Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Fase 5 Grupo 32 Consolidado
Fase 5 Grupo 32 Consolidado
AUDITORIA DE SISTEMAS
Entregado por:
Presentado a:
Grupo: 90168_32
Por medio del presente documento se hace un informe final de todos los hallazgos encontrados
usando la metodología Cobit, por medio de esta metodología hemos auditado Emerge BPO
proceso en el cual hemos podido aplicar y hacer uso de las diferentes herramientas que esta
metodología nos provee.
Con entrevistas de análisis de cada dominio cada auditor ha podido dar un dictamen en cada
proceso asignado, permitiendo así dar un dictamen final Del Estado de la seguridad informática
de la compañía mencionada, en el caso del dominio que se encarga en dar soporte a la
compañía, se encuentra algunas falencias y algunos riesgos los cuales están debidamente
registrados y referenciados en los diferentes procesos de la auditoría para este caso en particular
en la matriz de riesgo, donde se indica que tiene un nivel de riesgo medio alto, debido a la no
aplicación de buenas prácticas tanto en el soporte con los usuarios, como en la seguridad de la
información permisos y roles de funcionarios.
Con esta metodología utilizada se hace uso intensivo de las buenas prácticas en auditorías en la
unidad de las tecnologías de la información permitiéndonos a cada uno de nosotros adquirir las
competencias necesarias para ponerlas en prácticas en nuestros ámbitos laborales
OBJETIVOS
ORGANIGRAMA DEPARTAMENTO TI
CARGOS Y FUNCIONES
ACTIVOS
Dentro de los activos informáticos de la empresa, se cuentan Switch de core, firewalls
principal y backup, clúster de servidores que cumplen funciones de controlador de dominios,
DNS, web, FTP, de correo, de impresión, BBDD, entornos de pruebas, entornos de desarrollo,
proxy, switches de acceso y distribución y equipos de cómputo.
PROGRAMA DE AUDITORÍA
OBJETIVOS DE LA AUDITORÍA
ALCANCE DE LA AUDITORÍA
El siguiente trabajo de auditoría aplicará CobIT como metodología para la evaluación y
análisis de los diferentes procesos y controles que se aplican en el departamento de TI. Aunque
la metodología trabaja en conjunto con los objetivos principales de la empresa, la auditoría se
centrará en el análisis de las tecnologías de información, aplicada al área con sede en Medellín.
RECURSOS
Dentro del alcance de los recursos se debe asignar personal que lleve a cabo las distintas
actividades de la auditoría y adicionalmente la empresa debe asumir los costos correspondientes
a las remediaciones a las que se tenga lugar, para lograr dan cumplimiento a los objetivos de la
auditoría.
● RECURSOS HUMANOS: se requiere que desde la empresa se disponga a personas
encargadas de cada área a auditar, para que hagan acompañamiento durante el proceso de
auditoría y puedan llevar a cabo los respectivos cuestionarios, encuestas y demás a los
cuales serán sometidos. Adicionalmente, se activará un conjunto de cinco (5) auditores
especializados en varias áreas específicas para llevar a cabo la auditoría.
Nombre Rol
CRONOGRAMA DE ACTIVIDADES
PLAN DE AUDITORÍA
Se han elegido los siguientes procesos: EDM02, EDM03 y EDM04, de los cuales
aplican los objetivos de control que se detallarán más adelante
En este proceso se deben tomar posibles riesgos para que cuando se genere un problema,
la empresa esté apto para enfrentarlo. Prever que cosas pudieran pasar y ver cómo solucionarlo
para conservar el valor (mitigar riesgos, eliminarlos).
Se deben tener los recursos necesarios para implementarlos en la empresa. Los gerentes y
directivos deben ver qué cosas le convienen más en la organización, por ejemplo: pueden invertir
en algún recurso que es caro, pero a futuro lo convendrá. A la hora de planear los servicios, se
debe analizar que le conviene más a largo plazo.
Se han elegido los siguientes procesos: APO01, APO04, APO11, APO12 y APO13, de
los cuales aplican los objetivos de control que se detallarán más adelante.
Este proceso tiene como fin ver que el objetivo, misión y visión no se pierda de vista.
Generar ideas y ver cuales pegan o concuerdan con mi misión. Se busca la alineación estratégica:
el servicio y los objetivos deben de ir a la par.
APO04. Administrar la innovación
En este proceso se buscan las diferentes herramientas o tecnologías que nos pudieran
servir para el servicio que quiero ofrecer.
Ver cómo voy a trabajar la información de ese servicio, voy a hacer una planeación, qué medidas
tomar para resguardar, etc.
Se han elegido los siguientes procesos: BAI01, BAI02, BAI08, BAI09 y BAI10, de los
cuales aplican los objetivos de control que se detallarán más adelante.
En este proceso implica que todo lo que se va a hacer esté bien definido.
Establecer qué cosa se va a realizar o construir, qué cosas va a llevar.
BAI08. Administrar el conocimiento
Cuando implementó un servicio ver que todos estén enterados si es que están
involucrados en el nuevo servicio, decirles en que le va a afectar y cosas que no me sirvan
quitarlas para tener mi información fiable.
Hasta este proceso ya tenemos el servicio, la tecnología, ahora definimos como van a
trabajar ese servicio cuando ya esté implementado en la organización. Se define la estructura a la
hora que lo implemente, nombrar todo lo que se va a hacer para implementarlo.
Se ha elegido los siguientes procesos: DSS01, DSS02, DSS05 y DSS06, de los cuales
aplican los objetivos de control que se detallarán más adelante.
Este proceso se encarga de ver todas las actividades que incluye el servicio, en este
apartado se administran todas las actividades que rodea el servicio que ofrezco.
Cuando utilizamos el servicio puede tener fallas, es por eso por lo que se generan
peticiones las cuales debo resolver con la mesa de ayuda para que otorguen posibles soluciones a
los incidentes que hace que mi servicio no funcione correctamente.
Se ha elegido los siguientes procesos: MEA01 y MEA02, de los cuales aplican los
objetivos de control que se detallarán más adelante.
Este proceso se encarga de evaluar resultados, objetivos (la métrica) y verificar que están
coincidiendo con la finalidad de ver que el proceso vaya por buen camino.
Evaluar cada paso que se esté llevando a cabo del servicio, en este proceso se evalúa
todos los dominios para verificar que todo lo que hagan sea lo correcto, en dado caso de que
estén fallando aplicar la mejora continua (regresar y estar evaluando todos los procesos para
mejorarlo o corregirlo).
PROGRAMA DE AUDITORÍA Y MATRIZ DE PRUEBA DE LOS PROCESOS
Evaluar, Dirigir y Monitorear (EDM)
Auditor encargado (Francisco Javier Rendón Arroyave)
PROCESO Departamento de TI
AUDITADO
MATERIAL DE COBIT
SOPORTE
Objetivo de control
SI NO
Entrevista
R/ No.
4. ¿Promueven una cultura consciente de los riesgos de TI?
R/ No.
6. ¿Implementan mecanismos para responder rápidamente a los riesgos cambiantes y notificar
inmediatamente a los niveles adecuados de gestión? (Que informan y como lo hacen)
R/ Si, por medio de la consola de antivirus, se informa alguna amenaza, se procede a informar al
área de Soporte Técnico para su remediación.
7. ¿Cada cuánto se realizan las revisiones a los sistemas de TI para evaluar posibles riesgos?
R/ Cuenta con controles de acceso biométrico a las zonas donde se encuentran los servidores y
centro de datos, a nivel físico. A nivel lógico, se cuenta con un equipo de firewall, servidores
proxy y los controles de acceso otorgados por medio de grupos de seguridad del directorio
activo.
FIRMA FIRMA
Cuestionario
Cuestionario de Control: C2
Pregunta Si No OBSERVACIONES
TOTALES 7 33
Nivel de Riesgo:
RIESGO:
Riesgos iniciales
1. No existe en la empresa una visión de riesgo ni se han tomado decisiones respecto a los
riesgos.
2. No se han evaluado todos los riesgos a los que los sistemas de TI de la empresa están
expuestos.
Matriz de riesgos.
HALLAZGOS DE LA AUDITORÍA H1
MATERIAL DE COBIT 5
SOPORTE
No se han evaluado todos los riesgos a los que los sistemas de TI de la empresa están expuestos.
CAUSAS
Desde la dirección de la empresa no se cuenta con una visión de riesgos, por lo cual no se ha
definido un plan estratégico ni modelo de gobierno para los mismos, que permita evaluar e
identificar todos los riesgos a los cuales se encuentra sometido el negocio y en especial los
sistemas de TI.
CONSECUENCIAS
Desinformación y no gestión para llevar a cabo las respectivas métricas de la empresa en cuanto
al gobierno de los procesos de la gestión de riesgos, afectando los objetivos específicos de la
organización.
No se pueden llevar a cabo planes de prevención, mitigación y mejora de riesgos, al no tener un
plan establecido.
RECOMENDACIONES
Desde la Dirección de la empresa, se debe establecer un gobierno de TI para la gestión de
riesgos, generar un plan estratégico para la elaboración de los diferentes modelos que permitan
tener una visión y gestión general de los riesgos de TI en toda la empresa, en donde se puedan
mitigar y prevenir los riesgos actuales y se pueda capacitar al personal para crear una
concientización interna en todos los colaboradores.
DICTAMEN AUDITORIA
OBJETIVO DE LA AUDITORÍA
DICTAMEN
No existe en la empresa una visión de riesgo ni se han tomado decisiones respecto a los
riesgos.
No se han evaluado todos los riesgos a los que los sistemas de TI de la empresa están
expuestos.
RECOMENDACIONES
Definir los diferentes roles y actividades que se llevarán a cabo, para lograr el cumplimiento de
los objetivos del negocio y las métricas de seguridad sobre las cuales están basados los mismos.
Crear el plan estratégico de gestión de riesgos, para que, por medio de la definición
estratégica generada desde la dirección de la compañía o el comité de gestión de riesgos, se
puedan identificar, gestionar, prevenir y mitigar los riesgos relevantes y que vayan surgiendo con
los sistemas de TI.
Establecer planes de auditoría mensuales que permitan hacer seguimiento sobre los
riesgos encontrados previamente y que permitan identificar riesgos resultantes de las mediciones
previas y que permitan al Comité, evaluar las acciones a tomar.
● Lista de chequeo
LISTA DE CHEQUEO
MEA01. Supervisar, Evaluar
Supervisar, Evaluar y Valorar
DOMINIO PROCESO y Valorar Rendimiento y
(MEA)
Conformidad
CONFORME
No. ASPECTO EVALUADO OBSERVACIÓN
SI NO
¿Se involucran las partes interesadas en el X
establecimiento y mantenimiento de un
enfoque de supervisión que permita definir
1 los objetivos, alcance y método de medición
de las soluciones de negocio, entrada del
servicio y la contribución a los objetivos de
negocio?
¿Se integra este enfoque con el sistema de X
gestión del rendimiento de la compañía?
2
CONFORME
No. ASPECTO EVALUADO OBSERVACIÓN
SI NO
2 ¿Se evidencia colaboración con las partes X
interesadas en la definición, revisión
periódica, actualización y aprobación de los
objetivos de rendimiento y cumplimiento
enmarcados dentro del sistema de medida del
rendimiento?
CONFORME
No. ASPECTO EVALUADO OBSERVACIÓN
SI NO
¿Se recopilan y procesan datos oportunos y X
precisos de acuerdo con los enfoques del
3
negocio?
CONFORME
No. ASPECTO EVALUADO OBSERVACIÓN
SI NO
¿Se realiza revisión y notificación de manera X
periódica sobre el desempeño respecto de los
objetivos, utilizando métodos que
4
proporcionen una visión completa y sucinta
del rendimiento de las TI y encaje con el
sistema corporativo de supervisión?
CONFORME
No. ASPECTO EVALUADO OBSERVACIÓN
SI NO
¿Se realiza apoyo a las partes interesadas en X
la identificación, inicio y seguimiento de las
5
acciones correctivas para solventar
anomalías?
● Entrevista
ENTREVISTA
ENTIDAD PÁGINA
Emerge BPO
AUDITADA 1 DE 2
AREA AUDITADA Departamento de TI
OBJETIVO DE LA Obtener información asociada al análisis de los indicadores
ENTREVISTA reportados en el departamento de TI
RESPONSABLE María Isabel Ramírez Ramírez
MATERIAL DE
COBIT
SOPORTE
DOMINIO MEA – Supervisar, Evaluar y Valorar
PROCESO MEA01 - Supervisar, Evaluar y Valorar el Rendimiento y la
Conformidad
6. ¿Los nuevos objetivos son sometidos a métricas y estándares para evaluar si estos son
adecuados?
12. ¿Se realiza la notificación de las medidas de manera oportuna? ¿Cómo manejan el
historial de estas?
13. ¿Se tiene un tiempo estipulado para el seguimiento a las acciones de mejora?
● Cuestionario
TOTALES 42 6
MATRIZ DE RIESGOS
IMPACTO
PROBABILIDAD Insignificante Menor Moderado Mayor Catastrófico
(1) (2) (3) (4) (5)
Raro (1) R7 R5 R1
Improbable (2) R6 R3
Posible (3) R4 R2
Probable (4)
DICTAMEN
Se califica un nivel de madurez 4 ADMINISTRADA; La empresa cuenta con unos
estándares para la supervisión, evaluación y análisis de cada uno de los objetivos de procesos
mediante el uso de indicadores de cumplimiento. Se identifican algunas acciones de mejora para
el proceso, en el cual la organización está comprometida con la aplicación de medidas
correctivas las cuales permitan a cada core del área llevar un control efectivo de las métricas ya
que se identifica baja coordinación por parte de la dirección de TI entre líderes del área para el
análisis de los no cumplimientos en el proceso de requerimientos, desactualización en los
formatos de indicadores y en los proceso de automatización para la recolección de datos.
RECOMENDACIONES
● Planeación y organización de cronograma para la evaluación de hallazgos presentados al
momento de desarrollo de cada requerimiento con el fin de identificar los no
cumplimientos de forma oportuna.
● Recopilación de la información que aún no se encuentran parametrizados en los
indicadores.
● Creación de formato para la identificación de procesos vigentes y aquellos que ya se
encuentran en ambiente del cliente.
● Revisión y constancia en acta de comité evaluativo donde se establecen objetivos para la
corrección de indicadores.
En Vitracoat Colombia SAS, el área de las ti tiene unas metodologías establecidas, para
realizar auditorías informáticas, verifica de manera constante las copias de seguridad, se tiene
implementada determinadas reglas en los Firewall por software, se tiene una copia o Backup de
los archivos bases de datos, configuraciones de servidores y demás aplicativos.
Las TI en la compañía Vitracoat, no solo realiza las tareas rutinarias del área, sino que
constantemente se está innovando en diferentes frentes, propone soluciones ágiles y realiza
minería de datos, crear informes a la gerencia de cómo está la compañía frente a la competencia,
desarrolla aplicativos que mejoran la productividad de los funcionarios, garantiza que los
servidores puedan seguir funcionando y en caso de fallas de alguno de estos, tiene contingencias
para dar continuidad a la operación.
Equipos – activos tecnológicos.
La compañía cuenta con cuatro servidores, tres funcionan con la plataforma Windows y
uno funciona con plataformas Linux, se cuenta con un AD directorio activo, bases de
producción, software de voz IP en máquinas virtuales de Linux, se tienen aplicaciones para los
asesores comerciales poder realizar pedidos, se tienen Router de la marca MikroTik los cuales
controlan las redes LAN Y WAN, se tiene un repositorio o base de conocimientos para dar
soluciones a los incidentes técnicos de primer y segundo nivel.
INTRODUCCIÓN
También se auditará todo lo referente a la calidad del servicio que presta el área de
soporte técnico, los manuales y bases de conocimientos que se tengan, que planes de
contingencia se tienen ante eventuales fallas críticas y mantener la continuidad del negocio.
PROCESO Departamento de TI
AUDITADO
MATERIAL DE COBIT
SOPORTE
AUDITOR RESPONSABLE
· Lista de chequeo
LISTA DE CHEQUEO
SI NO
SI NO
2 ¿Se documenta x
cada incidente y sus
soluciones está
dentro de los
servicios ofrecidos
o pactados?
LISTA DE CHEQUEO
SI NO
1 ¿Verificar si los x
requerimientos se les da
solución o en qué estado se
encuentran?
2 ¿Se verifica x
constantemente el estado y
funcionalidad de las
plataformas tecnológicas?
LISTA DE CHEQUEO
SI NO
SI NO
LISTA DE CHEQUEO
SI NO
· Entrevista
ENTREVISTA
ENTIDAD AUDITADA Emerge BPO PAGINA
DE
MATERIAL DE COBIT
SOPORTE
ENTREVISTADO
1. ¿Tiene seguimiento y control sobre los incidentes que se presentan en el día a día?
1. ¿Los agentes de soporte tienen la suficiente idoneidad para desempeñar las funciones de
su cargo?
1. ¿Se tiene control sobre los permisos efectivos de los funcionarios y terceros en las
aplicaciones redes y recursos compartidos?
1. ¿Se cuenta con herramientas de control, políticas GPO antivirus Firewall bloqueo
de dispositivos de almacenamiento?
1. ¿Qué pruebas se realizan en la red y demás aplicativos de la compañía, testea con alguna
herramienta la robustez de los sistemas informáticos?
_____________________________________________________________________________
_____________________________________________________________________________
● Cuestionario
Cuestionario de Control: C1
Pregunta Si No OBSERVACIONES
¿Se tiene claro todas las actividades que incluye 4
el servicio?
TOTALES 26 13
Análisis
Total-Si = 26
Total = 39
PR = Porcentaje de Riesgo
R1 Incumplimiento en el cronograma de 4 2
mantenimientos preventivos y correctivos de los
equipos tecnológicos
PROBABILIDA IMPACTO
D
Probable (4)
· Tratamiento de riesgos
No. Descripción Tratamiento
· Fuentes de conocimiento
001
ENTIDAD Emerge BPO PÁGINA
AUDITADA
1 DE 1
PROCESO Departamento de TI
AUDITADO
MATERIAL DE COBIT
SOPORTE
DE ANÁLISIS DE EJECUCIÓN
AUDITOR RESPONSABLE
Lista de chequeo
LISTA DE CHEQUEO
SI NO
SI NO
LISTA DE CHEQUEO
DOMINIO Entregar, Servir y Dar PROCESO DSS02. Administrar las
Soporte (DSS) solicitudes de servicios y los
incidentes
SI NO
1 ¿Verificar si los x
requerimientos se les da
solución o en qué estado se
encuentran?
SI NO
SI NO
SI NO
2 ¿Se tiene un listado o formatos x
de todos los permisos
asignados a los funcionarios, ya
sea por roles u orden
jerárquico, se controla quien
accede a la red y con qué nivel
de permisos?
LISTA DE CHEQUEO
SI NO
SI NO
· Entrevista
ENTREVISTA
DE
MATERIAL DE COBIT
SOPORTE
ENTREVISTADO
1. ¿Tiene seguimiento y control sobre los incidentes que se presentan en el día a día?
1. ¿Los agentes de soporte tienen la suficiente idoneidad para desempeñar las funciones de su
cargo?
1 ¿Se tiene control sobre los permisos efectivos de los funcionarios y terceros en las aplicaciones
redes y recursos compartidos?
1. ¿Se cuenta con herramientas de control, políticas GPO antivirus Firewall bloqueo de
dispositivos de almacenamiento?
1. ¿Qué pruebas se realizan en la red y demás aplicativos de la compañía, testea con alguna
herramienta la robustez de los sistemas informáticos?
_____________________________________________________________________________
__________________________________________________________________
Cuestionario de Control: C1
Pregunta Si No OBSERVACIONES
¿Se hacen pruebas de seguridad a las redes ya sean 2 Una vez al año
físicas o lógicas?
TOTALES 26 13
Análisis
Total-Si = 26
Total = 39
PR = Porcentaje de Riesgo
Matriz de riesgos
PROBABILIDAD IMPACTO
Insignificante (1) Menor Moderado (3) Mayor Catastrófico (5)
(2) (4)
Probable (4)
· Tratamiento de riesgos
2. HALLAZGOS
Emerge BPO
HALLAZGOS DE LA AUDITORÍA
· Tienen serias falencias al no controlar quién accede y los tipos de accesos y permisos
efectivos de la información de la compañía, tanto funcionarios o terceros.
· Los funcionarios de soporte de los diferentes niveles carecen de los conocimientos
técnicos necesarios para resolver de la mejor forma los incidentes que se presenten en la
compañía.
· Los manuales de procedimientos y bases de conocimientos están poco establecidos o
son casi nulos, falta más documentación de índole técnico y bases de datos de conocimientos.
· No se cierran todos los soportes o escalamientos a otros niveles, falta hacer
seguimiento sobre los incidentes y la solución a los casos abiertos.
CAUSAS
RECOMENDACIONES
· Se debe hacer hincapié en las contrataciones de personal técnico bien capacitado y con
los conocimientos y la experticia adecuada para dar solución y dar aportes con valores
agregados.
· Documentar todos los procesos de las TI, hacer auditorías cada cierto tiempo, realizar
listados de los funcionarios con accesos a los sistemas informáticos que permisos necesita y
que privilegios tienen y en base a esto hacer las correcciones respectivas.
· Hacer seguimiento detallado a todos los incidentes y su estado, hacer los correctivos
necesarios, adquirir documentación técnica y capacitar al personal de las TI.
3. CUADRO DE CONTROLES
4. DICTAMEN DE LA AUDITORÍA
Objetivos de la auditoría.
Recomendaciones
Doctor(a)
Estimados señores; después de haber revisado y auditado cada uno de sus procesos en el área de
sistemas TI, se concluye que su empresa se encuentra en un estado aceptable de madurez tipo 2
(Repetible) según los estándares usados en la metodología de auditoría de sistemas para nuestro
caso el COBIT.
Es de resaltar que se tiene cierto grado de madurez y eficiencia en sus procesos de soporte
técnico en los diferentes niveles, más sin embargo de se deben tomar medidas unas más urgentes
que otras, sobre todo en cuanto al tratamiento o manejo de la seguridad de la información en la
compañía Emerge BPO, se encuentran falencias a la hora de revisar los permisos de los
funcionarios y terceros en los servidores de archivos ya sean de tipo local File Server o la nube
Cloud.
Los niveles de servicio no son los mejores, ya que se deja durante mucho tiempo casos
abiertos sin resolver afectando esto la productividad de los funcionarios y a su vez el descontento
o inconformidad que el área de soporte, conduciendo esto a la larga a un desprestigio de esta área
y unos bajos niveles de servicio.
Es de anotar que los funcionarios de soporte están prestos a colaborar y se obtuvo de ellos
la información requerida en las entrevistas y cuestionarios que se les formuló durante la
auditoría.
Esperamos que las recomendaciones sean tomadas en cuenta y esto de solución y los
lleve a un nivel de eficiencia y productividad en su compañía Emerge BPO.
ALINEAR, PLANEAR Y ORGANIZAR (APO)
Auditor encargado (María Alejandra Sánchez Valencia)
● Fuentes de conocimiento
MATERIAL COBIT
DE
SOPORTE
DE ANÁLISIS DE EJECUCIÓN
● Lista de chequeo
LISTA DE CHEQUEO
● Entrevista
ENTREVISTA
MATERIAL DE COBIT
SOPORTE
ENTREVISTADO
CARGO
1. ¿La recopilación de los datos que se realizan para conocer la vida útil de equipo es la
más adecuada?
● Cuestionario
Pregunta Si N OBSERVACIONES
o
TOTALES 2 1
5 2
R6 Desactualización Software 3 5
R8 Incumplimiento en el reporte de la 5 5
información
MATRIZ DE RIESGOS
● Fuentes de conocimiento
PROCESO Departamento de TI
AUDITADO
RESPONSA Francisco Javier Rendón Arroyave, Gustavo Adolfo Benavides, María Alejandra
BLE Sánchez, María Isabel Ramírez Ramírez, Juan Crisóstomo Jaramillo
MATERIAL COBIT
DE
SOPORTE
● Lista de chequeo
LISTA DE CHEQUEO
● Entrevista
·
ENTREVISTA
MATERIAL DE COBIT
SOPORTE
CARGO Gerente de TI
1. ¿Disponen de un proceso que les permita llevar un control para el registro de nuevos
activos?
2. ¿Disponen de algún control o proceso que les permita la administración de los activos
actuales?
3. ¿De qué manera mantienen actualizada la base de datos de los activos de la empresa y
con qué frecuencia realizan mantenimiento?
7. ¿Cuentan con un proceso o control para la administración del ciclo de vida de los
activos de la empresa?
14. ¿Cuentan con procesos o controles para selección e identificación de las licencias
necesarias de TI?
15. ¿Disponen de procesos o controles para dar de baja las licencias que se encuentran
inactivas?
● Departamento de TI
Cuestionario de Control: C1
Pregunta Si N OBSERVACIONES
o
¿Disponen de algún control para categorizar los activos de 3 Se manejan por igual los
la empresa? activos
¿Les dan un manejo diferente a estos activos críticos? 3 Se manejan por igual los
activos
TOTALES 31 17
MATRIZ DE RIESGOS
Probabilidad Impacto
Insignificante (1) Menor (2) Moderado (3) Mayor (4) Catastrófico (5)
Raro (1)
Posible (3) B1 B5
Probable (4) B4
HALLAZGOS DE LA AUDITORIA B1
MATERIAL DE COBIT 5
SOPORTE
· No cuentan con un proceso que permita la revisión rutinaria de la línea base y así les
permita identificar y optimizar los costos alienados con las necesidades de la
empresa.
· No cuentan con un proceso que les permita realizar una comparación de costos a la
hora de adquirir nuevos activos.
CAUSAS
CONSECUENCIAS
RECOMENDACIONES
DICTAMEN AUDITORIA
OBJETIVO DE LA AUDITORIA
Realizar un análisis de la eficiencia de los Sistemas Informáticos de la empresa Emerge BPO,
verificar el cumplimiento de la Normativa en este ámbito, revisar de la eficaz gestión de los
recursos informáticos en departamento TI y la administración de diferentes activos de la
empresa.
DICTAMEN
Se califica un nivel de madurez 4 ADMINISTRADA; La empresa cuenta con un buen manejo de
los recursos y activos de la compañía, cuentan con la mayoría de sus procesos automatizados lo
cual les permite mantener la información actualizada e invertir muy poco tiempo en procesos
manuales, tienen un proceso definido para el manejo de la información de los activos y sus
respectivos procesos. Se identificaron algunas mejoras en unos procesos primordiales de la
empresa que les permitirá tener un control total de los activos siempre y cuando se apliquen las
recomendaciones mencionadas, lo cual podría incurrir en gastos incensarios y mantener la
información de la línea base actualizadas para que puedan tomar mejorar decisiones y soportadas
por la información real.
HALLAZGOS QUE SOPORTAN EL DICTAMEN:
·
No cuentan con un proceso que permita la revisión rutinaria de la línea base y así les
permita identificar y optimizar los costos alienados con las necesidades de la
empresa.
· No cuentan con un proceso que les permita realizar una comparación de costos a la
hora de adquirir nuevos activos
RECOMENDACIONES
· Controles para revisión continua de la línea de base de activos de la empresa
· Automatización del proceso de revisión de la línea base y que les permita contar con
información actualizada de los activos de la compañía
· Crear controles que permitan realizar comparación de costos de los activos nuevos
· Automatizar el proceso de comparación de costos que les permita disminuir los gastos
a la hora de adquirir nuevos activos.
INFORME FINAL AUDITORÍA
CONCLUSIONES
REFERENCIAS BIBLIOGRÁFICAS
● Favier Dubois (h.), E.; L. Spagnolo; Herramientas Legales para el Contador Público y
Estudios Profesionales, 1°ed., Ad Hoc, Argentina, 2013
● Braga, Graciela; “Aplicación de un marco de negocio de gestión y gobierno de
tecnología de información de la empresa a los sistemas de registros informáticos”, VII
Jornada Nacional de Derecho Contable, IADECO, Argentina, junio 2014
● Rodríguez, M. C. (2020). OVI, Riesgos Informáticos y su clasificación. Recuperado de:
https://repository.unad.edu.co/handle/10596/38481
● Encinosa, B., & J, L. (2018). Experiencias y perspectivas cubanas en la enseñanza
aprendizaje de las tecnologías de información y comunicaciones en la economía, la
contabilidad, la administración, la auditoría y las finanzas*. Revista Cubana de
Educación Superior, 37(1), 48-63
● AGUILERA, P. Seguridad informática. Editex, 2010. p.9-10,15-16
● AREITIO BERTOLÍN, J. 2009.Test de penetración y gestión de vulnerabilidades,
estrategia clave para evaluar la seguridad de red. p. 38-42. Recuperado de:
http://www.redeweb.com/_txt/653/36.pdf
● BASC. Riesgos Informáticos. 2013. Recuperado de: http://basccostarica.com/site/wp-
content/uploads/2013/04/riesgosinformatica.pdfControl Interno Informàtico. (2011,
junio 10). Auditoría de Sistemas. https://noris14.wordpress.com/2011/06/10/control-
interno-informatico/
· Santacruz Espinoza, J. J., Vega Abad, C. R., Pinos Castillo, L. F., & Cárdenas
Villavicencio, O. E. (2017). Sistema cobit en los procesos de auditorías de los sistemas
informáticos. Journal of Science and Research: Revista Ciencia e Investigación, 2(8), 65.
https://doi.org/10.26910/issn.2528-8083vol2iss8.2017pp65-68
Solares, S. P., Baca, U. G., & Acosta, G. E. (2014). Sistemas de información y ética en
los negocios. Administración informática: Análisis y evaluación de tecnologías de la
información. (pp. 67 – 118). Recuperado de
https://elibro-net.bibliotecavirtual.unad.edu.co/es/ereader/unad/39398
I NTECO. [Incibe]. (2010, 05, 21). Gestión y tratamiento de riesgos. [archivo de video].
Recuperado de
(«COBIT», 2016)
Cuarta web (2021-04-16 at 17:05 GMT-7)—Google Drive. (s. f.). Recuperado 2 de mayo de
2021, de https://drive.google.com/file/d/1lMJvXguYfog61S8gXHomXcH_HIRIoBys/view
Pacurucu, J., Narváez, C., Álvarez, J., & Parra, Y. (2019). Aplicación del sistema COBIT en los
procesos de auditoría informática para las cooperativas de ahorro y crédito del segmento 5.
Visionario Digital, 3, 445-475. https://doi.org/10.33262/visionariodigital.v3i2.1..584