AUDITORIA DE SISTEMAS

90168_3

FASE 3 – PLANEACIÓN Y EJECUCIÓN DE LA AUDITORIA

PRESENTADO POR:
JIM STIVENSON BARRERA LOBOA
CÓDIGO: 1119890860

SANDRA JOHANNA CAICEDO SERRANO

CÓDIGO: 1.090.226.646

GRUPO
90168_3

PRESENTADO A:
TUTOR: FRANCISCO NICOLÁS SOLARTE

UNIVERSIDAD NACIONAL A DISTANCIA UNAD

2018
 INTRODUCCIÓN

Por medio del presente trabajo colaborativo, abordaremos temas enriquecedores de la auditoria de sistemas,
que se socializan en la Fase 3 – Planeación y ejecución de la Auditoria.

Podemos adquirir los conocimientos necesarios y ponerlo en práctica en nuestra vida profesional e impulsar el
uso de la auditoria como herramienta de gestión de las empresas, permitiéndoles revisar y corregir su
comportamiento a través de los programas para alcanzar sus propios objetivos y metas además de promover el
cumplimiento de la normatividad vigente en esta materia. También se logrará de esta forma, aportar aspectos
técnicos más significativos relativos a la planificación, ejecución de una auditoria a los requisitos y principios
que deben regir el uso de ésta herramienta por parte nosotros como auditores.

Así mismo, vamos a compartir mediante los procesos CobIT del programa de auditoria, diseñando
instrumentos de recolección de información para proceder con el proceso de auditoría.
 OBJETIVOS

Objetivo General

El objetivo general de esta actividad será planificar la auditoría a ejecutar para verificar el estado ambiental
actual y el nivel de cumplimiento de las medidas ambientales de la empresa seleccionada y los procesos
analizados de la misma en la actividad anterior, esto será el punto de partida para la correcta aplicación,
registro, análisis y posterior mejora del sistema de gestión de calidad en la empresa y aprender a diseñar los
instrumentos de recolección de la información de acuerdo al estándar CobIT.

Objetivos Específicos

 Presentar individualmente los pasos para la planificación de la auditoría de la empresa seleccionada.

 Documentar con las referencias necesarias para realizar una auditoría que cumpla con las expectativas
de la compañía auditada.

 Consolidar el consenso de los pasos a seguir en la planificación de la auditoría que contenga los
criterios de la auditoria, alcances, propósitos y delegación de las funciones en el equipo de trabajo

 Recolectar y revisar evidencias de auditorías como registros documentos hallazgos.

 Desarrollar las conclusiones resultantes de la actividad y recomendaciones necesarias.

 Utilizar los instrumentos diseñados y aplicarlos al proceso de auditoría.

 Fortalecer nuestro campo visual en la auditoria en sistemas.

FORMATO DE AUDITORÍA

INTEGRANTE PROCESOS DOMINIOS OBJETIVOS DE COTROL

Sandra Johanna Educación y DS6 DS6.1 Identificación de Necesidades de
Caicedo entrenamiento de Entrenamiento y Educación
usuarios.
DS6.2 Impartición de Entrenamiento y
Educación

DS6.3 Evaluación del Entrenamiento

Recibido

Sandra Johanna Administración de DS11 DS11.1 Requerimientos del Negocio para

Caicedo Datos. Administración de Datos

DS11.2 Acuerdos de Almacenamiento y

Conservación

DS11.3 Sistema de Administración de

Librerías de medios

DS11.4 Eliminación

DS11.5 Respaldo y Restauración

DS11.6 Requerimientos de Seguridad

para la Administración de Datos

Dominio: DS6

Procesos

Educación y entrenamiento de usuarios: El objetivo es asegurar que los usuarios estén haciendo un uso efectivo
de la tecnología y estén conscientes de los riesgos y responsabilidades involucrados realizando un plan
completo de entrenamiento y desarrollo.

Objetivos de control

DS6.1 Identificación de Necesidades de Entrenamiento y Educación

DS6.2 Impartición de Entrenamiento y Educación

DS6.3 Evaluación del Entrenamiento Recibido

 INSTRUMENTOS DE RECOLECCIÓN PARA EL PROCESO N° 1

ENTREVISTA

ENTIDAD CONDUENT ML COLOMBIA PAGINA

AUDITADA 1 D 1
E
OBJETIVO Fortalecer el uso de las herramientas tecnológicas.
AUDITORÍA
PROCESO Educación y entrenamiento de usuarios.
AUDITADO
RESPONSABLE Sandra Johanna caicedo
MATERIAL DE SOPORTE COBIT
DOMINIO DS6 PROCESO Educación y entrenamiento de usuarios:
El objetivo es asegurar que los usuarios
estén haciendo un uso efectivo de la
tecnología y estén conscientes de los
riesgos y responsabilidades
involucrados realizando un plan
completo de entrenamiento y desarrollo.

ENTREVISTADO Pablo Castro

CARGO Jefe departamento IT Conduent.

1. ¿Las características del equipo son suficientes para el desempeño de su trabajo?

No, pues hace falta equipo y programas de control.

2. ¿Qué hace en caso de que el equipo falle? ¿a quién acude?

Se cuenta con técnicos especializados en sistemas y en software capaces de afrontar los fallos
comunes.

3. ¿Cuántos Mantenimiento se le han realizado al equipo?

Se ha realizado mantenimiento dos veces este año.

4. ¿Qué nivel de conocimientos tiene en el manejo de un Computador y/o Móvil?

Nivel avanzado.

5. ¿Ud. maneja el software de SYSCAFE?

No.
6. ¿Ud. Ha recibido asesoramiento o capacitación sobre el manejo de SYSCAFE?
No.
7. ¿Qué procesos de SYSCAFE utiliza?
Ninguno, no lo utilizo.

8. ¿Conoce y ha hecho uso del manual de SYSCAFE?

No.

9. ¿Ha tenido problemas con el Software SYSCAFE? ¿Cuáles

No.

10. ¿Cómo resuelve los problemas encontrados en el Software SYSCAFE?

N/A.

11. ¿Cuál es el tiempo máximo en solucionar el problema de SYSCAFE?

N/A.

12. ¿Qué tipo de software maneja para el desempeño de sus labores cotidianas?

Manejo Excel, Word ya que el resto de cosas que se realizan son en email o chat

13. ¿Cuenta con el conocimiento suficiente para el uso del software que utiliza en su día a día?

Si creo que hasta el momento todo es acorde a mi trabajo

14. ¿Desea agregar algún otro comentario sobre los temas en relación de la entrevista?

Ninguna

Pablo Castro.
______________________ Jim Stivenson Barrera Lobo______________
NOMBRE ENTREVISTADO AUDITOR RESPONSABLE
FIRMA FIRMA
 LISTA DE CHEQUEO

LISTA CHEQUEO
Educación y entrenamiento
DOMINIO DS6 PROCESO
de usuarios
DS6.1 Identificación de Necesidades de Entrenamiento y
OBJETIVO DE CONTROL
Educación
CONFOR
Nº ASPECTO EVALUADO ME OBSERVACIÓN
SI NO
¿Se realizan capacitaciones para el
1 manejo del aplicativos? X Aunque muy pocas veces

OBJETIVO DE CONTROL DS6.2 Impartición de Entrenamiento y Educación

¿Es consciente del uso adecuado de las
2 X Creo que son vitales
herramientas tecnológicas?

OBJETIVO DE CONTROL DS6.3 Evaluación del Entrenamiento Recibido

¿Ha recibido usted algún plan de
3 capacitación para mejorar su desempeño
laboral?
Si, pero más bien relacionado
con salud ocupacional en el
X
trabajo, es decir muy poco
sobre lo tecnológicos

CUESTIONARIO

CUESTIONARIO CUANTITATIVO REF

ENTIDAD CONDUENT ML COLOMBIA. PAGINA

AUDITADA 1 DE 1
PROCESO Educación y entrenamiento de usuarios
AUDITADO
RESPONSABLES Sandra Johanna caicedo
MATERIAL DE COBIT
SOPORTE
DOMINIO DS6 PROCESO DS6.1 Identificación de
Necesidades de
Entrenamiento y Educación

OBJETIVO DE CONTROL
N PREGUNTA SI NO NA REF
1 ¿Considera que es importante el uso adecuado de 4
las TICS?
 2 ¿Conoce sobre las políticas utilizadas por el área 1 3
de Tecnología?
3 ¿Realiza periódicamente capacitaciones en donde 2 2
se incluya al usuario como principal capa de
seguridad?
4 ¿Realizan seguimiento para evaluar el 4
conocimiento adquirido en el campo laboral que
se encuentra usted?
5 ¿Existe un plan de acción para mitigar los 4
espacios en blancos “Dudas o inquietudes” sobre
el uso de software?
6 ¿Los aplicativos o software que utiliza son 4
adecuados para el desarrollo de su actividad
laboral?
TOTAL 15 9
TOTAL, CUESTIONARIO 24
Porcentaje de riesgo parcial = (3 * 100) / 24 = 12,5 %
Porcentaje de riesgo total = 100 – 12,5 = 87,5 %
PORCENTAJE RIESGO 87,5 % (Riesgo Alto)

Dominio: DS11

Procesos

Administración de Datos: El objetivo es asegurar que los datos permanezcan completos, precisos y válidos
durante su entrada, actualización, salida y almacenamiento, a través de una combinación efectiva de controles
generales y de aplicación sobre las operaciones de TI

Objetivos de control

DS11.1 Requerimientos del Negocio para Administración de Datos

DS11.2 Acuerdos de Almacenamiento y Conservación

DS11.3 Sistema de Administración de Librerías de medios

DS11.4 Eliminación

DS11.5 Respaldo y Restauración

DS11.6 Requerimientos de Seguridad para la Administración de Datos

 INSTRUMENTOS DE RECOLECCIÓN PARA EL PROCESO N° 2

ENTREVISTA

ENTIDAD CONDUENT ML COLOMBIA PAGINA

AUDITADA 1 D 1
E
OBJETIVO Brindar una mejor seguridad en el manejo y control de la información de la
AUDITORÍA empresa.
PROCESO Administración de Datos.
AUDITADO
RESPONSABLE Sandra Johanna Caicedo
MATERIAL DE SOPORTE COBIT
DOMINIO DS11 PROCESO Administración de Datos: El objetivo es
asegurar que los datos permanezcan
completos, precisos y válidos durante
su entrada, actualización, salida y
almacenamiento, a través de una
combinación efectiva de controles
generales y de aplicación sobre las
operaciones de TI.

ENTREVISTADO Pablo Castro

CARGO Jefe departamento IT Conduent.

1. ¿Realizan copias de seguridad en la empresa?

Si se realiza copias de seguridad

2. ¿Cada cuánto realizan copias de seguridad de la información de su dispositivo o equipo móvil?

Semestralmente es decir alrededor de 6 meses

3. ¿Conoce sobre qué seguridad tiene para la conservación de la información?

Si, se tiene un disco duro aparte de todos los equipos y allí es guardado todo lo que se realizan en las
diferentes oficinas.

4. ¿Alguna empresa maneja el sistema de Backup o lo hacen directamente en la empresa?

La empresa no cuenta con sistema backup

5. ¿Sabe sobre el manejo del almacenamiento en la nube?

Si regularmente lo utilizo para mi información personal.

6. ¿Sabe sobre políticas de la protección de datos?

Muy poco

7. ¿Conoce sobre la Ley 1581 de 2012 y el Decreto 1377 de 2013?

En lo personal no.

8. ¿La empresa maneja base de datos para los diferentes aplicativos?

Si cuenta con aplicativos, pero son controlados por la sede principal

9. ¿Si maneja base de datos cuenta con el registro nacional de base de datos?

No tengo conocimiento de esta información

10. ¿Para usted que son los datos personales?

Es toda la información que nos solicitan o que podemos solicitar

11. ¿Cómo protege usted sus datos personales?

Mediante claves y cambiándolas periódicamente

Pablo Castro.
______________________ Sandra Johanna caicedo
NOMBRE ENTREVISTADO AUDITOR RESPONSABLE
FIRMA FIRMA
 LISTA DE CHEQUEO

LISTA CHEQUEO
DS11
DOMINIO PROCESO Administración de Datos
DS11.1 Requerimientos del Negocio para Administración de
OBJETIVO DE CONTROL
Datos
CONFOR
N.º ASPECTO EVALUADO ME OBSERVACIÓN
SI NO
¿El manejo de la información la realiza
La información es manejada
1 un tercero u proveedor? X
por la empresa

OBJETIVO DE CONTROL DS11.2 Acuerdos de Almacenamiento y Conservación

¿Cuentan con control del En algunos casos se utiliza un
2 X
almacenamiento de la información? ftp

OBJETIVO DE CONTROL DS11.3 Sistema de Administración de Librerías de medios

¿Dentro de las copias de seguridad se
3 estructura algún tipo de control o X No conozco
seguimiento?
OBJETIVO DE CONTROL DS11.4 Eliminación
La información debe estar
¿Cuentan con versionamiento en las disponible en cualquier
4 X
copias de seguridad? momento y para cualquier
equipo(sistema)
OBJETIVO DE CONTROL DS11.5 Respaldo y Restauración
¿Cuentan con un plan en caso de tener En la sede solo contamos con
5 alguna perdida o daño sobre la X lo que se guarda en los quipos
información? o memorias externas USB
DS11.6 Requerimientos de Seguridad para la Administración de
OBJETIVO DE CONTROL
Datos
¿Cuentan con políticas para la protección Si la empresa es muy clara en
6 X
de datos? ese sentido
 CUESTIONARIO

CUESTIONARIO CUANTITATIVO REF

ENTIDAD CONDUENT ML COLOMBIA PAGINA

AUDITADA 1 DE 1
PROCESO Administración de Datos
AUDITADO
RESPONSABLES Sandra Johanna Caicedo
MATERIAL DE COBIT
SOPORTE
DOMINIO DS11 PROCESO Administración de Datos: El
objetivo es asegurar que los
datos permanezcan
completos, precisos y
válidos durante su entrada,
actualización, salida y
almacenamiento, a través de
una combinación efectiva de
controles generales y de
aplicación sobre las
operaciones de TI

OBJETIVO DE CONTROL DS11.6 Requerimientos de Seguridad para la

Administración de Datos
N PREGUNTA SI NO NA REF
1 ¿La información de su equipo cuenta con copias 4
de seguridad?
2 ¿Almacena usted información en la nube? 2 2
3 ¿Realiza periódicamente copias de seguridad? 1 3
4 ¿Cuenta con un plan de trabajo para realizar las 4
copias de seguridad?
5 ¿Conoce sobre las políticas frente al plan de 1 3
seguridad de la información?
6 ¿Sabe sobre las políticas de bases de datos? 1 3
TOTAL 9 15
TOTAL, CUESTIONARIO 24
Porcentaje de riesgo parcial = (3 * 100) / 24 = 12,5 %
Porcentaje de riesgo total = 100 – 12,5 = 87,5 %
PORCENTAJE RIESGO 87,5 % (Riesgo Alto)

PROCESO DE ANÁLISIS Y EVALUACIÓN DE RIESGOS

Vulnerabilidades

 No se realiza capacitaciones con regularidad.

 No existe evidencia de las capacitaciones.
 Los equipos no cuentan con copias de seguridad periódicas.
 Falta cronograma para las actividades de capacitación.

Amenaza

 No existen copias de seguridad periódicas.

 No hay conocimientos de los periodos para realizar copias de seguridad.
 No existe cronograma para la realización de las capacitaciones.
 Se desconoce sobre las políticas sobre la protección y seguridad de la información.
 No existe seguimiento regular en el uso de aplicativos tecnológicos en el campo laboral.

Riesgos

 No hay copias de seguridad periódicas.

 No tienen conocimientos de las herramientas tecnológicas que utilizan.
 Insatisfacción por parte de los usuarios respecto a la falta de capacitaciones.
 Se presentan problemas por falta de conocimiento sobre las políticas.
 No existe una política clara sobre la protección y seguridad de la información.
 No cuentan con un plan para eventos de respaldo de la información.
 Afectación de la integridad de los datos.
 Afectación de la disponibilidad del respaldo de la información de los procesos.
 Falta de personal debidamente autorizado para la realización de las actividades del proceso.

MATRIZ DE PROBABILIDAD DE IMPACTO

Matriz de probabilidad de ocurrencia e impacto según relevancia del proceso

Evaluación de Riesgos

N° Descripción Probabilidad Impacto

Baja Media Alta Leve Moderado Catastrófico
R1 No hay copias
de seguridad X X
periódicas
R2 No tienen
conocimientos
de las
X X
herramientas
tecnológicas
que utilizan.
R3 Insatisfacción
por parte de los
usuarios
X X
respecto a la
falta de
capacitaciones.
R4 Se presentan
problemas por
X X
falta de
conocimiento
 sobre las
políticas.
R5 No existe una
política clara
sobre la
X X
protección y
seguridad de la
información.
R6 No cuentan con
un plan para
eventos de X X
respaldo de la
información.
R7 Afectación de la
integridad de X X
los datos.
R8 Afectación de la
disponibilidad
del respaldo de
X X
la información
de los procesos.

R9 Falta de
personal
debidamente
autorizado para X X
la realización de
las actividades
del proceso.

Resultado Matriz de riesgos

R6 R1, R5, R8
Alto
61-100%
PROBABILIDAD

Medio R4, R9 R3, R7

31-60%

Bajo R2
0-30%
Leve Moderado Catastrófico

IMPACTO
 CONCLUSIONES

La auditoría de sistemas nos permitirá generar correctivos, por medio de planes de trabajo, planes de acción
proyectos, o demás implementaciones que enriquecerán la seguridad del ecosistema en el cual se mueve la
información.

Logramos identificar los pasos necesarios para elaborar un plan de auditoria donde identificaron los criterios,
requisitos e importancia de las auditorias e interventoría

Se logró elaborar un plan de auditoria para una empresa en específico

Las listas de chequeo es una herramienta útil para el auditor al momento de enfrentar una auditoria.

La auditoría de sistemas, es una herramienta que permite ejercer control sobre el activo más importante de una
compañía, el cual es la información, como profesionales de sistemas, debemos tener los conceptos claros de la
unidad formativa, esto con el propósito de salva guardar toda la infraestructura dentro de una compañía.
 BIBLIOGRAFÍA

ISACA. (2016). Cobit 4.1 en español. (pp. 22-109). Recuperado dehttp://www.isaca.org/Knowledge-

Center/cobit/Pages/Downloads.aspx

Derrien, Y. (2009). Auditoria de la actividad informática. Técnicas de la auditoría informática. (pp. 29 -123).
Recuperado
dehttp://bibliotecavirtual.unad.edu.co:2162/openurl?sid=EBSCO:edselb&genre=book&issn=edselb.61F234
B4&ISBN=9781449209667&volume=&issue=&date=20090101&spage=&pages=&title=T%c3%a9cnicas%
20de%20la%20auditor%c3%ada%20inform%c3%a1tica&atitle=T%C3%A9cnicas%20de%20la%20auditor
%C3%ADa%20inform%C3%A1tica&aulast=Derrien%2C%20Yann&id=DOI:

Piattini, M. G. (2012). Auditoría informática un enfoque práctico 2 ed. Madrid – España: Editorial Ra-Ma