PROGRAMA DE AUDITORÍA

NOMBRE DE LA UNIDAD AUDITABLE GESTIÓN DE TECNOLOGÍA DE INFORMACIÓN

NOMBRE DE LA AUDITORÍA 12023287 - DERECHOS DE AUTOR
REFERENCIA EVALUACIÓN CUMPLIMIENTO DERECHO DE AUTOR SOBRE
SOFTWARE
AUDITOR CARLOS ANDRES SOLIS MOLINA - AUDITOR A CARGO

EMPRESA AGUAS NACIONALES

MATRIZ DE RIESGOS INICIAL

P CONSECUENCIA
R
O 1-Mínima 2-Menor 4-Moderada 8-Mayor 16-Máxima
B
A 5-Muy Alta
B
I 4-Alta
L
I 3-Media O2-1
D
A 2-Baja C1-1
D
C6-1
C8-1
1-Muy Baja

Listado de riesgos y controles a evaluar

Código Riesgo Escenario del Riesgo Control

C1-1 FRAUDE Probabilidad que se presente GESTION INVENTARIO DE EQUIPOS

ausencia y/o pérdida de equipos de DE CÓMPUTO (Asociado: Sí)
cómputo en la Planta de Aguas
Nacionales, por falta de controles
que garanticen la calidad e
integridad en el inventario y
actualización. (Asociado: Sí)
C8-1 CORRUPCIÓN Probabilidad que se presente GESTION INVENTARIO DE EQUIPOS
ausencia y/o pérdida de equipos de DE CÓMPUTO (Asociado: Sí)
cómputo o de sus componentes
(Hardware), por falta de controles
que garanticen la calidad e
integridad en el inventario y
actualización. (Asociado: Sí)
C6-1 JURÍDICO Y REGULATORIO Probabilidad de incumplimiento de GESTIÓN LICENCIAMIENTO DEL
las normas colombianas en materia SOFTWARE (Asociado: Sí)
de derecho de autor sobre software, PROCEDIMIENTO PARA DAR DE
ante el uso de programas de BAJA AL SOFTWARE (Asociado: Sí)
computación sin autorización y/o no
licenciado. (Asociado: Sí)
O2-1 GESTIÓN DE LA INFORMACIÓN Probabilidad que se presente CONTROLES CONTRA SOFTWARE
pérdida de integridad, confiabilidad y MALICIOSO (Asociado: Sí)
disponibilidad de la información, por MECANISMOS DE CONTROL DE
falta de mecanismos de control que SOFTWARE (Asociado: Sí)
restrinjan la instalación del software
no autorizado, malicioso y/o no
licenciado en los equipos de
cómputo de la organización.
(Asociado: Sí)

OBJETIVO GENERAL
Evaluar la eficacia de los controles de gestión de equipos de cómputo y software del macro proceso de apoyo, en el
proceso Gestión Tecnología de Información, mediante la realización de pruebas de aseguramiento para verificar el
cumplimiento de las normas en materia de derecho de autor sobre software, establecido en la Directiva
Presidencial 002 de 2002 y dar respuesta al reporte de software legal de la Circular 12 de 2007, conforme con el
procedimiento de la Circular 017 de 2011 de la Unidad Administrativa Especial Dirección Nacional de Derechos de
Autor (DNDA) durante la vigencia 2023 en Aguas Nacionales.

ALCANCE
El trabajo de verificación se realiza con respecto a la información suministrada por la Unidad Auditable, en relación
con el inventario de equipos de cómputo, en lo referente al uso de software licenciado y de los procedimientos
establecidos en Aguas Nacionales, para la vigencia del año anterior. La evaluación incluirá en el inventario que se
reportará a la DNDA, equipos portátiles, equipos de escritorio, terminales livianas (Thin Clients) y servidores.

CRITERIOS O GUÍAS
• Ley No. 23 de 1982
• Directiva Presidencial No. 01 del 25 de febrero de 1999
• Directiva Presidencial No. 02 del 12 de febrero de 2002
• Circular No. 04 del 22 de diciembre de 2006
• Circular No.12 de 2007, modificada por la Circular No.017 de 2011 de la Unidad Administrativa Especial Dirección
Nacional de Derechos de Autor (DNDA)
• Ley 1915 de 2018
• Lineamientos, reglas de negocios, procedimientos e instructivos que soportan los controles en la organización.

NECESIDADES TÉCNICAS
• System Center Configuration Manager - SCCM
• BMC Remedy
• JD Edwards
• Microsoft Excel
• Qlik Sense

OBJETIVOS ESPECÍFICOS Y PRUEBAS RELACIONADAS

OBJETIVO 1 EVALUAR GESTIÓN DE ACTIVOS DE TECNOLOGÍA

DESCRIPCIÓN DEL OBJETIVO Evidenciar la gestión de equipos de cómputo, a través de la verificación de
calidad e integridad de los datos para determinar la cantidad de equipos de
cómputo con los que cuenta la organización.

PRUEBAS ASOCIADAS AL OBJETIVO 1

CÓDIGO Y NOMBRE DE LA PRUEBA 01 - GESTIÓN EQUIPOS DE CÓMPUTO

OBJETIVO DE LA PRUEBA
Evaluar la gestión de equipos de cómputo verificando la calidad para mantener
un registro actualizado y preciso de todos los activos de tecnología en la base
de datos de tecnología (ej. CMDB) y alienados o con integridad en la fuente de
información de gestión financiera o contable (ej. JD Edwards) mientras
permanecen en la organización.

Pregunta asociada: ¿Con cuántos equipos cuenta la entidad?

DESCRIPCIÓN DE LA PRUEBA 1. Genere el inventario de equipos de cómputo (escritorio, portátiles, terminales
y servidores) desde la base de datos de TI (ej. CMDB) y del sistema de
información contable (ej. JD Edward).

2. Identifique que cuenta con los atributos claves de estos activos de

información, tales como numero serial, activo fijo, nombre, estado, tipo, modelo,
contrato, contacto principal, entre otros y verifique la calidad de los datos,
específicamente en términos de completitud, duplicidad y consistencia.

3. Compare la información de la base de datos de TI (ej. CMDB o SCCM)

versus la información contable (JD Edwards Módulo Gestión de Activos) y
verifique su integridad por medio de los campos claves del número de serial y
activo fijo. Asimismo, corrobore dicha información alguna herramienta de
monitoreo como SCCM o Client Managemet o si es posible revisando el reporte
del inventario físico (si se tiene este control en TI) o con una inspección física.

4. Analice excepciones o desviaciones tales como la existencia de equipo de

cómputo repetido por sus números seriales o activos fijos.

5. Verifique la existencia y aplicación de un procedimiento que describa el ciclo

de vida de los equipos de cómputo, desde su adquisición o compra hasta su
disposición final (reintegro).

Resultado esperado: Coherencia entre el inventario que reporta TI con el

sistema de información contable o de gestión financiera, tanto en número de
equipos como en la calidad e integridad de la información.
UNIDAD AUDITABLE ASOCIADA 1010101010 - GESTIÓN DE TECNOLOGÍA DE INFORMACIÓN

RIESGO ASOCIADO C1-1 - FRAUDE

CONTROL ASOCIADO CA-50191 - GESTION INVENTARIO DE EQUIPOS DE CÓMPUTO
OBJETIVO 2
DESCRIPCIÓN DEL OBJETIVO
PRUEBAS ASOCIADAS AL OBJETIVO 2
CÓDIGO Y NOMBRE DE LA PRUEBA
OBJETIVO DE LA PRUEBA
DESCRIPCIÓN DE LA PRUEBA
UNIDAD AUDITABLE ASOCIADA
RIESGO ASOCIADO
CONTROL ASOCIADO
OBJETIVO 3
DESCRIPCIÓN DEL OBJETIVO
PRUEBAS ASOCIADAS AL OBJETIVO 3
CÓDIGO Y NOMBRE DE LA PRUEBA
OBJETIVO DE LA PRUEBA
DESCRIPCIÓN DE LA PRUEBA
UNIDAD AUDITABLE ASOCIADA
RIESGO ASOCIADO
CONTROL ASOCIADO
OBJETIVO 4
DESCRIPCIÓN DEL OBJETIVO
PRUEBAS ASOCIADAS AL OBJETIVO 4
CÓDIGO Y NOMBRE DE LA PRUEBA
OBJETIVO DE LA PRUEBA
DESCRIPCIÓN DE LA PRUEBA
UNIDAD AUDITABLE ASOCIADA
RIESGO ASOCIADO
CONTROL ASOCIADO
OBJETIVO 5
DESCRIPCIÓN DEL OBJETIVO
PRUEBAS ASOCIADAS AL OBJETIVO 5
CÓDIGO Y NOMBRE DE LA PRUEBA
OBJETIVO DE LA PRUEBA
DESCRIPCIÓN DE LA PRUEBA
UNIDAD AUDITABLE ASOCIADA
RIESGO ASOCIADO
CONTROL ASOCIADO
EVALUAR EL LICENCIAMIENTO DEL SOFTWARE
Evidenciar la gestión del licenciamiento de software, bajo la verificación de
licencias adquiridas y el software instalado, estableciendo la eficacia de los
controles y el debido licenciamiento del software en los equipos de cómputo de
la organización.
01 - VERIFICACIÓN DE LICENCIAS COMPRADAS E INSTALADAS
Verificar que el software instalado en los equipos de cómputo está debidamente
licenciado y autorizado dentro de la organización.
Pregunta asociada: ¿El software instalado en estos equipos se encuentra
debidamente licenciado?
1. Genere el reporte o solicite el listado de las licencias o contratos de software
de la base de datos de configuración - CMDB.
2. Genere el reporte o solicite el software instalado en todos los equipos de
cómputo. Agrupe el software por nombre. Puede usar un informe del software
instalado en los equipos desde System Center Configuration Manager (SCCM)
o la aplicación que haga inventario de software en todos los equipos de
cómputo.
3. Verifique si el software instalado es, por lo menos, menor o igual al software
comprado. Si es necesario, genere una muestra para verificar este control.
4. Busque programas DEMO, TRIAL, Shareware u otros instalados en los
equipos de cómputo. Validar la autorización del proveedor o la licencia en su
sitio Web o una fuente confiable.
5. Verifique la existencia de procedimientos para el ciclo de vida del software en
la organización, especialmente los derechos patrimoniales que tienen que ver
con su adquisición, renovación, entre otros. Verificar si se ejecutan se ejecutan
adecuadamente por los roles y se puede ver trazabilidad en la herramienta de
gestión de T.I.
Resultado esperado: el software instalado es por lo menos menor o igual al
software comprado y se encuentra debidamente licenciado y/o autorizado.
0818150000 - GESTIÓN DE TECNOLOGÍA DE INFORMACIÓN
C6-1 - JURÍDICO Y REGULATORIO
CA-50192 - GESTIÓN LICENCIAMIENTO DEL SOFTWARE
EVALUAR MECANISMOS DE CONTROL DE SOFTWARE
Evidenciar los mecanismos de control de software, mediante la verificación de
controles tecnológicos, que restringen la instalación de software sin
autorización, licencia y/o malicioso, en atención al cumplimiento de las normas
en materia de derechos de autor sobre software.
01 - MECANISMOS DE CONTROL DE SOFTWARE
Verificar la existencia y aplicación de los controles implementados para evitar
que los usuarios instalen o usen programas o aplicativos que no cuenten con el
debido licenciamiento o no están autorizados por Tecnología. Asimismo, los
controles implementados para evitar la instalación o propagación de código
malicioso en la infraestructura tecnológica o en infraestructuras críticas.
Pregunta asociada: ¿Qué mecanismos de control se han implementado para
evitar que los usuarios instalen programas o aplicativos que no cuenten con la
licencia respectiva?
1. Revisar reglas de negocio relacionadas con la instalación de software no
autorizado o no licenciado y acerca de la protección contra software malicioso.
2. Solicitar reporte y revisar el control de los usuarios que tienen permisos de
administrador local y del dominio.
3. Revisar las directivas de seguridad - GPO que aplican a los equipos o
usuarios para restringir la instalación de software.
4. Solicite el software que ha sido dado de baja o del inventario de software que
tienen y seleccione un software que ya no tenga licencias disponibles.
5. Cree un requerimiento por medio de un Catálogo de TI con la aprobación de
un jefe de estructura, para la instalación de un software seleccionado en el
punto anterior.
6. Solicite informes de cobertura en la instalación del software de protección
contra malware (ej. Solución Antivirus o Antimalware) en los equipos de
cómputo (estaciones y servidores).
7. Evidencie de forma aleatoria la instalación y actualización de la solución
antimalware en algunos equipos de cómputo y anéxelo a la prueba.
Resultado esperado: reglas de negocio que prevengan la instalación de
software malicioso, software no autorizado o no licenciado en la organización.
Control periódico sobre los usuarios que tienen permisos de administrador local.
Directivas de seguridad de grupo (GPO) que evitan instalación de software.
Negación del requerimiento por: ausencia de licencia o porque el software fue
dado de baja. Cobertura completa en la instalación de software de protección
contra malware en los equipos de la organización.
10101010 - GESTIÓN DE TECNOLOGÍA DE INFORMACIÓN
O2-1 - GESTIÓN DE LA INFORMACIÓN
CA-59652 - CONTROLES CONTRA SOFTWARE MALICIOSO
CA-83807 - MECANISMOS DE CONTROL DE SOFTWARE
EVALUAR EL PROCEDIMIENTO PARA DAR DE BAJA EL SOFTWARE
Evidenciar el procedimiento de baja de software, por medio de la verificación de
soportes, ante la obsolescencia y caducidad de licenciamiento, confirmando la
eficacia de los controles y el destino final del mismo.
01 - PROCEDIMIENTO PARA DAR DE BAJA EL SOFTWARE
Verificar el procedimiento para dar de baja el software y hacer énfasis en el
destino final de dicho software.
Pregunta asociada: ¿Cuál es el destino final que se le da al software dado de
baja en su entidad?
1. Solicite y verifique si el procedimiento para dar de baja el software, está
documentado, tiene un responsable de aplicarlo, es periódico, tiene
observaciones o desviaciones y deja evidencias de su aplicación.
2. Evidencie que el software que se da de baja es efectivamente desinstalado
de los equipos de cómputo (Para equipos propios y arrendados).
3. Valide que el software dado de baja se encuentra en dicho estado, en la
CMDB.
4. Evalúe que el destino final que se le da al software efectivamente cumplió su
procedimiento.
Resultado esperado: Existencia y aplicación de un procedimiento para dar de
baja del software no utilizado o que ya cumplió con su ciclo de vida.
0818150000 - GESTIÓN DE TECNOLOGÍA DE INFORMACIÓN
C6-1 - JURÍDICO Y REGULATORIO
CA-50194 - PROCEDIMIENTO PARA DAR DE BAJA AL SOFTWARE
SEGUIMIENTO A LOS PLANES DE MEJORAMIENTO
Realizar seguimiento a la implementación de los planes de mejoramiento, a
través de la verificación de acciones cumplidas y eficaces por parte del líder
responsable, con el fin de determinar la eficacia y el cierre de los planes en
Avanza ante el aseguramiento de la mejora del control.
01 - SEGUIMIENTO A PLANES DE MEJORAMIENTO
Evaluar la eficacia de los planes de mejoramiento cumplidos para el periodo
evaluado.
Verifique las acciones implementadas como parte del plan de mejoramiento
propuesto por la administración y valide cada una de las acciones mediante
pruebas de auditoría que la soporte su exclusión del informe de auditoría o su
permanencia en el mismo, definiendo su porcentaje de cumplimiento y eficacia.
Resultado esperado: Cumplimiento al 100% de los planes de mejoramiento.
0818150000 - GESTIÓN DE TECNOLOGÍA DE INFORMACIÓN
C1-1 - FRAUDE
C8-1 - CORRUPCIÓN
C6-1 - JURÍDICO Y REGULATORIO
O2-1 - GESTIÓN DE LA INFORMACIÓN
CA-50191 - GESTION INVENTARIO DE EQUIPOS DE CÓMPUTO
CA-50192 - GESTIÓN LICENCIAMIENTO DEL SOFTWARE
CA-59652 - CONTROLES CONTRA SOFTWARE MALICIOSO