI
IVO IVO VO

Optimización de la línea x C1: Automatización del

base, para la proceso de revisión de la
optimización de costos línea base de activos de
en la empresa empresa

Procesos para x C1: Automatizar el proceso

 comparación de costos de comparación de costos
de los activos de la
empresa

Identificación de activos x P1: Automatizar proceso

críticos para identificación y
mantenimiento de los
activos

Manejo de activos x D1: Implementar plan de

críticos manejo de los activos
críticos de la empresa

Identificación de activos x P1: Crear procesos para

obsoletos identificar y quitar del
inventario los activos que
se encuentren obsoletos

Proceso para selección x D1: Crear un nuevo

de licencias proceso automatizado que
permita la selección de las
licencias a la hora de
adquirir activos

4. DICTAMEN DE LA AUDITORÍA

PROCESO COBIT: BAI09. Administrar los activos

OBJETIVO DE LA AUDITORÍA
Realizar un análisis de la eficiencia de los Sistemas Informáticos de la empresa
Emerge BPO, verificar el cumplimiento de la Normativa en este ámbito, revisar de la
eficaz gestión de los recursos informáticos en departamento TI y la administración de
diferentes activos de la empresa.
DICTAMEN
Se califica un nivel de madurez 4 ADMINISTRADA; La empresa cuenta con un buen
manejo de los recursos y activos de la compañía, cuentan con la mayoría de sus
procesos automatizados lo cual les permite mantener la información actualizada e
invertir muy poco tiempo en procesos manuales, tienen unos procesos definidos para el
manejo de la información de los activos y sus respectivos procesos. Se identificaron
algunas mejoras en unos procesos primordiales de la empresa que les permitirá tener
un control total de los activos siempre y cuando se apliquen las recomendaciones
mencionadas, lo cual podría incurrir en gastos incensarios y mantener la información de
la línea base actualizadas para que puedan tomar mejores decisiones y soportadas por
la información real.

HALLAZGOS QUE SOPORTAN EL DICTAMEN:

● No cuentan con un proceso que permita la revisión rutinaria de la línea base y
así les permita identificar y optimizar los costos alineados con las necesidades
de la empresa.
● No cuentan con un proceso que les permita realizar una comparación de costos
a la hora de adquirir nuevos activos
RECOMENDACIONES
● Controles para revisión continua de la línea de base de activos de la empresa
● Automatización del proceso de revisión de la línea base y que les permita contar
con información actualizada de los activos de la compañía
● Crear controles que permitan realizar comparación de costos de los activos
nuevos
● Automatizar el proceso de comparación de costos que les permita disminuir los
gastos a la hora de adquirir nuevos activos.
 Auditor: Juan Crisóstomo Jaramillo Pulgarín
Dominio: Entregar, Servir y Dar Soporte (DSS)
Proceso: DSS01. Administrar las operaciones

1. MATRIZ DE RIESGOS FASE 3 – EJECUCIÓN

2. HALLAZGOS

Emerge BPO

HALLAZGOS DE LA AUDITORÍA

Departamento de TI -Soporte
PROCESO
AUDITADO
RESPONSABLE Juan Crisóstomo Jaramillo Pulgarín

MATERIAL DE
COBIT 5
SOPORTE

Entregar, Servir y Dar Soporte DSS01. Administrar

DOMINIO (DSS) PROCESO las operaciones

DESCRIPCIÓN DEL HALLAZGO

● Tienen serias falencias y no se controla quién accede y los tipos de accesos y

permisos efectivos de la información de la compañía, tanto funcionarios o terceros.

● Los funcionarios de soporte de los diferentes niveles carecen de los conocimientos

técnicos necesarios para resolver de la mejor forma los incidentes que se presenten
en la compañía.

● Los manuales de procedimientos y bases de conocimientos están poco establecidos

o son casi nulos, falta más documentación de índole técnico y bases de datos de
conocimientos.

● No se cierran todos los soportes o escalamientos a otros niveles, falta hacer

seguimiento sobre los incidentes y la solución a los casos abiertos.

CAUSAS

● Falta de listas de chequeo y de unas políticas claras en el área de las tecnologías de

la información, no tienen la suficiente capacitación en seguridad informática, falta
definir reglas claras sobre los permisos de accesos.

● Al reclutar el personal de soporte TI, no se está teniendo en cuenta la experiencia, los

conocimientos técnicos para desempeñar las funciones de las TI, las pruebas
técnicas y las experticias de los funcionarios debe ser cada cierto tiempo para
detectar anomalías.

● Cuando se crean los casos no se tiene la trazabilidad y el estado de estos, también

se debe crear encuestas de satisfacción del servicio con los usuarios.
 ● Documentar suficientemente los incidentes y sus respectivas soluciones, recopilar y
crear documentación técnica.

CONSECUENCIAS

● Si no se controla adecuadamente los permisos y accesos a la información de la

compañía, se corren riesgos muy altos de fugas o robos de información sensible para
la compañía, suplantación de funcionarios, riesgos altos de que la compañía se vea
afectada ya que la información confidencial de la empresa quede expuesta, peligro de
posibles secuestros de la información por piratas informáticos.

● El hecho que los funcionarios de soporte no posean alas suficientes competencias

académicas o técnicas con lleva a que los niveles de servicio se vean afectados en
gran medida, también puede afectar de cierta forma el desempeño del funcionario
que requiere el soporte o el proceso donde se requiera el servicio o la solución del
incidente.

● Al no tener la suficiente documentación técnica de los procesos y manuales de los

equipos tecnológicos de la compañía, no es posible dar solución o soportes
adecuados ya que se puede dar una mala solución, al no contar con las fichas
técnicas de los diferentes equipos, los soportes se ven afectados ya que no se dan
las soluciones adecuadas, la falta de manuales de procedimiento ralentiza la solución
a los tickets o pedidos de soportes por parte de los funcionarios de la compañía.

VALORACIÓN DEL RIESGO

● El porcentaje de riesgo parcial es de 66.6%

● El impacto según la relevancia del proceso medio alto según el análisis

● Zona de riesgo Extremo: Reducir el riesgo, evitar, compartir o transferir

RECOMENDACIONES

● Se debe hacer hincapié en las contrataciones de personal técnico bien capacitado y

con los conocimientos y la experticia adecuada para dar solución y dar aportes con
valores agregados.

● Documentar todos los procesos de las TI, hacer auditorías cada cierto tiempo, realizar
 listados de los funcionarios con accesos a los sistemas informáticos que permisos
necesita y que privilegios tienen y en base a esto hace las correcciones respectivas.

● Hacer seguimiento detallado a todos los incidentes y su estado, hacer los correctivos
necesarios, adquirir documentación técnica y capacitar al personal de las TI.

3. CUADRO DE CONTROLES
RIESGOS O TIPO DE CONTROL
SOLUCIONES O
HALLAZGOS
PREVENTIVO CORRECTIVO DETECTIVO CONTROLES
ENCONTRADOS

C1: Realizar
auditoría a los
No se controla el
recursos de red,
acceso a la
file server,
información, los
X auditar que
permisos efectivos
funcionario
sobre los recursos
puede acceder a
de la red.
que información
y solucionarlo.

C1: Organizar y
documentar los
cronogramas de
mantenimiento,
llevar acabo un
cumplimiento
Incumplimiento de estricto de estos,
los cronogramas X verificación por
de mantenimiento parte de los
directivos de las
TI que estos se
realicen de
manera correcta.
 P1: Capacitar al
personal técnico,
crear una base
de conocimiento.
Carencia de los
conocimientos C1: Hacer
suficientes por seguimientos y
parte de los revisiones
funcionarios de las constantes de
X X
TI, baja los incidentes y
capacitación en y el estado de
experticia técnica estos, encuestar
para resolver los a los
incidentes. funcionarios y
medir la calidad
del servicio.

P1: Verificar que

el cierre
Los incidentes y satisfactorio de
soportes no se todos los casos
X
cierran abiertos y evitar
adecuadamente. que esto se siga
repitiendo en el
tiempo.

4. DICTAMEN DE LA AUDITORÍA

PROCESO COBIT: (DSS) Entregar, Servir y Dar Soporte

Objetivos de la auditoría.

Auditar y analizar, los procesos de soporte técnico y de seguridad informática de

Emerge BPO, verificar que cumplan con las normas requeridas y con los estándares
mínimos actualmente establecidos, todo esto bajo la metodología de auditoría de
sistemas para este caso en particular la metodología COBIT
Dictamen.

Se le da una calificación de madurez de (2) Repetible.

Como se indicó anteriormente la empresa tiene algunas falencias en al área de

soporte, más sin embargo con una buena atención y replanteamiento de cómo se
llevan a cabo los procesos de soporte y solución de los incidentes, se podrá mejorar de
manera ostensible los niveles y acuerdos de servicio.

Para resaltar y tener en cuenta el tema de los cronogramas de mantenimiento de los

equipos tecnológicos asociados o dependientes del área de soporte en la compañía,
adicional documentar de forma adecuada todos los procesos y soluciones que se den,
es decir tener unas bases o fuentes con bitácoras de las soluciones de cada incidente.

En cuanto a la seguridad de la información es apremiante que se tomen acciones

correctivas a la brevedad posible, ya que este tema es crucial controlar los permisos
efectivos sobre la información o roles dentro de las aplicaciones de la empresa, revisar
y auditar los logs e identificar cualquier intrusión por personal no autorizado ya sea
propio o ajeno a la compañía.

HALLAZGOS QUE SOPORTAN EL DICTAMEN:

● Falta documentación de los procesos de soporte técnico

● Los funcionarios o agentes de soporte carecen de los conocimientos y de la
experticia técnica para dar solución a los incidentes que se presenten y esto se
puede ver reflejado en un incidente grave ya que puede afectar la continuidad
del negocio.
● Se incumple con los cronogramas de mantenimiento de la infraestructura
tecnológica y equipos, faltan ventanas de mantenimiento preventivo y correctivo
de las aplicaciones.
 ● No se controla de manera adecuada los accesos a la información sensible o
critica de la empresa, falta documentación de roles y permisos de cada
funcionario sobre las aplicaciones y recursos tecnológicos.

Recomendaciones

● Capacitar al personal de soporte, hacer evaluaciones rutinarias de sus

conocimientos y habilidades que les permita llevar a cabo sus labores de la
mejor manera con los resultados esperados por las partes.
● Documentar de manera metódica y acuciosa todo lo referente a los equipos
tecnológicos e infraestructura de red, implementar bases de conocimiento y que
estas se usen en agilizar los casos o incidentes de manera apropiada en cada
caso.
● Cerrar de manera oportuna y satisfactoria para el usuario los casos o soportes
que se brinden, no dejar casos pendientes y sin solución por periodos de tiempo
muy largos.

INFORME EJECUTIVO DE AUDITORÍA

Medellín, 02 abril del 2021

Doctor(a)

Señores Emerge BPO

REF: GESTIONAR EL RIESGO

Estimados señores; después de haber revisado y auditado cada uno de sus procesos
en el área de sistemas TI, se concluye que su empresa se encuentra en un estado
aceptable de madurez tipo 2 (Repetible) según los estándares usados en la
metodología de auditoría de sistemas para nuestro caso el COBIT.

Es de resaltar que se tiene cierto grado de madurez y eficiencia en sus procesos de

soporte técnico en los diferentes niveles, más sin embargo de se deben tomar medidas
unas más urgentes que otras, sobre todo en cuanto al tratamiento o manejo de la
seguridad de la información en la compañía Emerge BPO, se encuentran falencias a la
hora de revisar los permisos de los funcionarios y terceros en los servidores de
archivos ya sean de tipo local File Server o la nube Cloud.

La documentación es deficiente en cuanto a los equipos tecnológicos, se debe

documentar de manera ordenada y constante cada equipo ya sea nuevo o antiguo y se
evita realizar malos procedimientos a la hora de resolver incidentes, las bases de
conocimientos se deben implementar lo antes posible.

Los niveles de servicio no son los mejores, ya que se deja durante mucho tiempo casos
abiertos sin resolver afectando esto la productividad de los funcionarios y a su vez el
descontento o inconformidad que el área de soporte, conduciendo esto a la larga a un
desprestigio de esta área y unos bajos niveles de servicio.

Es de anotar que los funcionarios de soporte están prestos a colaborar y se obtuvo de

ellos la información requerida en las entrevistas y cuestionarios que se les formuló
durante la auditoría.

Esperamos que las recomendaciones sean tomadas en cuenta y esto de solución y los
lleve a un nivel de eficiencia y productividad en su compañía Emerge BPO.
 Auditor: María Isabel Ramírez Ramírez
Dominio: Supervisar, Evaluar y Valorar (MEA)
Proceso: MEA01. Supervisar, Evaluar y Valorar Rendimiento y Conformidad

1. MATRIZ DE RIESGOS FASE 3 – EJECUCIÓN

IMPACTO
PROBABILIDAD
Insignifican Menor Moderad Mayor Catastrófic
te (1) (2) o (3) (4) o (5)
Raro (1) R7 R5 R1

Improbable (2) R6 R3

Posible (3) R4 R2

Probable (4)

Casi Seguro (5)

2. HALLAZGOS

Emerge BPO REF

HALLAZGOS DE LA AUDITORÍA H1

PROCESO Departamento de TI PAGINA

AUDITADO 1 DE 1

RESPONSABLE María Isabel Ramírez Ramírez

MATERIAL DE
COBIT 5
SOPORTE

DOMINIO PROCESO MEA01.

Supervisar, Evaluar
Supervisar, Evaluar y Valorar
y Valorar
(MEA)
Rendimiento y
 Conformidad

DESCRIPCIÓN DEL HALLAZGO

● No se evidencia estándares y métricas actualizadas para la elaboración de

indicadores que permitan a cada core del proceso evaluar los porcentajes de
cumplimientos y no cumplimientos de objetivos en la organización.

CAUSAS

● No se tienen definidas las métricas para la medición de indicadores; se cuenta con un

proceso obsoleto y que no está actualizado.

● No se cumple un cronograma para la medición de estadísticas, lo cual no permite una

medición acertada de los indicadores.

CONSECUENCIAS

● Desinformación en las métricas de la empresa en cuanto al proceso y cumplimiento

de objetivos específicos en la organización.
● No se logran acciones de mejora efectivas a mediano y largo plazo por la
incertidumbre de los indicadores.

VALORACIÓN DEL RIESGO

● Porcentaje de riesgo parcial: 87,5%

● Porcentaje de riesgo = 12,5%

● Impacto según relevancia del proceso: Riesgo Bajo

● Zona de riesgo Extremo: Reducir el riesgo, evitar, compartir o transferir

RECOMENDACIONES

● El director de TI, debe promover y hacer una capacitación acertada con los líderes de
proceso; donde se defina por medio de un comité evaluativo, los parámetros que se
tendrán en cuenta para la medición de indicadores de cumplimiento. Con el fin de
llevar a la organización a un proceso sólido sobre el análisis de cumplimientos y no
cumplimiento de los requerimientos del área evaluada.

3. CUADRO DE CONTROLES

RIESGOS O TIPO DE CONTROL

SOLUCIONES O
HALLAZGOS PREVEN CORREC DETECTI CONTROLES
ENCONTRADOS TIVO TIVO VO
 P1. Planeación y
organización de cronograma
para la evaluación de
Incumplimiento en la
hallazgos presentados al
revisión periódica de los
x momento de desarrollo de
objetivos de
cada requerimiento con el fin
cumplimiento
de identificar los no
cumplimientos de forma
oportuna.

C1. Recopilación de la
Desactualización de las información que aún no se
encuentran parametrizados
métricas para la en los indicadores.
elaboración de x C2. Creación de formato para
indicadores la identificación de procesos
vigentes y aquellos que ya se
encuentran en ambiente del
cliente.

P1. Planeación y
organización de cronograma
No se evidencia un para evaluar los indicadores
análisis constante de los presentados en comité.
indicadores x x C1. Revisión y constancia en
acta de comité evaluativo
donde se establecen
objetivos para la corrección
de indicadores.
DICTAMEN DE LA AUDITORÍA
PROCESO COBIT: MEA01. Supervisar, Evaluar y Valorar Rendimiento y Conformidad

OBJETIVO DE LA AUDITORÍA

Realizar un análisis y proponer nuevos procesos y actividades que ayudarán a

identificar los controles que se requieren para garantizar la gestión del departamento
de TI.

DICTAMEN
Se califica un nivel de madurez 4 ADMINISTRADA; La empresa cuenta con unos
estándares para la supervisión, evaluación y análisis de cada uno de los objetivos de
procesos mediante el uso de indicadores de cumplimiento. Se identifican algunas
acciones de mejora para el proceso, en el cual la organización está comprometida con
la aplicación de medidas correctivas las cuales permitan a cada core del área llevar un
control efectivo de las métricas ya que se identifica baja coordinación por parte de la
dirección de TI entre líderes del área para el análisis de los no cumplimientos en el
proceso de requerimientos, desactualización en los formatos de indicadores y en los
proceso de automatización para la recolección de datos.

HALLAZGOS QUE SOPORTAN EL DICTAMEN:

● Desactualización de las métricas para la elaboración de indicadores
● Implementación inadecuada de los métodos de notificación y comunicación de
manera periódica sobre el rendimiento
● No se evidencia un análisis constante de los indicadores
● Los procesos de automatización de recolección no son completamente seguros

RECOMENDACIONES
● Planeación y organización de cronograma para la evaluación de hallazgos
presentados al momento de desarrollo de cada requerimiento con el fin de
identificar los no cumplimientos de forma oportuna.
 ● Recopilación de la información que aún no se encuentra parametrizados en los
indicadores.
● Creación de formato para la identificación de procesos vigentes y aquellos que
ya se encuentran en ambiente del cliente.
● Revisión y constancia en acta de comité evaluativo donde se establecen
objetivos para la corrección de indicadores.

INFORME EJECUTIVO DE AUDITORÍA

Medellín, 03 de mayo del 2021

A quien pueda interesar;

REF: GESTIONAR EL RIESGO

Estimados señores; una vez culminado el proceso de auditoría en el cual se realizó una
revisión y análisis de cada uno de los procesos en el área de Tecnología
correspondientes al análisis de cumplimiento, métricas e indicadores; se concluye que
esta organización se encuentra en un estado óptimo de madurez tipo 4 (administrada)
según los estándares implementados en la metodología de auditoría de sistemas; en
esta oportunidad COBIT 5.

Cabe resaltar que aun teniendo un el grado de madurez identificado; es necesario

aplicar las medidas correctivas para llevar los procesos a un cumplimiento más
acertado; aplicando acciones de mejora de manera inmediata, sobre todo en el
tratamiento de información de no cumplimientos en los objetivos esperados en las
solicitudes de requerimientos y objetivos por core.

El cronograma de actividades para la validación de indicadores requiere un ajuste

urgente, donde se permita de manera oportuna alcanzar los objetivos de las acciones
de mejora planteadas; haciendo uso de metodologías y ciencias que permitan la
automatización de los procesos.
Esperamos que las recomendaciones sean contempladas y aplicadas; con el fin de dar
solución y los llevó a un nivel de madurez mayor en su compañía Emerge BPO.
Atentamente,

Francisco Javier Rendón

Gustavo Adolfo Benavides
María Alejandra Sánchez
Juan Crisóstomo Jaramillo
María Isabel Ramírez
Equipo auditor
 Auditor: María Alejandra Sánchez Valencia
Dominio: APO– Alinear, Planear y Organizar
Proceso: APO12- Gestionar el riesgo

1. MATRIZ DE RIESGOS FASE 3 – EJECUCIÓN

2. HALLAZGOS

EMERGE BPO REF

HALLAZGOS DE LA AUDITORIA H1

PROCESO Funcionamiento del aspecto físico de la seguridad PAGINA

AUDITADO lógica 1 DE 1

RESPONSABLE María Alejandra Sánchez

MATERIAL DE
COBIT
SOPORTE

DOMINIO APO– Alinear, Planear y PROCESO APO12- Gestionar

 Organizar el riesgo

DESCRIPCIÓN DEL HALLAZGO

● No existen procesos o procedimientos que ayuden al resguardo físico y digital de

los archivos informáticos de la empresa, ocasionando pérdidas para la
organización y de información crucial de Emerge BPO.

CAUSAS

● No hay definido sistemas de almacenamientos en la empresa, no se encuentran

bases estratégicas para el almacenamiento, protección y resguardo de los
archivos digitales de la empresa.

CONSECUENCIAS

● En el proceso se encuentra que existen archivos desorganizados en las bases de

datos de la empresa, la satisfacción del cliente esta baja y los procesos y
procedimientos de la empresa tiene fallas en sus sistemas informáticos que están
afectando la productividad de la empresa.

VALORACIÓN DEL RIESGO

● Porcentaje parcial: 50%

● Porcentaje del riesgo: 61% a 100%
● Es un riesgo moderado,
● Zona de riesgo Extremo

RECOMENDACIONES

● Se recomienda al personal líder del proceso que se implemente un sistema de

resguardo y protección de la información en una base de datos conectada vía
internet o cableada por toda la empresa; para tener soportes que ayuden a evitar
la pérdida de la información. Implementación de un proceso de mejoramiento para
la empresa (Acción Correctiva).

3. CUADRO DE CONTROLES
RIESGOS O TIPO DE CONTROL
SOLUCIONES O
HALLAZGOS
PREVENTIVO CORRECTIVO DETECTIVO CONTROLES
ENCONTRADOS

No existen procesos X C1: Creación de

definidos procesos definidos
 para la gestión de
la empresa en sus
puestos de trabajo.

P1: Elaboración de
formatos que
ayuden a la
gestión de la
empresa y al
Falta de controles control del proceso
X X
administrativos
D1: Hacer
seguimiento al
proceso y realizar
capacitaciones al
personal.

P1: Creación de
una base de datos
para el resguardo
de archivos en el
proceso.
C1: Capacitar a los
trabajadores para
Pérdida de archivos utilizar
X X X
de la empresa adecuadamente
las herramientas e
instrumentos de
trabajo
D1: Realizar
controles
administrativos con
los jefes de área.

Falta de bases de X X C1:

datos para la Implementación de
recuperación de los bases de datos
archivos para la protección
y copia de
resguardo de los
archivos de la
empresa.
D1: Asignar a una
persona que haga
la gestión de
 recuperación de
los archivos y
administre
adecuadamente la
información

P1: Implementar
un plan estratégico
en la empresa que
tenga como
objetivo la
protección de
archivos y su
almacenamiento
adecuado.
C1: Asignar a
Implementación de funcionarios a
un sistema cumplir esa tarea
X x x
estratégico de de verificación de
información este sistema
estratégico.
D1: Hacer
capacitaciones a
los trabajadores de
la empresa para
que cumplan con
el sistema
estratégico de
información de la
empresa.

4. DICTAMEN DE LA AUDITORÍA
PROCESO COBIT: APO12- Gestionar el riesgo
OBJETIVO DE LA AUDITORÍA
La función es generar estrategias para el funcionamiento de la gestión de los riesgos y
su regulación por medio de bases de datos que ayuden a la recuperación, resguardo y
protección de la información de la empresa, teniendo presente sistemas de
modernización e innovación, capacitación del personal y medios para la seguridad del
proceso en mención.
DICTAMEN
Se califica un nivel de madurez 2 REPETIBLE; la gestión que debe realizar la empresa
para el funcionamiento eficaz de los procesos de información por medio de evaluar la
dificultad de los equipos y sus bases de información; sistemas de seguridad en los
equipos de cómputo para la confidencialidad de la empresa y mantenimiento preventivo
de los equipos para evitar la pérdida de información.
Para esto se identifica que la empresa Emerge BPO debe realizar procesos de
innovación en sistema de seguridad en sus equipos de cómputo, implementando bases
de datos o un sistema de recuperación de información o protección del mismo; para
ello se debe implementar un sistema estratégico en el área del proceso, soportado con
capacitaciones a las personas involucradas en el proceso y a sus respectivos jefes,
para mejorar la productividad en el proceso.
HALLAZGOS QUE SOPORTAN EL DICTAMEN:
● No existen procesos definidos
● Falta de controles administrativos
● Pérdida de archivos de la empresa
● Falta de bases de datos para la recuperación de los archivos
● Implementación de un sistema estratégico de información
RECOMENDACIONES
● Se recomienda al personal líder del proceso que se implemente un sistema de
resguardo y protección de la información en una base de datos conectada vía
internet o cableada por toda la empresa; para tener soportes que ayuden a evitar
la pérdida de la información. Implementación de un proceso de mejoramiento
para la empresa (Acción Correctiva).
● Implementación de un Sistema Estratégico en los equipos de la empresa.
● Creación de controles administrativos y verificación del proceso por medio de la
Gerencia General de Emerge BPO
 INFORME EJECUTIVO DE AUDITORÍA

Bogotá, 27 de abril de 2021

Señores;
Emerge BPO
REF: GESTIONAR EL RIESGO
Se debe realizar la implementación de un sistema estratégico en la empresa Emerge
BPO, en donde por medio del resguardo, protección y administración de la
documentación, puede aumentar la calidad de sus productos, mejorar el proceso de
estudio y optimizar la información de la empresa. Para esto debe hacer la inversión de
bases de datos, o un sistema tecnológico que enlace los equipos y ayuden al
almacenamiento de la información y así se evita su perdida; generar capacitaciones al
personal del área para el correcto uso de los instrumentos de trabajos y realizar
intervenciones con áreas administrativas para controles específicos de calidad en las
áreas de trabajo.

La auditoría se realizó con buena disposición por parte del personal encargado del
manejo de los módulos del software.

Respecto a: APO12- GESTIONAR EL RIESGO

Auditor encargado: María Alejandra Sánchez Valencia

Hallazgos
La empresa no posee un proceso adecuado para el control especifico del área,
causando así reprocesos, pérdida de la información de la empresa y no existen
controles de calidad o administrativos que ayuden a contrarrestar estos errores que se
presentan en el área. Por otro lado, la falta de bases de datos que ayuden al
almacenamiento de información de respaldo afecta la productividad del área y en sí
mismo de la empresa, porque afecta la productividad de la misma causando pérdidas
económicas y disminuyendo la satisfacción del cliente.
Recomendaciones:
La implementación de bases de datos para la empresa Emerge BPO, que ayuden a la
protección y resguardo de archivos; también el mantenimiento preventivo de los
equipos de cómputo de la empresa ayudaría a mejorar el rendimiento y la productividad
de la empresa; si en caso tal, los equipos ya son obsoletos se recomienda el cambio de
estos.
La creación de una base de datos en la empresa que ayude a la administración de los
datos, la seguridad y el resguardo de los mismo, mejorando así el proceso de la
empresa y protegiendo los datos de la misma.
Por último, se recomienda capacitar al personal del área y a sus respectivos jefes para
aumentar el flujo de su proceso y mejorar continuamente el mismo.

Cordialmente,

Francisco Javier Rendón

Líder equipo Auditor

Gustavo Adolfo Benavides

María Alejandra Sánchez
Juan Crisóstomo Jaramillo
María Isabel Ramírez
Equipo Auditor

CONCLUSIONES
● Se logran identificar los diferentes riesgos que tiene la compañía en la gestión
de sistemas de TI.
● Se elaboran controles de riesgos y se genera su categorización.
● Se realiza el dictamen de la auditoría realizada para llevar a cabo la medición del
nivel de madurez en cada uno de los procesos evaluados.
● Se realiza informe con cada uno de los hallazgos, sus respectivas
recomendaciones y se realiza propuesta para la mitigación de riesgos.
 BIBLIOGRÁFICA

● Solares, S. P., Baca, U. G., & Acosta, G. E. (2014). Sistemas de información y

ética en los negocios. Administración informática: Análisis y evaluación de
tecnologías de la información. (pp. 67 – 118). Recuperado de https://elibro-
net.bibliotecavirtual.unad.edu.co/es/ereader/unad/39398
● ISACA. (2016). Cobit 4.1 en español. (pp. 22-109). Recuperado
de http://www.isaca.org/Knowledge-Center/cobit/Pages/Downloads.aspx
● INTECO. [Incibe]. (2010, 05, 21). Gestión y tratamiento de riesgos. [archivo de
video]. Recuperado de
● Solarte, F. N. J. [Universidad UNAD]. (2019, 01,23). Estructura del estándar
CobIT. Recuperado de http://hdl.handle.net/10596/23477 («Metodología Cobit»,
2016)
● Alfaro, J. C. (s. f.). Metodología para la gestión de riesgos de TI basada en
COBIT 5. 187.
● Metodología Cobit. (2016, junio 17). Metodoss.
https://metodoss.com/metodologia-cobit/(«COBIT», 2016)
● COBIT. (2016, octubre 30). AUDITORIA DE SISTEMAS.
https://fferia.wordpress.com/cobit/
● Cuarta web (2021-04-16 at 17:05 GMT-7)—Google Drive. (s. f.). Recuperado 2
de mayo de 2021, de
https://drive.google.com/file/d/1lMJvXguYfog61S8gXHomXcH_HIRIoBys/view
● Pacurucu, J., Narváez, C., Álvarez, J., & Parra, Y. (2019). Aplicación del sistema
COBIT en los procesos de auditoría informática para las cooperativas de ahorro
y crédito del segmento 5. Visionario Digital, 3, 445-475.
https://doi.org/10.33262/visionariodigital.v3i2.1..584