Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Integrantes:
● Mirko Andre Jara Ramos
● Jack Meza Hinostroza
● Jesus Montenegro Solis
● María Milagros Llauce Chapoñan
● Kevin Alexander Larrea García
● Gutierrez Putpaña Diego Estefano
Docente:
● Mag. Ing. Becerra Pacherres Augusto Oscar
Lima – Perú
2022
INDICE
FASE I: LA EMPRESA.......................................................................................................... 5
Introducción........................................................................................................................ 5
Resumen............................................................................................................................. 5
Antecedentes....................................................................................................................... 5
Gestión de Cambio organizacional.......................................................................................6
Misión................................................................................................................................. 6
Visión.................................................................................................................................. 7
Análisis de empresas del sector.............................................................................................7
Objetivos............................................................................................................................. 7
Estrategias........................................................................................................................... 8
Valores................................................................................................................................ 8
Mercado.............................................................................................................................. 8
Matriz FODA...................................................................................................................... 9
Mapa estratégico............................................................................................................... 10
Matriz del Cuadro de Mando.............................................................................................11
Organigrama General........................................................................................................13
Cuadro de áreas, roles y funciones.....................................................................................13
Diseño de cadena de valor..................................................................................................16
Marco lógico...................................................................................................................... 16
Matriz de evaluación de factor interno y externo................................................................17
Gerencia de Sistemas......................................................................................................... 19
Organigrama de área.........................................................................................................19
Plan de auditoría de sistemas de información.....................................................................20
FASE II: PLANIFICACIÓN DEL PROCESO DE AUDITORÍA............................................21
Marco de referencia........................................................................................................... 21
Cronograma de actividades................................................................................................22
Ámbito de estudio.............................................................................................................. 27
Estudio de la problemática.................................................................................................27
Controles y riesgos.............................................................................................................28
Matriz de análisis de riesgos...............................................................................................29
Matriz de probabilidad e impacto......................................................................................30
Sistema de control interno..................................................................................................30
FASE III: PLAN DE TRABAJO............................................................................................31
Inicio de la Ejecución de la Auditoría Externa....................................................................31
Recaudación de la Documentación.....................................................................................43
Implementación del marco de trabajo................................................................................46
Preparación de Formularios de Trabajo:............................................................................48
Presentación de resultados.................................................................................................52
Informe de Gerencia TIC...................................................................................................53
Informe de Área de Desarrollo de Sistemas........................................................................54
Informe Área de soporte de hardware y redes....................................................................55
FASE 4 SÍNTESIS Y DIAGNÓSTICO.....................................................................................57
Introducción
Resumen
Antecedentes
La empresa ABC se fundó en el 15 de junio del 2015 esto por la demanda de bicicletas que
inició en ese mismo año el cual fue un rotundo éxito para la compañía, ya que hizo más de
100 pedidos en menos de 1 meses. Todo comenzó con pedidos sencillos como bicicletas para
niños que querían decorarlas con llamas de fuego o para las niñas que querían sus bicicletas
con fotos de Barbie entre otros. Después fue escalando a pedidos de bicicletas que eran
especialistas en concursos de carreras o de resistencia. Ya qué algunas personas son
deportistas que hacen ciclismo extremo y esto requiere que la bicicleta tenga mejoras en la
parte del diseño como las ruedas o el mismo mecanismo.
Ya que es la primera auditoría de sistemas que la empresa BikeStores tiene que hacer tres
tipos de cambios organizacionales:
Cambio de desarrollo:
Es el que permite mejorar los procesos y procedimientos de una empresa previamente
establecidos.
Cambio de transición:
Aleja a las compañías de su estado actual hacia uno que les permita resolver mejor sus
problemas; por lo general, conlleva fusiones o nuevas adquisiciones
Cambio transformacional:
Altera la cultura y el funcionamiento de una organización y requiere eliminar
comportamientos establecidos para impulsar nuevos hábitos y/o formas de pensar.
Después de ver qué tipo de cambio es el que se va a utilizar se tiene que hacer una estrategia
de comunicación que es escoger uno o varios agentes del cual se va a sustituir o reemplazar
por alguien de igual capacidad o superior por otro aspecto sería el entrenamiento del personal
para qué es testea en los estándares adecuados en sus cargos o por último un programa de
motivación qué es para que los empleados tengan una meta establecida en los programas en
los que es asignados cada uno al darles una recompensa como un aumento de su salario o
beneficios de oficina y ya sea como un tiempo extra para almorzar.
El siguiente paso sería la ejecución del método que se llegará a elegir y se tendría que ver los
efectos posteriores para ver si se ha tomado la medida Correcta. Por último, entramos en la
evaluación de los defectos qué es comparar la situación pasada con la actual para ver si se ha
tomado la mejor medida posible de pasar la evaluación esto se reporta y se registra en el acta
de la empresa para futuras mejoras y nuevos planes de gestión de cambio organizacional.
Misión.
Visión.
Objetivos
● Hacerse conocidos la industria de las bicicletas
● Tener un margen de ganancias muy amplio
● Que el cliente obtenga un producto de calidad
● Qué la distribución sea no solo a un nivel nacional sino internacional
Estrategias.
Nuestra estrategia sería hacer marketing de la marca por medio de las redes sociales como
Facebook, YouTube, Instagram, etc.
Para esto se tendrá que hacer medidas en la mejora de nuestro producto continuamente para
que los clientes tengan productos de calidad y que estos nos recomienden por esta misma.
Tener un promedio de días de entrega para saber cuáles son los lugares que más se solicita
estás mismas y que en sí se subdivide iría en áreas donde se podría llevar más de un producto
a la vez para disminuir costos.
Tener un tiempo de ensambla miento lo más corto posible esto al mejorar nuestros procesos
con la auditoría de sistemas y hacer el tiempo de entrega en un plazo mínimo de uno a tres
días ya que es el promedio aceptable en el que una persona puede esperar su producto.
Valores.
Clientes: Para BikeStores es muy importante el servicio y calidad que recibe el cliente a
diario en sus diferentes aspectos. Asimismo, esto ayuda a mejorar y crecer como empresa con
cada observación u opinión por parte de sus clientes.
Trabajadores: Los trabajadores son formados mediante cursos en el área técnica y humana,
orientados a propiciar un alto nivel de calidad en la atención al cliente.
Mercado.
Hoy en día con páginas web cómo Amazon o Mercado libre las empresas han tenido que
actualizarse al mundo digital ya que esto amplía las posibilidades de venta de los productos
ya que cientos de personas pueden entrar y ver los productos que uno tiene y comprarlo en
muy poco tiempo después de haber salido en la página web haciendo más fácil la obtención
del dinero para la compañía.
En el caso de la compañía BikeStores no es diferente ya que puede hacer más conocidos sus
productos y su calidad Además de que puede mostrar que pueden hacer pedidos
personalizados dependiendo de la situación en la cual se vaya a utilizar la bicicleta haciendo
que lleguen más pedidos personalizados que por ser de esta medida pueden ser más costosos
que uno regular haciendo que la empresa gané más pero que el cliente al mismo tiempo se
sienta satisfecho con el producto haciendo que este comunique esto a sus conocidos o amigos
para que ellos también comprende nuestra página web o también hagan sus pedidos
personalizados
Matriz FODA.
Para el diagnóstico de la empresa presentamos el siguiente gráfico que representa una matriz
de fortalezas, oportunidades, debilidades y amenazas.
Mapa estratégico.
Se han identificado sus KPIs o indicadores, fórmulas, unidades de medida y las metas para el
ejercicio 2022, las cuáles han sido proporcionadas por el análisis anterior de fortalezas,
oportunidades, debilidades y amenazas (FODA):
Organigrama General.
Roles Funciones
Marco lógico.
OBJETIVOS INDICADORES FUENTES SUPUESTOS
- Reportes de calidad
- Informe final
Oportunidades
O1 Regreso a la presencialidad de 0,4 2 0,8
estudiantes
Amenazas
1,5 3,5
Fortalezas
Debilidades
1,25 3,75
Gerencia de Sistemas.
Esta área o departamento de apoyo tiene la tarea de planificar, manejar, gestionar y evaluar
las tecnologías de información y sus aplicaciones realizadas. Estas actividades son llevadas a
cabo para asegurar el uso adecuado y aprovechar los recursos tecnológicos disponibles,
logrando optimizar procesos, servicios y recabar información que contribuya en parte en la
toma de decisiones de otras áreas a través de la implementación, desarrollo y control del
óptimo funcionamiento de los sistemas. Siendo el jefe de esta área encargado de las políticas
de tecnologías de información, alinear las estrategias de TIC con relación a las estrategias de
la empresa que mejoren los servicios ofrecidos distribuidos a otros.
Organigrama de área
Tipos de Auditoría:
Auditoría Interna:
Lo realiza un miembro de la empresa con los conocimientos suficientes para entregar un
trabajo óptimo que ayude con el mejoramiento de procesos a petición de la empresa.
Marco de referencia
ISO 19011
El documento ISO 19011 brinda conocimiento acerca de auditorías de sistemas de gestión, el
cual incluye principios de auditoría general, gestión de un programa de auditoría y la
ejecución de la auditoría del sistema de gestión. Asimismo, contempla una orientación sobre
el análisis de aptitudes de las personas que forman parte del proceso de auditoría.
Principios de auditoría
La auditoría es representada por el depósito de confianza en muchos principios. Estos hacen
que la auditoría pueda ser calificada como herramienta confiable para el apoyo a políticas y
controles de gestión, proporcionando información sobre el accionar de una organización para
mejorar su desempeño. El seguir estos principios forma parte de un prerrequisito para brindar
conclusiones de la auditoría que sean pertinentes y suficientes. Del mismo modo, este
seguimiento, permite que los auditores que trabajan independientemente entre sí lleguen a las
conclusiones similares bajo las mismas circunstancias.
Principio de independencia:
El auditor debe tener imparcialidad durante la auditoría y objetivo en las
conclusiones logradas en el proceso
Principio de evidencia:
Es el método de alcanzar conclusiones de auditoría que sean fiables
reproducibles.
Cronograma de actividades
1. Fase I:
Inicio
Toma de Contacto
Proceso de 12 al 16
Investigación del
problema · Análisis de
empresas del
sector
· Contactos
interno-externo
Presentación de · Empresa. 12 al 16
la empresa Antecedentes.
· Cultura. Clima.
Gestión de
Cambio
organizacional
· Misión. Visión.
Objetivos.
Estrategias.
Valores.
· Mercado. Matriz
FODA. Mapa
estratégico. Matriz
del Cuadro de
Mando
· Organigrama
General. Cuadro
de áreas, roles y
funciones
· Diseño de
cadena de valor.
Marco lógico.
· Matriz de
evaluación de
factor interno y
externo
· Gerencia de
Sistemas.
Organigrama
· Auditoría. Tipos.
Procesos.
Indicadores.
Documentación
· Plan de auditoría
de sistemas de
información
2. Fase II
Planificación del 18
Proceso de
Auditoría
Objetivos · Cronograma de 16 al 18
actividades
· Ámbito de
estudio
· Estudio de la
problemática
· Controles y
riesgos
· Matriz de
análisis de riesgos
· Sistema de
control interno
3. Fase III
Plan de Trabajo 23
· Recaudación de 18 al 30
la Documentación
· Implementación
del Marco de
Trabajo
· Preparación de
formularios de
trabajo
· Presentación de
Resultados
· Informe de
Gerencia de TIC
· Informe de Área
de Desarrollo de
Sistemas
· Informe de Área
de Soporte de
Hardware y Redes
· Informe de Área
de Proyectos de
Tecnología e
Innovación
4. Fase IV
Síntesis y 23
Diagnóstico
1 al
23
· Determinación
de puntos
débiles y fuertes
· Técnica de
recopilación de
información
· Identificación
de riesgos
· Valoración de
los riesgos
· Identificación
de posibles
controles de
riesgos
· Diagnóstico y
alternativas de
solución
· Cierre de la
fase de Síntesis
y Diagnóstico
5. Fase V
20
Conclusiones
23 al 3 al 20
31
· Inicio de la fase
de presentación
· Revisión de la
Auditoría
· Presentación de
Conclusiones
· Cierre de la fase
de Presentación
6. Fase VI
4
Redacción del
Informe
· Redacción del 20 al 1 al 4
informe y 30
formación del
plan de mejora
· Inicio de la fase
de redacción
· Presentación del
informe de
auditoría
· Presentación del
plan de mejora
Ámbito de estudio
Estudio de la problemática
Por lo tanto, la empresa Bikestore, debe acometer ver estos posibles problemas, que afectan a
la empresa en el ámbito productivo y venta de bicicletas, en el cual el punto principal del
problema de la compañía es de no contar con un especialista o el de tener área de sección en
base a la auditoría de sistemas. Porque en el caso de otras empresas que no integran
tecnología por completo y no saben utilizarla, provocando de alguna forma el uso de métodos
tradicionales. Este es el caso de la empresa Bikestore, que no cuenta con una renovación de
mejora continua para evadir problemas a futuro y de baja demanda en venta del producto. De
esta manera, el punto principal fijado es el área de producción que en términos internos a
veces no es supervisada la maquinaria empresarial, donde los procesos de ensamblaje, estado
de los materiales, y la poca inversión de la compañía afecta en forma negativa la baja
productividad y eficiencia en la empresa. Asimismo, teniendo en cuenta, que uno de los
factores importantes para la empresa es la diferenciación que impacta en el gusto del cliente.
Controles y riesgos
Controles:
C1: Autenticidad que permite verificar la identidad como passwords, firmas digitales
C2: Exactitud que aseguran la coherencia de los datos como validación de campos, validación
de excesos
C3: Privacidad que aseguran la protección de los datos como compactación, Encriptación
C4: Existencia que aseguran la disponibilidad de los datos como Bitácora de estado,
mantenimiento de activos.
Riesgos:
Sistema de control interno basado en COSO para la correcta gestión de riesgo y monitoreo de
la organización.
Iniciación de la Auditoría
responsables
Evaluación del Proceso
Pruebas de Auditoría
tipo
Ficha Técnica
Estado Activo
Programa de Auditoría
Objetivos
Normativa Aplicable
2. Procesamiento
2.1 Verificar en el documento de requerimientos
que están descritas las 92 reglas de negocio.
Programa de Auditoría
Objetivos
Normativa Aplicable
2. Procesamiento
Programa de Auditoría
Objetivos
Normativa Aplicable
2. Procesamiento
Programa de Auditoría
Objetivos
Normativa Aplicable
2. Procesamiento
Recaudación de la Documentación
Versión 1.0
Patrocinador principal
Objetivo
General
Específico
Requerimientos y Tiempos
De donde
Aprobaciones
Jefe de Proyecto
Jesús Montenegro
Cliente principal
Representante de la Empresa
Bikestore
Implementación del marco de trabajo
Como el COBIT está orientado al negocio, es directo su uso para comprender los objetivos
de control de TI con el fin de administrar los riesgos del negocio relacionados con la misma
de la siguiente forma:
Para entender mejor el marco de trabajo COBIT se debe tener conocimiento de que este
proporciona a la alta gerencia un entendimiento más detallado de los conceptos clave y
principios de COBIT, describiendo en detalle los 34 objetivos de control de alto nivel e
identifica los requerimientos de negocio para la información y los recursos de TI que son
impactados en forma primaria por cada objetivo de control agrupándolos en los cuatro
dominios (Planeación y Organización, Adquisición e Implementación, Entrega de servicios y
Soporte y Monitoreo).
Los dominios de COBIT enfocados con los objetivos de control permiten conocer los
requerimientos del negocio, los recursos del área de TI y los procesos de TI para ofrecer
planeación, monitoreo y soporte.
Como se aplica
Situación:
El área de gerencia de TIC cuenta con pocos problemas, pero pueden resultar riesgosos si no
se solucionan. Es necesario tratar las problemáticas del área para poder satisfacer las
necesidades de información de la empresa y prestar los servicios a otras áreas de la
organización.
Estándares:
Problemas:
· Diagnóstico de sistemas
Estado:
En el área de desarrollo de sistemas se están dando problemas que están afectando el control
y manejo de las tecnologías de la información. Afectando a otras áreas que disponen de los
servicios de esta área. Motivo por el cual es necesario que se lleve a cabo una evaluación y
monitoreo de los recursos informáticos para medir su rendimiento y funcionalidad,
solucionando los problemas.
Estándares:
· ISO 9075-1987
· ISO/TR 10623
· ISO 11442-1993
· ISO 25000:2005
Problemas:
· Poca gestión de riesgos, no se tiene un control suficiente de los riesgos o eventos que
afecte el área y los posibles proyectos en desarrollo.
· Poca priorización del control de calidad, siendo una etapa importante en los proyectos
software que ayuda a comprobar los puntos cruciales en la operación del negocio.
Actividades:
· Inventarios de ordenadores
· Soporte Técnico
Estado:
Estándares:
TCP/IP
OSI
IEEE
ANSI
Problemas:
Infecciones de virus
Actividades
Soporte y mantenimiento de los sistemas y redes informáticas con los que cuenta la empresa.
Se observa que esta área no está implementada al 100% ya que se pospuso debido a recortes
en el presupuesto, el planeamiento consiste en externalizar el servicio para brindar soporte en
los equipos e investigar nuevas tecnologías que ayuden a la organización.
Problemas:
-Inversión insuficiente
-Productos obsoletos
Actividades
Para iniciar el diagnóstico primero se realiza una investigación en las bases de datos de la
empresa en donde se realiza un levantamiento de información de los procesos, tecnología,
redes, base de datos asociados al sistema de información SisVent, en esta se indica que la
base de datos no cuenta con logs que registren las acciones que se efectúan sobre esta.
Aunque indican que realizan copias de seguridad a los datos y tablas más importantes, diaria
o semanalmente de acuerdo al volumen de información que se mueva en estas. Se observa
que los usuarios que ingresan a la base de datos del área de sistema tienen acceso a la base de
datos, donde pueden ingresar, borrar o modificar la información de la misma sin tener un
registro propio, ni restricción de cada usuario, ya que estos utilizan el mismo usuario.
Actualmente no hay un administrador propio de base de datos, ni de la gestión o creación de
usuarios. Ya que se tiene el mismo usuario y la mayoría de los procesos lo utilizan, no se
realiza cambio de la clave, pero para acceder a la base de datos desde un navegador, se cuenta
con otro acceso, la cual permite hacer el cambio de la contraseña sin afectar los procesos
actuales.
Se tiene carencia de un entorno de desarrollo, por lo cual todos los cambios que se hacen
pueden afectar directamente la base de datos de producción.
A nivel de base de datos, todos los empleados del área IT, tienen acceso a esta con el mismo
usuario. Y para hacer algún tipo de cambios sobre el SisVent, cada empleado cuenta con su
usuario y contraseña, permitiendo identificar quién realizó cada cambio. Este acceso es
entregado a cada desarrollador y es desactivado cuando alguno ya no se encuentra en la
empresa, por parte de un proveedor que se encuentra en planta.
Falta de supervisión en la
calidad del producto final
No suficientes monitores
disponibles
Falta de actualizaciones de
sistemas.
Para poder obtener toda la información relacionada al auditado se llevaron a cabo técnicas
que ayudan en esta actividad. De esta manera se realizó:
Observación:
Esta técnica empleada es una de las más comunes para la recolección de información,
contribuye en la examinación de los diferentes aspectos del área auditada y los sistemas
vinculados. Asimismo, se obtiene la información del estado, comportamiento, operaciones y
procedimientos de los sistemas del área. Siendo de gran ayuda para el proceso de auditoría,
observando todo lo relacionado al área auditado, lo que nos ayuda en percibir, analizar e
investigar los eventos que ocurren en las actividades del auditado.
Entrevistas:
A través de esta otra técnica obtenemos la información necesaria sobre lo que se está
auditando, conociendo algunos tips que ayudarán en el transcurso de la auditoría y nos ayuda
a conocer más sobre los puntos a evaluar. En el proceso de la entrevista el auditor se encarga
de auditor o interrogar, investigar y logra adecuar o ajustar los aspectos del auditado. En base
a una serie de preguntas relacionadas a temas vinculados del auditado se profundiza la
información.
Asimismo, los recuentos o inventarios fueron otra de las técnicas seleccionadas para efectuar
esta actividad de recopilación.
ENTREVISTA
FECHA:
ENTREVISTADO:
Inventarios:
Técnica aplicada que tuvo como objetivo llevar a cabo un recurso del auditado, con el
propósito de contrastarlo con la información registrada en los documentos. De esta manera, la
aplicación de esta técnica ayuda al auditor examinando los equipos disponibles y la carencia
de algunos componentes para el funcionamiento del área. Obteniendo información para la
adquisición de nuevos equipos o reemplazo de otros.
4.4 Identificación de riesgos
Se plantean posibles pruebas de auditoría para cada riesgo encontrado, mostrando la tabla a
continuación:
Primera prueba realizada relacionada con la política de control de acceso a las bases de datos
y verificación de fuga de información.
BIKESSTORE
DISEÑO DE PRUEBAS DE AUDITORÍA
TIPO: Mixta
INFORMACIÓN
PROCEDIMIENTO A EMPLEAR
Es por ello que BikesStore. debe de analizar, diseñar y reestructurar sus procesos en base a
los hallazgos generados durante la auditoría principalmente realizada a la base de datos, ya
que al implementar dichas mejoras se garantiza la integridad, estabilidad de los procesos y
continuidad del negocio ante cualquier riesgo.
Dado esto, se evidencia que dentro del ambiente empresarial es de vital importancia contar
con información veraz, a tiempo, de forma oportuna, clara, precisa y con cero errores para
que se constituya en una herramienta confiable para la toma de decisiones en BikesStore.
Hasta el momento solamente se ha realizado una prueba, teniendo como hallazgo lo
siguiente:
Se verificó que el acceso web a la base de datos desde una red externa está validada