Академический Документы
Профессиональный Документы
Культура Документы
MAYO DE 2016
INTRODUCCION
Conocer los estndares, normas y guas para la realizacin de auditoras internas y externas para
desarrollar las habilidades y destrezas para la planificacin, ejecucin, evaluacin y elaboracin
del informe final de una auditora y finalmente entender la relacin entre las auditoras, los
controles internos, mejoras continuas y la toma de acciones correctivas.
OBJETIVOS
Objetivo general:
Elabora el dictamen de la auditora para cada uno de los procesos, determinando en la escala de
madurez la valoracin de cada proceso, teniendo en cuenta los riesgos y hallazgos detectados.
Objetivos especficos:
Determinar la relacin de la empresa frente a los procesos de COBIT mencionados en la
auditoria.
CATEGORIAS
versiones compatibles
con sistemas ms
avanzados.
tableros
3 No existen Backup de Usuarios pueden Perdida de seguridad
realizar cambios
administracin de
la informacin
crticos.
laboral.
equipos lo que
genera perdida de
informacin
empresariales
equipos. informacin o
equipos necesarios
14 Ruteo de cables para Posibilidad de corto Prdida de equipo y Personal tcnico
en el proceso
demora los
procesos
que trabaja en la
alcalda.
dao en los
equipos.
Retraso en los
procesos debido a la
lentitud de los
equipos.
18 Puntos de acceso libres Escaneo de puertos, Fuga de REDES
Contrasea. Prdida de
Integridad de la
informacin por
acceso no
autorizado.
de internet
otros acceso no
Desconocimiento de autorizado
servicios de T.I
PLAN DE AUDITORIA
Antecedentes:
La empresa de Yazaki ciemel S.A., requiere realizar peridicamente un plan de seguimiento a todos los
procesos tcnicos que desarrollan dentro de todas sus reas, debido a que quieren llevar un control estricto
en todos sus procesos y para esto es necesario realizar auditoras internas permanentes y de tipo externo
Objetivo general:
Analizar y Evaluar los controles, los sistemas de cmputo, su utilizacin, eficiencia, utilidad, confianza,
privacidad y disponibilidad en el ambiente informtico como son los datos, hardware, software y sus
Objetivos especficos:
de seguridades y controles.
Alcance y delimitacin
La presente auditoria pretende identificar las condiciones actuales de los sistemas de informacin y
tecnologas de comunicacin y el talento humano, con el fin de observar las posibles fallas, verificar el
Las normas de control, tcnicas y procedimientos que se tienen establecidos en la organizacin para lograr
quines tomen los correctivos y polticas aplicables que con lleven al logro de objetivos propuestos en caso
de que as se lo requiera dicho dictamen. Dentro de la Auditoria se realizar un anlisis sobre los sistemas
y redes de conexin.
Es importante destacar que con la ejecucin de esta auditora, no solo se tendrn identificados los riesgos
a los procesos del rea de sistemas, sino que tambin podr comprobar la calidad y capacidad de su
Justificacin
planificacin informtica.
del recurso humano y descontento general de los usuarios por incumplimiento de plazos y mala
Cuestionarios
Entrevistas
Formularios Checklist
Fotografas
Diseos de flujos y de la red de informacin
De acuerdo al estudio realizado se procede a determinar los recursos humanos y materiales que han de
Recursos Humanos
Recursos materiales
Es muy importante su determinacin, ya que la mayora son proporcionados por el cliente. Las herramientas
de hardware y de software propias del equipo van a utilizarse igualmente en el sistema auditado,
Programas propios de la auditora: Son muy potentes y Flexibles. Habitualmente se aaden a las
Monitores: Se utilizan en funcin del grado de desarrollo observado en la actividad de Tcnica de Sistemas
Los recursos hardware que el auditor necesita son proporcionados por el cliente. Los procesos de control
CRONOGRAMA DE AUDITORIA
Elaboracin de cuestionarios e
instrumentos de evaluacin
Evaluacin de situaciones
deficientes y observacin de
los procedimientos
Revisin de funcionalidad de
sistemas de informacin, redes
e infraestructura
detalladas segn el criterio de cada auditor, las cuatro fases principales son:
Estudio preliminar
Planeamiento
Comunicacin de resultados
Informe
Seguimiento
Estudio preliminar: Esta etapa consiste en definir el grupo de trabajo, el Programa de Auditora,
efectuar visitas a la unidad informtica para conocer detalles de la misma, elaborar un cuestionario
para la obtencin de informacin para evaluar preliminarmente el control interno, solicitud de plan
anterior conlleva planear los temas que se deben ejecutar, de manera que aseguren la
realizacin de una Auditora de alta calidad y que se logre con la economa, eficiencia, eficacia
y prontitud debidas.
el jefe de grupo procede a planear las tareas a desarrollar y comprobaciones necesarias para
Igualmente, debe determinar la importancia relativa de los temas que se van a auditar y reevaluar
pruebas que sustenten las opiniones del auditor en cuanto al trabajo realizado, es la fase, por
decir de alguna manera, del trabajo de campo, esta depende grandemente del grado de
profundidad con que se hayan realizado las dos etapas anteriores, en esta se elaboran los Papeles
de Trabajo y las hojas de nota, instrumentos que respaldan excepcionalmente la opinin del
auditor actuante.
crticas y sobre ellas hace un estudio y anlisis profundo en los que definir concretamente su
grupo de trabajo y la distribucin de carga del mismo, establecer los motivos, objetivos, alcance
anteriormente analizado.
Comunicado de resultados: Se elaborara el borrador del informe a ser discutido con los
esquemticamente en forma de matriz, cuadros o redaccin simple y concisa que destaque los
Motivos de la Auditora.
Objetivos.
Alcance.
Control Interno.
Resultados de la Auditora.
Informe: En esta etapa el Auditor se dedica a formalizar en un documento los resultados a
los cuales llegaron los auditores en la Auditora ejecutada y dems verificaciones vinculadas
El informe parte de los resmenes de los temas y de las Actas de Notificacin de los
La elaboracin del informe final de Auditora es una de las fases ms importante y compleja
El informe de Auditora debe tener un formato uniforme y estar dividido por secciones
para facilitar al lector una rpida ubicacin del contenido de cada una de ellas.
Seguimiento: En esta etapa se siguen, como dice la palabra, los resultados de una Auditora,
generalmente una Auditoria evaluada de Deficiente o mal, as que pasado un tiempo aproximado
de seis meses o un ao se vuelve a realizar otra Auditora de tipo recurrente para comprobar el
que cuenta Yazaki Ciemel S.A., con respecto a la seguridad fsica y lgica de sus equipos,
responsabilidad personal, procesos que son una serie de actividades unidas con delimitacin o
Esto permite a las organizaciones apoyar la operatividad del negocio de forma apropiada con
Control sobre el proceso TI de Adquirir y dar mantenimiento a software aplicativo que satisface
el requisito de negocio de TI para construir las aplicaciones de acuerdo con los requerimientos
del negocio y hacindolas a tiempo y a un costo razonable enfocndose en garantizar que exista
Se logra con:
Se mide con:
significativo
Objetivos de control
AI2.5 Configuracin e implantacin de software aplicativo adquirido: configurar e
implementar software de aplicacin adquirido para conseguir los objetivos del negocio.
Objetivos General
Alinear los requerimientos del negocio con las especificaciones tcnicas y de diseo
para la adquisicin de software, de forma tal que se pueda responder a las directivas
obligatorios.
ALCANCE
Se quiere comprobar cules son los controles manejados por la organizacin en la adquisicin
- Lista de chequeo
Anlisis y evaluacin de riesgos del proceso: AI2 Adquirir y mantener software aplicativo
Para una educacin efectiva de todos los usuarios de sistemas de TI, incluyendo aquellos dentro
Adems de identificar las necesidades, este proceso incluye la definicin y ejecucin de una
estrategia para llevar a cabo un entrenamiento efectivo y para medir los resultados.
los errores, incrementando la productividad y el cumplimiento de los controles clave tales como
Enfocndose en:
Se logra con
Establecer un programa de entrenamiento
Organizar el entrenamiento
Impartir el entrenamiento
Monitorear y reportar la efectividad del entrenamiento
Y se mide con
del mismo
Objetivos de control:
Listas de chequeo:
Cuestionario de control C1
Empresa: Yazaki Ciemel S.A.
Cuestionario de control C1
Dominio Entregar y dar soporte
Proceso DS7 Educar y entrenar a los usuarios
Objetivo de control Identificacin de necesidades y de entrenamiento y educacin
Cuestionario
Pregunta Si No N/A Observaciones
Se llevan a cabo entrenamientos a X Si se realizan entrenamientos, los cuales
los funcionarios de la empresa? son de carcter obligatorio
Se cuenta con un registro de los X Se lleva a cabo un anlisis de factibilidad
prerrequisitos para la ejecucin de
la capacitacin?
La empresa tiene material de X Los materiales de entrenamiento son
entrenamiento para transferir el tomados como los distintos manuales que
conocimiento? se tienen a la hora de entrega de un
software
Se cuenta con la opinin y el X El rea de sistemas trabaja en conjunto
apoyo de las dems reas para la con el departamento de recursos humanos
planeacin de las capacitaciones? para llevar a cabo las capacitaciones y
comunicacin de los planes hacia los
dems empleados.
Se tiene en cuenta la opinin del X Se tienen en cuenta los aportes de los
usuario en estas actividades de usuarios para realizar los planes de
comunicacin de servicios, comunicacin y capacitacin.
capacitacin y soporte?
Existe un registro de llamadas de X No se cuenta con dicho registro
soporte debido a problemas por
falta de entrenamiento?
Cuestionario de control C2
Cuestionario de control C3
- Clasificacin de riesgos
Impacto
Leve Moderado Catastrfico
Alto R9 R2, R6, R10
Probabilidad
- Gua de hallazgos H1
- Gua de hallazgos H2
- Gua de hallazgos H3
ANLISIS DE RIESGOS
VULNERABILIDADES:
avanzados.
AMENAZA:
5. Perdidas de equipos.
6. No acceso al internet.
RIESGOS:
1. Daos en programas.
2. Computador desactualizado.
6. Robo de informacin.
ANALISIS DE RIESGOS
N Descripcin Probabilidad Impacto
R1 Daos en programas. x x
R2 Computador
x x
desactualizado.
R3 Perdida de informacin
x x
en caso de dao.
R4 No contar con
procedimientos para la
X x
administracin de la
informacin.
R5 No existe inventario de
x x
equipos
R6 Robo de informacin. X x
R7 Robo o perdidas de
X x
equipos.
R9 Apagados inesperados y
x x
perdidas de informacin.
Resultado Matriz de riesgos para hardware
R7, R8 R6
Alto
61-100%
Medio R2 R5 R3, R4
31-60%
PROBABILIDAD
Bajo R9 R1
0-30%
IMPACTO
diferentes aplicaciones que son necesarias para el desarrollo de operaciones en la empresa Yazaki
Ciemel S.A., mediante la realizacin de una evaluacin del desempeo del hardware y software,
y la instalacin, seguridad y control del software del sistema, de esta manera actualizar y mejorar
personal de TI contra peligros naturales (fuego, polvo, calor excesivo), fallas humanas (mala
manipulacin del equipo), robos de equipos; con la instalacin de controles fsicos, ambientales y
de seguridad.
CUESTIONARIO PARA HARDWARE Y SOFTWARE
Cuestionario de Control: C1
Pregunta Si No OBSERVACION
ES
Fecha
Ubicacin
Responsable
duro)
siguientes datos?
Fecha
Hora
Encargado
Inmediata
De una a 24 horas
De un da a 5 das
Ms de 5 das
equipos?
Mantenimiento preventivo
Mantenimiento correctivo
Los empleados pueden instalar y desinstalar programas 5
en el computador?
de los equipos?
personal capacitado?
equipos?
TOTALES 25 13
Cuestionario de Control: C2
Casi nunca
Malo
Bueno
regular
TOTALES 18 6
Porcentaje de riesgo = 25
RIESGO:
Porcentaje de riesgo = 25
F-CHK 01
Realizado por:
Check
estado
cuestionario C1 no se cuenta con cual hace que se presente una desactualizacin la cual
ID Riesgos Asociados R9
ENTREVISTAS
REF
PLAN
AUDITADA
1 D 1
OBJETIVO
AUDITORA
AUDITADO
RESPONSABLE
DOMI PROCE
NIO SO
ENTREVISTADO
CARGO
_____________________________________________________________________
_____________________________________________________________________
_____________________________________________________________________
_____________________________________________________________________
_____________________________________________________________________
FIRMA
FORMATOS Y PROCESOS JOSE ROBERTO QUECAN
ANLISIS DE RIESGOS
VULNERABILIDAD
avanzados.
AMENAZAS
8. Perdidas de equipos
11. Recalentamiento.
RIESGOS
1. Dao en programas.
6. Robo de informacin.
61-100%
IMPACTO
ANALISIS DE RIESGOS
R1 Dao en programas X X
R2 Perdida de informacin en X X
caso de dao
R3 No contar con X X
procedimientos para la
administracin de la
informacin
recuperacin de
informacin
R5 Ausencia de un Sistema de X X
Gestin de Seguridad de la
Informacin
R6 Robo de informacin X X
R7 Apagado inesperado de X X
perdida de informacin
R8 Prdida de equipo y de X X
informacin adems de
demora en el proceso
R9 Se desconecta seguido y X X
equipos
servicios de T.I
Resultado Matriz de riesgos
R8 R1,R2
Alto
61-100%
31-60%
PROBABILIDAD
Bajo
0-30%
IMPACTO
responsabilidad personal, procesos que son una serie de actividades unidas con delimitacin o
Monitorear todos los procesos para asegurar que se sigue la direccin provista
Procesos:
Objetivo: El objetivo es asegurar el logro de los objetivos establecidos para los procesos
Cuestionario de Control: C1
Pregunta Si No OBSERVACION
ES
de la compaa?
inconvenientes?
tareas?
equipos?
programas?
soporte?
Se cuenta con soporte externo para programas 3
especiales?
TOTALES 21 31
PORCENTAJE DE RIESGO:
RIESGO:
LISTA DE CHEQUEO
YAZAKI CIEMEL
Fecha: 25 de ABRIL de 2016
Check
Estado
GUIA DE PRUEBA
Instalaciones Yazaki Ciemel
Objetivo de Control El objetivo es asegurar el logro de los objetivos establecidos para los
procesos de TI.
informacin
2 No se cuenta con un
No hay un encargado para el mantenimiento de los
mantenimiento
equipos del rea de elctrica
AUDITORA
AUDITADO
NIO SO de TI
7. Las caractersticas de los equipos son suficientes para el desempeo de los programas en el
rea de trabajo?
Considero que hacen falta que actualicen los equipos ya que tenemos equipos para que
Cuando se presenta alguna falla se llama al departamento de sistemas para que enven un
Se ve que tiene manejo aunque hay problemas que no pueden resolver y deben acudir a su
Si en ocasiones
13. Es consciente que un dao en los equipos genera que la planta pare actividades ?
que se necesita
15. Cmo resuelve los problemas encontrados en el Software en los equipos de timbrado
elctrico?
Si el dao es fsico se resuelve con ayuda del equipo y si es algo del referente al
LISTAS DE CHEQUEO
LISTA DE CHEQUEO
REFERENCIA P/T: F-CHK 01
FECHA: 10 de mayo de 2016
REALIZADO POR: Rafael Alejandro Rozo Vega
PROCESO EVALUADO: Adquisicin y mantenimiento de la infraestructura
tecnolgica (AI3)
DESCRIPCIN CONTROLES EXISTENTES EN EL PROCESO SI NO
Existe inventario de equipos de computo
Los conectores de alimentacin de energa estn en buen
estado
Los equipos de cmputo tienen todas sus partes
Las partes de los equipos estn en buen estado
Hay equipos con tecnologa obsoleta X
El cableado que corresponde al equipo est protegido
Se realiza mantenimiento preventivo
Los equipos que adquiere la empresa son econmicos, pero
no son los indicados para las funciones que necesita la
empresa
LISTA DE CHEQUEO
REFERENCIA P/T: F-CHK 02
FECHA: 10 de mayo de 2016
REALIZADO POR: Rafael Alejandro Rozo Vega
PROCESO EVALUADO: Administracin de las instalaciones (DS12)
DESCRIPCIN CONTROLES EXISTENTES EN EL PROCESO SI NO
Existe sistema de ventilacin
El cableado elctrico est protegido X
Hay un horario en cada oficina asignado
El cableado estructurado se encuentra en buen estado
Existe un sistema de seguridad en cada oficina
Existe sistemas anti incendio
RIESGOS DETECTADOS:
Probabilidad Impacto
A: Alta C: Catastrfico
M: Media M: Moderado
B: Baja L: Leve
Probabilidad Impacto
A: Alta C: Catastrfico
M: Media M: Moderado
B: Baja L: Leve
R1 Daos en programas. x x
R2 Computador
x x
desactualizado.
R3 Perdida de informacin
x x
en caso de dao.
R4 No contar con
procedimientos para la
X x
administracin de la
informacin.
R5 No existe inventario de
x x
equipos
R6 Robo de informacin. X x
R7 Robo o perdidas de
X x
equipos.
R9 Apagados inesperados y
x x
perdidas de informacin.
R8 R1,R2
Alto
61-100%
PROBABILIDAD
Bajo
0-30%
Leve Moderado Catastrfico
IMPACTO
de la informacin.
DICTAMEN DE LA AUDITORIA
b. Dictamen
Se considera como nivel de madurez 5 Optimizado por cuanto las prcticas de adquisicin
y mantenimiento de software aplicativo se alinean con el proceso definido. El enfoque es
con base en componentes, con aplicaciones predefinidas y estandarizadas que
corresponden a las necesidades de la empresa. El enfoque se extiende para toda la empresa.
La metodologa de adquisicin y mantenimiento presenta un buen avance y permite un
posicionamiento estratgico rpido, que permite un alto grado de reaccin y flexibilidad
para responder a requerimientos cambiantes del negocio. La metodologa de adquisicin e
implantacin de software aplicativo ha sido sujeta a mejora continua y se soporta con bases
de datos internas y externas que contienen materiales de referencia y las mejores prcticas.
La metodologa produce documentacin dentro de una estructura predefinida que hace
eficiente la produccin y mantenimiento.
d. Recomendaciones:
Evaluar e implementar un software que permita mantener el resguardo de acceso de los
archivos de programas y de los programadores.
Utilizar software gratuito o sacar crdito con banco para evitar posibles multas. Debe ser
resuelto inmediatamente.
a. Objetivo de la auditoria: Evaluar los parmetros necesarios tales como seguridad lgica
y fsica del sistema para as realizar planes de contingencia que brinden soluciones precisas
que garanticen la seguridad del sistema.
b. Dictamen:
Nivel de madurez 4 Administrada: Se clasifica en este nivel de madurez ya que garantizar
la seguridad de los sistemas es posible mediante el constante monitoreo por parte del
usuario y de un administrador encargado a los procedimientos. Estos procedimientos son
evaluados para as verifica el cumplimiento de las normas establecidas y evaluando si algo
no est funcionando efectivamente.
Se podran presentar perdidas de informacin al no contar con los equipos necesarios para
la realizacin de backups cada determinado tiempo.
Aunque los canales de comunicacin son muy estables no se descarta la posibilidad de una
prdida de comunicacin y fallas en la red que impliquen la filtracin de ataques o prdida
de los canales de comunicacin, lo cual impedira la trasmisin de informacin.
b. Dictamen:
No se lleva registro de los empleados que reciben capacitacin y los temas que son
tratados en las actividades de comunicacin.
La empresa realiza seguimiento en las actividades de los empleados para verificar que
estn haciendo buen uso de los recursos y sistemas informticos.
d. Recomendaciones:
Se recomienda que el rea de sistemas se est actualizando constantemente sobre uso de
herramientas informticas y las nuevas tecnologas, solicitando apoyo de empresas
externas que tengan ms conocimiento sobre esos temas (Analistas de sistemas, empresas
desarrolladoras de software, proveedores de hardware y servicios de TI).
Se deber realizar estudios previos teniendo en cuenta las opiniones de los empleados con
el fin de conocer los problemas que se presentan con mayor frecuencia, as se podr tener
una idea ms clara de los temas que se deben tratar en las capacitaciones, y de acuerdo a
ello realizar el cronograma.
El rea de sistemas deber realizar campaas de manera habitual para que los empleados
identifiquen los activos informticos que hay que proteger y sus vulnerabilidades y que
conozcan las consecuencias que traera la prdida de datos.
a. Objetivo de la Auditoria: Verificar que todos los procesos estn evaluados regularmente
a travs del tiempo para verificar su calidad y suficiencia en cuanto a los requerimientos
de control.
b. Dictamen:
Se califica un nivel de madurez 2 Repetible, ya que los procedimientos estn en un estndar
y los tcnicos lo realizan, pero hace falta un control ms frecuente por parte de personal
como jefes de rea, no se estn realizando las actividades al pie de la letra lo que puede
ocasionar que se pierda informacin valiosa, falta un cumplimiento. No existen
cronogramas para la verificacin y mantenimientos de los equipos.
d. Recomendaciones:
Realizar un cronograma en el que se especifique fechas de los mantenimientos
preventivos que se han programado en ella se debe especificar la frecuencia con la
que se estn realizando, ya sea semanal o mensual.
Realizar un formato en cual se evidencia los das en los que se realiza los backups,
revisado por el jefe inmediato.
b. Dictamen
Tiene un nivel de madurez 3 definido por cuanto las prcticas de adquisicin y
mantenimiento de infraestructura. El enfoque es con base en inventarios, equipos de
cmputo y dems equipos que hacen parte de la infraestructura tecnolgica (router,
servidores, etc.), las cuales corresponden a la empresa, es recomendable el monitoreo de
inventarios para su respectiva correccin he implementacin.
Adems, es necesario la actualizacin de los equipos de cmputo ya que algunos de ellos
se encuentran desactualizados y adems ya son equipos con mucho tiempo d uso.
Perdida de equipos.
d. Recomendaciones:
Conformar un grupo determinado de funcionarios que registren los equipos que faltan las piezas
que hacen parte de ellos.
a. Objetivo de la auditoria: Evaluar los parmetros necesarios tales como seguridad fsica
de las oficinas para as evitar la prdida de equipos e informacin y realizar las respectivas
investigaciones en un caso eventual de perdida.
b. Dictamen:
Nivel de madurez 4 Administrada: Se clasifica en este nivel de madurez ya que para
garantizar la seguridad de las oficinas se cuentan con distintos medios, pero faltan algunos,
es posible mediante el constante monitoreo por parte de los usuarios y de un equipo de
seguridad se eviten perdidas de equipos y de informacin.
d. Recomendaciones:
Crear un sistema de registro eficiente para el ingreso y salida de equipos, donde se pida el
nombre de la persona que ingresa el equipo, el documento de identidad, el serial del equipo,
la marca del equipo, la referencia; y al momento de que la persona salga se valide la
informacin del equipo que va a salir, si este no concuerda se realizara su respectiva
denuncia.
Revisar a todas las personas que ingresen a las oficinas cuando estas vallan a entrar o a
salir.
CONCLUSIONES