Fase 5 Grupo 32 Consolidado

UNIDAD 5 – RESULTADOS FINALES DE LA AUDITORÍA
AUDITORIA DE SISTEMAS
Entregado por:
Francisco Javier Rendón Arroyave

Gustavo Adolfo Benavides
Juan Crisóstomo Jaramillo Pulgarín
María Alejandra Sánchez
María Isabel Ramírez Ramírez
Presentado a:
Angela Dayan Garay Villada
Grupo: 90168_32
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA - UNAD

ESCUELA DE CIENCIAS BÁSICAS TECNOLOGÍA E INGENIERÍA
mayo 2021
Medellín
INTRODUCCIÓN
Por medio del presente documento se hace un informe final de todos los hallazgos encontrados
usando la metodología Cobit, por medio de esta metodología hemos auditado Emerge BPO
proceso en el cual hemos podido aplicar y hacer uso de las diferentes herramientas que esta
metodología nos provee.
Con entrevistas de análisis de cada dominio cada auditor ha podido dar un dictamen en cada
proceso asignado, permitiendo así dar un dictamen final Del Estado de la seguridad informática
de la compañía mencionada, en el caso del dominio que se encarga en dar soporte a la
compañía, se encuentra algunas falencias y algunos riesgos los cuales están debidamente
registrados y referenciados en los diferentes procesos de la auditoría para este caso en particular
en la matriz de riesgo, donde se indica que tiene un nivel de riesgo medio alto, debido a la no
aplicación de buenas prácticas tanto en el soporte con los usuarios, como en la seguridad de la
información permisos y roles de funcionarios.
Con esta metodología utilizada se hace uso intensivo de las buenas prácticas en auditorías en la
unidad de las tecnologías de la información permitiéndonos a cada uno de nosotros adquirir las
competencias necesarias para ponerlas en prácticas en nuestros ámbitos laborales
OBJETIVOS
● Reconocer las definiciones y las diferencias entre los conceptos de vulnerabilidad,

amenaza y riesgos informáticos expuestos en una organización para determinar las causas
que los originan y resolver los problemas mediante la definición y aplicación de controles
● Desarrollar las fases y actividades de la metodología de auditoria informática basado en

un estándar internacional para ser aplicado en una empresa u organización
● Establecer el nivel de cumplimiento de la norma para definir los controles más

apropiados para mitigar los riesgos identificados.
INFORMACIÓN EMPRESA EMERGE BPO
La empresa Emerge BPO, es una PYME que se encuentra en proceso de especialización

en la gestión integral de clientes, consultoría y outsourcing de procesos de negocio en el ámbito
contact center. En cuanto al tema estructural, se encuentran varias dependencias, guiadas al
performance operativo, garantizar el correcto relacionamiento con los clientes externos y finales.
Con el fin de poder garantizar la sostenibilidad y confianza en su infraestructura, modelo de
soporte y sistemas internos, decide llevar a cabo un plan de auditoría basado en el estándar
CobIT, sobre su departamento de TI.
ORGANIGRAMA DEPARTAMENTO TI
CARGOS Y FUNCIONES
● Presidente: Dirigir y controlar el funcionamiento de la empresa, representar a la empresa

en todos los negocios y contratos con terceros en relación con el objeto de sociedad y
preside y convoca las reuniones de la junta directiva.
● CEO: Informar los objetivos de la empresa, gestión y logros de la empresa, toma
decisiones sobre la estrategia empresarial y tomar decisiones organizativas para un tiempo
determinado.
● Chief Technology Officer: Gestiona el equipo de profesionales TI de la compañía,
mantiene, desarrolla y articula la evolución de la dirección de la estrategia técnica de la
empresa y establece planes de actuación y protocolos para la gestión de incidencias TI.
● Director TI: Se encarga de que los departamentos de informática funcionen sin
contratiempos y eficientemente, trabaja con analistas de sistemas para mejorar
los sistemas informáticos.
● Gerentes de Soporte, Sistemas y Desarrollo: Planear y dirigir todo el funcionamiento del
área, elaborar e implementar nuevos sistemas que necesite la empresa, así como supervisar
y revisar la elaboración de proyectos.
● Coordinadores de Soporte, Sistemas y Desarrollo: Asegurar la operación e información de
los sistemas y plataformas de la empresa, coordinar con los grupos de trabajo y las
operaciones internas, intervenciones y actualizaciones sobre los equipos de TI.
● Técnico Helpdesk: Brindar soporte técnico eficaz y oportuno de acuerdo con las
necesidades del cliente interno, dar apoyo en las intervenciones y actualizaciones
requeridas.
● Administrador de sistemas: Garantizar el correcto funcionamiento de los servidores y
elementos de telecomunicaciones, dar apoyo en las intervenciones y actualizaciones
requeridas.
● Desarrollador de software: Creación y/o actualización del diferente software y BBDD,
propiedad de la empresa garantizando su correcto funcionamiento y con la disponibilidad
requerida.
SERVICIOS
Dentro de los servicios prestados por el departamento de TI se encuentran el establecer y
mantener la arquitectura de red y de servidores, con el fin de garantizar la operatividad de
controladores de dominio, servidores DNS, PBX distribuidos, virtualizaciones, firewalls y los
diferentes switches, monitoreo y remediaciones de fallas lógicas o físicas sobre todos los equipos
comprometidos en la infraestructura, así como la creación de software a la medida para el
desarrollo de las labores dentro del cliente interno, brindar soporte eficaz y oportuno ante las
incidencias y solicitudes del cliente interno.
ACTIVOS
Dentro de los activos informáticos de la empresa, se cuentan Switch de core, firewalls
principal y backup, clúster de servidores que cumplen funciones de controlador de dominios,
DNS, web, FTP, de correo, de impresión, BBDD, entornos de pruebas, entornos de desarrollo,
proxy, switches de acceso y distribución y equipos de cómputo.
PROGRAMA DE AUDITORÍA
OBJETIVOS DE LA AUDITORÍA
● Analizar y diagnosticar la actual gestión del departamento de TI de Emerge BPO en la

sede de Medellín.
● Plantear mejoras para la gestión del departamento de TI.
● Proponer nuevos procesos y actividades que ayudarán a identificar los controles que se
requieren para garantizar la gestión del departamento de TI
ALCANCE DE LA AUDITORÍA
El siguiente trabajo de auditoría aplicará CobIT como metodología para la evaluación y
análisis de los diferentes procesos y controles que se aplican en el departamento de TI. Aunque
la metodología trabaja en conjunto con los objetivos principales de la empresa, la auditoría se
centrará en el análisis de las tecnologías de información, aplicada al área con sede en Medellín.
Debido a que la sede está dedicada de manera exclusiva a garantizar la atención y

requerimientos de cliente extranjero (USA y España), con recurso humano competente, con
servicios articulados estratégicamente y en la cual debe garantizar operación constante, por lo
cual depende del servicio brindado por las diferentes áreas de TI.
De aquí, se partirá el análisis donde se identificarán las debilidades existentes y sus

riesgos potenciales, se expondrán una serie de conclusiones sobre los actuales procedimientos en
lo que refiere a TI, el cual ayudará a emitir recomendaciones
RECURSOS
Dentro del alcance de los recursos se debe asignar personal que lleve a cabo las distintas
actividades de la auditoría y adicionalmente la empresa debe asumir los costos correspondientes
a las remediaciones a las que se tenga lugar, para lograr dan cumplimiento a los objetivos de la
auditoría.
● RECURSOS HUMANOS: se requiere que desde la empresa se disponga a personas
encargadas de cada área a auditar, para que hagan acompañamiento durante el proceso de
auditoría y puedan llevar a cabo los respectivos cuestionarios, encuestas y demás a los
cuales serán sometidos. Adicionalmente, se activará un conjunto de cinco (5) auditores
especializados en varias áreas específicas para llevar a cabo la auditoría.
Nombre Rol
Francisco Javier Rendón Arroyave líder Auditor
Gustavo Adolfo Benavides Auditor
María Alejandra Sánchez Auditor
Juan Crisóstomo Jaramillo Auditor
María Isabel Ramírez Auditor
● RECURSOS MATERIALES: Se requiere disponer de una oficina donde se centrará el

proceso de auditoría y acceso a los diferentes centros de datos y lugares de la compañía
donde se debe llevar a cabo la auditoría.
● RECURSOS FINANCIEROS: Se requiere disponer de licencia de software para análisis
de vulnerabilidades y demás costos que conlleve la auditoría.
● RECURSOS TECNOLÓGICOS: El equipo auditor dispondrá de equipos propios para
los diferentes informes correspondientes a la auditoría, se requiere software para análisis de
vulnerabilidad, discos duros para evaluación de sistema de copias de respaldo y acceso a
centros de datos y servidores que tendrán alcance dentro de la auditoría.
TIPO DE AUDITORÍA Y FRECUENCIA
Interna / con una frecuencia mensual con fechas tales como:

● 15 marzo
● 19 abril
● 17 mayo
CRONOGRAMA DE ACTIVIDADES
● Elaboración de encuestas – Duración 1 día

● Realización de encuestas por parte de los colaboradores del área de TI - Duración 1 día
● Realización de encuestas por parte de las demás áreas – Duración 2 días
● Recolección, agrupación y análisis de resultados de las encuestas – Duración 2 días
● Revisiones de políticas de seguridad de infraestructura tecnológica de primera categoría -
Duración 5 días.
● Revisiones de seguridad en equipos de usuario final – Duración 2 días
● Remediación de vulnerabilidades encontradas por parte de la empresa – Duración 15 días
PLAN DE AUDITORÍA
Permitirá llevar a cabo el desarrollo de la auditoría, siguiendo las recomendaciones de

CobIT y expone los objetivos de control detallados de CobIT que tiene relación con la gestión de
TI. Del estudio de estos, se han seleccionado aquellos que tienen relación con la gestión de TI en
la sede Medellín de acuerdo con la encuesta realizada a dicha área y en otras áreas de manera
general, las cuales contribuirán a alcanzar los objetivos del negocio. A continuación, se exponen
los objetivos de control por dominios que han sido escogidos para la ejecución del trabajo de
auditoría de la gestión de TI del área en la sede Medellín.
Evaluar, Dirigir y Monitorear (EDM)
Auditor encargado: Francisco Javier Rendón
Se han elegido los siguientes procesos: EDM02, EDM03 y EDM04, de los cuales
aplican los objetivos de control que se detallarán más adelante
EDM02. Asegurar la entrega de valor
Se dan las métricas para que pueda elegir lo correcto.
EDM03. Asegurar la optimización de los riesgos
En este proceso se deben tomar posibles riesgos para que cuando se genere un problema,
la empresa esté apto para enfrentarlo. Prever que cosas pudieran pasar y ver cómo solucionarlo
para conservar el valor (mitigar riesgos, eliminarlos).
EDM04. Asegurar la optimización de los recursos
Se deben tener los recursos necesarios para implementarlos en la empresa. Los gerentes y
directivos deben ver qué cosas le convienen más en la organización, por ejemplo: pueden invertir
en algún recurso que es caro, pero a futuro lo convendrá. A la hora de planear los servicios, se
debe analizar que le conviene más a largo plazo.
Alinear, Planear y Organizar (APO)
Auditor encargado: María Alejandra Sánchez
Se han elegido los siguientes procesos: APO01, APO04, APO11, APO12 y APO13, de
los cuales aplican los objetivos de control que se detallarán más adelante.
APO01. Administrar el marco de la administración de TI
Este proceso tiene como fin ver que el objetivo, misión y visión no se pierda de vista.
Generar ideas y ver cuales pegan o concuerdan con mi misión. Se busca la alineación estratégica:
el servicio y los objetivos deben de ir a la par.
APO04. Administrar la innovación
En este proceso se buscan las diferentes herramientas o tecnologías que nos pudieran
servir para el servicio que quiero ofrecer.
APO11. Administrar la calidad
Dar a conocer los requisitos, estándares, lineamientos que deben de seguirse.
APO12. Administrar los riesgos
Del servicio que voy a implementar qué medidas voy a tomar
APO13. Administrar la seguridad
Ver cómo voy a trabajar la información de ese servicio, voy a hacer una planeación, qué medidas
tomar para resguardar, etc.
Construir, Adquirir e Implementar (BAI)
Auditor encargado: Gustavo Adolfo Benavides
Se han elegido los siguientes procesos: BAI01, BAI02, BAI08, BAI09 y BAI10, de los
cuales aplican los objetivos de control que se detallarán más adelante.
BAI01. Administrar programas y proyectos
Seleccionar los proyectos del portafolio de servicios para iniciar el proceso de su

ejecución. Posteriormente hacer un cronograma para la planeación de cómo se va a llevar a cabo
el servicio. En este proceso se lanza el inicio del servicio para llevar a cabo la construcción del
servicio.
BAI02. Administrar la definición de requerimientos
En este proceso implica que todo lo que se va a hacer esté bien definido.
Establecer qué cosa se va a realizar o construir, qué cosas va a llevar.
BAI08. Administrar el conocimiento
Cuando implementó un servicio ver que todos estén enterados si es que están
involucrados en el nuevo servicio, decirles en que le va a afectar y cosas que no me sirvan
quitarlas para tener mi información fiable.
BAI09. Administrar los activos
Buscar las tecnologías adecuadas para el servicio o aprovechar lo que ya tiene la

organización para aprovechar el servicio no más ni menos.
BAI10. Administrar la configuración
Hasta este proceso ya tenemos el servicio, la tecnología, ahora definimos como van a
trabajar ese servicio cuando ya esté implementado en la organización. Se define la estructura a la
hora que lo implemente, nombrar todo lo que se va a hacer para implementarlo.
Entregar, Servir y Dar Soporte (DSS)
Auditor encargado: Juan Crisóstomo Jaramillo
Se ha elegido los siguientes procesos: DSS01, DSS02, DSS05 y DSS06, de los cuales
aplican los objetivos de control que se detallarán más adelante.
DSS01. Administrar las operaciones
Este proceso se encarga de ver todas las actividades que incluye el servicio, en este
apartado se administran todas las actividades que rodea el servicio que ofrezco.
DSS02. Administrar las solicitudes de servicios y los incidentes
Cuando utilizamos el servicio puede tener fallas, es por eso por lo que se generan
peticiones las cuales debo resolver con la mesa de ayuda para que otorguen posibles soluciones a
los incidentes que hace que mi servicio no funcione correctamente.
DSS05. Administrar los servicios de seguridad

En este proceso se ven los roles de cada trabajador, el servicio que esté manejando, las
responsabilidades de cada uno y en base a eso asignar los privilegios a la información dentro de
una organización.
DSS06. Administrar los controles en los procesos de negocio

Este proceso se encarga de supervisar el buen funcionamiento del servicio, y ver que no
se caiga (buscar todos los medios para conservar el valor).
Supervisar, Evaluar y Valorar (MEA)
Auditor encargado: María Isabel Ramírez
Se ha elegido los siguientes procesos: MEA01 y MEA02, de los cuales aplican los
objetivos de control que se detallarán más adelante.
MEA01. Supervisar, Evaluar y Valorar Rendimiento y Conformidad
Este proceso se encarga de evaluar resultados, objetivos (la métrica) y verificar que están
coincidiendo con la finalidad de ver que el proceso vaya por buen camino.
MEA02. Supervisar, Evaluar y Valorar el Sistema de Control Interno
Evaluar cada paso que se esté llevando a cabo del servicio, en este proceso se evalúa
todos los dominios para verificar que todo lo que hagan sea lo correcto, en dado caso de que
estén fallando aplicar la mejora continua (regresar y estar evaluando todos los procesos para
mejorarlo o corregirlo).
PROGRAMA DE AUDITORÍA Y MATRIZ DE PRUEBA DE LOS PROCESOS
Evaluar, Dirigir y Monitorear (EDM)
Auditor encargado (Francisco Javier Rendón Arroyave)
INSTRUMENTOS DE RECOLECCIÓN DE INFORMACIÓN
FUENTES DE CONOCIMIENTO, PRUEBAS DE ANÁLISIS DE REF

AUDITORÍA
ENTIDAD Emerge BPO PÁGINA

AUDITADA
1 DE 1
PROCESO Departamento de TI
AUDITADO
RESPONSABLE Francisco Javier Rendón Arroyave, Gustavo Adolfo Benavides, María

Alejandra Sánchez, María Isabel Ramírez Ramírez, Juan Crisóstomo
Jaramillo
MATERIAL DE COBIT
SOPORTE
DOMINIO Evaluar, Dirigir y Monitorear (EDM)
PROCESO EDM03 – Asegurar la optimización de los riesgos
FUENTES DE REPOSITORIO DE PRUEBAS APLICABLES

CONOCIMIENTO
DE ANÁLISIS DE EJECUCIÓN
Entrevista con los ingenierosVerificar la existencia Verificación de documentación
encargados del área de de un marco adecuado y relacionada con los procesos de
informática y seguridad de la formal para la gestión gestión de riesgos.
información. de riesgos.
Verificar las acciones correctivas
Documentación relacionada con Validar el conocimiento para tratar las desviaciones en la
factores y problemas de riesgos de los colaboradores gestión de riesgos.
emergentes. con los diferentes
marcos de riesgos Verificación de la correcta
establecidos dentro de gestión de los procedimientos del
los procedimientos en el departamento de TI.
desempeño de sus
funciones. Verificar el aseguramiento de las
métricas propuestas.
Verificar procesos de
autoevaluación, Verificar la existencia de una
alineación y revisiones política empresarial de gestión de
periódicas de la correcta riesgos que permita la detección y
ejecución de la análisis de eventos que se
mitigación de riesgos y consideren de un riesgo para la
sus planes correctivos. ejecución de los procesos o que
viole la integridad y seguridad de
Verificar con el área de los servicios informáticos
RRHH los procesos de
captación de personal
capacitado y con las
competencias
necesarias para las
disposiciones de
optimización de riesgo
establecidas.
Lista Chequeo
Dominio Evaluar, Dirigir y Monitorear Proceso EDM03 – Asegurar la

(EDM) optimización de los
riesgos
Objetivo de control
Nº Aspecto evaluado conforme Observación
SI NO
1 Se encuentra determinado el nivel de riesgos X

relacionados con las TI
2 El plan empresarial de gestión de riesgos se X

encuentra actualizado
3 El plan empresarial de gestión de riesgos puede X

consultarse de manera pública o solamente por
el personal involucrado
4 Se encuentran implementados mecanismos para X

responder rápidamente a los riesgos
5 Supervisión de la gestión del perfil de riesgos de X

TI dentro de los umbrales de apetito de riesgo
6 Se promueve la cultura de prevención de riesgos X Si se realiza, sin

de TI embargo, no es de
manera proactiva.
Entrevista
1. ¿Se encuentra determinado el nivel de riesgos relacionados con las TI?

R/ Si, aunque no en el umbral que la empresa lo quisiera
2. ¿La empresa está dispuesta a asumir el nivel de riesgos para cumplir con sus objetivos?
R/ Si, aunque la idea es minimizarlos al máximo para evitar un nivel alto de fugas.
3. ¿Se evalúan las actividades de gestión de riesgos para garantizar su alineamiento a las
capacidades de la empresa?
R/ No.
4. ¿Promueven una cultura consciente de los riesgos de TI?
R/ Se realizan capacitaciones en donde se le manifiesta a los colaboradores la importancia de

minimizar riesgos informáticos.
5. ¿Actualmente se está impulsando en la empresa la identificación proactiva de riesgos
informáticos? ¿Cuáles?
R/ No.
6. ¿Implementan mecanismos para responder rápidamente a los riesgos cambiantes y notificar
inmediatamente a los niveles adecuados de gestión? (Que informan y como lo hacen)
R/ Si, por medio de la consola de antivirus, se informa alguna amenaza, se procede a informar al
área de Soporte Técnico para su remediación.
7. ¿Cada cuánto se realizan las revisiones a los sistemas de TI para evaluar posibles riesgos?
R/ No se realiza una revisión exhaustiva de ello.

8. ¿Cuáles son los niveles de seguridad que se manejan en la empresa?
R/ Cuenta con controles de acceso biométrico a las zonas donde se encuentran los servidores y
centro de datos, a nivel físico. A nivel lógico, se cuenta con un equipo de firewall, servidores
proxy y los controles de acceso otorgados por medio de grupos de seguridad del directorio
activo.
William González Francisco Javier Rendón Arroyave
NOMBRE ENTREVISTADO AUDITOR RESPONSABLE
FIRMA FIRMA
Cuestionario
Centro de informática / Área Gestión de la Tecnología
Cuestionario de Control: C2
Dominio Evaluar, Dirigir y Monitorear (EDM)
Proceso EDM03 – Asegurar la optimización de los riesgos
Pregunta Si No OBSERVACIONES
El plan empresarial de gestión de riesgos se encuentra 4

actualizado
Existe un canal de información de la gestión de riesgos a 3

los encargados del proceso
Se realizan revisiones a los sistemas de TI para evaluar 5

sus posibles riesgos.
Se realizan pruebas periódicas de monitoreo a la seguridad 5

del acceso a los sistemas de información internas y
externas.
Se encuentran definidos los niveles de impacto, acciones 5

específicas, personal a notificar, medidas de protección de
la confidencialidad antes los incidentes.
Se encuentran definidos elementos para detección, 5

correlación y evaluación de eventos y amenazas.
Se supervisa hasta qué punto se gestiona el perfil de riesgo 4

dentro de los umbrales de apetito de riesgo
Se realizan periódicamente estudios de vulnerabilidades y 5

se establecen planes de acción
Se promueve una cultura consciente de los riesgos de TI 2

Se impulsa a la empresa a una identificación proactiva de 2
riesgos TI, oportunidades e impactos potenciales en el
negocio
TOTALES 7 33
Nivel de Riesgo:
Porcentaje de riesgo parcial = (7 * 100) /40 = 17.5
Porcentaje de riesgo = 100 – 17.5 = 82.5
Para determinar el nivel de riesgo total, se tiene en cuenta la siguiente categorización:
1% - 30% = Riesgo Bajo
31% - 70% = Riesgo Medio
71% - 100% = Riesgo Alto
RIESGO:
Porcentaje de riesgo parcial:
Porcentaje de riesgo = 82.5
Impacto según relevancia del proceso: Riesgo Alto
Análisis y evaluación de riesgos
Riesgos iniciales
1. No existe en la empresa una visión de riesgo ni se han tomado decisiones respecto a los
riesgos.
2. No se han evaluado todos los riesgos a los que los sistemas de TI de la empresa están
expuestos.
3. Se requiere definir el plan estratégico para la gestión de riesgos de la empresa.
Riesgos con la aplicación de instrumentos
1. No se tiene establecida una evaluación periódica de los riesgos de los sistemas de IT de la

empresa.
2. No se cuenta con un plan de capacitación y concientización sobre la gestión de riesgos de

TI para los colaboradores de la empresa.
3. No se cuenta con un modelo de gobierno de TI para la gestión de riesgos de TI.
Matriz para medición de probabilidad e impacto de riesgos.
Riesgo Descripción Impacto Probabilidad
R1 No existe en la empresa una visión de riesgo 5 5

ni se han tomado decisiones respecto a los
riesgos.
R2 No se han evaluado todos los riesgos a los 5 4

que los sistemas de TI de la empresa están
expuestos.
R3 Se requiere definir el plan estratégico para la 5 5

gestión de riesgos de la empresa
R4 No se tiene establecida una evaluación 5 5

periódica de los riesgos de los sistemas de
IT de la empresa
R5 No se cuenta con un plan de capacitación y 4 4
concientización sobre la gestión de riesgos
de TI para los colaboradores de la empresa.
R6 No se cuenta con un modelo de gobierno de 4 5

TI para la gestión de riesgos de TI.
Matriz de riesgos.
Cuadro de tratamiento de riesgos

FORMATO DE HALLAZGOS
Emerge BPO REF
HALLAZGOS DE LA AUDITORÍA H1
PROCESO Departamento de TI PÁGINA

AUDITADO
1 DE 1
RESPONSABLE Francisco Javier Rendón Arroyave
MATERIAL DE COBIT 5
SOPORTE
DOMINIO Evaluar, PROCESO EDM03 – Asegurar la optimización de

Dirigir y los riesgos
Monitorear
(EDM)
DESCRIPCIÓN DEL HALLAZGO

No existe en la empresa una visión de riesgo ni se han tomado decisiones respecto a los riesgos.
No se han evaluado todos los riesgos a los que los sistemas de TI de la empresa están expuestos.
Se requiere definir el plan estratégico para la gestión de riesgos de la empresa.
No se tiene establecida una evaluación periódica de los riesgos de los sistemas de IT de la

empresa.
No se cuenta con un plan de capacitación y concientización sobre la gestión de riesgos de TI

para los colaboradores de la empresa.
No se cuenta con un modelo de gobierno de TI para la gestión de riesgos de TI.
CAUSAS
Desde la dirección de la empresa no se cuenta con una visión de riesgos, por lo cual no se ha
definido un plan estratégico ni modelo de gobierno para los mismos, que permita evaluar e
identificar todos los riesgos a los cuales se encuentra sometido el negocio y en especial los
sistemas de TI.
CONSECUENCIAS
Desinformación y no gestión para llevar a cabo las respectivas métricas de la empresa en cuanto
al gobierno de los procesos de la gestión de riesgos, afectando los objetivos específicos de la
organización.
No se pueden llevar a cabo planes de prevención, mitigación y mejora de riesgos, al no tener un
plan establecido.
VALORACIÓN DEL RIESGO
Porcentaje de riesgo parcial: 17,5%

Porcentaje de riesgo = 82.5%
Impacto según relevancia del proceso: Riesgo Alto
Zona de riesgo Extremo: Reducir el riesgo, evitar, compartir o transferir.
RECOMENDACIONES
Desde la Dirección de la empresa, se debe establecer un gobierno de TI para la gestión de
riesgos, generar un plan estratégico para la elaboración de los diferentes modelos que permitan
tener una visión y gestión general de los riesgos de TI en toda la empresa, en donde se puedan
mitigar y prevenir los riesgos actuales y se pueda capacitar al personal para crear una
concientización interna en todos los colaboradores.
CUADRO DE CONTROLES DE RIESGOS
RIESGOS O TIPO DE CONTROL SOLUCIONES O

HALLAZGOS CONTROLES
ENCONTRADOS
PREVEN CORREC DETEC
TIVO TIVO TIVO
Falta de modelo de gobierno X C1: Creación y definición

de TI para la gestión de de gobierno de gestión de
riesgos. riesgos (Comité de
Gestión de Riesgos)
C2: Definición de los

diferentes roles dentro
del gobierno de gestión
de riesgos, definiendo
actividades y
responsabilidades a cargo
por cada rol.
No existe visión de riesgo ni X C1: Definir dirección

se han tomado decisiones estratégica dentro de la
respecto a los riesgos. organización para la
gestión, identificación,
mitigación y prevención
de riesgos de los sistemas
de TI.
Falta de evaluación de todos X C1: Analizar los
los riesgos de los sistemas de diferentes riesgos de los
TI. sistemas de TI y evaluar
las medidas a tomar para
mitigar y prevenir los
mismos.
Falta de definición de plan X C1: Crear plan

estratégico para la gestión de estratégico para revisar y
riesgos. gestionar los diferentes
riesgos de los sistemas de
TI
Falta de evaluación X X X P1: Realizar procesos de

periódica de los riesgos de auditoría interna
TI. mensual, para revisar el
estado de los riesgos.
P2: Evaluar en comité de

gestión de riesgos, las
acciones a tomar con los
nuevos hallazgos
encontrados
semanalmente
C1: Crear plan de

auditorías internas,
estableciendo los
diferentes parámetros a
evaluar sobre los
sistemas de TI para
validar sus riesgos.
C2: Mitigar amenazas

encontradas durante el
proceso de auditoría
interna.
D1: Crear procesos de

automatización de
monitoreo de sistemas de
TI, con el fin de que se
puedan generar alertas
que puedan ser revisadas
y remediadas de forma
rápida.
Falta un plan de capacitación X C1: Crear plan de
y concientización sobre la capacitación para
gestión de riesgos para los concientizar y enseñar a
colaboradores. los colaboradores de la
empresa, sobre la gestión
de riesgos.
DICTAMEN AUDITORIA
PROCESO COBIT: EDM03 – Asegurar la optimización de los riesgos
OBJETIVO DE LA AUDITORÍA
Realizar un análisis de la eficiencia de los Sistemas Informáticos de la empresa Emerge

BPO, verificar el cumplimiento de la Normativa en este ámbito, revisar de la eficaz gestión de
los recursos informáticos en departamento TI y la administración de diferentes activos de la
empresa.
DICTAMEN
Se califica un nivel de madurez 1 INICIAL. La empresa es consciente de que se deben

establecer procesos que permitan que la organización pueda gestionar los riesgos de TI y que,
para poder llevar a cabo las métricas del negocio, deben ser establecidas. Se deben crear los
organismos de gobierno de gestión de riesgos de TI, roles y actividades asignadas, para llevar a
cabo la estandarización de los procesos, estableciendo planes de monitoreo y auditorías internas,
que puedan prevenir, detectar y mitigar cualquier riesgo latente que surja. Adicionalmente, se
debe crear un plan de concientización interna con los colaboradores, para reducir cualquier
especie de riesgo que pueda surgir desde allí.
HALLAZGOS QUE SOPORTAN EL DICTAMEN:
No existe en la empresa una visión de riesgo ni se han tomado decisiones respecto a los
riesgos.
No se han evaluado todos los riesgos a los que los sistemas de TI de la empresa están
expuestos.
Se requiere definir el plan estratégico para la gestión de riesgos de la empresa.
No se tiene establecida una evaluación periódica de los riesgos de los sistemas de IT de la

empresa.
No se cuenta con un plan de capacitación y concientización sobre la gestión de riesgos de

TI para los colaboradores de la empresa.
No se cuenta con un modelo de gobierno de TI para la gestión de riesgos de TI.
RECOMENDACIONES
Crear y definir el gobierno de gestión de riesgos de TI (Comité de Gestión de Riesgos).
Definir los diferentes roles y actividades que se llevarán a cabo, para lograr el cumplimiento de
los objetivos del negocio y las métricas de seguridad sobre las cuales están basados los mismos.
Crear el plan estratégico de gestión de riesgos, para que, por medio de la definición
estratégica generada desde la dirección de la compañía o el comité de gestión de riesgos, se
puedan identificar, gestionar, prevenir y mitigar los riesgos relevantes y que vayan surgiendo con
los sistemas de TI.
Establecer planes de auditoría mensuales que permitan hacer seguimiento sobre los
riesgos encontrados previamente y que permitan identificar riesgos resultantes de las mediciones
previas y que permitan al Comité, evaluar las acciones a tomar.
Establecer planes de monitoreo y de alarmas constantes, con el fin de lograr identificar

amenazas que vayan surgiendo en el día a día y que permitan la remediación pronta y efectiva.
Crear planes de capacitación con los colaboradores de la compañía en donde se pueda

informar y concientizar sobre la gestión de riesgos de sistemas de TI
SUPERVISAR, EVALUAR Y VALORAR (MEA)
Auditor encargado (Maria Isabel Ramírez Ramírez)

● Fuentes de conocimiento
CUADRO DE DEFINICIÓN DE FUENTE DE CONOCIMIENTO, REF

PRUEBAS DE ANÁLISIS DE AUDITORÍA 8598
Emerge BPO PÁGINA
ENTIDAD AUDITADA
1 DE 1
PROCESO AUDITADO Departamento de TI
Francisco Javier Rendón Arroyave, Gustavo Adolfo Benavides,
RESPONSABLE María Alejandra Sánchez, Juan Crisóstomo Jaramillo, María Isabel
Ramírez Ramírez
MATERIAL DE
COBIT
SOPORTE
DOMINIO Supervisar, Evaluar y Valorar (MEA)
MEA01. Supervisar, Evaluar y Valorar Rendimiento y
PROCESO
Conformidad
CONOCIMIENTO DE ANÁLISIS DE EJECUCIÓN
● Reportes y documentación Documentos: Sistema
de gráficos asociados a los ● Formatos de ● Verificar información
indicadores de indicadores de ambiente pruebas.
cumplimientos de proceso cumplimiento de las ● Solicitar acceso a la
de TI. actividades información y generar
● Listado de requerimientos y propuestas. datos de prueba.
sus respectivos estados ● Reporte con el ● Ejecutar verificación de
(estimación de tiempos, historial completo de conformidad por las
fecha de inicio y entrega). los últimos partes involucradas
● Reportes de control de requerimientos (Requerimiento en
cambios y plan de pruebas asignados y sus proceso)
generados en los procesos. respectivos estados.
● Reporte de historias
de usuario donde se
indique el
rendimiento y
conformidad con el
proceso ejecutado.
AUDITOR RESPONSABLE
María Isabel Ramírez Ramírez
● Lista de chequeo
LISTA DE CHEQUEO
MEA01. Supervisar, Evaluar
Supervisar, Evaluar y Valorar
DOMINIO PROCESO y Valorar Rendimiento y
(MEA)
Conformidad
OBJETIVO DE CONTROL MEA01.01 Establecer un enfoque de la supervisión.
CONFORME
No. ASPECTO EVALUADO OBSERVACIÓN
SI NO
¿Se involucran las partes interesadas en el X
establecimiento y mantenimiento de un
enfoque de supervisión que permita definir
1 los objetivos, alcance y método de medición
de las soluciones de negocio, entrada del
servicio y la contribución a los objetivos de
negocio?
¿Se integra este enfoque con el sistema de X
gestión del rendimiento de la compañía?
2
MEA01.02 Establecer los objetivos de cumplimiento y

OBJETIVO DE CONTROL
rendimiento.
CONFORME
SI NO
2 ¿Se evidencia colaboración con las partes X
interesadas en la definición, revisión
periódica, actualización y aprobación de los
objetivos de rendimiento y cumplimiento
enmarcados dentro del sistema de medida del
rendimiento?
MEA01.03 Recopilar y procesar los datos de cumplimiento y

OBJETIVO DE CONTROL
rendimiento.
CONFORME
SI NO
¿Se recopilan y procesan datos oportunos y X
precisos de acuerdo con los enfoques del
3
negocio?
OBJETIVO DE CONTROL MEA01.04 Analizar e informar sobre el rendimiento.
CONFORME
SI NO
¿Se realiza revisión y notificación de manera X
periódica sobre el desempeño respecto de los
objetivos, utilizando métodos que
4
proporcionen una visión completa y sucinta
del rendimiento de las TI y encaje con el
sistema corporativo de supervisión?
OBJETIVO DE CONTROL MEA01.05 Asegurar la implantación de medidas correctivas.
CONFORME
SI NO
¿Se realiza apoyo a las partes interesadas en X
la identificación, inicio y seguimiento de las
5
acciones correctivas para solventar
anomalías?
● Entrevista
ENTREVISTA
ENTIDAD PÁGINA
Emerge BPO
AUDITADA 1 DE 2
AREA AUDITADA Departamento de TI
OBJETIVO DE LA Obtener información asociada al análisis de los indicadores
ENTREVISTA reportados en el departamento de TI
RESPONSABLE María Isabel Ramírez Ramírez
MATERIAL DE
COBIT
SOPORTE
DOMINIO MEA – Supervisar, Evaluar y Valorar
PROCESO MEA01 - Supervisar, Evaluar y Valorar el Rendimiento y la
Conformidad
ENTREVISTADO William González

CARGO Director de TI
TEMA 1: Establecer un enfoque de la supervisión
1. ¿Realiza capacitaciones periódicas con el equipo de TI para implementar la supervisión

en cada una de las áreas del departamento?
2. ¿Qué objetivo busca alcanzar con la supervisión de los procesos?
3. ¿Con que fin buscan establecer el enfoque para la implementación de nuevos

requerimientos?
TEMA 2: Establecer los objetivos de cumplimiento y rendimiento
4. ¿Establecen objetivos a corto, mediano y largo plazo? ¿Por qué?
5. ¿Qué metodología aplican para la expansión de metas y objetivos?
6. ¿Los nuevos objetivos son sometidos a métricas y estándares para evaluar si estos son
adecuados?
TEMA 3: Recopilar y procesar los datos de cumplimiento y rendimiento
7. ¿Con qué frecuencia se realiza el estudio de indicadores?
8. ¿Qué sistemas implementan para la recolección de cumplimiento o incumplimientos en

los requerimientos?
9. ¿La recolección se realiza de manera automatizada o manual?
TEMA 4: Analizar e informar sobre el rendimiento
10. ¿El análisis de los hallazgos e indicadores es revisado mes vencido?
11. ¿Al identificar deficiencia en los indicadores, realizan plan de contingencia?
TEMA 5: Asegurar la implantación de medidas correctivas
12. ¿Se realiza la notificación de las medidas de manera oportuna? ¿Cómo manejan el
historial de estas?
13. ¿Se tiene un tiempo estipulado para el seguimiento a las acciones de mejora?
Auditores María Isabel Fecha de aplicación Marzo 2021

Ramírez Ramírez
● Cuestionario
Departamento de TI – Emerge BPO

Dominio MEA– Supervisar, Evaluar y Valorar
Proceso MEA01 Supervisar, Evaluar y Valorar el Rendimiento y la
Conformidad
¿Realiza capacitaciones periódicas con el 5
equipo de TI para implementar la
supervisión en cada una de las áreas del
departamento?
¿Qué objetivo busca alcanzar con la 1 N/A
supervisión de los procesos?
¿Buscan establecer el enfoque para la 4

implementación de nuevos requerimientos?
¿Establecen objetivos a corto, mediano y 3

largo plazo?
¿Aplican metodología para expansión de 4
metas y objetivos?
¿Los nuevos objetivos son sometidos a 3 Todos los objetivos y requerimiento

métricas y estándares para evaluar si estos para implementar no son sometidos a
son adecuados? procesos de estándares de evaluación
previo a su desarrollo
¿Con que frecuencia se realiza el estudio 5 El análisis se realiza un estudio
de indicadores? individual diariamente y un estudio
semanal con el equipo colaborativo
¿Qué sistemas implementan para la 1
recolección de cumplimiento o
incumplimientos en los requerimientos?
¿La recolección se realiza de manera 3 2

automatizada?
¿El análisis de los hallazgos e indicadores 4

es revisado mes vencido?
¿Al identificar deficiencia en los 5

indicadores, realizan plan de contingencia?
¿Se realiza la notificación de las medidas 3

de manera oportuna?
¿Se tiene un tiempo estipulado para el 5
seguimiento a las acciones de mejora?
TOTALES 42 6
ANÁLISIS Y EVALUACIÓN DE RIESGOS
PRP = Porcentaje de Riesgo parcial

Total-Si = 42
Total = 48
Total−Si∗100 42∗100 4200
PRP= = = =87,5
Total 48 48
PR = Porcentaje de Riesgo
PR=100−PRP=100−87,5=12,5
Por lo tanto, tenemos que:
⮚ El porcentaje de riesgo parcial es de 87,5%
⮚ El porcentaje de riesgo es de 12,5%
⮚ El impacto según la relevancia del proceso es Riesgo Bajo
N° Descripción Impacto Probabilidad

R1 Incumplimiento en la revisión periódica de los objetivos de 5 1
cumplimiento
R2 Desactualización de las métricas para la elaboración de 4 3
indicadores
R3 Implementación inadecuada de los métodos de notificación y 3 2

comunicación de manera periódica sobre el rendimiento
R4 No todos los objetivos y requerimientos a implementar son 3 3

sometidos a procesos de estándares de evaluación previo a su
desarrollo.
R5 No se evidencia un análisis constante de los indicadores 4 1
R6 No se cuenta con un sistema (App) para la recolección de 1 2

cumplimientos y no cumplimientos de los requerimientos
R7 Los procesos de automatización de recolección no son 3 1

completamente seguros
MATRIZ DE RIESGOS
IMPACTO
PROBABILIDAD Insignificante Menor Moderado Mayor Catastrófico
(1) (2) (3) (4) (5)
Raro (1) R7 R5 R1
Improbable (2) R6 R3
Posible (3) R4 R2
Probable (4)
Casi Seguro (5)
CUADRO TRATAMIENTO DE RIESGOS
No. Descripción Tratamiento

R1 Incumplimiento en la revisión periódica de los Reducirlo
objetivos de cumplimiento
R2 Desactualización de las métricas para la Evitarlo
elaboración de indicadores
R3 Implementación inadecuada de los métodos de Reducirlo

notificación y comunicación de manera
periódica sobre el rendimiento
R4 No todos los objetivos y requerimientos a Reducirlo

implementar son sometidos a procesos de
estándares de evaluación previo a su desarrollo.
R5 No se evidencia un análisis constante de los Transferirlo

indicadores
R6 No se cuenta con un sistema (App) para la Asumirlo

recolección de cumplimientos y no
cumplimientos de los requerimientos
R7 Los procesos de automatización de recolección Asumirlo

no son completamente seguros
CUADRO CONTROL DE RIESGOS
RIESGOS O TIPO DE CONTROL

SOLUCIONES O
HALLAZGOS PREVE CORRE DETEC CONTROLES
ENCONTRADOS NTIVO CTIVO TIVO
P1. Planeación y
organización de cronograma
para la evaluación de
Incumplimiento en la
hallazgos presentados al
revisión periódica de los
x momento de desarrollo de
objetivos de
cada requerimiento con el fin
cumplimiento
de identificar los no
cumplimientos de forma
oportuna.
C1. Recopilación de la
información que aún no se
Desactualización de las encuentran parametrizados en
métricas para la los indicadores.
elaboración de x C2. Creación de formato para
indicadores la identificación de procesos
vigentes y aquellos que ya se
encuentran en ambiente del
cliente.
P1. Planeación y
organización de cronograma
para evaluar los indicadores
No se evidencia un
presentados en comité.
análisis constante de los
x x C1. Revisión y constancia en
indicadores
acta de comité evaluativo
donde se establecen objetivos
para la corrección de
indicadores.
DICTAMEN AUDITORIA
PROCESO COBIT: MEA01. Supervisar, Evaluar y Valorar Rendimiento y Conformidad

OBJETIVO DE LA AUDITORÍA
Realizar un análisis y proponer nuevos procesos y actividades que ayudarán a identificar
los controles que se requieren para garantizar la gestión del departamento de TI.
DICTAMEN
Se califica un nivel de madurez 4 ADMINISTRADA; La empresa cuenta con unos
estándares para la supervisión, evaluación y análisis de cada uno de los objetivos de procesos
mediante el uso de indicadores de cumplimiento. Se identifican algunas acciones de mejora para
el proceso, en el cual la organización está comprometida con la aplicación de medidas
correctivas las cuales permitan a cada core del área llevar un control efectivo de las métricas ya
que se identifica baja coordinación por parte de la dirección de TI entre líderes del área para el
análisis de los no cumplimientos en el proceso de requerimientos, desactualización en los
formatos de indicadores y en los proceso de automatización para la recolección de datos.

● Desactualización de las métricas para la elaboración de indicadores
● Implementación inadecuada de los métodos de notificación y comunicación de manera
periódica sobre el rendimiento
● No se evidencia un análisis constante de los indicadores
● Los procesos de automatización de recolección no son completamente seguros
RECOMENDACIONES
● Planeación y organización de cronograma para la evaluación de hallazgos presentados al
momento de desarrollo de cada requerimiento con el fin de identificar los no
cumplimientos de forma oportuna.
● Recopilación de la información que aún no se encuentran parametrizados en los
indicadores.
● Creación de formato para la identificación de procesos vigentes y aquellos que ya se
encuentran en ambiente del cliente.
● Revisión y constancia en acta de comité evaluativo donde se establecen objetivos para la
corrección de indicadores.
UNIDAD 1 FASE 2 – PLANEACIÓN DE AUDITORÍA
Aporte Individual Juan Jaramillo Pulgarín
Área Objetivos Alcance
Se encarga de gerenciar y coordinar Coordina todas las áreas, RH,

Gerente General toda la parte directiva, es jefe directo de TI. Tomar las decisiones
los líderes de cada área trascendentales y el rumbo de la
compañía
Gerenciar toda la parte financiera de la Gerenciar la parte financiera,

Gerente Financiera compañía adicional, es encargada de las verificar los estados financieros
áreas como cartera y contabilidad. de la compañía, es el
subgerente es decir la
reemplazante del representante
legal
Coordinar y estructurar y planificar la Dirige toda la producción, tiene

Director de producción, verificar los procesos a su cargo el laboratorio o
producción productivos de la compañía, desarrollo y el área de
estandarizar la producción, realizar los mantenimiento. Coordina y
cambios necesarios para optimizar los ejecuta todos los planes, de
procesos. mejoras en la producción.
Controlar y velar por toda el área Comprende la coordinación de

Líder de contable, presentar en las fechas los procesos de innovación e
contabilidad indicadas los informes y cierres implementación de proyectos
contables estados de P Y G (pérdidas y de innovación.
ganancias) presentar a la gerencia
general y a la presidencia, todos los
informes, realizar la declaración de
impuestos ante la DIAN.
Tener las materias primas e insumos Coordina todas las compras y
Líder de Compras necesarios para la producción, hacer la nacionalizaciones, coordina la
nacionalización de las mercancías que logística de las exportaciones y
se importan, coordinar las ventas y negociaciones con los clientes
exportaciones. extranjeros y proveedores.
Coordinará y dirigirá toda la Ejecutar a cabalidad las

Líder de sistemas infraestructura y plataformas políticas establecidas para la
TI tecnológicas de la compañía, velará por seguridad informática, la
el buen funcionamiento de todos los integridad de la información,
softwares, bases de datos aplicativos y controlar y ejecutar los planes
coordinará los soportes a los usuarios y de mantenimiento a los equipos
mantenimientos a los equipos de tecnológicos, velar por el buen
cómputo y la seguridad de la uso de todos los equipos,
información. implementar y crear bases de
datos, planear la recolección de
la información vital de la
compañía, realizar las
configuraciones necesarias, en
servidores Router y las redes.
Funciones específicas del área de las TI.
En Vitracoat Colombia SAS, el área de las ti tiene unas metodologías establecidas, para
realizar auditorías informáticas, verifica de manera constante las copias de seguridad, se tiene
implementada determinadas reglas en los Firewall por software, se tiene una copia o Backup de
los archivos bases de datos, configuraciones de servidores y demás aplicativos.
Las TI en la compañía Vitracoat, no solo realiza las tareas rutinarias del área, sino que
constantemente se está innovando en diferentes frentes, propone soluciones ágiles y realiza
minería de datos, crear informes a la gerencia de cómo está la compañía frente a la competencia,
desarrolla aplicativos que mejoran la productividad de los funcionarios, garantiza que los
servidores puedan seguir funcionando y en caso de fallas de alguno de estos, tiene contingencias
para dar continuidad a la operación.
Equipos – activos tecnológicos.
La compañía cuenta con cuatro servidores, tres funcionan con la plataforma Windows y
uno funciona con plataformas Linux, se cuenta con un AD directorio activo, bases de
producción, software de voz IP en máquinas virtuales de Linux, se tienen aplicaciones para los
asesores comerciales poder realizar pedidos, se tienen Router de la marca MikroTik los cuales
controlan las redes LAN Y WAN, se tiene un repositorio o base de conocimientos para dar
soluciones a los incidentes técnicos de primer y segundo nivel.
UNIDAD 2 FASE 3 – EJECUCIÓN DE LA AUDITORÍA
Aporte Individual Juan Jaramillo Pulgarín
INTRODUCCIÓN
En el presente documento, se pretende abordar todo lo relacionado con la ejecución de un

proceso de auditoría; teniendo en cuenta cada uno de los instrumentos de recolección, análisis de
los riesgos encontrados y tratamiento de los mismos; tomando como base el entorno empresarial
Emerge BPO, donde se podremos validar los entornos y sistemas de la misma y garantizar la
correcta gestión de TI, para llevar a cabo guías de buenas prácticas, garantizando el buen uso de
los recursos tecnológicos y humanos.
También se auditará todo lo referente a la calidad del servicio que presta el área de
soporte técnico, los manuales y bases de conocimientos que se tengan, que planes de
contingencia se tienen ante eventuales fallas críticas y mantener la continuidad del negocio.

· Fuentes de conocimiento
CUADRO DE DEFINICIÓN DE FUENTE DE CONOCIMIENTO, PRUEBAS DE REF

ANÁLISIS DE AUDITORÍA
001

AUDITADA
1 DE 1
AUDITADO

Jaramillo
MATERIAL DE COBIT
SOPORTE
DOMINIO Entregar, Servir y Dar Soporte (DSS)
PROCESO DSS01. Administrar las operaciones

CONOCIMIENTO
● Documentación Documentos: ● Soportes.

relacionada con el soporte Documentación e ● Verificar los niveles de
técnico, manuales de información referente a cumplimiento pautados la agilidad
procedimientos establecidos. cómo se llevan a cabo y tiempos de respuestas a los
● Bases de conocimientos, los soportes y las incidentes que se presentan.
cronogramas de soportes, metodologías que se
documentación de referencia usan.
obtenida de fuentes confiables
y actualizadas.
AUDITOR RESPONSABLE
Juan Jaramillo Pulgarín
· Lista de chequeo
LISTA DE CHEQUEO
DOMINIO Entregar, Servir y PROCESO DSS01. Administrar las operaciones

Dar Soporte (DSS)
OBJETIVO DE DSS01. Verificar que se cumplan las actividades que incluye el

CONTROL servicio.
No. ASPECTO CONFORME OBSERVACIÓN

EVALUADO
SI NO
1 ¿Se tiene un listado x

o documentación de
todas las
actividades de
soporte que se
ofrecen?
OBJETIVO DE DSS01.1 Revisar cada ítem que cubra el soporte.

CONTROL

EVALUADO
SI NO
2 ¿Se documenta x
cada incidente y sus
soluciones está
dentro de los
servicios ofrecidos
o pactados?
LISTA DE CHEQUEO
DOMINIO Entregar, Servir y Dar PROCESO DSS02. Administrar las

Soporte (DSS) solicitudes de servicios y los
incidentes
OBJETIVO DE DSS02.1 Revisar el estado de cumplimiento de los servicios

CONTROL
No. ASPECTO EVALUADO CONFORME OBSERVACIÓN
SI NO
1 ¿Verificar si los x
requerimientos se les da
solución o en qué estado se
encuentran?
OBJETIVO DE DSS02.2 Comprobar el buen funcionamiento de las

CONTROL plataformas y equipos

SI NO
2 ¿Se verifica x
constantemente el estado y
funcionalidad de las
plataformas tecnológicas?
LISTA DE CHEQUEO
DOMINIO Entregar, Servir y Dar PROCESO DSS05. Administrar los

Soporte (DSS) servicios de seguridad
OBJETIVO DE DSS05.01 Comprobar permisos funciones y roles en las

CONTROL diferentes aplicaciones y redes.
SI NO
1 ¿Se audita que niveles de x

permisos se tienen en las
diferentes plataformas
tecnológicas ya sea a nivel
físico y lógico?
OBJETIVO DE DSS05.02 Revisión de responsabilidades de los funcionarios

CONTROL en los aplicativos de la compañía.
SI NO
2 ¿Se tiene un listado o x

formatos de todos los
permisos asignados a los
funcionarios, ya sea por roles
u orden jerárquico, se
controla quien accede a la red
y con qué nivel de permisos?
LISTA DE CHEQUEO
DOMINIO Entregar, Servir y Dar PROCESO DSS06. Administrar los

Soporte (DSS) controles en los procesos de
negocio
OBJETIVO DE CONTROL DSS06.01 Revisar los niveles de servicio y acuerdos de

cumplimiento, mitigación de fallos.

SI NO
1 ¿Se verifica y tiene planes de x

contingencia y prevención de
posibles fallos graves que
puedan afectar la calidad del
servicio?
OBJETIVO DE CONTROL DSS06.02 Planes de mitigación de fallas y continuidad del

negocio
SI NO
2 ¿Se toman medidas ante x

posibles desastres o fallas
críticas que puedan afectar
severamente la compañía y
qué planes para evitar al
máximo estas situaciones,
servicios de contingencia ante
un evento crítico?
· Entrevista
ENTREVISTA
ENTIDAD AUDITADA Emerge BPO PAGINA
DE
AREA AUDITADA Departamento de TI -Soporte
OBJETIVO DE LA Verificar la calidad del soporte, planes de contingencia

ENTREVISTA seguimiento y escalamiento de incidencias que se presenten
RESPONSABLE Juan Jaramillo Pulgarín
MATERIAL DE COBIT
SOPORTE
PROCESO DSS02. Administrar las solicitudes de servicios y los incidentes
ENTREVISTADO
CARGO Gerentes de Soporte, Sistemas y

Desarrollo
TEMA 1: Indagar sobre el soporte que se da a los usuarios.
1. ¿Tiene seguimiento y control sobre los incidentes que se presentan en el día a día?
1. ¿Los agentes de soporte tienen la suficiente idoneidad para desempeñar las funciones de
su cargo?
1. ¿Se hacen revisiones de rutinas y cierre a las incidencias que se presenten?
TEMA 2: Análisis de la seguridad
1. ¿Se tiene control sobre los permisos efectivos de los funcionarios y terceros en las
aplicaciones redes y recursos compartidos?
1. ¿Se cuenta con herramientas de control, políticas GPO antivirus Firewall bloqueo
de dispositivos de almacenamiento?
1. ¿Qué pruebas se realizan en la red y demás aplicativos de la compañía, testea con alguna
herramienta la robustez de los sistemas informáticos?
_____________________________________________________________________________
_____________________________________________________________________________
Auditores Juan Jaramillo Fecha de 10/04/2021

Pulgarín aplicación
● Cuestionario
Dominio Entregar, Servir y Dar Soporte (DSS)
Proceso DSS01. Administrar las operaciones
¿Se tiene claro todas las actividades que incluye 4
el servicio?
¿Sabe hasta dónde llega su dominio que 3

actividades puntuales debe realizar?
¿Se tiene un manual de procedimientos 2

establecido?
¿En caso de una falla masiva o desastre 4

inminente se tienen planes de contingencia?
¿Se controlan los accesos efectivos a las 4

plataformas tecnológicas de la compañía?
¿Cuándo se tiene incidentes, se clasifican y 4 Si se tiene un listado con

jerarquizan en alguna escala Ej. 1,2,3…? jerarquías.
¿Se hacen pruebas de seguridad a las redes ya 2 Una vez al año

sean físicas o lógicas?
¿Se hace seguimiento a cada incidente reportado 4

y sus respectivas soluciones?
¿Se hacen monitoreos del estado y 4

funcionamiento de la infraestructura
tecnológica?
¿Se revisa si terceros pueden acceder a 3

información confidencial o manipularla?
¿Los funcionarios de soporte de los diferentes 3 4

niveles tienen los conocimientos suficientes para
llevar a cabo sus funciones?
TOTALES 26 13
Porcentaje De Riesgo - Riesgo Parcial
Análisis
● Porcentaje De Riesgo - Riesgo Parcial
Total-Si = 26
Total = 39
⮚ El porcentaje de riesgo parcial es de 66.6%
⮚ El impacto según la relevancia del proceso medio alto según el análisis

· Análisis y evaluación de riesgos
R1 Incumplimiento en el cronograma de 4 2
mantenimientos preventivos y correctivos de los
equipos tecnológicos
R2 Pérdida de información crítica para la compañía 5 3
R3 Caída de los servicios de la red, Ej. Servidores de 5 2

voz de correo o de archivos.
R4 Soportes inadecuados, no cierre de los incidentes y 3 3

su correspondiente documentación
R5 Revisiones periódicas o rutinarias de la seguridad y 3 1

estabilidad de la red
R6 Documentación de procedimientos y manuales de 2 3

las plataformas tecnológicas.
R7 Falta de conocimientos técnicos y preparación 2 1

académica necesaria para resolver incidentes y dar
soluciones adecuadas a la compañía.
Matriz de riesgos
RESULTADOS DE LA MATRIZ DE RIESGOS
PROBABILIDA IMPACTO
D
Insignificante Menor Moderado Mayor Catastrófico (5)

(1) (3)
(2) (4)
Raro (1) R (6) R (4)
Improbable (2) R (3) R (5) R (1)
Posible (3) R (2)
Probable (4)
Casi Seguro (5)
· Tratamiento de riesgos
R1 Seguimiento y revisión de las actividades del servicio Controlarlo
R2 Administrar los incidentes y solicitudes de soporte Asumirlo
R3 Velar por la integridad de la información y que esta no sufra perdida Transferirlo
R4 Seguimiento de roles de cada rol de los empleados frente a los Controlarlo

sistemas de información y que estos no tengan accesos indebidos o no
autorizados.
R5 Medidas de contingencia ante posibles desastres críticos en servidores Transferirlo

de aplicaciones o bases de datos
R6 Administrar y supervisar el buen funcionamiento de servicios críticos Controlarlo

de la empresa y su continuidad
Auditor encargado (Juan Jaramillo Pulgarín)
· Fuentes de conocimiento
CUADRO DE DEFINICIÓN DE FUENTE DE CONOCIMIENTO, PRUEBAS DE REF

ANÁLISIS DE AUDITORÍA
001
AUDITADA
1 DE 1
AUDITADO

Jaramillo
MATERIAL DE COBIT
SOPORTE
PROCESO DSS01. Administrar las operaciones

CONOCIMIENTO
● Documentación Documentos: ● Soportes.

relacionada con el
soporte técnico, Documentación e ● Verificar los niveles de
manuales de información referente a cumplimiento pautados la
procedimientos cómo se llevan a cabo agilidad y tiempos de
establecidos. los soportes y las respuestas a los incidentes
metodologías que se que se presentan.
● Bases de usan.
conocimientos,
cronogramas de
soportes,
documentación de
referencia obtenida de
fuentes confiables y
actualizadas.
AUDITOR RESPONSABLE
Juan Jaramillo Pulgarín
Lista de chequeo
LISTA DE CHEQUEO
DOMINIO Entregar, Servir y PROCESO DSS01. Administrar las operaciones

Dar Soporte (DSS)
OBJETIVO DE DSS01. Verificar que se cumplan las actividades que incluye el

CONTROL servicio.

EVALUADO
SI NO
1 ¿Se tiene un listado x

o documentación de
todas las actividades
de soporte que se
ofrecen?
OBJETIVO DE DSS01.1 Revisar cada ítem que cubra el soporte.

CONTROL

EVALUADO
SI NO
2 ¿Se documenta cada x

incidente y sus
soluciones está
dentro de los
servicios ofrecidos o
pactados?
LISTA DE CHEQUEO
DOMINIO Entregar, Servir y Dar PROCESO DSS02. Administrar las
Soporte (DSS) solicitudes de servicios y los
incidentes
OBJETIVO DE CONTROL DSS02.1 Revisar el estado de cumplimiento de los servicios
SI NO
1 ¿Verificar si los x
requerimientos se les da
solución o en qué estado se
encuentran?
OBJETIVO DE CONTROL DSS02.2 Comprobar el buen funcionamiento de las plataformas

y equipos
SI NO
2 ¿Se verifica constantemente x

el estado y funcionalidad de
las plataformas
tecnológicas?
LISTA DE CHEQUEO
DOMINIO Entregar, Servir y Dar Soporte PROCESO DSS05. Administrar los

(DSS) servicios de seguridad
OBJETIVO DE CONTROL DSS05.01 Comprobar permisos funciones y roles en las

diferentes aplicaciones y redes.
SI NO
1 ¿Se audita que niveles de x

permisos se tienen en las
diferentes plataformas
tecnológicas ya sea a nivel
físico y lógico?
OBJETIVO DE CONTROL DSS05.02 Revisión de responsabilidades de los funcionarios en

los aplicativos de la compañía.
SI NO
2 ¿Se tiene un listado o formatos x
de todos los permisos
asignados a los funcionarios, ya
sea por roles u orden
jerárquico, se controla quien
accede a la red y con qué nivel
de permisos?
LISTA DE CHEQUEO
DOMINIO Entregar, Servir y Dar Soporte PROCESO DSS06. Administrar los

(DSS) controles en los procesos de
negocio
OBJETIVO DE CONTROL DSS06.01 Revisar los niveles de servicio y acuerdos de

cumplimiento, mitigación de fallos.
SI NO
1 ¿Se verifica y tiene planes de x

contingencia y prevención de
posibles fallos graves que
puedan afectar la calidad del
servicio?
OBJETIVO DE CONTROL DSS06.02 Planes de mitigación de fallas y continuidad del

negocio
SI NO
2 ¿Se toman medias ante x

posibles desastres o fallas
críticas que puedan afectar
severamente la compañía y qué
planes para evitar al máximo
estas situaciones, servicios de
contingencia ante un evento
crítico?
· Entrevista
ENTREVISTA
ENTIDAD AUDITADA Emerge BPO PÁGINA
DE
AREA AUDITADA Departamento de TI -Soporte
OBJETIVO DE LA Verificar la calidad del soporte, planes de contingencia

ENTREVISTA seguimiento y escalamiento de incidencias que se presenten
RESPONSABLE Juan Jaramillo Pulgarín
MATERIAL DE COBIT
SOPORTE
PROCESO DSS02. Administrar las solicitudes de servicios y los incidentes
ENTREVISTADO
CARGO Gerentes de Soporte, Sistemas y

Desarrollo
TEMA 1: Indagar sobre el soporte que se da a los usuarios.
1. ¿Tiene seguimiento y control sobre los incidentes que se presentan en el día a día?
1. ¿Los agentes de soporte tienen la suficiente idoneidad para desempeñar las funciones de su
cargo?
1. ¿Se hacen revisiones de rutinas y cierre a las incidencias que se presenten?
TEMA 2: Análisis de la seguridad
1 ¿Se tiene control sobre los permisos efectivos de los funcionarios y terceros en las aplicaciones
redes y recursos compartidos?
1. ¿Se cuenta con herramientas de control, políticas GPO antivirus Firewall bloqueo de
dispositivos de almacenamiento?
1. ¿Qué pruebas se realizan en la red y demás aplicativos de la compañía, testea con alguna
herramienta la robustez de los sistemas informáticos?
_____________________________________________________________________________
__________________________________________________________________
Auditores Juan Jaramillo Fecha de 10/04/2021

Pulgarín aplicación
● Cuestionario
Dominio Entregar, Servir y Dar Soporte (DSS)
Proceso DSS01. Administrar las operaciones
¿Se tiene claro todas las actividades que incluye el 4

servicio?
¿Sabe hasta dónde llega su dominio que actividades 3

puntuales debe realizar?
¿Se tiene un manual de procedimientos establecido? 2
¿En caso de una falla masiva o desastre inminente 4

se tienen planes de contingencia?
¿Se controlan los accesos efectivos a las 4

plataformas tecnológicas de la compañía?
¿Cuándo se tiene incidentes, se clasifican y 4 Si se tiene un listado con

jerarquizan en alguna escala Ej. 1,2,3…? jerarquías.
¿Se hacen pruebas de seguridad a las redes ya sean 2 Una vez al año
físicas o lógicas?
¿Se hace seguimiento a cada incidente reportado y 4

sus respectivas soluciones?
¿Se hacen monitoreos del estado y funcionamiento 4

de la infraestructura tecnológica?
¿Se revisa si terceros pueden acceder a información 3

confidencial o manipularla?
¿Los funcionarios de soporte de los diferentes 3 4

niveles tienen los conocimientos suficientes para
llevar a cabo sus funciones?
TOTALES 26 13
Porcentaje De Riesgo - Riesgo Parcial
Análisis
● Porcentaje De Riesgo - Riesgo Parcial
Total-Si = 26
Total = 39
⮚ El porcentaje de riesgo parcial es de 66.6%
⮚ El impacto según la relevancia del proceso medio alto según el análisis
· Análisis y evaluación de riesgos

R1 Incumplimiento en el cronograma de mantenimientos 4 2

preventivos y correctivos de los equipos tecnológicos
R2 Pérdida de información crítica para la compañía 5 3
R3 Caída de los servicios de la red, Ej. Servidores de voz 5 2

de correo o de archivos.
R4 Soportes inadecuados, no cierre de los incidentes y su 3 3

correspondiente documentación
R5 Revisiones periódicas o rutinarias de la seguridad y 3 1

estabilidad de la red
R6 Documentación de procedimientos y manuales de las 2 3

plataformas tecnológicas.
R7 Falta de conocimientos técnicos y preparación 2 1

académica necesaria para resolver incidentes y dar
soluciones adecuadas a la compañía.
Matriz de riesgos
RESULTADOS DE LA MATRIZ DE RIESGOS
PROBABILIDAD IMPACTO
Insignificante (1) Menor Moderado (3) Mayor Catastrófico (5)
(2) (4)
Raro (1) R (6) R (4)
Improbable (2) R (3) R (5) R (1)
Posible (3) R (2)
Probable (4)
Casi Seguro (5)
· Tratamiento de riesgos
R1 Seguimiento y revisión de las actividades del servicio Controlarlo
R2 Administrar los incidentes y solicitudes de soporte Asumirlo
R3 Velar por la integridad de la información y que esta no sufra pérdida Transferirlo

R4 Seguimiento de roles de cada rol de los empleados frente a los Controlarlo
sistemas de información y que estos no tengan accesos indebidos o no
autorizados.
R5 Medidas de contingencia ante posibles desastres críticos en servidores Transferirlo

de aplicaciones o bases de datos
R6 Administrar y supervisar el buen funcionamiento de servicios críticos Controlarlo

de la empresa y su continuidad
Auditor: Juan Crisóstomo Jaramillo Pulgarín
Dominio: Entregar, Servir y Dar Soporte (DSS)
Proceso: DSS01. Administrar las operaciones
1. MATRIZ DE RIESGOS FASE 3 – EJECUCIÓN
2. HALLAZGOS
Emerge BPO
HALLAZGOS DE LA AUDITORÍA
PROCESO Departamento de TI -Soporte

AUDITADO
RESPONSABLE Juan Crisóstomo Jaramillo Pulgarín

MATERIAL DE COBIT 5
SOPORTE
DOMINIO Entregar, Servir y Dar PROCESO DSS01. Administrar

Soporte (DSS) las operaciones
· Tienen serias falencias al no controlar quién accede y los tipos de accesos y permisos
efectivos de la información de la compañía, tanto funcionarios o terceros.
· Los funcionarios de soporte de los diferentes niveles carecen de los conocimientos
técnicos necesarios para resolver de la mejor forma los incidentes que se presenten en la
compañía.
· Los manuales de procedimientos y bases de conocimientos están poco establecidos o
son casi nulos, falta más documentación de índole técnico y bases de datos de conocimientos.
· No se cierran todos los soportes o escalamientos a otros niveles, falta hacer
seguimiento sobre los incidentes y la solución a los casos abiertos.
CAUSAS
· Falta de listas de chequeo y de unas políticas claras en el área de las tecnologías de la

información, no tienen la suficiente capacitación en seguridad informática, falta definir reglas
claras sobre los permisos de accesos.
· Al reclutar el personal de soporte TI, no se está teniendo en cuenta la experiencia, los
conocimientos técnicos para desempeñar las funciones de las TI, las pruebas técnicas y las
experticias de los funcionarios debe ser cada cierto tiempo para detectar anomalías.
· Cuando se crean los casos no se tiene la trazabilidad y el estado de estos, también se
debe crear encuestas de satisfacción del servicio con los usuarios.
· Documentar suficientemente los incidentes y sus respectivas soluciones, recopilar y
crear documentación técnica.
CONSECUENCIAS
· Si no se controla adecuadamente los permisos y accesos a la información de la

compañía, se corren riesgos muy altos de fugas o robos de información sensible para la
compañía, suplantación de funcionarios, riesgos altos de que la compañía se vea afectada ya
que la información confidencial de la empresa quede expuesta, peligro de posibles secuestros
de la información por piratas informáticos.
· El hecho que los funcionarios de soporte no poseen las suficientes competencias
académicas o técnicas lleva a que los niveles de servicio se vean afectados en gran medida,
también puede afectar de cierta forma el desempeño del funcionario que requiere el soporte o
el proceso donde se requiera el servicio o la solución del incidente.
· Al no tener la suficiente documentación técnica de los procesos y manuales de los
equipos tecnológicos de la compañía, no es posible dar solución o soportes adecuados ya que
se puede dar una mala solución, al no contar con las fichas técnicas de los diferentes equipos,
los soportes se ven afectados ya que no se dan las soluciones adecuadas, la falta de manuales
de procedimiento ralentiza la solución a los tickets o pedidos de soportes por parte de los
funcionarios de la compañía.
· El porcentaje de riesgo parcial es de 66.6%

· El impacto según la relevancia del proceso medio alto según el análisis
· Zona de riesgo Extremo: Reducir el riesgo, evitar, compartir o transferir
RECOMENDACIONES
· Se debe hacer hincapié en las contrataciones de personal técnico bien capacitado y con
los conocimientos y la experticia adecuada para dar solución y dar aportes con valores
agregados.
· Documentar todos los procesos de las TI, hacer auditorías cada cierto tiempo, realizar
listados de los funcionarios con accesos a los sistemas informáticos que permisos necesita y
que privilegios tienen y en base a esto hacer las correcciones respectivas.
· Hacer seguimiento detallado a todos los incidentes y su estado, hacer los correctivos
necesarios, adquirir documentación técnica y capacitar al personal de las TI.
3. CUADRO DE CONTROLES
RIESGOS O TIPO DE CONTROL SOLUCIONES

HALLAZGOS O
ENCONTRADOS CONTROLES
PREVENTIVO CORRECTIVO DETECTIVO
No se controla el X C1: Realizar

acceso a la auditoría a los
información, los recursos de red,
permisos efectivos file server,
sobre los recursos auditar qué
de la red. funcionario
puede acceder a
qué información
y solucionarlo.
Incumplimiento de C1: Organizar y

los cronogramas de documentar los
mantenimiento cronogramas de
mantenimiento,
llevar a cabo un
cumplimiento
estricto de estos,
verificación por
parte de los
directivos de las
TI que estos se
realicen de
manera correcta.
Carencia de los X X P1: Capacitar al
conocimientos personal técnico,
suficientes por crear una base
parte de los de
funcionarios de las conocimiento.
TI, baja C1: Hacer
capacitación en y seguimientos y
experticia técnica revisiones
para resolver los constantes de los
incidentes. incidentes y el
estado de estos,
encuestar a los
funcionarios y
medir la calidad
del servicio.
Los incidentes y X P1: Verificar

soportes no se que el cierre
cierran satisfactorio de
adecuadamente. todos los casos
abiertos y evitar
que esto se siga
repitiendo en el
tiempo.
4. DICTAMEN DE LA AUDITORÍA
PROCESO COBIT: (DSS) Entregar, Servir y Dar Soporte
Objetivos de la auditoría.
Auditar y analizar, los procesos de soporte técnico y de seguridad informática de Emerge

BPO, verificar que cumplan con las normas requeridas y con los estándares mínimos
actualmente establecidos, todo esto bajo la metodología de auditoría de sistemas para este caso
en particular la metodología COBIT
Dictamen.
Se le da una calificación de madurez de (2) Repetible.
Como se indicó anteriormente la empresa tiene algunas falencias en al área de soporte,

más sin embargo con una buena atención y replanteamiento de cómo se llevan a cabo los
procesos de soporte y solución de los incidentes, se podrá mejorar de manera ostensible los
niveles de acuerdo de servicio.
Para resaltar y tener en cuenta el tema de los cronogramas de mantenimiento de los

equipos tecnológicos asociados o dependientes del área de soporte en la compañía, adicional
documentar de forma adecuada todos los procesos y soluciones que se den, es decir tener unas
bases o fuentes con bitácoras de las soluciones de cada incidente.
En cuanto a la seguridad de la información es apremiante que se tomen acciones

correctivas a la brevedad posible, ya que este tema es crucial controlar los permisos efectivos
sobre la información o roles dentro de las aplicaciones de la empresa, revisar y auditar los logs e
identificar cualquier intrusión por personal no autorizado ya sea propio o ajeno a la compañía.
· Falta documentación de los procesos de soporte técnico
· Los funcionarios o agentes de soporte carecen de los conocimientos y de la

experticia técnica para dar solución a los incidentes que se presenten y esto se puede ver
reflejado en un incidente grave ya que puede afectar la continuidad del negocio.
· Se incumple con los cronogramas de mantenimiento de la infraestructura
tecnológica y equipos, faltan ventanas de mantenimiento preventivo y correctivo de las
aplicaciones.
· No se controla de manera adecuada los accesos a la información sensible o crítica
de la empresa, falta documentación de roles y permisos de cada funcionario sobre las
aplicaciones y recursos tecnológicos.
Recomendaciones
· Capacitar el personal de soporte, hacer evaluaciones rutinarias de sus

conocimientos y habilidades que les permita llevar a cabo sus labores de la mejor manera
con los resultados esperados por las partes.
· Documentar de manera metódica y acuciosa todo lo referente a los equipos
tecnológicos e infraestructura de red, implementar bases de conocimiento y que estas se
usen en agilizar los casos o incidentes de manera apropiada en cada caso.
· Cerrar de manera oportuna y satisfactoria para el usuario los casos o soportes que
se brinden, no dejar casos pendientes y sin solución por periodos de tiempo muy largos.
4. Elaborar el informe final de auditoría con los hallazgos y recomendaciones.
Medellín, 02 abril del 2021
Doctor(a)
Señores Emerge BPO
REF: GESTIONAR EL RIESGO
Estimados señores; después de haber revisado y auditado cada uno de sus procesos en el área de
sistemas TI, se concluye que su empresa se encuentra en un estado aceptable de madurez tipo 2
(Repetible) según los estándares usados en la metodología de auditoría de sistemas para nuestro
caso el COBIT.
Es de resaltar que se tiene cierto grado de madurez y eficiencia en sus procesos de soporte
técnico en los diferentes niveles, más sin embargo de se deben tomar medidas unas más urgentes
que otras, sobre todo en cuanto al tratamiento o manejo de la seguridad de la información en la
compañía Emerge BPO, se encuentran falencias a la hora de revisar los permisos de los
funcionarios y terceros en los servidores de archivos ya sean de tipo local File Server o la nube
Cloud.
La documentación es deficiente en cuanto a los equipos tecnológicos, se debe documentar

de manera ordenada y constante cada equipo ya sea nuevo o antiguo y se evita realizar malos
procedimientos a la hora de resolver incidentes, las bases de conocimientos se deben
implementar lo antes posible.
Los niveles de servicio no son los mejores, ya que se deja durante mucho tiempo casos
abiertos sin resolver afectando esto la productividad de los funcionarios y a su vez el descontento
o inconformidad que el área de soporte, conduciendo esto a la larga a un desprestigio de esta área
y unos bajos niveles de servicio.
Es de anotar que los funcionarios de soporte están prestos a colaborar y se obtuvo de ellos
la información requerida en las entrevistas y cuestionarios que se les formuló durante la
auditoría.
Esperamos que las recomendaciones sean tomadas en cuenta y esto de solución y los
lleve a un nivel de eficiencia y productividad en su compañía Emerge BPO.
ALINEAR, PLANEAR Y ORGANIZAR (APO)
Auditor encargado (María Alejandra Sánchez Valencia)

PRUEBAS DE ANÁLISIS DE AUDITORÍA

AUDITADA
1 D 1
E
PROCESO Funcionamiento del aspecto físico de la seguridad lógica

AUDITADO
RESPONSA María Alejandra Sánchez

BLE
MATERIAL COBIT
DE
SOPORTE
DOMINIO APO– Alinear, Planear y Organizar
PROCESO APO12- Gestionar el riesgo
FUENTES DE CONOCIMIENTO REPOSITORIO DE PRUEBAS APLICABLES
· Documentos relacionados con Documentos: Sistema

el hardware (facturas de · Análisis de hoja · Prueba de reporte
compra/depreciación) de vida de pc software
· Inventario hardware – · Facturas de · Prueba de red
obsolescencia (comparación partes compra · Pruebas de
internas del pc y las que se · Características del conocimientos de los
comercializan actualmente) ejm: equipo hardware y software
procesador · ficha técnica de
caracterización.
AUDITOR
RESPONSABLE
LISTA DE CHEQUEO
DOMINIO APO– Alinear, Planear y Organizar PROCESO APO12- Gestionar el riesgo
OBJETIVO DE APO12.1. Recopilar los datos

CONTROL
No. ASPECTO EVALUADO CONFORME OBSERVACIÓ

N
SI NO
1 ¿Identifican y recopilan datos relevantes para

catalizar una identificación, análisis y notificación
efectiva de riesgos relacionados con TI.?
● Entrevista
ENTREVISTA

AUDITADA
DE
AREA AUDITADA Gerencia de Innovación y Desarrollo Tecnológico -GIDT
OBJETIVO DE LA Recopilación de datos de la empresa Emerge BPO

ENTREVISTA
RESPONSABLE María Alejandra Sánchez
MATERIAL DE COBIT
SOPORTE
DOMINIO APO– Alinear, Planear y Organizar
PROCESO APO12- Gestionar el riesgo
ENTREVISTADO
CARGO
TEMA 1: Recopilar los datos
1. ¿La recopilación de los datos que se realizan para conocer la vida útil de equipo es la
más adecuada?
2. ¿Qué hacen en caso de que el equipo falle? ¿A quién acude?
3. ¿Cuántos mantenimientos se le han realizado al equipo?
Auditores Francisco Javier Rendón Líder Fecha de

auditor aplicación
Auditor
Auditor
Juan Crisóstomo Jaramillo
Auditor
María Isabel Ramírez Auditor
● Cuestionario
Empresa Emerge BPO

Dominio APO– Alinear, Planear y Organizar
Proceso APO12- Gestionar el riesgo
Pregunta Si N OBSERVACIONES
o
¿Se cuenta con un inventario de equipos de cómputo? 3
¿Si existe inventario contiene los siguientes ítems? 4

Número del computador
Fecha
Ubicación
Responsable
Características (memoria, procesador, monitor, disco duro)
Se lleva una hoja de vida por equipo
¿La hoja de vida del equipo tiene los datos? 3

Número de hoja de vida
Número del computador correspondiente
Falla reportada
Diagnóstico del encargado
Solución que se le dio
¿Se posee un registro de fallas detectadas en los equipos? 5
¿En el registro de fallas se tiene en cuenta con los siguientes 4

datos?
Fecha
Hora
Número de registro
Número del computador
Encargado
¿Al momento de presentar una falla en el equipo, la atención 4
que se presta es?
Inmediata
De una a 24 horas
De un día a 5 días
Más de 5 días
¿Se cuenta con servicio de mantenimiento para todos los 4 Trimestral

equipos?
¿Qué tipo de mantenimiento se lleva a cabo? 3 Preventivo

Mantenimiento preventivo
Mantenimiento correctivo
¿El personal que se encarga del mantenimiento es personal 2

capacitado?
¿Se lleva a cabo un procedimiento para la adquisición de 2

nuevos equipos?
¿La infraestructura tecnológica de los equipos soporta la 2

instalación de diferentes sistemas operativos?
¿Son compatibles software y hardware? 1
TOTALES 2 1
5 2

Proceso Significado Amenazas Vulnerabilidad Evaluación
Administrar el Este proceso tiene 2 3 24

marco de la como fin ver que el
administración de objetivo, misión y
TI visión no se pierda de
vista. Generar ideas y
ver cuales pegan o
concuerdan con mi
misión. Se busca la
alineación estratégica:
el servicio y los
objetivos deben de ir a
la par
Administrar la En este proceso se 2 2 16

innovación buscan las diferentes
herramientas o
tecnologías que nos
pudieran servir para el
servicio que quiero
ofrecer
Administrar la Dar a conocer los 1 3 12

calidad requisitos, estándares,
lineamientos que deben
de seguirse.
Administrar los Del servicio que voy a 1 1 4

riesgos implementar qué
medidas voy a tomar
Administrar la Ver cómo voy a 1 5 20

seguridad trabajar la información
de ese servicio, voy a
hacer una planeación,
qué medidas tomar para
resguardarla, etc.
R1 Incumplimiento en el cronograma de copias 4 2

de seguridad de equipos de cómputo de
usuarios y servidores
R2 Funcionamiento inadecuado de las 3 2

aplicaciones de software institucionales
R3 Indisponibilidad del servidor o equipos de 2 3

computo
R4 Funcionamiento inadecuado del 3 4

almacenamiento
R5 Fallas en las telecomunicaciones y/o fluido 4 1

eléctrico
R6 Desactualización Software 3 5
R7 Pérdida de información por virus 4 4

informáticos
R8 Incumplimiento en el reporte de la 5 5
información
R9 Uso indebido de la información 3 3
R10 Inadecuada utilización del portal Web 2 4

institucional
R11 Desconocimiento de los avances del Plan 1 3

Estratégico
R12 Accesos no autorizados a las instalaciones del 3 4
área tecnológica
MATRIZ DE RIESGOS
Proceso Significado Leve Moderado Catastrófico
Administrar el Este proceso tiene como Bajo

marco de la fin ver que el objetivo,
administración de misión y visión no se
TI pierda de vista. Generar
ideas y ver cuales pegan
o concuerdan con mi
misión. Se busca la
alineación estratégica: el
servicio y los objetivos
deben de ir a la par
Administrar la En este proceso se buscan Moderado

innovación las diferentes
herramientas o
tecnologías que nos
pudieras servir para el
servicio que quiero
ofrecer
Administrar la Dar a conocer los Moderado

calidad requisitos, estándares,
alineamientos que deben
de seguirse.
Administrar los Del servicio que voy a Moderado

riegos implementar que medidas
voy a tomar
Administrar la Ver cómo voy a trabajar Alto

seguridad la información de ese
servicio, voy a hacer una
planeación, qué medidas
tomar para resguardarla,
etc.
Proceso Significado Tipo de Control Solución o controles
Administrar el Este proceso tiene como MEJORA Capacitación del

marco de la fin ver que el objetivo, personal
administración de misión y visión no se Mejoramiento
TI pierda de vista. Generar continuo
ideas y ver cuales pegan o Estrategias del
concuerdan con mi misión. servicio
Se busca la alineación
estratégica: el servicio y
los objetivos deben de ir a
la par
Administrar la En este proceso se buscan PREVENTIVO Actualización de los

innovación las diferentes herramientas procesos
o tecnologías que nos Seguimiento del
pudieras servir para el cliente
servicio que quiero ofrecer
Administrar la Dar a conocer los PREVENTIVO Comunicaciones

calidad requisitos, estándares, vías web, correos.
alineamientos que deben Capacitaciones del
de seguirse. personal
Supervisión de los
aplicativos
Administrar los Del servicio que voy a PREVENTIVO Medidas de

riesgos implementar que medidas mejoramiento
voy a tomar Tablas de riesgos
Controles para
mitigar los procesos
Administrar la Ver cómo voy a trabajar la CORRECTIVO Sistemas de

seguridad información de ese seguridad en los
servicio, voy a hacer una computadores.
planeación, qué medidas Planeación
tomar para resguardarla, estratégica de los
etc. procesos y
procedimientos
Controles
administrativos
CONSTRUIR, ADQUIRIR E IMPLEMENTAR (BAI)
Auditor encargado (Gustavo Adolfo Benavides Atencio)

PRUEBAS DE ANÁLISIS DE AUDITORÍA

AUDITADA
1 D 1
E
AUDITADO
RESPONSA Francisco Javier Rendón Arroyave, Gustavo Adolfo Benavides, María Alejandra
BLE Sánchez, María Isabel Ramírez Ramírez, Juan Crisóstomo Jaramillo
MATERIAL COBIT
DE
SOPORTE
DOMINIO Construir, Adquirir e Implementar (BAI)
PROCESO BAI09. Administrar los activos

CONOCIMIENTO
● Documentos Documentos: Sistema

relacionados con los activos de ● Análisis de la ● Gestión de ciclos de vida de
la empresa, hardware, licencias, documentación de los los activos.
software diferentes activos de la ● Gestión de licencias y
● Inventario de los empresa, que permitan la software.
diferentes activos de la empresa, administración de estos. ● Validación de estados del
hardware, software, licencias, hardware.
etc.
AUDITOR RESPONSABLE
LISTA DE CHEQUEO
DOMINIO Construir, Adquirir e Implementar PROCESO BAI09. Administrar los

(BAI) activos
OBJETIVO DE CONTROL BAI09.01 Identificar y registrar evaluaciones actuales

N
SI NO
1 ¿Se mantiene la información real de los activos, x

alineados con la gestión de la configuración y la
gestión financiera?
OBJETIVO DE CONTROL BAI09.02 Gestionar evaluaciones críticas

N
SI NO
2 ¿Es posible gestionar los activos críticos y maximizar x

su confiabilidad y disponibilidad?
OBJETIVO DE CONTROL BAI09.03 Gestionar la evaluación del ciclo de vida

SI NO N
3 ¿se puede asegurar que los activos, desde la x

adquisición hasta el fin del ciclo de vida, se usen
efectiva y eficientemente?
OBJETIVO DE CONTROL BAI09.04 Optimizar la evaluación de costos

N
SI NO
4 ¿Se revisan rutinariamente la línea base e identifican x

maneras de optimizar los costos alineados con las
necesidades organizacionales?
OBJETIVO DE CONTROL BAI09.05 Administrar las licencias

N
SI NO
5 ¿Se puede gestionar el licenciamiento del software y x

asegurar que las licencias que se tienen soportan los
requerimientos del negocio y son suficientes para
cubrir el software en uso?
● Entrevista
·
ENTREVISTA
ENTIDAD AUDITADA Emerge BPO PAGINA

1 DE 1
AREA AUDITADA Departamento de TI
OBJETIVO DE LA Conocer y obtener la información sobre la administración de los

ENTREVISTA activos de la empresa
RESPONSABLE Gustavo Adolfo Benavides Atencio
MATERIAL DE COBIT
SOPORTE
DOMINIO Construir, Adquirir e Implementar (BAI)
PROCESO BAI09. Administrar los activos
ENTREVISTADO Juan Valderrama
CARGO Gerente de TI
TEMA 1: Identificar y registrar evaluaciones actuales
1. ¿Disponen de un proceso que les permita llevar un control para el registro de nuevos
activos?
2. ¿Disponen de algún control o proceso que les permita la administración de los activos
actuales?
3. ¿De qué manera mantienen actualizada la base de datos de los activos de la empresa y
con qué frecuencia realizan mantenimiento?
TEMA 2: Gestionar evaluaciones críticas
4. ¿Disponen de algún control para categorizar los activos de la empresa?
5. ¿Qué procesos utilizan para la administración de los activos críticos?
6. ¿Les dan un manejo diferente a estos activos críticos?

TEMA 3: Gestionar la evaluación del ciclo de vida
7. ¿Cuentan con un proceso o control para la administración del ciclo de vida de los
activos de la empresa?
8. ¿Dispone de un control para identificar el número de activos no utilizados y en uso?
9. ¿Dispone de un control para identificar el número de activos obsoletos?
TEMA 4: Optimizar la evaluación de costos
10. ¿Cuál es el porcentaje de servicios TI con costos operativos y beneficios esperados?
11. ¿Dispone de algún proceso o control de transparencia respecto a la información

financiera de TI?
12. ¿Dispone de un control o proceso para realizar la comparación de costos?
TEMA 5: Administrar las licencias
13. ¿Dispone de un control para identificar el porcentaje de licencias usadas respecto a

licencias pagadas?
14. ¿Cuentan con procesos o controles para selección e identificación de las licencias
necesarias de TI?
15. ¿Disponen de procesos o controles para dar de baja las licencias que se encuentran
inactivas?
Auditores Gustavo Benavides Fecha de aplicación 31/03/2021

● Cuestionario
● Departamento de TI
Dominio Construir, Adquirir e Implementar (BAI)
Proceso BAI09. Administrar los activos
Pregunta Si N OBSERVACIONES
o
¿Disponen de un proceso que les permita llevar un control 3

para el registro de nuevos activos?
¿Disponen de algún control o proceso que les permita la 5

administración de los activos actuales?
¿Cuentan con una base de datos actualizada para 3

almacenamiento de los activos?
¿Realizan mantenimientos de la base de datos de los 3

activos?
¿Disponen de algún control para categorizar los activos de 3 Se manejan por igual los
la empresa? activos
¿Les dan un manejo diferente a estos activos críticos? 3 Se manejan por igual los
activos
¿Cuentan con un proceso o control para la administración 3

del ciclo de vida de los activos de la empresa?
¿Dispone de un control para identificar el número de 3

activos no utilizados y en uso?
¿Dispone de un control para identificar el número de 3 Solo se dan baja lo que
activos obsoletos? no están en uso
¿Dispone de algún proceso o control de transparencia 5

respecto a la información financiera de TI?
¿Dispone de un control o proceso para realizar la 4 Existe un área encargada

comparación de costos? de realizar dicha
comparación
¿Dispone de un control para identificar el porcentaje de 3

licencias usadas respecto a licencias pagadas?
¿Cuentan con procesos o controles para selección e 4 Se realiza a demanda

identificación de las licencias necesarias de TI?
¿Disponen de procesos o controles para dar de baja las 3

licencias que se encuentran inactivas?
TOTALES 31 17

B1 Optimización de la línea base, para la optimización de 4 3

costos en la empresa
B2 Identificación de activos críticos 2 3
B3 Manejo de activos críticos 2 3
B4 Identificación de activos obsoletos 3 4
B5 Procesos para comparación de costos 5 3
B6 Proceso para selección de licencias 3 2
MATRIZ DE RIESGOS
Evaluación y Medidas de Respuesta
Probabilidad Impacto
Insignificante (1) Menor (2) Moderado (3) Mayor (4) Catastrófico (5)
Raro (1)
Improbable (2) B2, B3, B6
Posible (3) B1 B5
Probable (4) B4
Casi Seguro (5)
B1 Optimización de la línea base, para la Reducirlo

optimización de costos en la empresa
B2 Identificación de activos críticos Evitarlo
B3 Manejo de activos críticos Reducirlo
B4 Identificación de activos obsoletos Reducirlo
B5 Procesos para comparación de costos Transferirlo
B6 Proceso para selección de licencias Asumirlo
CUADRO CONTROL DE RIESGOS
RIESGOS O TIPO DE CONTROL SOLUCIONES O

HALLAZGOS CONTROLES
ENCONTRADOS
PREVEN CORREC DETECTI
TIVO TIVO VO
Optimización de la línea x C1: Automatización del

base, para la proceso de revisión de la
optimización de costos línea base de activos de
en la empresa empresa
Procesos para x C1: Automatizar el proceso

comparación de costos de comparación de costos
de los activos de la
empresa
Identificación de activos x P1: Automatizar proceso

críticos para identificación y
mantenimiento de los
activos
Manejo de activos x D1: Implementar plan de

críticos manejo de los activos
críticos de la empresa
Identificación de activos x P1: Crear procesos para

obsoletos identificar y quitar del
inventario los activos que
se encuentren obsoletos
Proceso para selección x D1: Crear un nuevo

de licencias proceso automatizado que
permita la selección de la
licencias a la hora de
adquirir activos
Emerge BPO REF
HALLAZGOS DE LA AUDITORIA B1
PROCESO Departamento de TI PAGINA

AUDITADO
1 DE 1
RESPONSABLE Gustavo Benavides
MATERIAL DE COBIT 5
SOPORTE
DOMINIO Construir, Adquirir e PROCESO BAI09. Administrar los

Implementar (BAI) activos
· No cuentan con un proceso que permita la revisión rutinaria de la línea base y así les
permita identificar y optimizar los costos alienados con las necesidades de la
empresa.
· No cuentan con un proceso que les permita realizar una comparación de costos a la
hora de adquirir nuevos activos.
CAUSAS
· No realizan el aprovechamiento de la tecnología para la automatización de varios

procesos que se realizan manualmente hoy día en la empresa, como lo son la revisión
de la línea base de activos de la empresa y un proceso de comparación de costos que
permita a la empre optimizar los costos.
CONSECUENCIAS
· Se logran evidenciar la disminución de los gastos producto de no contar con la

información actualizada de activos que forman parte de la empresa, lo cual muchas
veces incurren en gastos innecesarios.
· Muchas veces los costos se duplican al no tener un proceso que les permita comparar
los precios y estudiar el mercado, lo cual genera más gastos a la hora de adquirir
nuevos activos.
· Porcentaje de riesgo parcial: 81,57%

· Porcentaje de riesgo = 18,42%
· Impacto según relevancia del proceso: Riesgo Bajo
· Zona de riesgo Extremo: Reducir el riesgo, evitar, compartir o transferir
RECOMENDACIONES
· El gerente de TI, debe incentivar la creación de varios procesos que permitan

automatizar algunos procedimientos que se realizan hoy día manualmente, un
proceso que permita tener actualizada la línea base de activos de la empresa que les
permita contar con información actualizada y que les permita tomar mejores
decisiones, así como también un proceso que les permita la comparación de precios
lo cual les permita adquirir nuevos activos a mejores precios y les permita disminuir
los gastos.
DICTAMEN AUDITORIA
PROCESO COBIT: BAI09. Administrar los activos
OBJETIVO DE LA AUDITORIA
Realizar un análisis de la eficiencia de los Sistemas Informáticos de la empresa Emerge BPO,
verificar el cumplimiento de la Normativa en este ámbito, revisar de la eficaz gestión de los
recursos informáticos en departamento TI y la administración de diferentes activos de la
empresa.
DICTAMEN
Se califica un nivel de madurez 4 ADMINISTRADA; La empresa cuenta con un buen manejo de
los recursos y activos de la compañía, cuentan con la mayoría de sus procesos automatizados lo
cual les permite mantener la información actualizada e invertir muy poco tiempo en procesos
manuales, tienen un proceso definido para el manejo de la información de los activos y sus
respectivos procesos. Se identificaron algunas mejoras en unos procesos primordiales de la
empresa que les permitirá tener un control total de los activos siempre y cuando se apliquen las
recomendaciones mencionadas, lo cual podría incurrir en gastos incensarios y mantener la
información de la línea base actualizadas para que puedan tomar mejorar decisiones y soportadas
por la información real.
·
No cuentan con un proceso que permita la revisión rutinaria de la línea base y así les
permita identificar y optimizar los costos alienados con las necesidades de la
empresa.
· No cuentan con un proceso que les permita realizar una comparación de costos a la
hora de adquirir nuevos activos
RECOMENDACIONES
· Controles para revisión continua de la línea de base de activos de la empresa
· Automatización del proceso de revisión de la línea base y que les permita contar con
información actualizada de los activos de la compañía
· Crear controles que permitan realizar comparación de costos de los activos nuevos
· Automatizar el proceso de comparación de costos que les permita disminuir los gastos
a la hora de adquirir nuevos activos.
INFORME FINAL AUDITORÍA
CONCLUSIONES
REFERENCIAS BIBLIOGRÁFICAS
Rodríguez, M. C. (2020). OVI, Riesgos Informático y su clasificación. Recuperado de:

https://repository.unad.edu.co/handle/10596/38481
AREITIO BERTOLÍN, J. 2009.Test de penetración y gestión de vulnerabilidades,
estrategia clave para evaluar la seguridad de red. p. 38-42. Recuperado de:
http://www.redeweb.com/_txt/653/36.pdf
BASC. Riesgos Informáticos. 2013. Recuperado de: http://basccostarica.com/site/wp-
content/uploads/2013/04/riesgosinformatica.pdf
Control Interno Informàtico. (2011, junio 10). Auditoria de Sistemas.
https://noris14.wordpress.com/2011/06/10/control-interno-informatico/
Santacruz Espinoza, J. J., Vega Abad, C. R., Pinos Castillo, L. F., & Cárdenas
Villavicencio, O. E. (2017). Sistema cobit en los procesos de auditorías de los sistemas
informáticos. Journal of Science and Research: Revista Ciencia e Investigación, 2(8), 65.
https://doi.org/10.26910/issn.2528-8083vol2iss8.2017pp65-68
Solares, S. P., Baca, U. G., & Acosta, G. E. (2014). Sistemas de información y ética en
los negocios. Administración informática: Análisis y evaluación de tecnologías de la
información. (pp. 67 – 118). Recuperado
de https://elibro-net.bibliotecavirtual.unad.edu.co/es/ereader/unad/39398
ISACA. (2016). Cobit 4.1 en español. (pp. 22-109). Recuperado de
http://www.isaca.org/Knowledge-Center/cobit/Pages/Downloads.aspx
(Amenaza vs Vulnerabilidad, ¿sabes en qué se diferencian?, 2017)
Amenaza vs Vulnerabilidad, ¿sabes en qué se diferencian? (2017, marzo 20). INCIBE.

https://www.incibe.es/protege-tu-empresa/blog/amenaza-vs-vulnerabilidad-sabes-se-diferencian
● Auditoría de Seguridad Informática: ¿Por Qué es Necesario Realizarla? (s.
f.). Recuperado 8 de febrero de 2021, de https://uss.com.ar/corporativo/auditoria-
de-seguridad-informatica/
Proceso de Auditoría de la Seguridad de la información en las Instituciones supervisadas por la

CNBS. (s. f.). 43.
¿Qué es seguridad informática? | Netec Global Knowledge. (s. f.). Netec. Recuperado 8 de
febrero de 2021, de https://www.netec.com/que-es-seguridad-informatica
● Favier Dubois (h.), E.; L. Spagnolo; Herramientas Legales para el Contador Público y
Estudios Profesionales, 1°ed., Ad Hoc, Argentina, 2013
● Braga, Graciela; “Aplicación de un marco de negocio de gestión y gobierno de
tecnología de información de la empresa a los sistemas de registros informáticos”, VII
Jornada Nacional de Derecho Contable, IADECO, Argentina, junio 2014
● Rodríguez, M. C. (2020). OVI, Riesgos Informáticos y su clasificación. Recuperado de:
https://repository.unad.edu.co/handle/10596/38481
● Encinosa, B., & J, L. (2018). Experiencias y perspectivas cubanas en la enseñanza
aprendizaje de las tecnologías de información y comunicaciones en la economía, la
contabilidad, la administración, la auditoría y las finanzas*. Revista Cubana de
Educación Superior, 37(1), 48-63
● AGUILERA, P. Seguridad informática. Editex, 2010. p.9-10,15-16
● AREITIO BERTOLÍN, J. 2009.Test de penetración y gestión de vulnerabilidades,
estrategia clave para evaluar la seguridad de red. p. 38-42. Recuperado de:
http://www.redeweb.com/_txt/653/36.pdf
● BASC. Riesgos Informáticos. 2013. Recuperado de: http://basccostarica.com/site/wp-
content/uploads/2013/04/riesgosinformatica.pdfControl Interno Informàtico. (2011,
junio 10). Auditoría de Sistemas. https://noris14.wordpress.com/2011/06/10/control-
interno-informatico/
· Santacruz Espinoza, J. J., Vega Abad, C. R., Pinos Castillo, L. F., & Cárdenas
Villavicencio, O. E. (2017). Sistema cobit en los procesos de auditorías de los sistemas
informáticos. Journal of Science and Research: Revista Ciencia e Investigación, 2(8), 65.
https://doi.org/10.26910/issn.2528-8083vol2iss8.2017pp65-68
· Solares, S. P., Baca, U. G., & Acosta, G. E. (2014). Sistemas de información y

ética en los negocios. Administración informática: Análisis y evaluación de tecnologías
de la información. (pp. 67 – 118). Recuperado de https://elibro-
net.bibliotecavirtual.unad.edu.co/es/ereader/unad/39398
· ISACA. (2016). Cobit 4.1 en español. (pp. 22-109). Recuperado de

Solares, S. P., Baca, U. G., & Acosta, G. E. (2014). Sistemas de información y ética en
los negocios. Administración informática: Análisis y evaluación de tecnologías de la
información. (pp. 67 – 118). Recuperado de
https://elibro-net.bibliotecavirtual.unad.edu.co/es/ereader/unad/39398
ISACA. (2016). Cobit 4.1 en español. (pp. 22-109). Recuperado de

I NTECO. [Incibe]. (2010, 05, 21). Gestión y tratamiento de riesgos. [archivo de video].
Recuperado de
Solarte, F. N. J. [Universidad UNAD]. (2019, 01,23). Estructura del estándar CobIT.

Recuperado de http://hdl.handle.net/10596/23477
(«Metodología Cobit», 2016)
Alfaro, J. C. (s. f.). Metodología para la gestión de riesgos de TI basada en COBIT 5.

187.
Metodología Cobit. (2016, junio 17). Metodoss. https://metodoss.com/metodologia-cobit/
(«COBIT», 2016)
COBIT. (2016, octubre 30). AUDITORIA DE SISTEMAS.

https://fferia.wordpress.com/cobit/
Cuarta web (2021-04-16 at 17:05 GMT-7)—Google Drive. (s. f.). Recuperado 2 de mayo de
2021, de https://drive.google.com/file/d/1lMJvXguYfog61S8gXHomXcH_HIRIoBys/view
Pacurucu, J., Narváez, C., Álvarez, J., & Parra, Y. (2019). Aplicación del sistema COBIT en los
procesos de auditoría informática para las cooperativas de ahorro y crédito del segmento 5.
Visionario Digital, 3, 445-475. https://doi.org/10.33262/visionariodigital.v3i2.1..584

Fase 5 Grupo 32 Consolidado

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Fase 5 Grupo 32 Consolidado

Cargado por

Copyright:

Formatos disponibles

UNIDAD 5 – RESULTADOS FINALES DE LA AUDITORÍA

Francisco Javier Rendón Arroyave

Angela Dayan Garay Villada

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA - UNAD

● Reconocer las definiciones y las diferencias entre los conceptos de vulnerabilidad,

● Desarrollar las fases y actividades de la metodología de auditoria informática basado en

● Establecer el nivel de cumplimiento de la norma para definir los controles más

La empresa Emerge BPO, es una PYME que se encuentra en proceso de especialización

● Presidente: Dirigir y controlar el funcionamiento de la empresa, representar a la empresa

● Analizar y diagnosticar la actual gestión del departamento de TI de Emerge BPO en la

Debido a que la sede está dedicada de manera exclusiva a garantizar la atención y

De aquí, se partirá el análisis donde se identificarán las debilidades existentes y sus

Francisco Javier Rendón Arroyave líder Auditor

Gustavo Adolfo Benavides Auditor

María Alejandra Sánchez Auditor

Juan Crisóstomo Jaramillo Auditor

María Isabel Ramírez Auditor

● RECURSOS MATERIALES: Se requiere disponer de una oficina donde se centrará el

Interna / con una frecuencia mensual con fechas tales como:

● Elaboración de encuestas – Duración 1 día

Permitirá llevar a cabo el desarrollo de la auditoría, siguiendo las recomendaciones de

Auditor encargado: Francisco Javier Rendón

EDM02. Asegurar la entrega de valor

Se dan las métricas para que pueda elegir lo correcto.

EDM03. Asegurar la optimización de los riesgos

EDM04. Asegurar la optimización de los recursos

Alinear, Planear y Organizar (APO)

Auditor encargado: María Alejandra Sánchez

APO01. Administrar el marco de la administración de TI

APO11. Administrar la calidad

Dar a conocer los requisitos, estándares, lineamientos que deben de seguirse.

APO12. Administrar los riesgos

Del servicio que voy a implementar qué medidas voy a tomar

APO13. Administrar la seguridad

Construir, Adquirir e Implementar (BAI)

Auditor encargado: Gustavo Adolfo Benavides

BAI01. Administrar programas y proyectos

Seleccionar los proyectos del portafolio de servicios para iniciar el proceso de su

BAI02. Administrar la definición de requerimientos

BAI09. Administrar los activos

Buscar las tecnologías adecuadas para el servicio o aprovechar lo que ya tiene la

BAI10. Administrar la configuración

Entregar, Servir y Dar Soporte (DSS)

Auditor encargado: Juan Crisóstomo Jaramillo

DSS01. Administrar las operaciones

DSS02. Administrar las solicitudes de servicios y los incidentes

DSS05. Administrar los servicios de seguridad

DSS06. Administrar los controles en los procesos de negocio

Supervisar, Evaluar y Valorar (MEA)

Auditor encargado: María Isabel Ramírez

MEA01. Supervisar, Evaluar y Valorar Rendimiento y Conformidad

MEA02. Supervisar, Evaluar y Valorar el Sistema de Control Interno

INSTRUMENTOS DE RECOLECCIÓN DE INFORMACIÓN

FUENTES DE CONOCIMIENTO, PRUEBAS DE ANÁLISIS DE REF

ENTIDAD Emerge BPO PÁGINA

RESPONSABLE Francisco Javier Rendón Arroyave, Gustavo Adolfo Benavides, María

DOMINIO Evaluar, Dirigir y Monitorear (EDM)

PROCESO EDM03 – Asegurar la optimización de los riesgos

FUENTES DE REPOSITORIO DE PRUEBAS APLICABLES

Dominio Evaluar, Dirigir y Monitorear Proceso EDM03 – Asegurar la

Nº Aspecto evaluado conforme Observación

1 Se encuentra determinado el nivel de riesgos X

2 El plan empresarial de gestión de riesgos se X