You are on page 1of 30

AUDITORIA DE SISTEMAS

TRABAJO COLABORATIVO 3

Presentado Por:
KEVIN JHON ERICK RODRIGUEZ BARRERA- CODIGO: 19003387

Grupo:
90168_72

Tutor:
FRANCISCO NICOLAS SOLARTE

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD
INGENIERIA DE SISTEMAS
NOVIEMBRE 2016

INTRODUCCIÓN

Gracias a los conceptos contenidos en las unidades 1, 2 y 3 del curso auditoria de sistemas y el
blog recomendado por el señor tutor, llevaremos a cabo el desarrollo del tercer trabajo
colaborativo con base en el planteamiento de una empresa denominada WINLINUX.

En esta ocasión seguiremos con el desarrollo de la auditoria de acuerdo a la visita realizada a
dicha empresa y analizaremos los riesgos por medio de la elaboración de un cuadro de
tratamiento de riesgos, hallazgos, lista de riesgos y controles propuestos de cada proceso CobIT.

OBJETIVO GENERAL

Realizar auditoria por medio de una visita a las redes de datos y al manejo de la información por
parte de los usuarios (Gerente y empleados) de la empresa WINLINUX de la ciudad de
Villavicencio – Meta.

Objetivos específicos

 Diseñar formatos de recolección de información para el proceso CobIT seleccionado
(formatos de entrevista, listas de chequeo, cuestionarios, tratamiento de riesgos,
hallazgos, lista de riesgos y controles propuestos de cada proceso CobIT).

 Elaborar un cuadro tratamiento de riesgos, hallazgos, lista de riesgos y controles
propuestos de cada proceso CobIT.

seguridad lógica. software. RIESGOS: 1.        Competencias del personal. amenazas y riesgos informáticos detectados en la empresa propuesta agrupados por categorías (hardware. Capacitación que se proporciona de acuerdo a las herramientas manejadas. satisfaciendo así. planteare un posible listado de vulnerabilidades. los requerimientos de la empresa.Empresa: WINLINUX Propuesta de empresa planteada por LA compañera Daniela Lizeth Guarín Martínez. A continuación. Experiencia en el manejo del sistema de información. Daños en el sistema de información por roles inadecuados dentro de la empresa. Nivel de conocimiento de cada empleado sobre el cargo que desempeña. redes. . Evaluación de desempeño del empleado. entre otros). comunicaciones. ANÁLISIS DE RIESGOS P07 ADMINISTRACION DE RECURSOS HUMANOS: Maximizar las contribuciones del personal a los procesos. Empleados sin competencias básicas para el manejo de los formatos que presenta la empresa. Conocimiento de cada empleado de acuerdo a las tecnologías utilizadas. personal del área. 2. seguridad física. Asignación de roles. bases de datos. sistemas operativos. a través de técnicas sólidas para la administración de personal.

Manipulación del sistema de información por personal no capacitado. Daños en equipos por manipulación de empleados sin experiencia o conocimiento en el campo. R2 Daños en el sistema x x de información por roles inadecuados dentro de la empresa. 4. ANALISIS Y EVALUACIÓN DE RIESGOS N° Descripción R1 Empleados sin Probabilidad Baja Media Alta Leve X Impacto Moderado Catastrófico X competencias básicas para el manejo de los formatos que presenta la empresa. R3 Daños en equipos por manipulación de empleados sin experiencia o conocimiento en el x x .3.

R2 Alto PROBABILIDAD 61-100% Medio R3 31-60% Bajo 0-30% Leve Moderado IMPACTO Menor impacto o probabilidad de ocurrencia Probabilidad y ocurrencia media Catastrófico . R4 Manipulación del X X sistema de información por personal no capacitado. Resultado Matriz de riesgos Recursos humanos R4 R1.campo.

software. podría contratar con una entidad externa. Si no existe la persona indicada en la empresa para dar la asesoría. Posteriormente se debe asignar personal previamente capacitado.Alta probabilidad de ocurrencia Esta matriz se usará posteriormente para determinar el tratamiento de los riesgos en cada proceso CobIT. Daños en equipos por manipulación de empleados Controlarlo R4 sin experiencia o conocimiento en el campo. Daños en equipos por CORRECTIVO Contratar de un ingeniero de sistemas con experiencia en manejo de hardware. manipulación de empleados servidores y seguridad para la realización de sin experiencia o esta labor. Manipulación del sistema de CORRECTIVO Control en el manejo de la información . Realizar supervisión y inadecuados dentro de la acompañamiento constante de un experto. empresa. Descripción Riesgo Tratamiento Riesgo Riesgo R1 Empleados sin competencias básicas para el Controlarlo R2 manejo de los formatos que presenta la empresa. Cuadro de Riesgos RIESGOS o HALLAZGOS TIPO DE SOLUCIONES O CONTROLES ENCONTRADOS CONTROL Empleados sin competencias CORRECTIVO Bridar inducción y capacitación al personal de la empresa sobre el manejo y diligenciamiento básicas para el manejo de los de los documentos que hacen parte de los formatos que presenta la procesos operativos. se empresa. Daños en el sistema de CORRECTIVO Seleccionar idóneamente al personal que desempeñara sus labores de acuerdo al cargo información por roles asignado. Tratamiento de los riesgos ID. conocimiento en el campo. Daños en el sistema de información por roles Controlarlo R3 inadecuados dentro de la empresa. Manipulación del sistema de información por Controlarlo personal no capacitado.

DISEÑO DE FORMATOS DE ENTREVISTA. CUESTIONARIOS Y LISTAS DE CHEQUEO Instrumentos que serán los medios de recolección de información con relación a los riesgos detectados y los controles existentes en el proceso. capacitado. Tabla Hallazgos REF HALLAZGO PROCESO AUDITADO RESPONSABLE MATERIAL SOPORTE DOMINIO PÁGINA Definir un plan estratégico de TI 1 DE 1 Daniela Lizeth Guarín Martínez DE COBIT Planeación Organización (PO): Y P07: PROCESO Administración de Recursos Humanos .información por personal no analizando el alcance que debe tener cada empleado para poder cumplir con el desarrollo de sus labores.

los requerimientos de la empresa. Esto afecta la parte emocional y motivacional de los empleados creando ambientes de tensión y baja calidad en la  productividad. RIESGO: Perdida del buen nombre y reconocimiento. a través de técnicas sólidas para la administración de personal. La empresa puede recibir y someterse a posibles tutelas o demandas por abusos y privación de pagos y beneficios a los que tienen derechos los empleados según la ley. satisfaciendo así. Renuncia por parte del personal Sanciones económicas y posible cierre. .DESCRIPCIÓN: Maximizar las contribuciones del personal a los procesos. REF_PT: formato de entrevista CONSECUENCIAS:  Manejo inadecuado del personal de la empresa.

REPOSITORIO DE PRUEBAS APLICABLES CONOCIMIENTO COBIT 4.RECOMENDACIONES: Contratación de personal especializado en el tema de recursos humanos y de esta forma se debe crear una oficina o departamento (gestión de los humano) que vele por los derechos del trabajador y maneje de forma transparente todos los recursos destinados para el beneficio de los empleados de la empresa.1. auditoria en diseño informática DE ANÁLISIS y ejecución DE EJECUCIÓN de . ENTIDAD PAGINA WINLINUX 1 AUDITADA PROCESO DE 1 Definir un plan estratégico de TI AUDITADO RESPONSABLE MATERIAL Daniela Lizeth Guarin Martínez DE COBIT SOPORTE DOMINIO PROCESO FUENTES DE Planeación Y Organización (PO): P07: Administración de Recursos Humanos. programas de recolección donde por medio de una documentación se .

. de acuerdo al rol o cargo que va a desempeñar en la empresa de acuerdo a las X tecnologías o herramientas que maneja la organización.conocerán los estipulados planes para el mejoramiento de la empresa WINLINUX AUDITOR RESPONSABLE: DANIELA GUARIN LISTA DE CHEQUEO PERSONAL FICHA 1 Fecha: Realizado por: SI NO La empresa proporciona capacitaciones y/o actualizaciones en cuanto al manejo de sistema de información que tiene implementado. X para evitar errores en el manejo. que tiene el empleado antes de desempeñar cualquier cargo. X Existe un manual de manejo del sistema de información. Se verifica la experiencia. Se realiza entrevista con jefe de personal antes de realizar X X cualquier tipo de contratación. Se realiza prueba de conocimiento.

Conoce usted el software de punto de venta que maneja la empresa. . AUDITADO RESPONSABLE Daniela Guarin MATERIAL DE SOPORTE COBIT DOMINIO Planeación Y PROCESO Organización (PO): ENTREVISTADO CARGO PO7: Administración de Recursos Humanos Ventas ENTREVISTA 1.FORMATO DE ENTREVISTA ENTIDAD WINLINUX PAGINA 1 DE 1 AUDITADA OBJETIVO conocer los riesgos vulnerabilidades y fallas que se presentan la empresa AUDITORÍA PROCESO para poder elaborar una posible solución P07: Administración de Recursos humanos.

4. Realiza el respaldo de la información correspondiente. Para desempeñar el cargo en esta empresa. 5. 6. 9.2. Antes de entrar a desempeñar este cargo. El software cuenta con clave de acceso para ingresar al sistema. 7. el programa de punto de venta. Que procedimientos realiza cuando el software presenta errores. había tenido experiencia en el manejo de un software similar o ventas. cualquier tipo de inconvenientes que tenga con el software. 3. Cada cuanto realizan capacitaciones o actualizaciones sobre el manejo del software. Soluciona usted mismo. Quien maneja aparte de usted. le realizaron alguna prueba con respecto al conocimiento del software. NOMBRE DO FIRMA AUDITOR RESPONSABLE . 8.

Tabla 2: CUADRO DE DEFINICION DE FUENTES DE CONOCIMIENTO. F PRUEBAS DE ANALISIS DE AUDITORIA ENTIDAD PAGINA WINLINUX 1 AUDITADA PROCESO DE 1 Técnicas de Información AUDITADO RESPONSABLE MATERIAL Director Recursos Humanos DE COBIT SOPORTE DOMINIO PROCESO Recursos humanos P07: Administración de Recursos Humanos FUENTES DE REPOSITORIO DE PRUEBAS APLICABLES CONOCIMIENTO COBIT 4. comparación realizaremos . PRUEBAS DE ANALISIS Y EJECUCCIÓN DE AUDITORIA RE CUADRO DE DEFINICION DE FUENTES DE CONOCIMIENTO.01 De AUDITORÍA DE ANALISIS acuerdo con DE EJECUCION lo Mediante esta EN establecido en COBIT 4.01.

de testeo. tiene conocimiento del   área y de los equipos tecnológicos Sistema operativo Windows XP SP2 esta actualizado El sistema de hardware tienen todas sus partes completas   Los equipos tienen cuentas con sus respectivas contraseñas  Se realizan pruebas en cuanto al funcionamiento del disco  duro. AUDITOR RESPONSABLE: Carol Torres LISTA DE CHEQUEO Aulas De Informática F-CHK 01 Fecha: Realizado por: SI NO La empresa cuenta con plan de contingencia en caso de pérdida de la información El personal encargado de la red. para evitar pérdidas de información. de seguridad en las correspondientes mejoras bases de datos. INFORMATICA analizar y son: software. levantar compararlo con la empresa inventarios. de seguridad WINLINUX para establecer en redes. intrusión. El proceso de selección de empleados en la empresa es el  de .diferentes pruebas como lo revisar.

para  establecer si cumple o no con el rol dentro de la empresa.adecuado Se determinan los perfiles de cada empleado a cargo. disco duro) Se lleva una hoja de vida por equipo ¿La hoja de vida del equipo tiene los datos? Numero de hoja de vida Número del computador correspondiente 4 . procesador. Existe control en el acceso a internet  Se analiza el tráfico en busca de virus  CUESTIONARIO Dominio Proceso Equipos de tecnología empresa WINLINUX Cuestionario de Control: C1 Tecnología AI3: Adquirir y mantener la arquitectura tecnológica Pregunta Si No OBSERVACION ES ¿Se cuenta con un inventario de equipos de cómputo? ¿Si existe inventario contiene los siguientes ítems? 4 2 Número del computador Fecha Ubicación Responsable Características(memoria. monitor.

la De 1 a 3 días atención que se presta es? Inmediata De una a 24 horas De un día a 5 días Más de 5 días ¿Se cuenta con servicio de mantenimiento y 4 Trimestral actualización para todos los equipos? ¿Qué tipo de mantenimiento se lleva a cabo? Correctivo Mantenimiento preventivo Mantenimiento correctivo ¿Profesores y/o estudiantes pueden instalar y desinstalar 4 programas en el computador? ¿Al finalizar el horario de clase en dichas aulas. se hace una revisión de los equipos? 3 .Falla reportada Diagnóstico del encargado Solución que se le dio ¿Se posee un registro de fallas detectadas en los 4 equipos? ¿En el registro de fallas se tiene en cuenta con los 4 siguientes datos? Fecha Hora Número de registro Número del computador Encargado ¿Al momento de presentar una falla en el equipo.

llevando a cabo las medidas apropiadas para cumplir con ellos. Objetivos de control  Comprobar que se estén llevando a cabo los procesos de calidad bajo los estándares propuestos. .¿El personal que se encarga del mantenimiento es 4 personal capacitado? ¿Se lleva un procedimiento para la adquisición de 3 nuevos equipos? ¿La infraestructura tecnológica de los equipos soporta la 3 instalación de diferentes sistemas operativos? ¿Son compatibles software y hardware? TOTALES 5 19 20 PO8 Administrar la Calidad Habíamos acordado anteriormente que el propósito es cumplir con las obligaciones legales. regulatorias y contractuales. para ello se realiza una identificación y análisis de los requerimientos externos en cuanto a su impacto en TI.

satisfaciendo así. Encuesta .  Determinar si el Sistema de Administración de la Calidad se ha implementado y mantenido apropiadamente.  Examinar si la administración del proceso de Gestión de la Calidad satisface los requerimientos del negocio. mejoramiento del Sistema de Administración y control de la Calidad. en cuanto a servicio y niveles de servicio. procesos. gestión tecnológica. procedimientos y normas de calidad aplicadas al para la implantación del sistema dentro de los procesos de la planeación estratégica. Alcance El alcance describe todo el Sistema de Administración de la Calidad. a través de técnicas sólidas para la administración de personal.Octubre de 2016 PO8 Administrar la Calidad Ciudad: Inírida tecnico Profesión: Ingeniero de Sistemas Ocupación: Director de soporte . la información administrativa.  Identificar las áreas de mejora potencial. Evaluar la satisfacción de los usuarios finales del sistema. los requerimientos de la empresa.

Sexo: F Edad: 27 1) ¿Existe en la organización un Sistema de Administración de la Calidad que cumpla con los estándares y prácticas de desarrollo y adquisición para los procesos de TI? SI ___X____ Cual? No tiene conocimiento NO ______ Por qué? 2) ¿Se encuentran definidas e implementadas las mediciones para evaluar el cumplimiento efectivo del Sistema de Administración de la calidad? SI ___X____ NO ______ Por qué? 3) ¿Se mantiene y comunica regularmente un plan de calidad para la mejora continua? SI _______ NO ___X___ 4) ¿Se ha desarrollado un programa de entrenamiento para comunicar y enseñar a todos los empleados de la organización acerca del tema de calidad? Semanal____ Mensual____ Bimestral_____ Trimestral_____ Semestral______ No se ha realizado ___X___ 5) ¿Se han definido unas perspectivas de calidad dentro de la gestión de proyectos y organización de TI? SI _______ NO __X____ 6) ¿Se realizan encuestas de satisfacción de la calidad por parte de los usuarios? SI __X_____ NO ______ 7) ¿Las encuestas de satisfacción de calidad llevan hacia un análisis de los procesos de calidad y posibles mejoras? SI ___X____ NO ______ Por qué? 8) ¿Existe un programa bien constituido para la medición de la calidad? SI _______ Cual? No tiene conocimiento ___X___ .

 No sería posible una certificación en la ISO 9001  Si los clientes exigen programa de medición de calidad. no estaría disponible y puede haber pérdida de clientes LISTA DE CHEQUEO Administrar la calidad Gestión de la Calidad Fecha: Realizado por: Kevin Rodríguez SI ¿Existe evidencia de documentos que definan los controles necesarios referentes al tema de administrar la calidad en NO  .  No existirían documentos de soporte.9) ¿El sistema de administración de la calidad se aplica a todas las actividades de TI? SI __X_____ NO ______ 10) ¿Cuantas personas trabajan en el departamento? Rta: ____9____ 11) ¿Estan capacitadas para la tarea que desempeñan? SI __X_____ NO ______ 12) ¿El departamento tiene todo legal? SI ____X___ NO ______ Riesgos  Fallo en la metodología de gestión del proceso de cambio organizacional que implica el desarrollo e implantación de un sistema de gestión de la calidad.

determinar las causas. determinar. adoptar e implementar acciones.dicha empresa? ¿Existe evidencia de creación o modificación de  documentos y/o formatos acorde con el control de documentos del GC? ¿Existe evidencia de la aprobación o rechazo de la solicitud  presentada para la creación o modificación de documentos y/o formatos? ¿Existe evidencia que la elaboración de los documentos y/o formatos aprobados siguen los parámetros de forma establecidos en el documento establecido para tal fin? ¿Existe evidencia de un adecuado manejo a los documentos obsoletos   de acuerdo al procedimiento de control de documentos? ¿Se observa que los registros que proporcionan evidencia  de la conformidad con los requisitos se identifican. registrar los resultados de las no conformidades encontradas en los procesos y revisar las acciones correctivas tomadas?  . encuentran legibles y se pueden recuperar en caso de requerirlo? ¿Se evidencia la existencia de un procedimiento documentado e implementado que defina los requisitos para revisar.

R2 No existirían documentos X X de soporte R3 No sería posible una X X certificación en la ISO 9001 R4 Si los clientes exigen programa de medición de calidad.ANALISIS Y EVALUACIÓN DE RIESGOS N° Descripción R1 Fallo Probabilidad Baja Media Alta Leve la X en metodología Impacto Moderado Catastrófico X de gestión del proceso de cambio organizacional que implica el desarrollo e implantación de un sistema de gestión de la calidad. no estaría disponible X X .

R3 31-60% Bajo 0-30% Leve Moderado Catastrófico IMPACTO Menor impacto o probabilidad de ocurrencia Probabilidad y ocurrencia media Alta probabilidad de ocurrencia Esta matriz se usará posteriormente para determinar el tratamiento de los riesgos en cada proceso CobIT. Tratamiento de los riesgos .y puede haber pérdida de clientes Resultado Matriz de riesgos Recursos humanos R4 R2 Alto PROBABILIDAD 61-100% Medio R1.

Descripción Riesgo Tratamiento Riesgo Riesgo R1 Fallo en la metodología de gestión del proceso de Controlarlo cambio organizacional que implica el desarrollo e implantación de un sistema de gestión de la calidad. Cuadro de Riesgos RIESGOS o HALLAZGOS TIPO DE SOLUCIONES O CONTROLES ENCONTRADOS CONTROL Fallo en la metodología de CORRECTIVO Contratar gestión del especializado con de experiencia suficiente en el manejo de la cambio organizacional que gestión de calidad que le permita a la empresa implica e lograr reconocimiento en poco tiempo y implantación de un sistema cumplir con el mínimo de los estándares de el proceso personal desarrollo . no estaría disponible y puede haber pérdida de clientes. No existirían documentos de soporte Controlarlo No sería posible una certificación en la ISO 9001 Controlarlo Si los clientes exigen programa de medición de Controlarlo R2 R3 R4 calidad.ID.

calidad con el propósito de manera lograr la acreditación.de gestión de la calidad. confiable. perdería por completo la De esta manera lograremos que los clientes demanda de servicios por acudan a nuestros servicios de forma segura y parte de los mismos. exigen CORRECTIVO Buscar asesoría y acompañamiento de programa de medición de personal experto de forma inmediata para calidad y esta no estaría reorganizar el tema de gestión de calidad y de disponible los clientes no esta forma trabajar arduamente para que la confiaran en la empresa y se empresa logre la acreditación y certificación. Tabla Hallazgos REF HALLAZGO PROCESO AUDITADO Mejora Continua PÁGINA 1 DE 1 . No existirían documentos de CORRECTIVO Con base al tiempo que lleva operando la soporte de la empresa empresa trataremos de recopilar y organizar auditada toda la información necesaria. CORRECTIVO Buscar asesoría No sería posible una y y documentación acompañamiento de certificación en la ISO 9001 personal experto para reorganizar el tema de debido a las falencias gestión de calidad y de esta forma trabajar encontradas arduamente para que la empresa logre la Si los clientes acreditación y certificación.

RESPONSABLE MATERIAL Kevin Jhon Erick Rodríguez Barrera DE SOPORTE DOMINIO COBIT PLANIFICAR ORGANIZAR Y PROCESO PO8 Administrar la Calidad DESCRIPCIÓN: Teniendo en cuenta los lineamientos de un plan de calidad debemos tener presente que el propósito es contribuir a desarrollar y perfeccionar la empresa. productividad y servicio al cliente. . es la única forma de asentar el futuro de la empresa sobre bases sólidas. innovación.Octubre de 2016 CONSECUENCIAS:  Debido a la ausencia de personal experto en el tema de administración de calidad (gestión de calidad) se hace evidente la presencia de inconvenientes en la organización de la información y transparencia en los procesos llevados a cabo por la empresa.  La falta de supervisión y acompañamiento también conlleva a que los procesos de calidad y acreditación presenten fallas y afecten el buen nombre de la empresa. No se trata únicamente de aumentar la cifra de ventas sino de crecer en calidad. en definitiva. REF_PT: Encuesta . crecer cualitativamente.

con el propósito de determinar si su diseño y aplicación son correctos. De esta forma la empresa operara de forma correcta y transparente en sus procesos y no tendrá problemas debido a que el margen de error será muy mínimo al ser auditada. CONCLUSION Gracias a la implementación de una auditoría de sistemas adecuada logramos evaluar los sistemas y procedimientos de uso en una empresa. RECOMENDACIONES: El Encargado de la gerencia y administración de la empresa debe contar con los servicios de una persona especializada o experta en el tema de gestión de calidad con el fin de que todos los procesos operativos sean supervisados y en caso de que se presenten inconvenientes se le pueda dar solución a la mayor brevedad. así como para identificar aspectos susceptibles de mejorarse o eliminarse.RIESGO: ¿ 100  Probabilidad de ocurrencia:  Impacto según relevancia del proceso: Alto En cuanto a la probabilidad de ocurrencia está clasificado en medio-alto y el impacto es moderado y R2 catastrófico. y comprobar el sistema de procesamiento de información como parte de la evaluación de control interno. .

uns. Recuperado el 20 de Febrero de 2016.ar/~ece/auditoria/cobiT4.com.html COBIT 4. (2007). Recuperado de: http://auditordesistemas.blogspot.1spanish. de http://cs.edu. N. (2011). Auditoria Informática y De Sistemas.co/2011/11/cobit-objetivos-de-control-para-la.1.pdf Modulo Auditoria de sistemas .REFERENCIAS BIBLIOGRAFICAS Solarte Solarte F. IT Governance Institute.

co/contenidos/90168/U1_Origen_de_la_auditoria. 14(5). http://datateca.edu. & Armenteros Vera. I.http://datateca. (2006). 1(2).edu. (Spanish). Orígenes y clasificación de la auditoría de la información. Auditoría y las Normas de Auditoría Generalmente Aceptadas..edu.pdf . Ó.pdf Falconí. Acimed.unad. http://datateca. M.co/contenidos/90168/U1_NORMAS_DE_AUDITORIA. 16-20. Contabilidad Y Negocios. (Spanish).co/contenidos/90168/ASPECTOS_GENERALES_DE_AUDITORIA_G GGG. (2006).unad. 1.pdf Del Carmen Martínez Díaz.unad.