“Año del Fortalecimiento de la Soberanía Nacional”

FACULTAD DE INGENIERÍA DE SISTEMAS E INFORMÁTICA

CARRERA INGENIERÍA DE SISTEMAS

CURSO AUDITORÍA DE SISTEMAS INFORMÁTICOS

Primer entregable – Grupo 3

“Auditoría para la mejora de funciones del área de TI en la empresa

BikeStores”

Integrantes:
● Mirko Andre Jara Ramos
● Jack Meza Hinostroza
● Jesus Montenegro Solis
● María Milagros Llauce Chapoñan
● Kevin Alexander Larrea García
● Gutierrez Putpaña Diego Estefano

Docente:
● Mag. Ing. Becerra Pacherres Augusto Oscar

Lima – Perú

2022
 INDICE
FASE I: LA EMPRESA.......................................................................................................... 5
Introducción........................................................................................................................ 5
Resumen............................................................................................................................. 5
Antecedentes....................................................................................................................... 5
Gestión de Cambio organizacional.......................................................................................6
Misión................................................................................................................................. 6
Visión.................................................................................................................................. 7
Análisis de empresas del sector.............................................................................................7
Objetivos............................................................................................................................. 7
Estrategias........................................................................................................................... 8
Valores................................................................................................................................ 8
Mercado.............................................................................................................................. 8
Matriz FODA...................................................................................................................... 9
Mapa estratégico............................................................................................................... 10
Matriz del Cuadro de Mando.............................................................................................11
Organigrama General........................................................................................................13
Cuadro de áreas, roles y funciones.....................................................................................13
Diseño de cadena de valor..................................................................................................16
Marco lógico...................................................................................................................... 16
Matriz de evaluación de factor interno y externo................................................................17
Gerencia de Sistemas......................................................................................................... 19
Organigrama de área.........................................................................................................19
Plan de auditoría de sistemas de información.....................................................................20
FASE II: PLANIFICACIÓN DEL PROCESO DE AUDITORÍA............................................21
Marco de referencia........................................................................................................... 21
Cronograma de actividades................................................................................................22
Ámbito de estudio.............................................................................................................. 27
Estudio de la problemática.................................................................................................27
Controles y riesgos.............................................................................................................28
Matriz de análisis de riesgos...............................................................................................29
Matriz de probabilidad e impacto......................................................................................30
Sistema de control interno..................................................................................................30
FASE III: PLAN DE TRABAJO............................................................................................31
Inicio de la Ejecución de la Auditoría Externa....................................................................31
 Recaudación de la Documentación.....................................................................................43
Implementación del marco de trabajo................................................................................46
Preparación de Formularios de Trabajo:............................................................................48
Presentación de resultados.................................................................................................52
Informe de Gerencia TIC...................................................................................................53
Informe de Área de Desarrollo de Sistemas........................................................................54
Informe Área de soporte de hardware y redes....................................................................55
FASE 4 SÍNTESIS Y DIAGNÓSTICO.....................................................................................57

Nro. Código Apellidos-Nombres % Foto Rol

 participación
1 U18308598 Mirko Andre Jara 100% Redactor/
Ramos Auditor

2 U17212227 Meza Hinostroza, Jack 100% Redactor/

Auditor
912423841

3 U17208078 Montenegro Solis, 100% Redactor/

Jesús Auditor
986761657

4 U18102818 María Milagros Llauce 100% Redactor/

Chapoñan Auditor

5 U18201402 Kevin Alexander Larrea 100% Redactor/

García Auditor

6 u18202097 Gutierrez Putpaña 100% Redactor/

Diego Estefano Auditor
982525696
FASE I: LA EMPRESA

Introducción

BikeStores es una empresa peruana dedicada a la importación y distribución de bicicletas,

ecológicas, y de alta calidad. Conformados por socios de China y Perú. BikeStores ofrece una
gran variedad de productos de ciclismo, como son: bicicletas, scooters, accesorios de
bicicleta, self-balancing, entre otros artículos de última generación, cuya avanzada tecnología
ofrece una gran durabilidad y permite reducir considerablemente los costos a sus clientes,
contribuyendo así con la economía de los peruanos, quienes disfrutarán además de una
agradable y confortable experiencia, sobre todo, sin afectar el medio ambiente. La calidad de
nuestros productos nos permite brindar una garantía real y efectiva sobre cada uno de ellos,
ofreciendo una asistencia personalizada en el momento que usted lo necesite.

Resumen

En este proyecto se realizará la auditoría de sistemas de la empresa BikeStores dónde se

verán varios aspectos del transcurso de esta auditoría como sus tipos, los procesos,
indicadores, entre otros. Para esto se ha realizado un cronograma de actividades donde se
colocan los procesos que se van a realizar a tal fecha a tal horario también se está viendo el
estudio del problema, ya qué no se le ha realizado a esta empresa antes una auditoría de
sistemas dónde se verán los procesos del sistema informático y de cómo éste se relaciona con
los demás sistemas físicos como el área comercial el área de administración el área de
producción, el área de recursos humanos, el área de técnica y el área de tecnología.

Antecedentes

La empresa ABC se fundó en el 15 de junio del 2015 esto por la demanda de bicicletas que
inició en ese mismo año el cual fue un rotundo éxito para la compañía, ya que hizo más de
100 pedidos en menos de 1 meses. Todo comenzó con pedidos sencillos como bicicletas para
niños que querían decorarlas con llamas de fuego o para las niñas que querían sus bicicletas
con fotos de Barbie entre otros. Después fue escalando a pedidos de bicicletas que eran
especialistas en concursos de carreras o de resistencia. Ya qué algunas personas son
deportistas que hacen ciclismo extremo y esto requiere que la bicicleta tenga mejoras en la
parte del diseño como las ruedas o el mismo mecanismo.

Gestión de Cambio organizacional

Ya que es la primera auditoría de sistemas que la empresa BikeStores tiene que hacer tres
tipos de cambios organizacionales:

Cambio de desarrollo:
Es el que permite mejorar los procesos y procedimientos de una empresa previamente
establecidos.
Cambio de transición:
Aleja a las compañías de su estado actual hacia uno que les permita resolver mejor sus
problemas; por lo general, conlleva fusiones o nuevas adquisiciones
Cambio transformacional:
Altera la cultura y el funcionamiento de una organización y requiere eliminar
comportamientos establecidos para impulsar nuevos hábitos y/o formas de pensar.

Después de ver qué tipo de cambio es el que se va a utilizar se tiene que hacer una estrategia
de comunicación que es escoger uno o varios agentes del cual se va a sustituir o reemplazar
por alguien de igual capacidad o superior por otro aspecto sería el entrenamiento del personal
para qué es testea en los estándares adecuados en sus cargos o por último un programa de
motivación qué es para que los empleados tengan una meta establecida en los programas en
los que es asignados cada uno al darles una recompensa como un aumento de su salario o
beneficios de oficina y ya sea como un tiempo extra para almorzar.

El siguiente paso sería la ejecución del método que se llegará a elegir y se tendría que ver los
efectos posteriores para ver si se ha tomado la medida Correcta. Por último, entramos en la
evaluación de los defectos qué es comparar la situación pasada con la actual para ver si se ha
tomado la mejor medida posible de pasar la evaluación esto se reporta y se registra en el acta
de la empresa para futuras mejoras y nuevos planes de gestión de cambio organizacional.

Misión.

Promover un nuevo concepto de transporte en el Perú a través de la distribución de bicicletas,

económicas, y de alta tecnología. Convertirnos en líderes en la industria del ciclismo en el
Perú para facilitar el acceso a los peruanos a un transporte libre, cómodo y económico sin
afectar al medio ambiente.

Visión.

Convertir el uso de la bicicleta en la alternativa número uno en el transporte del Perú,

estableciendo aliados estratégicos en las principales ciudades del país, promoviendo así, un
significativo ahorro en la economía de los peruanos, así como una confortable y magnífica
experiencia tecnológica.

Análisis de empresas del sector

Para el análisis de la situación actual de la empresa presentamos el siguiente gráfico que

representa las cinco fuerzas de Porter.
Podemos darnos cuenta de que hay una alta competencia en el rubro de venta de bicicletas,
así como que hay productos sustitutos como las motos ecológicas. Además, los clientes son
muy sensibles al precio y no hay una gran cantidad de clientes.

Objetivos
● Hacerse conocidos la industria de las bicicletas
● Tener un margen de ganancias muy amplio
● Que el cliente obtenga un producto de calidad
● Qué la distribución sea no solo a un nivel nacional sino internacional

Estrategias.

Nuestra estrategia sería hacer marketing de la marca por medio de las redes sociales como
Facebook, YouTube, Instagram, etc.
Para esto se tendrá que hacer medidas en la mejora de nuestro producto continuamente para
que los clientes tengan productos de calidad y que estos nos recomienden por esta misma.
Tener un promedio de días de entrega para saber cuáles son los lugares que más se solicita
estás mismas y que en sí se subdivide iría en áreas donde se podría llevar más de un producto
a la vez para disminuir costos.
Tener un tiempo de ensambla miento lo más corto posible esto al mejorar nuestros procesos
con la auditoría de sistemas y hacer el tiempo de entrega en un plazo mínimo de uno a tres
días ya que es el promedio aceptable en el que una persona puede esperar su producto.

Valores.

BikeStores es impulsada por sus clientes, sus trabajadores, innovación, alcanzando un

rendimiento superior a las demás compañías de bicicletas, cuatro valores enfocados a un
objetivo común que es la excelencia en el servicio.

Clientes: Para BikeStores es muy importante el servicio y calidad que recibe el cliente a
diario en sus diferentes aspectos. Asimismo, esto ayuda a mejorar y crecer como empresa con
cada observación u opinión por parte de sus clientes.

Trabajadores: Los trabajadores son formados mediante cursos en el área técnica y humana,
orientados a propiciar un alto nivel de calidad en la atención al cliente.

Innovación: Teniendo la innovación, la empresa BikeStores implementó en sus locales un

Kiosco que permite imprimir cupones de descuentos personalizados a sus clientes afiliados a
Bonus.

Rendimiento superior: Constante capacitación, reciben utilidades, reconocimiento al mejor

trabajador, celebración en fechas festivas. Estar siempre a la vanguardia, brindarle al cliente
la mejor variedad de productos.

Mercado.

Hoy en día con páginas web cómo Amazon o Mercado libre las empresas han tenido que
actualizarse al mundo digital ya que esto amplía las posibilidades de venta de los productos
ya que cientos de personas pueden entrar y ver los productos que uno tiene y comprarlo en
muy poco tiempo después de haber salido en la página web haciendo más fácil la obtención
del dinero para la compañía.

En el caso de la compañía BikeStores no es diferente ya que puede hacer más conocidos sus
productos y su calidad Además de que puede mostrar que pueden hacer pedidos
personalizados dependiendo de la situación en la cual se vaya a utilizar la bicicleta haciendo
que lleguen más pedidos personalizados que por ser de esta medida pueden ser más costosos
que uno regular haciendo que la empresa gané más pero que el cliente al mismo tiempo se
sienta satisfecho con el producto haciendo que este comunique esto a sus conocidos o amigos
para que ellos también comprende nuestra página web o también hagan sus pedidos
personalizados
Matriz FODA.

Para el diagnóstico de la empresa presentamos el siguiente gráfico que representa una matriz
de fortalezas, oportunidades, debilidades y amenazas.

Matriz FODA: Fortalezas (F) Debilidades (D)

Planificación - F1: Locales ubicados en - D1: Productos relativamente
estratégica lugares céntricos altos en precio
BIKESTORES
- F2: Ventas vía online - D2: Lenta entrega de
productos a domicilio
- F3: Gran gestión logística
para compras - D3: Nuestras tiendas no son
tan conocidas

Oportunidades (O) Estrategia FO: Estrategia DO:

- O1: Se viene el regreso

a clases presenciales
F1O1: Gracias al regreso de D1O3: Ofrecer los accesorios de
- O2: Eventos de ciclismo clases, muchos estudiantes irán a remate con el fin de dar los
próximamente su institución, por lo que precios más bajos.
nuestras tiendas siempre deben
- O3: Remate de estar al alcance en su camino
accesorios de para una posible venta.
proveedores

F2O3: Vender los accesorios

rematados vía online, a fin de D3O2: Publicitar nuestras
obtener más clientes. tiendas en los eventos de
ciclismo.

Amenazas (A) Estrategia FA: Estrategia DA:

- A1: GreenLine sube su

clientela en motocicletas
ecológicas. F2A2: Ofrecer nuestros D2A1: Mejorar la velocidad de
productos vía online, evitando entrega de nuestros productos a
- A2: Nueva ola de así las sanciones por toque de domicilio
COVID-19 queda.

F3A1: Seguir manteniendo

 nuestra gestión logística para
compras, para generar confianza
con los proveedores y los
clientes.

Mapa estratégico.

Para esta parte hemos hecho un Balanced Scorecard:

Matriz del Cuadro de Mando

Se han identificado sus KPIs o indicadores, fórmulas, unidades de medida y las metas para el
ejercicio 2022, las cuáles han sido proporcionadas por el análisis anterior de fortalezas,
oportunidades, debilidades y amenazas (FODA):
Organigrama General.

Cuadro de áreas, roles y funciones

Área comercial Enfocado principalmente en la venta, la

conexión con el cliente y la satisfacción del
consumidor por el servicio o producto
proporcionado. Realiza análisis y estudios
con respecto al perfil de consumo y las
necesidades del cliente con el ofrecer un
servicio o producto de calidad acorde a las
expectativas.

Área de administración Analiza y controla las actividades de

carácter administrativo. Guardando relación
con otras áreas por la ejecución de tareas
 como la recepción y emisión de facturas o
gestión de solicitudes de compra de materia
prima, herramientas, etc.

Área de producción Dedicada a convertir los recursos en

materia final. Realizan tareas para
identificar los insumos necesarios para el
proceso productivo, aseguramiento de
calidad para cumplir con los estándares
mínimos establecidos, planifican la
producción en un tiempo adecuado, etc.

Área de RRHH Encargada de actividades como el

reclutamiento de trabajadores, procesos de
selección, desarrollo de competencias del
personal, gestión de la seguridad y el
espacio laboral.

Área Técnica Enfocada en analizar y mejorar las

herramientas de producción, optimizar las
aplicaciones técnicas y conocer los costos.
Todo ello para proponer soluciones
destinadas al área de producción y a su vez
contribuir en las ventas.

Área Tecnología Lleva a cabo actividades basadas en el

estudio, gestión y desarrollo de sistemas de
información que pueden ser aplicaciones de
software, revisión de hardware, entre otras
funciones relacionadas a las tecnologías.

Roles Funciones

Jefe de Área Comercial Responsable de dirigir y supervisar al

equipo de establecimiento comercial.
Además, se encarga de planificar, controlar,
 organizar y evaluar las operaciones
comerciales enfocadas en la venta del
producto.

Jefe de Área de Producción Responsable de coordinar y planificar la

producción. Organizando de forma
adecuada los recursos facilitados por la
empresa para asegurar un nivel aceptable de
calidad. Entre sus otras responsabilidades
también se encargan de gestionar los
perdidos y los proveedores, supervisar las
fechas fijadas, inspeccionar los proyectos
que se ejecutarán, supervisar el equipo de
trabajo y asegurar su buen desempeño, etc.

Jefe de Área de Administración El jefe de esta área está involucrado en

procesos como: manejar el cumplimiento
oportuno de suministros, brindar apoyo
administrativo, definir y establecer
indicadores de control de carácter
administrativo-financiero, gestionar fondos
fijos y recursos presupuestarios de la
empresa, asegurar y ordenar el archivo
documentario de la empresa, etc.

Jefe de RRHH Encargado de llevar a cabo seguimientos

del desarrollo, ejecución y mejorar las
estrategias. Asimismo, está relacionado a
programas y políticas de RRHH.
Asimismo, entre las funciones más
reconocidas están: reclutamiento,
capacitación y desarrollo de los equipos,
relaciones laborales, registro de empleados,
gestión de beneficios y nóminas. Por otro
lado, en base al desempeño del equipo de
trabajo realiza observaciones y
reportándose al gerente para proponer
mejoras que contribuyan en mejorar la
productividad y asegurar la eficiencia.
 Jefe de TI Organiza los recursos informáticos,
informando la toma de decisiones
relacionadas a la incorporación de
innovaciones tecnológicas. Planifica,
controlar y desarrolla las operaciones
electrónicas e informáticas y se encarga de
dirigir los proyectos del área. Del mismo
modo se encarga de administrar y evaluar
las tareas encomendadas a su personal a
cargo, principalmente las actividades del
departamento de soporte técnico.

Diseño de cadena de valor.

Marco lógico.
 OBJETIVOS INDICADORES FUENTES SUPUESTOS

FIN Reducir la Reducir la cantidad Informe final de Auditorías

probabilidad de fallas de fallas en un 70 auditoría constantes
o riesgos %.
tecnológicos. Mejoras continuas

PROPÓSITO Mejorar el nivel de Incrementar el Análisis de costo- Se logra mejorar el

eficacia de los grado de eficacia efectividad nivel de eficacia
procesos del área de en un 5%.
desarrollo.

COMPONENTES - Informe de área - Documentación de Registro del Información

procesos en un 85 % proyecto organizada
- Informe de las fallas
- Mantenimiento de Buen estado de las
herramientas
- Documentación de herramientas
tecnológicas en 90%
los procesos

- Reportes de calidad

ACTIVIDADES - Vista Preliminar - Control interno Informe de Se mejora el grado

propuesta del de calidad de la
- Cronograma de proyecto producción
actividades favoreciendo en la
reducción de fallas.
- Ejecución
Registro financiero
- Evaluar la eficiencia del proyecto
productiva

- Informe final

Matriz de evaluación de factor interno y externo

Matriz de evaluación de factores externos

Factores clave de éxito Peso Valor Ponderación

Oportunidades
O1 Regreso a la presencialidad de 0,4 2 0,8
estudiantes

O2 Eventos de ciclismo 0,2 3 0,6

O3 Promoción en la compra de 0,2 2 0,4

accesorios

Amenazas

A1 GreenLine sube su clientela en 0,4 2 0,8

motocicletas ecológicas

A2 Nueva Ola de COVID-19 0,3 3 0,9

1,5 3,5

Matriz de evaluación de factores internos

Factores clave de éxito Peso Valor Ponderación

Fortalezas

F1 Locales ubicados en lugares céntricos 0,6 2 1,2

F2 Venta vía Online 0,2 3 0,6

F3 Excelente gestión logística en 0,15 2 1

compras

Debilidades

D1 Productos relativamente altos en 0,15 2 0,3

precio
 D2 Demora en la entrega a domicilio 0,05 3 0,15

D3 Baja cobertura de nuestras tiendas 0,1 5 0,5

1,25 3,75

Gerencia de Sistemas.

Esta área o departamento de apoyo tiene la tarea de planificar, manejar, gestionar y evaluar
las tecnologías de información y sus aplicaciones realizadas. Estas actividades son llevadas a
cabo para asegurar el uso adecuado y aprovechar los recursos tecnológicos disponibles,
logrando optimizar procesos, servicios y recabar información que contribuya en parte en la
toma de decisiones de otras áreas a través de la implementación, desarrollo y control del
óptimo funcionamiento de los sistemas. Siendo el jefe de esta área encargado de las políticas
de tecnologías de información, alinear las estrategias de TIC con relación a las estrategias de
la empresa que mejoren los servicios ofrecidos distribuidos a otros.

Organigrama de área

Auditoría Interna ISO 9001:

Utilizando el requerimiento de la norma ISO 9001, la auditoría interna se define como un
proceso objetivo para encontrar fallas en procesos existentes en una organización y de esa
forma mitigarlas para optimizar el servicio facilitado al usuario final. De forma resumida, se
trata de verificar si los procesos que se siguen, brindan el resultado de calidad esperado por el
cliente y de no ser así, implementar mejoras o eliminar el proceso por poner en marcha otro
modelo optimizado.

Tipos de Auditoría:

Auditoría Interna:
Lo realiza un miembro de la empresa con los conocimientos suficientes para entregar un
trabajo óptimo que ayude con el mejoramiento de procesos a petición de la empresa.

Auditoría Externa: Lo realiza un miembro externo de la empresa con la finalidad de obtener

un resultado que definirá la operatividad de ingresos en la empresa.

Plan de auditoría de sistemas de información

FASE II: PLANIFICACIÓN DEL PROCESO DE AUDITORÍA

Marco de referencia

ISO 19011
El documento ISO 19011 brinda conocimiento acerca de auditorías de sistemas de gestión, el
cual incluye principios de auditoría general, gestión de un programa de auditoría y la
ejecución de la auditoría del sistema de gestión. Asimismo, contempla una orientación sobre
el análisis de aptitudes de las personas que forman parte del proceso de auditoría.

Principios de auditoría
La auditoría es representada por el depósito de confianza en muchos principios. Estos hacen
que la auditoría pueda ser calificada como herramienta confiable para el apoyo a políticas y
controles de gestión, proporcionando información sobre el accionar de una organización para
mejorar su desempeño. El seguir estos principios forma parte de un prerrequisito para brindar
conclusiones de la auditoría que sean pertinentes y suficientes. Del mismo modo, este
seguimiento, permite que los auditores que trabajan independientemente entre sí lleguen a las
conclusiones similares bajo las mismas circunstancias.

Principio de conducta ética:

Es esencial la presencia de confianza, integridad, confidencialidad y discreción.

Principio de presentación justa:

El auditor debe reportar con veracidad y exactitud los hallazgos de la auditoría.

Principio de cuidado profesional:

El auditor debe darles la debida importancia a las actividades de auditoría con
diligencia y cuidado.

Principio de independencia:
El auditor debe tener imparcialidad durante la auditoría y objetivo en las
conclusiones logradas en el proceso

Principio de evidencia:
Es el método de alcanzar conclusiones de auditoría que sean fiables
reproducibles.
Cronograma de actividades

Actividad Septiem Octu Novie Diciem

bre bre mbre bre

Días Días Días Días

Detalle Actividad

1. Fase I:
Inicio

Toma de Contacto

Proceso de 12 al 16
Investigación del
problema · Análisis de
empresas del
sector

· Contactos
interno-externo

Presentación de · Empresa. 12 al 16
la empresa Antecedentes.

· Cultura. Clima.
Gestión de
Cambio
organizacional

· Misión. Visión.
Objetivos.
Estrategias.
Valores.
 · Mercado. Matriz
FODA. Mapa
estratégico. Matriz
del Cuadro de
Mando

· Organigrama
General. Cuadro
de áreas, roles y
funciones

· Diseño de
cadena de valor.
Marco lógico.

· Matriz de
evaluación de
factor interno y
externo

· Gerencia de
Sistemas.
Organigrama

· Auditoría. Tipos.
Procesos.
Indicadores.
Documentación

· Plan de auditoría
de sistemas de
información

2. Fase II
Planificación del 18
Proceso de
Auditoría

Objetivos · Cronograma de 16 al 18
actividades

· Ámbito de
estudio

· Estudio de la
problemática

· Controles y
 riesgos

· Matriz de
análisis de riesgos

· Sistema de
control interno

3. Fase III
Plan de Trabajo 23

· Recaudación de 18 al 30
la Documentación

· Implementación
del Marco de
Trabajo

· Preparación de
formularios de
trabajo

· Presentación de
Resultados

· Informe de
Gerencia de TIC

· Informe de Área
de Desarrollo de
Sistemas

· Informe de Área
de Soporte de
Hardware y Redes

· Informe de Área
de Proyectos de
Tecnología e
Innovación

4. Fase IV
Síntesis y 23
Diagnóstico
 1 al
23
· Determinación
de puntos
débiles y fuertes

· Técnica de
recopilación de
información

· Identificación
de riesgos

· Valoración de
los riesgos

· Identificación
de posibles
controles de
riesgos

· Diagnóstico y
alternativas de
solución

· Cierre de la
fase de Síntesis
y Diagnóstico

5. Fase V
20

Conclusiones

23 al 3 al 20
31
· Inicio de la fase
de presentación

· Revisión de la
Auditoría

· Presentación de
Conclusiones

· Cierre de la fase
de Presentación
 6. Fase VI
4

Redacción del
Informe

· Redacción del 20 al 1 al 4
informe y 30
formación del
plan de mejora

· Inicio de la fase
de redacción

· Presentación del
informe de
auditoría

· Presentación del
plan de mejora

Ámbito de estudio

El lugar donde se realizará el campo de investigación es en la misma empresa Bikestore, ya

que dado es el escenario donde auditará los fallos en el área de producción de venta de
bicicletas. Por ello, la población objeto de estudio serán los mismos clientes para determinar
la cantidad de ventas por clientes, tiendas, marcas, empleados, puestos de tienda y de
categoría del producto. Asimismo, dado la muestra, se verificará si hay posibles bajas o
aumento en la producción de ventas de la empresa. Es relevante anotar que la
comercialización del producto es a nivel internacional. De esta manera, para tener mejor
conocimiento e implicación a que puntos u objetivos planteados en el estudio de mercado de
la empresa a fijar, fueron los siguientes:

● Obtener información mediante fuentes primarias y secundarias que permita identificar

el perfil del consumidor objetivo.
● Conocer el tamaño del mercado y sus características con el fin de proyectar la
demanda.
● Identificar a los competidores indirectos existentes en el mercado y las características
de sus servicios.
 ● Obtener información de las tendencias del mercado junto con la situación coyuntural
del país.

Estudio de la problemática

En la actualidad, las organizaciones planifican métodos estratégicos para el crecimiento y

desarrollo referente al incremento de productos y/o servicios para satisfacer las necesidades
de cada cliente. Por ello la empresa debe de estar consciente de ofrecer siempre a sus clientes
productos de excelente calidad. Ya que la calidad es uno de los más importantes aspectos de
la vida, afectando todo a nuestro alrededor y todo lo que hacemos.

Por lo tanto, la empresa Bikestore, debe acometer ver estos posibles problemas, que afectan a
la empresa en el ámbito productivo y venta de bicicletas, en el cual el punto principal del
problema de la compañía es de no contar con un especialista o el de tener área de sección en
base a la auditoría de sistemas. Porque en el caso de otras empresas que no integran
tecnología por completo y no saben utilizarla, provocando de alguna forma el uso de métodos
tradicionales. Este es el caso de la empresa Bikestore, que no cuenta con una renovación de
mejora continua para evadir problemas a futuro y de baja demanda en venta del producto. De
esta manera, el punto principal fijado es el área de producción que en términos internos a
veces no es supervisada la maquinaria empresarial, donde los procesos de ensamblaje, estado
de los materiales, y la poca inversión de la compañía afecta en forma negativa la baja
productividad y eficiencia en la empresa. Asimismo, teniendo en cuenta, que uno de los
factores importantes para la empresa es la diferenciación que impacta en el gusto del cliente.

En resumen, el presente trabajo de investigación, persiste en dar auditoría en el área de

producción, con el propósito de mejorar la calidad del producto y reducir los posibles fallos
de retraso de tiempo con respecto a la entrega y venta de distribución del producto. Con la
finalidad de evitar problemas en la entrega de pedidos, y de clientes y proveedores
insatisfechos.

Controles y riesgos

Controles:

C1: Autenticidad que permite verificar la identidad como passwords, firmas digitales

C2: Exactitud que aseguran la coherencia de los datos como validación de campos, validación
de excesos

C3: Privacidad que aseguran la protección de los datos como compactación, Encriptación
C4: Existencia que aseguran la disponibilidad de los datos como Bitácora de estado,
mantenimiento de activos.

Riesgos:

R1: Falta de planeación estratégica del negocio.

R2: Mala gestión de procesos.

R3: Errores en digitación de datos de productos o accesorios.

R4: Duplicidad de datos.

R5: Disminución presupuesto.

R6: Manejo erróneo de los procesos.

R7: Retraso en las entregas de los reportes.

Matriz de análisis de riesgos

Matriz de probabilidad e impacto

Sistema de control interno

Sistema de control interno basado en COSO para la correcta gestión de riesgo y monitoreo de
la organización.

FASE III: PLAN DE TRABAJO

Tabla de trabajo

Inicio de la Ejecución de la Auditoría Externa

En el siguiente apartado se describe la ejecución de la auditoría realizada al proceso general

de la empresa relacionado al tema de tecnologías de información, presentando los resultados
obtenidos en las pruebas ejecutadas, los hallazgos encontrados y finalmente el informe de
auditoría resultante dado a conocer a la empresa Bikestore.

Iniciación de la Auditoría

La auditoría comienza con la reunión de inicio la cual se efectuó con la asistencia de

la alta gerencia y el personal perteneciente al área de servicios profesionales de la
empresa. En esta reunión se da a conocer el objetivo, alcance y cronograma de
actividades a ejecutar.

responsables
Evaluación del Proceso

Debido a que la empresa no tiene definido los sistemas de gestión de riesgos y de

control interno, la evaluación se realizó directamente tanto al proceso de producción y
al proceso de venta, además de los elementos que lo componen, como entradas,
salidas, subprocesos, actividades y software informático que se usa.

Pruebas de Auditoría

A continuación, se relaciona la ficha técnica y las guías de auditoría diseñadas para la

ejecución de las pruebas al proceso de TI en el cual se centrará en la Gestión de la
Calidad de Datos el cual está compuesto de cuatro subprocesos. Teniendo en cuenta
las guías de auditoría diseñadas que se presentan a continuación para cada uno de los
subprocesos de estudio, donde se describe la aplicación de las pruebas ejecutadas.

tipo

Ficha Técnica

Resumen del Proceso

Objetivo Apoyar el uso de los datos en la

organización y evitar su degradación en
el tiempo a lo largo del ciclo de vida del
dato.

Estado Activo

Áreas usuarias Servicios Profesionales

 Módulos del Aplicativo
Documentación General
Guía subproceso Análisis de Información
● Análisis de información: Construir la
línea base a partir del descubrimiento,
descripción detallada, análisis y
entendimiento de las necesidades del
negocio, produciendo una especificación
de requerimientos funciones y técnicos
para la Gestión de Calidad de Datos
completa en el proceso de la TI de la
empresa, válida y exacta.
● Diagnóstico de calidad: Evaluar, medir y
monitorear los niveles de calidad de las
fuentes de información, garantizando una
gestión proactiva de la calidad de los
datos, incorporando buenas prácticas que
permitan precisar si los datos son aptos o
no para el objetivo del negocio
planteado.
● Remediación de datos: Corregir los
errores identificados en el diagnóstico, a
través del diseño e implementación del
proceso de mejora de la calidad de los
datos que comprende: limpieza,
estandarización y enriquecimiento.
● Enriquecimiento de datos: Completar y
ampliar los datos de los campos de las
fuentes de información que mantienen
baja calidad, a través de la comparación
o cruce de datos con fuentes de confianza
o referencia.
● Análisis de Información.
● Diagnóstico de Calidad.
● Remediación de Datos.
● Enriquecimiento de Datos.
Auditoria Sistemas Proceso: Análisis de Información Gestión Calidad de Datos

Programa de Auditoría

Dependencia: Servicios profesionales Fecha: 03/10/2022

Proceso: Análisis de información Elaborado

Procedimiento de Auditoría REF. Por

P/T

Objetivos

Validar cómo se realizan las actividades, las entradas y salidas en el proceso de

análisis de información de productos.

Normativa Aplicable

1. Entrada y captura de datos

1.1 Verificar la existencia del formato de

requerimientos funcionales y técnicos.

1.2 Verificar donde se almacena y la existencia

del formato de la matriz mapeo de datos.

1.3 Comprobar en qué documento se realiza el

plan de reuniones.

2. Procesamiento
 2.1 Verificar en el documento de requerimientos
que están descritas las 92 reglas de negocio.

2.2 Verificar que en el diseño preliminar se tenga

en cuenta todas fuentes de información.

3. Salidas que Genera el Proceso

3.1 Solicitar abrir un acta de reunión y verificar

que se encuentren los compromisos y las firmas
de todos los asistentes.

3.2 Verificar que se encuentren identificadas las

fuentes de información.

3.3 Solicitar abrir un documento de matriz de

adquisición y verificar:

3.3.1 Se encuentre dividido por fuentes,

una en cada hoja.

3.3.2 Presente la consulta SQL necesaria

para extraer los datos de las fuentes.

3.3.3 Contenga los nombres de los campos

y las tablas de donde se extrae la
información.

3.4 Verificar que en el documento de

requerimientos se encuentren todas las fuentes
identificadas en el inventario de fuentes.

Guía subproceso Diagnóstico Calidad de Datos

Auditoria Sistemas Proceso: Diagnóstico Calidad de Datos Gestión Calidad de
Datos

Programa de Auditoría

Dependencia: Servicios profesionales Fecha: 03/10/2022

Proceso: Diagnóstico calidad de datos Elaborado

Procedimiento de Auditoría REF. Por

P/T

Objetivos

Verificar la ejecución de las actividades que pertenecen al proceso Diagnóstico de

Calidad de Datos de software de Producción y Venta.

Normativa Aplicable

1. Entrada y captura de datos

1.1 Verificar que el nombre de los perfilados

cumpla con el estándar definido.

1.2 Comprobar que los umbrales de medición

estén definidos en la herramienta.

1.3 Solicitar abrir el formato reporte de hallazgos

y verificar:

1.3.1 Exista una ayuda para el

diligenciamiento del documento
 1.3.2 Están definidos los campos para el
cálculo de la calidad final de datos.

1.4 Comprobar que el formato de nombrado de

los objetos esté alineado con lo planteado.

1.5 Verificar que en la carpeta del proyecto se

encuentra una carpeta interna para almacenar las
reglas de diagnóstico.

1.6 Solicitar el ingreso a un formato de reporte de

pruebas y verificar que se encuentren los campos:
nombre campo, número de caso, Descripción,
Pasó o falló, Necesita reprueba, antes, después,
comentarios.

2. Procesamiento

2.1 Verificar en el documento de requerimientos

que están descritas las reglas de negocio.

2.2 Verificar que en el diseño preliminar se tenga

en cuenta todas fuentes de información.

3. Salidas que Genera el Proceso

3.1 Verificar que exista un perfilado con las reglas

de diagnóstico aplicadas y que sea diferente al
perfilado inicial.

3.2 Comprobar que el documento reporte de

hallazgos contenga el análisis de todos los campos
establecidos en la matriz de adquisición.

3.3 Verificar que en los ScoreCards las

dimensiones contengan los campos adecuados.
Guía Subproceso Remediación de Datos

Auditoria Sistemas Proceso: Remediación de Datos Gestión Calidad de Datos

Programa de Auditoría

Dependencia: Servicios profesionales Fecha: 03/10/2022

Proceso: Remediación de datos Elaborado

Procedimiento de Auditoría REF. Por

P/T

Objetivos

Examinar la ejecución del proceso remediación de datos del software de producción

y ventas.

Normativa Aplicable

1. Entrada y captura de datos

1.1 Comprobar la existencia de la carpeta para

almacenar las reglas de remediación.

1.2 Verificar la división por carpetas de las reglas

de remediación y que en ellas están almacenadas
correctamente.
1.3 Solicitar la ubicación del formato de reporte
de pruebas.

1.4 Solicitar abrir el formato de matriz mapeo de

datos y verificar:

1.4.1 Los campos para agregar la lógica de

las reglas de enriquecimiento,
estandarización y limpieza.

1.4.2 Presente los campos nombre de la

tabla, nombre lógico de la tabla, nombre
columna, tipo, longitud.

1.5 Verificar en el desarrollo la existencia de

tablas de excepciones

2. Procesamiento

2.1 Solicitar abrir una regla de remediación de

limpieza construida y comprobar:

2.1.1 Lugar donde se guarda la regla.

2.1.2 Los nombres de las transformaciones

utilizadas estén alineadas al estándar
definido.

2.1.3 El mapplet y transformaciones

contengan la descripción de funcionalidad

2.2 Solicitar abrir un mapping de carga y verificar

que este el proceso de manejo de excepciones.

2.3 Pedir la creación de una aplicación para

ejecutar el mapping y verificar:

2.3.1 Nombrado cumpla con el estándar

definido

2.3.2 Lugar de almacenamiento de la

aplicación
 2.3.3 Contenga los workflows de todas las
entidades presentes.

3. Salidas que Genera el Proceso

3.1 Verificar que en el documento matriz de

mapeo existe la lógica necesaria para construir las
reglas de remediación de los campos.

3.2 Comprobar en el documento de pruebas este

diligenciado los campos del antes y después con
las imágenes y consultas respectivas.

3.3 Verificar en el documento de pruebas una

prueba que en el campo Pasó tenga el estado no, y
para ese campo se haya realizado la reprueba.

3.4 Comprobar que en workflow de ejecución se

encuentren los mappings para todas las fuentes
definidas.

Guía Subproceso Enriquecimiento de Datos

Auditoria Sistemas Proceso: Remediación de Datos Gestión Calidad de Datos

Programa de Auditoría

Dependencia: Servicios profesionales Fecha: 03/10/2022

Proceso: Enriquecimiento de datos Elaborado

Procedimiento de Auditoría REF. Por
P/T

Objetivos

Evaluar cómo se llevan a cabo las diferentes actividades del proceso

enriquecimiento de datos del software de producción y venta.

Normativa Aplicable

1. Entrada y captura de datos

1.1 Verificar en donde se establece la estrategia

de remediación para comprobar que sea de
enriquecimiento

1.2 Solicitar abrir el listado de relación de fuentes

y verificar que se encuentre el nombre de la
fuente y la entidad

1.3 Comprobar si se encuentra el perfilado de una

fuente utilizada para el enriquecimiento.

1.4 Revisar el convenio con una entidad externa.

2. Procesamiento

2.1 Verificar que se haya utilizado una fuente de

información con buena calidad de los datos.

2.2 Comprobar que el perfilado de la fuente

utilizada para el enriquecimiento presente el
nombrado estándar y esté ubicado en la carpeta
correcta.

2.3 Solicitar abrir un mapplet de enriquecimiento

 y verificar que el nombre de los campos utilizados
en las transformaciones.

2.4 Comprobar que las reglas de enriquecimiento

estén almacenadas en la carpeta adecuada.

2.5 Solicitar crear un workflow para una regla de

enriquecimiento y comprobar que contenga
buenas prácticas de desarrollo

3. Salidas que Genera el Proceso

3.1 Abrir el ScoreCard de una fuente de

enriquecimiento y verificar que este dividido por
dimensiones de calidad.

3.2 Ingresar a un mapplet de enriquecimiento y

observar que las transformaciones estén
nombradas correctamente.

3.3 Comprobar en el documento reporte de

pruebas se encuentre las evidencias del antes y
después para el campo que contengan estrategias
de enriquecimiento.

Resultados por cada uno

Recaudación de la Documentación

Perfil del Proyecto

Empresa / Organización Bikestore

 Diagnóstico La empresa Bikestore, cuenta con un problema en el
área del proceso de sistemas informáticos centrado en
la gestión de las TI, en donde parte como el origen de
la cuestión de perjudicar con las otras áreas.

Fecha de preparación 03/10/2022

Versión 1.0

Patrocinador principal

Gerente de proyecto Jesús Montenegro

Objetivo

General

● Realizar una inspección y verificación en la gestión de tecnologías de información en

la empresa Bikestore, considerando como referencia el estándar de la ISO 19001.

Específico

● Realizar el marco teórico partiendo de conceptos principales de

auditoría y seguridad informática en el estándar ISO 19011.
● Elaborar la matriz de riesgo sobre los problemas de Gestión en el área
de la TI.
● Procesar y aplicar los instrumentos de investigación de campo.
● Procesar los datos obtenidos en la investigación.
● Elaborar los informes ejecutivo y detallado.

Alcances del producto

● Nuestro trabajo se centrará la atención en primer término en el lugar físico y

ambiental, donde se encuentra instalada la plataforma de, el cual a través de un
 informe daremos a conocer todas las acciones a seguir en el área de la TI y
verificación al mismo tiempo las otras áreas vinculadas.
● Tendremos como marco de referencia la ISO/IEC 19011.

Factores Críticos de Éxito

● Información abierta y continua por parte de la institución durante la auditoria.

● Contar con personal clave que tenga los conocimientos necesarios.
● Buena comunicación dentro del proyecto.
● Contar con las herramientas necesarias para lograr un buen desarrollo de esta etapa

Requerimientos y Tiempos

De donde

Perfil del Personal al asignado al proyecto

Nombre Cargo Responsabilidad

Montenegro Solis, Jesús Jefe de Proyecto Persona que tiene la

responsabilidad total del
planeamiento y la ejecución
acertada del Proyecto.

Kevin Alexander Larrea Jefe de Apoyo Persona que servirá de

García apoyo y/o cooperación al
jefe del Proyecto

Mirko Andre Jara Ramos Auditor 1 Persona capacitada y

 Meza Hinostroza, Jack
Montenegro Solis, Jesús
María Milagros Llauce
Chapoñan
Auditor 2 experimentada para revisar,
redactar, examinar y evaluar
los resultados de la gestión
Auditor 3 de todos los procesos
establecidos de la empresa
Bikestore y en la gestión de
la TI, con el propósito de
Auditor 4
informar o dictaminar acerca
de ellos realizando las
observaciones.

Kevin Alexander Larrea Auditor 5

García

Gutiérrez Putpaña Diego Auditor 6

Estefano

Aprobaciones

Nombre Rol Firma

Jefe de Proyecto

Jesús Montenegro

Cliente principal

Representante de la Empresa
Bikestore
Implementación del marco de trabajo

COBIT (Objetivos de Control para Tecnología de Información y Tecnologías

relacionadas) es el marco de trabajo que se usará para realizar esta auditoría. El modelo es
el resultado de una investigación con expertos de varios países, desarrollado por ISACA
(Information Systems Audit and Control Association).

Como el COBIT está orientado al negocio, es directo su uso para comprender los objetivos
de control de TI con el fin de administrar los riesgos del negocio relacionados con la misma
de la siguiente forma:

- Inicie con los objetivos de su negocio en el Marco de Referencia.

- Seleccione los procesos y controles de TI adecuados para su empresa de los

Objetivos de Control

- Opere desde su plan de negocio

- Evalúe sus procedimientos y resultados con las Directrices.

- Evalúe el estado de su organización identificando actividades críticas necesarias

para el éxito.

- Mida el desempeño en busca de las metas de la empresa con Las Directrices

Gerenciales.
Como se aplica

3.3.1 Marco de referencia de trabajo

Para entender mejor el marco de trabajo COBIT se debe tener conocimiento de que este
proporciona a la alta gerencia un entendimiento más detallado de los conceptos clave y
principios de COBIT, describiendo en detalle los 34 objetivos de control de alto nivel e
identifica los requerimientos de negocio para la información y los recursos de TI que son
impactados en forma primaria por cada objetivo de control agrupándolos en los cuatro
dominios (Planeación y Organización, Adquisición e Implementación, Entrega de servicios y
Soporte y Monitoreo).
Los dominios de COBIT enfocados con los objetivos de control permiten conocer los
requerimientos del negocio, los recursos del área de TI y los procesos de TI para ofrecer
planeación, monitoreo y soporte.
Como se aplica

Preparación de Formularios de Trabajo:

Formulario de evaluación de procesos:

Formulario de evaluación de Auditores:
Presentación de resultados

Resultados de evaluación de procesos:

Resultados de evaluación de auditores:

Informe de Gerencia TIC

Situación:

El área de gerencia de TIC cuenta con pocos problemas, pero pueden resultar riesgosos si no
se solucionan. Es necesario tratar las problemáticas del área para poder satisfacer las
necesidades de información de la empresa y prestar los servicios a otras áreas de la
organización.

Estándares:

Los estándares que se siguen relacionados al área son los siguientes:

· ISO/IEC 27001 – Técnicas de seguridad -Sistema de Gestión de seguridad

· ISO/IEC 31000 – Gestión del Riesgo

· ISO/IEC 9001 – Gestión de calidad

· ISO/IEC 21500 – Gestión de Proyectos

Problemas:

· Falta de una plataforma de desarrollo estandarizada

· Ausencia de una arquitectura ágil

· Dificultad de presentar informes actualizados al CIO

Actividades:

· Diagnóstico de sistemas

· Supervisar los sistemas de información alineados con los procesos de la empresa

· Asegurar la seguridad de datos

· Establecer normas y procedimientos para los sistemas informáticos

· Asegurar la disponibilidad de los sistemas de información

· Gestionar el acceso a redes y sistemas de seguridad

· Planificar y evaluar los proyectos del área relacionados con otras

Informe de Área de Desarrollo de Sistemas

Estado:

En el área de desarrollo de sistemas se están dando problemas que están afectando el control
y manejo de las tecnologías de la información. Afectando a otras áreas que disponen de los
servicios de esta área. Motivo por el cual es necesario que se lleve a cabo una evaluación y
monitoreo de los recursos informáticos para medir su rendimiento y funcionalidad,
solucionando los problemas.

Estándares:

· ISO 9075-1987

· ISO/TR 10623

· ISO 11442-1993

· ISO 25000:2005

Problemas:

· Poca gestión de riesgos, no se tiene un control suficiente de los riesgos o eventos que
afecte el área y los posibles proyectos en desarrollo.

· Poca priorización del control de calidad, siendo una etapa importante en los proyectos
software que ayuda a comprobar los puntos cruciales en la operación del negocio.

· Poca documentación en tecnologías-herramientas inexploradas, lo cual es un problema

para mantener el mismo nivel de conocimiento.
 · No se sigue un adecuado proceso de evaluación para monitorear el estado de los
ordenadores

· Administración de base de datos poco óptima

· Poca Capacitación del personal en aplicaciones desarrolladas

Actividades:

· Inventarios de ordenadores

· Planificación de mantenimiento y actualización de sistemas y proyectos de

producción

· Generar documentación y manuales de los sistemas

· Gestionar las operaciones de base de datos para garantizar su integridad

· Administrar y desarrollar los proyectos del área y sistemas en proceso

· Reporte de las actividades realizadas al jefe de informática

· Respaldo de información de los sistemas

· Soporte Técnico

Informe Área de soporte de hardware y redes

Estado:

Esta área es vital para el correcto funcionamiento de la empresa ya que mantiene la

comunicación de las sucursales con la sede central, actualmente no se dispone el personal
suficiente para atender todas las incidencias de hardware y la red decae en momentos
imprevistos.

Estándares:

TCP/IP

OSI

IEEE

ANSI
Problemas:

Conflicto con direcciones IP

Equipos conectados de forma desordenada

Fallas en los switches o routers

Tarjetas de red defectuosas

Insuficiente ancho de banda

Infecciones de virus

Aplicaciones saturan la red

Actividades

Manejar y gestionar de manera precisa y ordenada los recursos tecnológicos e informáticos a

su disposición.

Satisfacer las necesidades de comunicación de los empleados.

Resolver incidencias de primer, segundo y tercer nivel.

Soporte y mantenimiento de los sistemas y redes informáticas con los que cuenta la empresa.

Instalar, conocer, reparar, cuidar y verificar el adecuado funcionamiento de toda la red

Informe Área de soporte de Tecnología e Innovación

Se observa que esta área no está implementada al 100% ya que se pospuso debido a recortes
en el presupuesto, el planeamiento consiste en externalizar el servicio para brindar soporte en
los equipos e investigar nuevas tecnologías que ayuden a la organización.

Problemas:

-Inversión insuficiente

-Productos obsoletos

-Mano de obra no calificada

Actividades

- Monitoreo de las tecnologías actuales

- Investigación en software de ventas

-Actualizaciones del software

FASE 4 SÍNTESIS Y DIAGNÓSTICO

4.1 Inicio de la fase de Síntesis y Diagnóstico

Para iniciar el diagnóstico primero se realiza una investigación en las bases de datos de la
empresa en donde se realiza un levantamiento de información de los procesos, tecnología,
redes, base de datos asociados al sistema de información SisVent, en esta se indica que la
base de datos no cuenta con logs que registren las acciones que se efectúan sobre esta.
Aunque indican que realizan copias de seguridad a los datos y tablas más importantes, diaria
o semanalmente de acuerdo al volumen de información que se mueva en estas. Se observa
que los usuarios que ingresan a la base de datos del área de sistema tienen acceso a la base de
datos, donde pueden ingresar, borrar o modificar la información de la misma sin tener un
registro propio, ni restricción de cada usuario, ya que estos utilizan el mismo usuario.
Actualmente no hay un administrador propio de base de datos, ni de la gestión o creación de
usuarios. Ya que se tiene el mismo usuario y la mayoría de los procesos lo utilizan, no se
realiza cambio de la clave, pero para acceder a la base de datos desde un navegador, se cuenta
con otro acceso, la cual permite hacer el cambio de la contraseña sin afectar los procesos
actuales.

Debido a que la persona que diseñó e implementó la base de datos ya no se encuentra y no se

pudo hacer una entrega formal del puesto, falta el modelo Entidad Relación, diccionario de
datos o algún diseño físico o lógico que permita entender la estructura de manera rápida.

Se tiene carencia de un entorno de desarrollo, por lo cual todos los cambios que se hacen
pueden afectar directamente la base de datos de producción.

El volumen de información (Causada por la cantidad de envíos) va creciendo a diario, por

esto, es necesario hacer backups de las tablas de envíos, donde a diario, en horas de la noche
se corre un proceso que cambia de servidor la tabla del día anterior, dejando solo la tabla del
día actual en el servidor principal. Y cada mes se hace el backup del mes anterior y se
restaura en otro servidor, para tener disponible la información de envíos de los últimos 6
meses.

Los backups se tienen en 2 de los servidores principales (Contratados con el proveedor), de

igual manera se tiene otro servidor en la oficina, el cual es espejo de uno de los servidores del
proveedor. Y a medida que el espacio de estos servidores se va agotando, se bajan a algunos
computadores de la oficina.

Si se sufre de daños en algunos de los equipos de cómputo de la empresa, se tienen otros de

respaldo con características similares. Y si se presenta algún otro tipo de problema o se va la
luz, se puede acceder desde los equipos que se encuentran en la casa de algunos de los
empleados.
Cuando se solicitan hacer cambios sobre la base de datos o el sistema de información
SisVent, se debe recibir un correo con la solicitud formal y se confirma el cambio por Zoom,
correo o WhatsApp con la persona que lo solicitó. De igual manera todo cambio sobre el
sistema queda guardado y almacenado por versiones, permitiendo devolver a una versión
anterior en el caso de que el cambio que se hizo, no responda de acuerdo a lo solicitado, así
mismo todo cambio principal se deja documentado en una bitácora.

A nivel de base de datos, todos los empleados del área IT, tienen acceso a esta con el mismo
usuario. Y para hacer algún tipo de cambios sobre el SisVent, cada empleado cuenta con su
usuario y contraseña, permitiendo identificar quién realizó cada cambio. Este acceso es
entregado a cada desarrollador y es desactivado cuando alguno ya no se encuentra en la
empresa, por parte de un proveedor que se encuentra en planta.

Actualmente la base de datos no cuenta con procesos o herramientas de auditoría.

Si se presenta un problema con la base de datos en el servidor principal, se tiene un respaldo

de esta en otro servidor y viceversa, al igual que se cuentan con los backups de las tablas
principales.

4.2 Determinación de puntos débiles y fuertes

Áreas Puntos débiles Puntos Fuertes

Gerencia TIC La demora de las Infraestructura de punta

actualizaciones del CIO.
Su necesidad de definición
Los subdepartamentos no de procesos de negocio que
trabajan en conjunto. ordenan la gestión.

Se demoran con las Su capacidad de análisis y

herramientas (software) reporting facilita la toma de
necesarias para la buena decisiones estratégicas.
administración del área.

Desarrollo de Sistemas El software requiere más Su capacidad de

tiempo en sus tiempos de organización
pruebas para que se pueda
terminar. Coordinar eficientemente los
recursos, con el fin de
Los informes de alcanzar los resultados
actualización de los procesos previstos
cumplidos son poco precisos

Soporte de hardware y redes La RAM de las máquinas de Tiene conocimientos

los programadores dejando amplios sobre venta de
con una amenaza de equipo de cómputo, además
 hardware que afecta a las de la instalación de dicho
memorias DDR RAM y que equipo.
no es posible de solucionar
salvo cambiando el módulo
de memoria afectado.

Soporte de Tecnología e No se tiene los suficientes Se reparten equitativamente

Innovación materiales para poder hacer los procesos para no perder
los procedimientos mucha velocidad entre los
adecuados en un periodo de procesos
tiempo corto.

Falta de supervisión en la
calidad del producto final

No suficientes monitores
disponibles

Falta de actualizaciones de
sistemas.

4.3 Técnica de recopilación de información

Para poder obtener toda la información relacionada al auditado se llevaron a cabo técnicas
que ayudan en esta actividad. De esta manera se realizó:

Observación:

Esta técnica empleada es una de las más comunes para la recolección de información,
contribuye en la examinación de los diferentes aspectos del área auditada y los sistemas
vinculados. Asimismo, se obtiene la información del estado, comportamiento, operaciones y
procedimientos de los sistemas del área. Siendo de gran ayuda para el proceso de auditoría,
observando todo lo relacionado al área auditado, lo que nos ayuda en percibir, analizar e
investigar los eventos que ocurren en las actividades del auditado.

Entrevistas:

A través de esta otra técnica obtenemos la información necesaria sobre lo que se está
auditando, conociendo algunos tips que ayudarán en el transcurso de la auditoría y nos ayuda
a conocer más sobre los puntos a evaluar. En el proceso de la entrevista el auditor se encarga
de auditor o interrogar, investigar y logra adecuar o ajustar los aspectos del auditado. En base
a una serie de preguntas relacionadas a temas vinculados del auditado se profundiza la
información.
Asimismo, los recuentos o inventarios fueron otra de las técnicas seleccionadas para efectuar
esta actividad de recopilación.

ENTREVISTA

FECHA:

ENTREVISTADO:

Con el objetivo de mejorar el proceso de auditoría y conocer la opinión de los

entrevistados, se realiza las siguientes preguntas:

1. ¿La empresa lleva a cabo auditorías continuas?

2. ¿El área involucrada tiene problemas constantes?

3. ¿Se realizan retroalimentaciones para identificar problemáticas?

4. ¿Considera que el funcionamiento de los equipos tecnológicos es óptimo?

5. ¿Se ha realizado una auditoría anteriormente?

6. ¿Con qué frecuencia suceden eventos o problemas en su área?

7. ¿Considera el plan de auditoría presentado efectivo?

8. ¿Qué problemas son más recurrentes?

OBSERVACIONES Y/O SUGERENCIAS

Inventarios:

Técnica aplicada que tuvo como objetivo llevar a cabo un recurso del auditado, con el
propósito de contrastarlo con la información registrada en los documentos. De esta manera, la
aplicación de esta técnica ayuda al auditor examinando los equipos disponibles y la carencia
de algunos componentes para el funcionamiento del área. Obteniendo información para la
adquisición de nuevos equipos o reemplazo de otros.
4.4 Identificación de riesgos

4.5 Valoración de los riesgos

4.6 Identificación de posibles controles de riesgos
4.7 Diagnóstico y alternativas de solución

Se plantean posibles pruebas de auditoría para cada riesgo encontrado, mostrando la tabla a
continuación:

REF. DESCRIPCIÓN DE LA PRUEBA RIESGOS

P01 Verificar si existe fuga de información, por R01

falta de políticas de control de acceso.

P02 Verificar si existe fuga de información, por R02

falta de políticas de creación de usuarios y
contraseñas.

P03 Validar el proceso de selección de personal y R03-R05

ver si cumple con los objetivos del negocio.

P04 Validar si la documentación entregada al R04

personal está actualizada y si este cumple con
el procedimiento estipulado.

P05 Revisar el contrato con el proveedor que R06

presta el servicio de alojamiento de servidores
“UServer” y confirmar si se tienen cláusulas
que permitan asegurar el buen estado de los
servidores, recuperación de la información
ante un daño en las instalaciones del
proveedor.

P06 Verificar el proceso de recuperación de R07, R08

información de la base de datos, cuando es
eliminada accidentalmente.

P07 Validar el proceso de control de cambios R09, R11, R12

establecidos para la base de datos.

P08 Validar la documentación de la base de datos R10

del sistema de información SisVent.

Primera prueba realizada relacionada con la política de control de acceso a las bases de datos
y verificación de fuga de información.

BIKESSTORE
 DISEÑO DE PRUEBAS DE AUDITORÍA

PRUEBA No: P01

PROCESO: Políticas de control de acceso a base de datos

OBJETIVO DE LA PRUEBA: Verificar si existe fuga de información, por falta de

políticas de control de acceso.

TIPO: Mixta

CONTROLES A PROBAR: Proceso de autenticación inicial, para el ingreso al

pgadmin desde la Web y la segunda clave de acceso

RECURSOS NECESARIOS PARA APLICARLA

INFORMACIÓN

SOFTWARE: S.O. con Windows 10, Linux o Macintosh. - Navegador: Google

Chrome, Opera, Firefox, Safari, Internet Explorer.

HARDWARE: Computador con recursos mínimos (Procesador Core i3-3220T, Ram

de 4 GB y Disco Duro de 500 GB)

PROCEDIMIENTO A EMPLEAR

❖ Ingresar con el usuario entregado por el área IT y confirmar si se tienen

validaciones de ingreso erróneo
❖ Digitar erróneamente el usuario 3 veces y ver si hay validación de ingreso
erróneo desde la web.
❖ Realizar pruebas de captura de la contraseña desde una red ajena a la empresa.

· Se trabaja con el programa Asterisk key 10.0

· Se ingresa a la página de acceso al pgadmin donde se encuentra alojada la base de

datos del SisVent.

· Se ingresa el usuario y la contraseña entregadas y se ejecuta el programa Asterisk

Key.

· Capturar el resultado de la prueba.

4.8 Cierre de la fase de Síntesis y Diagnóstico

La evaluación fue realizada a la Base de Datos asociada al sistema de información SisVent de

la empresa BikesStore, durante el mes de octubre del año en curso. Donde se obtiene como
resultado la culminación y cumplimiento de los objetivos a evaluar.

De acuerdo a esto se determina que el Departamento de Tecnología es la parte medular de la

empresa. Ya que es, donde los datos se convierten en información útil para las diferentes
áreas y la toma de decisiones, donde se guarda y que es generada para cada uno de los
procesos de BikesStore. Es por esto que el sistema de información SisVent se constituye
como el Core del negocio y es considerada unos de los activos más significativos en la
actualidad de la Empresa.

Es por ello que BikesStore. debe de analizar, diseñar y reestructurar sus procesos en base a
los hallazgos generados durante la auditoría principalmente realizada a la base de datos, ya
que al implementar dichas mejoras se garantiza la integridad, estabilidad de los procesos y
continuidad del negocio ante cualquier riesgo.

Dado esto, se evidencia que dentro del ambiente empresarial es de vital importancia contar
con información veraz, a tiempo, de forma oportuna, clara, precisa y con cero errores para
que se constituya en una herramienta confiable para la toma de decisiones en BikesStore.
Hasta el momento solamente se ha realizado una prueba, teniendo como hallazgo lo
siguiente:

Se verificó que el acceso web a la base de datos desde una red externa está validada

y permite limitar el acceso a personal no autorizado. Pero de igual manera al

permitir el acceso desde cualquier red se evidencia que la exposición de pérdida o

daño de la información es latente, por lo cual se recomienda:

● Restringir la base de datos a una red local.

● Agregar un proceso de identificación de intrusos que permita validar
● ingresos no permitidos.
● Agregar un proceso de bloqueo de acceso después de 3 intentos erróneos.
● Establecer una política de cambio de la contraseña que no supere los 3 meses.