Proceso Auditado Criterio de la Periodo de Condición Técnicas para la Descripción del Recomendaciones

auditoria auditoria auditoria Hallazgo de

auditoria
Análisis de costo Ley N° 26850 4 meses  Documentación Entrevista virtual El análisis de costo Se debe de definir cuales son los
y beneficio de la Norma técnica (agosto del del análisis de ECB-01 beneficio indica que limites que posee la organización
adquisición del peruana 2021 a costo beneficio Cuestionario la empresa tanto con los trabajadores, socios
sistema de 27001:2008 noviembre del  Políticas de virtual COMSITEC se puede y terceros que forman parte del
información Manual de 2021) adquisición de CCB-01 adaptar a las nuevas grupo. Además, se debe de
Gestión de sistemas de metodologías y el especificar los montos en
Procesos y información análisis de costo perdidas por inventarios en la
Procedimientos  Documentación beneficio fue documentación.
de Adquisición y de la aprobado por el Se debe de tomar en cuenta cual
Contratación de aprobación de gerente general de es el protocolo para una mejora
Obras, Bienes y la gerencia la empresa en el aspecto de costo beneficio y
Servicios general COMSITEC realizar un análisis del mercado

Prácticas, Decreto 4 meses  Documentación Entrevista virtual Las practicas Se debería de documentar las
Herramientas y Legislativo No (agosto del de las EPHM-01 realizadas para la diferentes prácticas para la
Marcos de 1412 (Artículo 2021 a herramientas Cuestionario gestión de gestión de proyectos además de
control de 33-Ley de la noviembre del empleadas virtual proyectos, no capacitar sobre el uso de
gestión de seguridad de la 2021) para el control CPHM-01 cuentan con una PMBOOK a todo el personal
proyectos información) de gestión de documentación y las administrativo y se debería de
Decreto Ley No proyectos herramientas tomar en cuenta las opiniones,
25632 (Diario  Marcos de utilizadas para la necesidades y enfoques del
oficial el control de gestión de negocio para la elección de
peruano) gestión de proyectos dentro de marcos para la gestión de
proyectos la organización fue proyectos
 Políticas para la PMBOOK, pero los
ejecución de marcos de gestión
practicas de de proyectos
gestión de utilizados no
 proyectos tuvieron en cuenta
las necesidades de
la empresa
COMSITEC
Gestión de Decreto Ley No 4 meses  Documentación Entrevista virtual Se observa que los Para la elaboración del informe
riesgos 25632 (Diario (agosto del de la EGDR-01 comentarios de las final de gestión de riesgos, se
oficial el 2021 a planificación de Cuestionario entrevistas respecto debería de tomar en cuenta la
peruano) noviembre del acciones frente virtual a los procesos de opinión de cada uno de los
Decreto 2021) a riesgos y CGDR-01 gestión de riesgos integrantes responsables en esta
legislativo- No amenazas fueron altos además área y son pocas empresas
1514 (Artículo  Planes de que la elaboración elaboran un informe detallado
15-Ley de mitigación, del informe de sobre la gestión de riesgos en los
inclusión digital) contingencia y auditoría respecto a proyectos, pero lo que se debería
repliegue la gestión de riesgos de mejorar es el plan de
 Informe final en el proyecto fue evaluación de riesgos ya que este
sobre la gestión correcta y la no fue detallado de manera
de riesgos puntuación de cada correcta.
uno de los procesos
de gestión de
riesgos fue detallada
de manera correcta
en el informe final
Arquitectura de ti NTP-ISO/IEC 4 meses  Manuales de Entrevista virtual Se observa que se Se debería grabar las reuniones
en relación con 19395:2021 (agosto del arquitectura de EAAT-01 tiene un manejo virtuales como evidencia de la
los datos, NTP-ISO/IEC 2021 a tecnologías de Cuestionario efectivo de las auditoria, además que son pocas
aplicaciones y 21836:2021 noviembre del información virtual herramientas para las empresas y organizaciones
tecnología NTP-ISO/IEC 2021)  Documentación CAAT-01 cubrir las entrevistas que cuentan con conocimiento
30129:2021/MT sobre las y los cuestionarios por lo que muchas MYPES en el
1:2021 entrevistas y virtuales. Pero la no país no apuestan por TI como
cuestionarios se encuentra una herramienta para mejorar las
realizados a los arquitectura de TI utilidades dentro de un negocio
 empleados de adecuada para la
la empresa empresa, además
COMSITEC que en la empresa
sobre se tiene poco
arquitecturas conocimiento sobre
de TI lo que es una
arquitectura de TI y
lo importante que
es para el negocio
Prácticas de Ley N° 26850 4 meses  Manuales de Entrevista virtual La organización La organización debería de
adquisición de si Norma técnica (agosto del prácticas en EPASI-01 desarrollo las documentar las diferentes
peruana 2021 a general Cuestionario practicas y pruebas pruebas y prácticas para la
27001:2008 noviembre del  Documentación virtual de adquisición de SI, adquisición de sistemas de
Manual de 2021) de los CPASI-01 pero esta no se información ya que mediante
Gestión de resultados de encuentra estas documentaciones se puede
Procesos y las prácticas de documentada, saber en que se puede mejorar a
Procedimientos adquisición de además que no se futuro, además que la empresa
de Adquisición y SI siguieron algunos debería de cumplir todos los
Contratación de  Políticas de pasos de los pasos planteados por los
Obras, Bienes y practicas y su diferentes manuales manuales.
Servicios de un SI empleados para el
desarrollo de las
practicas y pruebas
de adquisición de SI
Análisis de NTP/ISO 4 meses  Políticas de Entrevista virtual La organización no La organización debería de tener
requerimientos y 27001:2008 (agosto del controles para EARP-01 cuenta con políticas políticas de controles para la
prácticas de Norma técnica 2021 a la adquisición Cuestionario de controles de adquisición además de actualizar
gestión peruana – ISO / noviembre del de software virtual adquisición lo que sus políticas de requerimientos,
IEC 17799 2021)  Documentación CARP-01 dificulta la compra ya que si estas siguen
NTP/ISO de de software desactualizadas van a terminar
9001:2015 requerimientos necesaria para el deteniendo muchos procesos de
 para la uso del sistema de adquisición y venta de productos
adquisición del información, tecnológicos
software además que la
 Documentación documentación de
de los controles requerimientos se
de seguridad y encuentra
adquisición de desactualizado lo
software que perjudica a la
organización
Criterios de éxito Norma técnica 4 meses  Políticas de Entrevista virtual En la auditoria se La organización no emplea
y riesgo de un peruana – ISO / (agosto del riesgos de ECRP-01 observa que se tiene políticas de riesgos de proyecto
proyecto IEC 17799 2021 a proyectos Cuestionario un manejo efectivo por que le se recomienda el uso
NTP/ISO noviembre del  Documentación virtual de las herramientas de estas para poder mitigar y
27001:2008 2021) de criterios de CCRP-01 para cubrir las disminuir riesgos en los
éxito entrevistas y los diferentes proyectos de la
 Documentación cuestionarios empresa, además de que la
de la guía de virtuales, además de documentación de criterios de
proyectos que se logra éxito no existe en la empresa, lo
empleados entablar acuerdos que significa que no se sabe si se
para mantener los logró éxito o no en los proyectos
mejores resultados iniciados.
a través de las
reuniones remotas
para la adquisición
de hardware y la
empresa tiene Se
tiene un buen
control para a
adquisición
necesario para
cubrir las
 necesidades de
Hardware de la
empresa.
TÉCNICAS DE Ley de Protección 4 meses  Políticas de Entrevista virtual Se observa que la La organización debería
CONTROL DE de Datos (agosto del control de ETCAD-01 organización no desarrollar y documentar todas
AUTORIZACIÓN, Personales -Ley 2021 a entrada de Cuestionario cuenta con políticas las técnicas para el control de
PRECISIÓN, N. º29733 noviembre del datos virtual de control de datos e ingreso de la
ENTRADA DE Decreto Supremo 2021)  Técnicas y CTCAD-01 entradas además información. Además de
DATOS, ACCESOS N.º 003.2013.jus autorización de que no se emplea documentar quien ingresa al SI
Manual de entrada de técnicas y para ingresar y modificar los
organización y datos autorización de datos e información.
funciones (MOF)  Documentación entradas. La
de acceso e documentación de
ingreso de acceso de ingreso
datos de datos no se ha
desarrollado lo que
termina
perjudicando a la
empresa
Metodologías y NTP/ISO 4 meses  Metodologías Entrevista virtual Se observa que la La organización debería de
herramientas de 27001:2008 (agosto del empleadas EMHD-01 organización no emplear políticas y metodologías
desarrollo de si Norma técnica 2021 a para el Cuestionario cuenta con para a un futuro desarrollar SI
peruana – ISO / noviembre del desarrollo de SI virtual metodologías,
IEC 17799 2021)  Documentación CMHD-01 documentación o
NTP/ISO de las políticas para el
9001:2015 herramientas desarrollo de un SI,
empleadas esto debido a que la
para el empresa COMSITEC
desarrollo de SI no desarrolla SI,
 Políticas pero si adquiere
empleadas para la venta de
 para el productos
desarrollo de SI electrónicos
Metodologías y Decreto Ley No 4 meses  Metodologías Entrevista virtual La organización no La organización a futuro debería
practica de 25632 (Diario (agosto del para el EMHD-01 emplea de poder emplear metodologías
pruebas oficial el 2021 a desarrollo de SI Cuestionario metodologías sobre para el desarrollo siempre y
relacionadas con peruano) noviembre del  Pruebas virtual desarrollo, esto cuando se enfoque en desarrollo
el desarrollo de si Decreto 2021) unitarias al SI CMHD-01 debido a que no de SI, además de realizar pruebas
Legislativo No  Documentación desarrolla SI ni unitarias al software.
1412 (Artículo de las pruebas tampoco realiza
33-Ley de la realizadas al SI pruebas unitarias
seguridad de la
información)
Gestión de Norma ISO/IEC 4 meses  Documentación Entrevista virtual La organización no La organización a futuro debería
configuración y 9126 (agosto del de versiones EGVI-01 cuenta con una llevar una documentación
de versiones en Estándar ISO/IEC 2021 a  Políticas de Cuestionario documentación estricta de las diferentes
el desarrollo de 14598 noviembre del versiones de virtual estricta de las versiones siempre y cuando
SI ISO/IEC 14598-2 2021) desarrollo de SI CGVI-01 diferentes versiones
 Técnicas para del SI, ya que la
la evaluación organización no
de versiones desarrolla SI, en
del SI base a las pruebas la
organización solo
evalúa las versiones
de SI adquirido
Prácticas de Norma ISO/IEC 4 meses  Documentación Entrevista virtual La organización La organización realiza practicas y
migración de SI y 9126 (agosto del de migración al EPMI-01 tiene una correcta pruebas para la migración de SI
despliegue de NTP-ISO/IEC 2021 a SI Cuestionario documentación además las practicas que se
infraestructura 19395:2021 noviembre del  Documentación virtual sobre como se implementaron para el post
NTP-ISO/IEC 2021) de CPMI-01 migro la revisión no son aplicadas en su
30134-3:2021 infraestructura información al SI, totalidad. La organización
de redes además de que se debería de realizar revisiones
  Técnicas y tiene una correcta mensuales del SI
metodologías documentación de
de migración la infraestructura de
del SI redes y emplean
técnicas y
metodologías para
poder migrar la
información y datos
al nuevo SI
Prácticas de Norma ISO/IEC 4 meses  Documentación Entrevista virtual La organización no La organización debería de
revisión posterior 9126 (agosto del de revisión del EPVSI-01 cuenta con actualizar la documentación
a la NTP-ISO/IEC 2021 a SI Cuestionario documentación sobre la revisión y auditoria del
implementación 19395:2021 noviembre del  Metodologías virtual actualizada sobre la sistema de información, además
del SI NTP-ISO/IEC 2021) empleadas CPVSI-01 revisión del sistema de emplear metodologías para
30134-3:2021 para la revisión de información realizar pruebas unitarias del SI
de SI además que la
ultima revisión
completa fue
realizada hace 1
mes. Además, la
organización no
empleo
metodologías para
las revisiones del SI