ADMINISTRACIÓN

Y NEGOCIOS

AUDITORIA DIGIBOT S.A.

Auditorías de sistemas

NOMBRE: Gonzalo Andrés Castillo Espinoza

Ivo Alexis Delgado Delgado
Ricardo Andrés Reyes Rain
Johana Marianela Roa Werner
CARRERA: Contador Auditor
ASIGNATURA: Auditoría de sistemas
PROFESOR: Rodrigo German Cabrera Solís.
FECHA:29-05-2023
Índice.

1 Introducción...............................................................................................................3

2 Desarrollo...................................................................................................................4

2.1 Planificación previa...............................................................................................4

2.2 Recopilación de datos...........................................................................................4

2.3 Desarrollo del programa de auditoría....................................................................5

2.4 Técnicas de recopilación de evidencias................................................................6

2.5 Informe de auditoría..............................................................................................7

2.6 Seguimiento de auditoría....................................................................................10

2.7 Indique el nivel de madurez para la empresa, según el modelo de madurez SEI.
11

2.8 Realice un análisis de riesgos (indicando tipo de análisis intrínseco o residual),

para ello use y adapte las siguientes tablas.................................................................12

2.9 Una vez identificados los riesgos, proponga soluciones a cada uno de los
problemas mediante COBIT 5...................................................................................... 14

3 Conclusión............................................................................................................... 15

2
1 Introducción.

En este informe se presentan los resultados de un análisis exhaustivo realizado en la

empresa DIGIBOT S.A. El objetivo principal de este estudio fue evaluar el estado actual
de la organización en términos de sus recursos humanos, finanzas, procesos y
seguridad informática. Donde se llevaron a cabo entrevistas, se revisaron documentos y
se realizaron observaciones directas para recopilar información relevante.

El propósito de esta auditoría es identificar áreas de mejora y proponer

recomendaciones específicas para fortalecer las operaciones de DIGIBOT S.A. Además,
se buscó garantizar la eficiencia y la seguridad de la empresa en un entorno
empresarial cada vez más competitivo y en constante evolución.

Esperamos que este informe sea una herramienta valiosa para DIGIBOT S.A. a medida
que avanza hacia la implementación de las mejoras propuestas, con el objetivo final de
lograr un crecimiento sostenible y una ventaja competitiva en el mercado

3
2 Desarrollo.

2.1 Planificación previa.

Identificar lugares físicos o instalaciones donde se va a auditar.

Luego de analizar detenidamente el plano otorgado por la empresa DIGIBOT el equipo

ha decidido realizar la auditoría en las instalaciones que se mencionan a continuación:

 Primer piso: Atención clientes, lugar común de equipos computacionales,

ingeniero de diseño, bodega.
 Segundo piso: Lugar común de equipos computacionales, ingeniero jefe,
finanzas.
 Tercer piso: Oficina gerencia 1, oficina gerencia 2, servidores, lugar común de
equipos computacionales.

2.2 Recopilación de datos.

Indique el listado de personas a entrevistar.

De acuerdo con la información proporcionada se ha tomado la decisión de entrevistar a

través de la metodología de cuestionario a las siguientes personas:

 Gerente1
 Ingeniero jefe
 Ingeniero de diseño
 Cliente

Indique el listado de políticas, normas y directivas existentes en la empresa.

Al analizar la información proporcionada de la empresa DIGIBOT S.A. se menciona que

las políticas, normas y directivas existentes son las siguientes:

 Política de seguridad de acceso lógico.

 Política de usuarios y grupos.
 No logran inferir alguna otra

4
2.3 Desarrollo del programa de auditoría.

 Realizar un examen riguroso y presentar informes acerca de la adhesión a las

directrices establecidas por la alta dirección, en relación con el control interno.
Esto comprende la "Política de seguridad de acceso lógico" y la "Política de
usuarios y grupos", así como los estándares referentes a la implementación de la
infraestructura tecnológica existente en la organización.
 Objetivo con problemas d ereadacción
 2pto 2pto

 Proporcionar asesoramiento experto tanto a la alta dirección como al conjunto de

la organización.
 Validar y potenciar la eficacia de las diversas operaciones y procedimientos
internos.
 Informar de manera precisa y en tiempo oportuno sobre cualquier desviación
identificada, y proponer las medidas correctivas pertinentes.
 Evaluar la eficiencia del sistema de gestión en el cumplimiento de sus objetivos
particulares.

Tema de la auditoría:

El foco de la auditoría abarcará la organización en su totalidad, con la intención de

examinar exhaustivamente las áreas de recursos humanos, finanzas, procesos y
seguridad informática.

 2pto 2pto

Alcance de la auditoría:

La revisión incluirá:

 El análisis de la infraestructura tecnológica vigente en la organización.

 El examen de la estructura organizativa, para obtener su organigrama y así tener
certeza acerca de a quién dirigirnos en cada unidad de la organización.
 El estudio de los procesos directamente relacionados a los sistemas informáticos.
 La evaluación de la seguridad de los procesos informáticos establecidos.

5
  2pto 2pto


Periodo designado para la auditoría:

La duración estimada de este proceso de auditoría es de 6 meses.

 2pto 2pto

2.4 Técnicas de recopilación de evidencias.

La recolección de evidencia empírica es un componente esencial en el procedimiento de

auditoría. Es por eso por lo que el equipo auditor en este escenario ha tomado la
decisión de generar un cuestionario que será dirigido a las cuatro personas
seleccionadas anteriormente para la recopilación de datos.

La data recabada de los cuestionarios de evaluación del sistema de control interno

permitirá determinar el nivel de control que ejerce la organización y la implicación de los
miembros en mantener un ambiente controlado, dado que el cuestionario de auditoría
por sí solo es un documento estático.

Las respuestas pueden ser sí, no, a veces, y se puede agregar una observación. Las
preguntas formuladas por el equipo auditor son las siguientes:

1. ¿Se realizan auditorías de sistemas para garantizar la seguridad de las

instalaciones y los accesos?
2. ¿La infraestructura es adecuada para llevar a cabo las actividades de la
empresa?
3. ¿Se realiza una revisión de la política de seguridad y de la conformidad técnica?
4. ¿Se dispone de un organigrama de funciones y responsabilidades?
5. ¿Las instalaciones cuentan con una certificación?
6. ¿Se llevan a cabo auditorías de sistemas por parte de la organización o de una
entidad externa para asegurar la seguridad del personal?
7. ¿Logran la fidelidad de los clientes?
8. ¿Se han implementado políticas de seguridad y prevención de riesgos?
9. ¿La empresa dispone de un comedor para el consumo de alimentos y bebidas?

6
 10. ¿Creen que colaboran con suficiente sinergia para cumplir con sus objetivos?
11. ¿La infraestructura es suficiente para garantizar las instalaciones informáticas?
12. ¿Se cuenta con aire acondicionado en la sala de servidores?
13. ¿Los gerentes son la máxima autoridad en la empresa?
14. ¿Existen prácticas y procesos bien establecidos?
15. ¿Se ha realizado una evaluación de riesgos?
16. ¿Se ha considerado la implementación de un control de riesgos?
17. ¿Trabajan en la empresa personas relacionadas con los propietarios?
18. ¿Los gerentes supervisan las funciones de los puestos ejecutivos?
19. ¿Hay un empleado responsable de las copias de seguridad de la información?
20. ¿Hay un cortafuegos en las instalaciones?
21. ¿Hay un antivirus adecuado para proteger la información?
22. ¿El antivirus está actualizado?
23. ¿Hay suficientes enchufes para los equipos informáticos y otros dispositivos de
hardware?
24. ¿Las escaleras que comunican los pisos cumplen con los estándares de
seguridad?
25. ¿Existen seguros contratados contra incendios, robos, daños y perjuicios?
26. ¿Existe solo un encargado de los servidores?
27. ¿Los trabajadores cumplen con un horario completo?
28. ¿Disponen de un sistema de videovigilancia?
29. ¿Tienen instaladas rejas de seguridad?
30. ¿Cuentan con seguridad nocturna?
31. ¿El edificio tiene salidas de emergencia?
32. ¿Se dispone de servicios higiénicos para el personal?
33. ¿Se dispone de servicios higiénicos para los clientes?
34. ¿Hay extintores en cantidad suficiente?

Después de desarrollar el programa de auditoría y recoger la evidencia de auditoría, el

siguiente paso es evaluar la información obtenida con el objetivo de formular una
opinión.

2.5 Informe de auditoría.

7
Emita una conclusión global expresando una opinión sobre los controles y
procedimientos revisados.

Este informe ha sido desarrollado por el equipo auditor. Propone un estudio y análisis
detallado de varios factores que están afectando las operaciones de DIGIBOT S.A. con
el objetivo de ofrecer asesoramiento, recomendaciones y posibles soluciones para
asegurar resultados óptimos y sostenibles en el tiempo.

 2pto 2pto

Nuestra conclusión general acerca de los controles y procedimientos revisados es la

siguiente:

Observaciones:

 No se realizan auditorías internas ni externas, ni tampoco controles periódicos

para la supervisión y mejora de la eficiencia de sus procesos.
 No se efectúan auditorías ni controles periódicos para evaluar y mitigar los
riesgos asociados a sus procesos.
 No existe una estructura organizativa jerárquica que permita un orden lógico en
sus operaciones y responsabilidades.
 Las instalaciones de los sistemas informáticos no cuentan con certificación, lo
cual no garantiza seguridad para los procesos, empleados y clientes.
 No hay un espacio asignado y equipado para el consumo de comidas y bebidas.
 No se han establecido protocolos de seguridad informática, permitiendo que
cualquier individuo, incluyendo los pasantes, tenga acceso a los servidores.
 La infraestructura tecnológica es insuficiente y potencialmente peligrosa, con
conexiones de red visibles en diferentes pisos del edificio.
 Los servidores carecen de un sistema de control de acceso de seguridad y de un
adecuado sistema de aire acondicionado para evitar el sobrecalentamiento de los
equipos.
 Los gerentes no desempeñan un papel de liderazgo activo dentro de la empresa,
delegando sus responsabilidades. No obstante, aún existen dos oficinas
asignadas a los gerentes.
8
  No se realiza un seguimiento o fidelización a los clientes.
 No hay suficientes extintores en el edificio para garantizar una respuesta de
protección adecuada para los empleados y la infraestructura de la empresa.
 El edificio carece de suficientes salidas de emergencia que aseguren la seguridad
e integridad de los empleados en caso de un siniestro u otra catástrofe.
 La creación de cuentas y perfiles de seguridad es realizada por un amigo de los
dueños, con una relación laboral de medio tiempo.
 A pesar de su tiempo de actividad, la empresa no parece haber invertido en
seguridad informática ni en seguridad para su infraestructura.
 No existen protocolos de control interno para supervisar el trabajo de los
ejecutivos o puestos de responsabilidad dentro de la empresa.
 No hay un empleado a cargo de los servidores.
 No existe un cortafuegos para internet.
 No disponen de antivirus para proteger los equipos.
 No tienen seguros contratados.
 La protección con rejas es insuficiente.
 Las salidas de emergencia son insuficientes.
 No disponen de aseos para los clientes.
 Las escaleras de acceso a los diferentes pisos presentan una estructura y diseño
con alto riesgo para la salud del personal, equipos y materiales de trabajo.

Recomendaciones:

Con base en las conclusiones y observaciones anteriormente presentadas, proponemos

las siguientes recomendaciones:

 Programar y llevar a cabo una auditoría de sistemas, como mínimo, anualmente.

 Implementar una estructura organizativa que defina claramente las funciones y
responsabilidades de los gerentes, líderes de equipo y personal.
 Crear y poner en práctica un manual de funciones y responsabilidades de los
diferentes cargos.
 Diseñar y aplicar un control interno estratégico.
 Mantener vigente la certificación SEC (Superintendencia de Electricidad y
Combustibles).

9
  Desarrollar y ejecutar un reglamento de orden, higiene y seguridad, aprobado por
una mutual de seguridad reconocida.
 Designar un lugar exclusivo para comedor, garantizando las medidas de
seguridad necesarias.
 Reforzar las medidas de seguridad de acceso a los servidores.
 Mejorar el sistema de control de temperatura en la sala de servidores.
 Habilitar al menos una oficina para la gerencia que facilite el desarrollo de
procesos.
 Diseñar e implementar un proceso de fidelización de clientes.
 Contratar, al menos, a un técnico en prevención de riesgos para abordar todos los
posibles riesgos de seguridad para el personal y las instalaciones.
 Realizar inversiones en seguridad para las instalaciones y equipos.
 Considerar la posibilidad de trasladarse a un nuevo local que pueda acomodar
mejor el desarrollo de las actividades de la empresa.

Conclusiones de acuerdo con la información recabada:

Basándonos en las observaciones y recomendaciones previamente mencionadas,

concluimos que la empresa DIGIBOT S.A. se encuentra en un estado crítico respecto a
riesgos de solvencia económica, infraestructura, seguridad y equipos tecnológicos. Por
tanto, es altamente recomendable que se realicen inversiones significativas en áreas de
seguridad, se proporcione formación adecuada a su personal y se implementen
estrategias efectivas para fidelizar a los clientes. Esto último permitirá restablecer la
confianza de la clientela, lo cual, a su vez, puede traducirse en beneficios económicos.

Además, es crucial planificar y diseñar un control de gestión eficaz que abarque la

implementación de un control interno robusto, así como la elaboración de manuales
detallados que describan las responsabilidades y procedimientos correspondientes a
cada puesto. Estos pasos son fundamentales para garantizar la estabilidad y el
crecimiento sostenido de la organización en el futuro.

2.6 Seguimiento de auditoría.

Un método efectivo de seguimiento de las observaciones encontradas en la auditoría de

DIGIBOT S.A. podría incluir los siguientes pasos:

10
Plan de acción correctivo: Basado en las recomendaciones de la auditoría, la
organización debe desarrollar un plan de acción detallado que incluya medidas
correctivas específicas, responsables de implementarlas y un cronograma para su
ejecución.

Monitorización continua: La gerencia debe implementar un proceso de seguimiento

continuo para garantizar que las medidas correctivas se estén llevando a cabo según lo
planeado. Esto podría incluir revisiones regulares del progreso y actualizaciones de
estado.

Reportes de progreso: Los responsables de implementar las medidas correctivas

deberían proporcionar reportes de progreso regulares a la gerencia. Estos informes
deberían detallar qué se ha hecho, qué obstáculos se han encontrado y qué acciones se
han tomado para superarlos.

Revisión Post-Implementación: Una vez implementadas todas las medidas

correctivas, debería realizarse una revisión post-implementación para verificar que las
acciones tomadas han abordado efectivamente las observaciones de la auditoría. Esta
revisión también puede identificar áreas de mejora continua para la organización.

Auditorías de seguimiento: Deberían programarse auditorías de seguimiento para

verificar que las mejoras se mantienen en el tiempo. Esto podría incluir una auditoría de
seguimiento completa, o auditorías más pequeñas centradas en áreas específicas de
preocupación.

Este proceso de seguimiento no sólo ayudará a DIGIBOT S.A. a abordar las

observaciones de la auditoría, sino que también promoverá una cultura de mejora
continua dentro de la organización.

2.7 Indique el nivel de madurez para la empresa, según el modelo de madurez SEI.

11
No existe un desarrollo mayor
Debe ser explicado
2.8 Realice un análisis de riesgos (indicando tipo de análisis intrínseco o residual), para
ello use y adapte las siguientes tablas.
Tabla 1. Elementos del análisis de riesgos.
Activos
1) Muebles de escritorio.
2) Cámaras de Seguridad.
3) Dispositivos de respaldos
de Información.
4) Infraestructura Informática.
5) Servidor 1.
6) Instalación eléctrica
general.
7) Sala de Servidores.
8) Router.
Amenazas
Amenaza de fácil fluidez en
circunstancias de accidente o
siniestro.
De robo al inmueble e
instalaciones.
Robo de información.
Conectividad débil y no
eficiente.
Robo de información.
Incendio.
Recalentamiento de paredes
de esta y siniestro.
Daños en el equipo.
Vulnerabilidades Impactos
Su ubicación obstruye la Media.
eficiente circulación del Afecta las Operaciones de
personal. seguridad que se planifiquen.
Alto.
Su mantención es y control es
Pérdida de bienes que afecten
nula.
la continuidad del negocio.
Alto.
Sin protección de acceso de
Pérdida de Información
usuarios.
confidencial del negocio.
Sin mantención periódica de Alto.
acuerdo a protocolos y Alteración de procesos
políticas. informáticos de la empresa
Alto.
Sin software vigente (caduco). Detención temporal de las
actividades.
Alto.
Construcción de madera sin
Detención indefinida del
protección.
negocio.
Alto.
En cuanto a su estructura y
Detención indefinida del
espacios insuficientes.
negocio.
Sin instalación sólida y Alto.
12

9) Ethernet.
10) Inmueble.
11) Software desarrollado en
la empresa.
12) Cables de redes.
13) Extintores Tipo C.
Corte de red.
Amenaza de robo de activos
de la empresa.
Ataques informáticos.
Recalentamiento e incendio.
Amenaza de incendio.
Pérdida de ruta de la red
segura.
informática.
Alto.
Sin suficiente mantención. Afecta la conectividad
interna.
Sin la suficiente seguridad en Alto.
sus instalaciones, rejas Afecta la continuidad del
protectoras de acceso. negocio.
Alto.
Daño y pérdida de
Puede afectar la seguridad
confidencialidad.
informática del sistema.
Alto.
Sin suficiente mantención
Detención indefinida del
periódica.
negocio.
Alto.
Sin la mantención de recarga
Detención indefinida del
anual por riesgos eléctricos.
negocio.

Tabla 2. Gestión de riesgos.

Observación
Códig Gestión de
Riesgo Salvaguarda
o riesgo Relación coste de protección y coste de
exposición
UPS (sistema de
Caída del Servidor por baja de Asignarlo a El costo de la UPS es aceptable en relación
R001 protección de la
voltaje Terceros con el daño.
energía)
Pérdida de información total por
El costo de construcción de 1 nuevo edificio
R002 infraestructura inadecuada de la Aceptarlo Mejoras Temporales
es mayor a la posibilidad de la empresa.
oficina general.
Posibilidad de incendio por Los extintores son un costo razonable frente
R003 Reducirlo Mejoras temporales
infraestructura inadecuada. al costo del edificio.
Instalación eléctrica de las El costo de la mantención será menor frente
R004 Reducirlo Mejoras temporales
instalaciones inadecuada. al costo de los daños de un siniestro.
El costo de efectuar mantención a la sala es
Estructura de la sala de
R005 Reducirlo Mejoras temporales menor a los daños que se puedan ocasionar
servidores inadecuada.
por un incendio.
El costo de reubicar es menor frente a daños
Reuter mal ubicado en la
R006 Reducirlo Mejoras temporales que sufra el dispositivo por su mala
instalación.
ubicación.
Cables de redes sin reposición y El costo de reponer los cables es menor
R007 Reducirlo Mejoras temporales
mantención. frente a información que se pueda perder.
El costo de asignación de seguridad
Softwares de la empresa sin
R008 Reducirlo Mejoras temporales informática es menor al de perder
restricción de acceso.
información confidencial de la empresa.
Insuficiente número de
El costo de adquirir los extintores será
R009 extintores tipo C en cada piso Reducirlo Mejoras temporales
menor a los costos del inmueble siniestrado.
del inmueble.
El costo de ordenar y distribuir
Inadecuada ubicación de los
R010 Reducirlo Mejoras temporales correctamente será menor al costo de un
muebles en los módulos.
accidente de trabajo que pueda ocurrir.
13

Inadecuada seguridad
R011
informática del inmueble.
Cámaras de seguridad sin
R012
mantención y control.
Acceso a sala de servidores sin
R013
tarjeta de seguridad.
Insuficiente número de
R014 extintores tipo C en la sala de
servidores.
Inadecuada estructura
R015
organizacional de la empresa.
Inadecuado manejo con los
R016
clientes potenciales.
Inadecuado manejo de la
R017
seguridad informática.
Inadecuada infraestructura de
R018
TI.
El costo de adecuación e inversión en
Reducirlo Mejoras temporales seguridad informática es menor a los
riesgos informáticos.
El costo de mantención de las cámaras de
Reducirlo Mejoras temporales seguridad es menor a los daños producidos
por robos.
El costo de implementación de estos
Reducirlo Mejoras temporales dispositivos de seguridad es menor a los
daños informáticos que puedan ocasionar.
El costo de adquirir los extintores para la
Reducirlo Mejoras temporales sala de servidores será menor a los costos
de estos.
El costo de ordenar el equipo humano es
Reducirlo Mejoras temporales menor a los costos por multas laborales por
infracciones de incumplimiento.
El costo de perder un cliente es mayor a la
Reducirlo Mejoras Temporales
rentabilidad del negocio.
El costo de perder la información
Reducirlo Mejoras temporales confidencial es mayor que el costo de
corregir la gestión.
El costo de exponer a un siniestro el
Reducirlo Mejoras temporales inmueble es mayor al costo de corregir los
activos actuales.

No queda claro el concepto mejoras temporales. Se deben especificar, en sí mismas no son salvaguardas

2.9 Una vez identificados los riesgos, proponga soluciones a cada uno de los problemas
mediante COBIT 5.

Riesgo Proceso clave COBIT 5 Práctica clave COBIT 5

R001 DSS01 DSS01.03 Supervisar la infraestructura de TI.
R002 APO13 APO13.02 Definir y gestionar plan de tratamiento del riesgo de la seguridad de la información.
R003 BAI09 BAI09.02 Gestionar activos críticos.
R004 APO12 APO12.02 Analizar el riesgo.
R005 APO12 APO12.05 Definir un portafolio de acciones para la gestión de riesgos.
R006 APO13 APO13.02 Definir y gestionar un plan de tratamiento del riesgo de la seguridad de la información.
R007 BAI02 BAI02.02 Realizar un estudio de viabilidad y proponer soluciones alternativas.
R008 DSS06 DSS06.03 Gestionar roles, responsabilidades, privilegios de accesos y niveles de autorización.
R009 BAI09 BAI09.02 Gestionar activos críticos.
R010 DSS01 DSS01.05 Gestionar las instalaciones.
R011 DSS05 DSS05.02 Gestionar la seguridad de la red y las conexiones.
R012 DSS05 DSS05.07 Supervisar la infraestructura para detectar eventos relacionados con la seguridad.
R013 DSS05 DSS05.03 Gestionar la seguridad de los puestos de usuario final.
R014 BAI09 BAI09.02 Gestionar activos críticos.
R015 APO07 APO007.01 Mantener la dotación de personal suficiente y adecuado.
R016 APO11 APO11.03 Enfocar la gestión de la calidad en los clientes.
R017 APO13 APO13.02 Definir y gestionar un plan de tratamiento del riesgo de la seguridad de la información.
R018 DSS01 DS01.03 Supervisar la infraestructura de TI.

14
3 Conclusión.

Con respecto al análisis realizado en la empresa DIGIBOT S.A. el cual reveló tanto
fortalezas como áreas de mejora. Se pudo identificar aspectos positivos en cuanto a la
calidad del talento humano, la eficiencia de los procesos internos y la seguridad de la
información. Estos aspectos demuestran el compromiso de la empresa con la excelencia
y la protección de sus activos.

Sin embargo, también se detectaron algunas áreas de oportunidad. Se recomienda a

DIGIBOT S.A. fortalecer su planificación financiera y estratégica, mejorar la
comunicación interna y optimizar la gestión de riesgos informáticos. Estas acciones
permitirán a la empresa enfrentar de manera más efectiva los desafíos futuros y
aprovechar nuevas oportunidades de crecimiento.

Finalmente es importante que DIGIBOT S.A. implemente las recomendaciones

propuestas en este informe, ya que ayudarán a fortalecer su posición en el mercado y a
mantener una ventaja competitiva. Por ello es necesario que la empresa siga
comprometida con la mejora continua y la adaptación a los cambios del entorno
empresarial.

15
16