Auditoria Grupo 90168 47 Fase3 Ok

AUDITORIA DE SISTEMAS
CÓDIGO: (90168A_611)
Fase 3 Ejecución de la Auditoria

Unidad 2 – Metodología de Auditoria Aplicada a la Informática y los Sistemas
Presentado a:
FRANCISCO SOLARTE
Director de curso
Entregado por:
SHIRLEY JASBLEIDY CURICO NORIEGA - Código: 41.061.151
Grupo: 90168_47
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA - UNAD

ESCUELA DE CIENCIAS BÁSICAS TECNOLOGÍA E INGENIERÍA
ABRIL DE 2019
LETICIA- AMAZONAS
INTRODUCCION
OBJETIVOS
PROPUESTA FASE3
Ejercicios a desarrollar
OBJETIVO: El estudiante descubre las vulnerabilidades, amenazas y riesgos
informáticos a que se ve expuesta la organización empresarial para determinar las
causas que originan los riesgos y resolver los problemas mediante la definición y
aplicación de controles.
1. Diseñar y aplicar los instrumentos de recolección de información (entrevistas,
listas de chequeo, cuestionarios, pruebas) para descubrir vulnerabilidades,
amenazas y riesgos para cada proceso asignado.
INSTRUMENTOS DE RECOLECCIÓN DE INFORMACIÓN: En esta fase el equipo

verificador y auditor aplicara como medio de evaluación el método de la entrevista
y listas de chequeo cuando se trate de pruebas documentales, la cual se encuentra
diseñada para los Departamentos involucrados en la empresa CONTRASUR
Industria y Comercio.
Esta empresa estará constituida por los siguientes departamentos.
1. Departamento de gerencia
2. Departamento de finanzas
3. Departamento de administración
4. Departamento de estadística
5. Departamento de jefe de personal
6. Departamento de disciplina y ética
7. Departamento de información general
8. Departamento de secretaria.
9. Departamento de Seguridad
10. Oficina de Operadores de Radio y Conductores
ENTIDAD AUDITADA: CONTRASUR Industria y Comercio.
PROCESO AUDITADO: El presente Plan de Auditoria busca evaluar la

funcionalidad del sistema de información correspondiente al software y hardware en
términos de usabilidad y confiabilidad; con el fin de proporcionar seguridad y
protección de la información, rendimiento del sistema, accesibilidad de los usuarios
del sistema y control- monitoreo de las rutas establecidas por la empresa
CONTRASUR, que permita una mejor organización y modernización de la empresa,
minimizando los riegos de vulnerabilidad, y amenazas informáticas.
Procesos Auditar:
PO2.1 Modelo de Arquitectura de Información Empresarial

PO2.3 Esquema de Clasificación de Datos
PO2.4 Administración de Integridad
PO3.2 Plan de infraestructura Tecnológica
AI1.2 Reporte de Análisis de Riesgos
DS13.5 Mantenimiento Preventivo del Hardware
ME2.1 Monitoreo del Marco de Trabajo de Control Interno
REF
FUENTES DE CONOCIMIENTO, PRUEBAS DE ANALISIS DE AUDITORIA VERSION
001 1
PAGINA
ENTIDAD AUDITADA CONTRASUR Industria y Comercio
1 DE 1
Verificar si la empresa cuenta con un manual de procedimientos
necesarios para contribuir al eficiente desarrollo de las funciones,
PROCESO AUDITADO actividades y tareas de los servicios informáticos para satisfacer los
requerimientos de sistemas de la empresa.( Definir arquitectura de
información )
RESPONSABLE SHIRLEY JASBLEIDY CURICO NORIEGA
MATERIAL DE SOPORTE COBIT
PO2.1 Modelo de Arquitectura de Información Empresarial
PROCESO PO2.3 Esquema de Clasificación de Datos
DOMINIO Planear y Organizar (PO)
FUENTES DE REPOSITORIO DE PRUEBAS APLICABLES

CONOCIMIENTO DE ANALISIS DE EJECUCION
Las pruebas se
encuentran diseñadas
para cada uno de los Mediante el análisis de la información
Pruebas mediante bases de
Departamentos de la suministrada como contratos
datos, y recopilación de
manuales, modelos, frecuencia de
empresa. información de protocolos
capacitaciones suministradas por la
Gerencia, finanzas, de seguridad.
Empresa
administrativo,
Recurso Humano.
AUDITOR RESPONSABLE:
SHIRLEY JASBLEIDY CURICO NORIEGA
REF
001 1
PAGINA
1 DE 1
PROCESO AUDITADO Determinar la Dirección Tecnológica
RESPONSABLE FRANYER ALBERTO LOPEZ

PROCESO PO3.2 Plan de infraestructura Tecnológica
DOMINIO Planear y Organizar (PO)

XXXX
FRANYER ALBERTO LOPEZ
REF
001 1
PAGINA
1 DE 1
PROCESO AUDITADO Identificar Soluciones Automatizadas
RESPONSABLE NESTOR GABRIEL PAIVA

PROCESO AI1.2 Reporte de Análisis de Riesgos
DOMINIO Adquirir e Implementar (AI)

XXXX
NESTOR GABRIEL PAIVA
REF
001 1
PAGINA
1 DE 1
PROCESO AUDITADO Administración de Operaciones
RESPONSABLE JORGE BALMORE PEREZ

PROCESO DS13.5 Mantenimiento Preventivo del Hardware
DOMINIO Entregar y Dar Soporte (DS)

XXXX
JORGE BALMORE PEREZ
REF
001 1
PAGINA
1 DE 1
PROCESO AUDITADO Monitorear y Evaluar el Control Interno
RESPONSABLE JUAN CAMILO RUBIANO
PROCESO ME2.1 Monitoreo del Marco de Trabajo de Control Interno
DOMINIO Monitorear y Evaluar (ME)

XXXX
JUAN CAMILO RUBIANO
CUESTIONARIO DE PERCEPCION- DEPARTAMENTO DE GERENCIA
ENTIDAD CONTRASUR Industria y Comercio. PAGINA

AUDITADA
1 DE 1
OBJETIVO Verificar si la empresa CONTRASUR, cuenta con modelo de información que
AUDITORÍA permita el uso adecuado de planes y políticas de las Tecnología de la
información y Comunicación – (TIC). (Modelo de Arquitectura de Información
Empresarial, Esquema de Clasificación de Datos y Administración de
Integridad).
PROCESO PO2: Definir arquitectura de información.
AUDITADO
Planear y P02: Definir la Arquitectura de la
Organizar (PO) Información
DOMINIO PROCESO PO2.3 Esquema de Clasificación de Datos
1. ¿Dispone de un organigrama Empresarial?

X
SI NO
2. ¿Con que periodicidad se identifica los riesgos que afectan a la empresa?
Cada mes Cada 6 meses

Cada 3 meses Cada 12 meses x
3. ¿En los últimos 13 meses se ha utilizado algún tipo de auditoria a esta

empresa?
X
SI NO
4. ¿Si la respuesta anterior fue positiva que tipo de auditoria se ha realizado?

X
INTERNA EXTERNA
5. Cuenta con un sistema operacional y sistémico para las rutas establecidas
SI X NO
LISTA DE CHEQUEO - DEPARTAMENTO DE GERENCIA
DOMINIO Planear y Organizar (PO) PROCESO PO2: Definir arquitectura de

AUDITADO información.
OBJETIVO DE CONTROL PO2.1 Modelo de Arquitectura de Información Empresarial

CUMPLE
CUMPLE
NO
PROCESO IDENTIFICADOR OBSERVACIONES
COBIT
SI NO
PO2.1 Modelo de Tiene diseñado el X

Arquitectura de organigrama de la empresa
Información Hay procedimientos y X
Empresarial procesos escritos de la
PO2.3 Esquema operación de la empresa,
de Clasificación constituidos en el manual de
de Datos funciones y procedimiento
PO2.4 Identifica los modelos X
Administración de gerenciales y recurso humano
Integridad de acuerdo al plan estratégico
que tiene su empresa.
La empresa aplica los X
estándares de cálida
establecido.
Se generan actualizaciones X
entrenamiento,
capacitaciones o cursos que
mejoren los procesos y
actividades del personal
Se realizan auditorias en X
todas las áreas de la empresa
CUESTIONARIO DE PERCEPCION - DEPARTAMENTO DE FINANZAS

AUDITADA
1 DE 1
información y Comunicación (TIC). (Modelo de Arquitectura de Información
Integridad).
AUDITADO
1. ¿El Departamento Financiero tiene relación directa con las demás áreas
de la empresa?
X
SI NO
2. ¿Se realizan controles o revisiones internas de las operaciones

sistemáticas realizadas dentro del Departamento?
X
SI NO
3. ¿Se encuentran las cuentas bancarias registradas y autorizadas por la

entidad competente?
X
SI NO
4. ¿Está centralizada la responsabilidad de los cobros y depósitos en efectivo

en el menor número de personas?
SI X NO
5. Se realizan de manera separada el balance de las cuentas de gastos y las

provisiones por beneficios sociales.
X
SI NO
6. ¿El área cuenta con un software y libros auxiliares contables para las
acciones correspondientes del área?
SI X NO
7. ¿El área cuenta con equipos de cómputo de acuerdo a la necesidad?
X
SI NO
LISTA DE CHEQUEO - DEPARTAMENTO DE FINANZAS

AUDITADO información

CUMPLE
CUMPLE
NO

COBIT
PO2.1 Modelo de Cuenta con un software X

Arquitectura de contable para las acciones
Información misionales propias del
Empresarial Departamento.
La empresa cuenta con una X
PO2.3 Esquema matriz de indicadores
de Clasificación Cada cuanto se realizan X
de Datos inventarios de activos fijos.
Se realizan periódicamente X
arqueos de caja en taquilla de
PO2.4 venta de tiquetes
Administración de Los tiquetes de rutas están X
Integridad sujetas a variaciones de
precios.
Los sueldos y los beneficios X
sociales son aplicados de
acuerdo a la normatividad
laboral vigente.
Esta la empresa al día en X
presentación de planillas, con
el Ministerio de Trabajo.
Los contratos de compra se X
encuentran con sus
respectivas altas y bajas, con
entradas y salidas,
debidamente legalizados
La empresa tiene un alto X
índice de endeudamiento por
el pago de acreencias
CUESTIONARIO DE PERCEPCION - DEPARTAMENTO ADMINISTRATIVO/
ESTADISTICO

AUDITADA
1 DE 1
Integridad).
AUDITADO
1. ¿En la empresa se han realizado auditorias administrativas?

X
SI NO
2. ¿Cree usted que al realizar auditorías administrativas internas en la

empresa ayudaría para tomar mejores decisiones?
SI X NO
3. ¿La empresa mantiene algún tipo de registros de manera permanente para

evaluar el desenvolvimiento de todos los Departamentos?
X
SI NO
4. ¿Existen políticas de manera que permitan realizar un diagnóstico

estructural de acuerdo al organigrama?
X
SI NO
5. Realiza una planificación estratégica para cada uno de los componentes

establecidos en el organigrama estructural.
X
SI NO

SI X NO
LISTA DE CHEQUEO - DEPARTAMENTO DE ADMINISTRACION/ ESTADISTICO


CUMPLE
CUMPLE
NO
COBIT
PO2.1 Modelo de Los manuales de X Cuenta con manuales, pero no con

Arquitectura de organización y de protocolos de procedimiento
Información procedimiento están
Empresarial autorizados y socializados
Aplica al menos una vez al X
PO2.3 Esquema año en cuentas de
de Clasificación satisfacción a los clientes y
de Datos empleados de acuerdo a los
servicios ofertados
PO2.4 La empresa promueve el X
Administración de cumplimientos de los
Integridad principios, en cuanto a
normatividad
Esta el número de empleados X
en proporción al volumen de
operaciones de la empresa
CUESTIONARIO DE PERCEPCION - DEPARTAMENTO JEFE DE PERSONAL,

DISCIPLINARIO Y ETICO

AUDITADA
1 DE 1
Integridad).
AUDITADO
1. ¿Todo el personal conoce los lineamientos, políticas, procesos y

procedimientos definidos en el manual organizacional de la empresa?
SI NO X
2. ¿Posee lineamientos de control sistemático establecido por la empresa?
SI X NO
3. ¿El control sistemático se encuentra actualizado de acuerdo a las políticas

institucionales de la empresa?
SI NO
4. ¿Posee la empresa sistemas de información?

X
SI NO
5. ¿La empresa evalúa considerablemente el perfil de cada puesto con la

capacidad idónea de cada función establecida en el manual
organizacional?
X
SI NO
6. ¿La empresa ha elaborado un programa de evaluación y desempeño

considerando los objetivos, alcances y parámetros establecidos en el
manual organizacional?
X
SI NO
X
SI NO
LISTA DE CHEQUEO - DEPARTAMENTO DE JEFE DE PERSONAL, DISCIPLINARIO Y
ETICO


CUMPLE
CUMPLE
NO
COBIT
PO2.1 Modelo de El área proporciona planes x

Arquitectura de para el seguimiento de
Información procesos y procedimientos
Empresarial definidos en el manual
PO2.3 Esquema organizacional
de Clasificación Se encuentran definidos los x
de Datos perfiles para el reclutamiento
PO2.4 del personal a contratar
Administración de Proporcionan capacitaciones x
Integridad al personal nuevo o en
proceso de selección
CUESTIONARIO DE PERCEPCION - XXXX

AUDITADA
1 DE 1
OBJETIVO Plan de Infraestructura Tecnológica
AUDITORÍA
PROCESO PO3.2 Plan de Infraestructura Tecnológica
AUDITADO
RESPONSABLE FRANYER ALBERTO LOPEZ
Planear y PO3.2 Plan de Infraestructura Tecnológica
DOMINIO Organizar (PO) PROCESO

SI NO
SI NO
3. ¿El control sistemático se encuentra actualizado de acuerdo a las políticas

institucionales de la empresa?
LISTA DE CHEQUEO -xxx
DOMINIO Planear y Organizar (PO) PROCESO P03: Determinar la Dirección

AUDITADO Tecnológica
OBJETIVO DE CONTROL PO3.2 Plan de Infraestructura Tecnológica
CUMPLE
CUMPLE
NO
COBIT
PO3.2 Plan de Cuenta con equipos de

Infraestructura cómputo suficiente para
Tecnológica cuada una de las área de la
empresa.
PO3.2 Plan de Cuenta con una base de
Infraestructura datos sistematizada
Tecnológica
PO3.2 Plan de La empresa cuenta con un
Infraestructura recurso disponible para la
Tecnológica dotación, mantenimiento
preventivo y correctivo de los
equipos informáticos

AUDITADA
1 DE 1
AUDITORÍA
PROCESO AI1: Identificar Soluciones Automatizadas
AUDITADO
RESPONSABLE NESTOR GABRIEL PAIVA
Adquirir e AI1.2 Reporte de Análisis de Riesgos
DOMINIO Implementar (AI) PROCESO

SI NO
SI NO
LISTA DE CHEQUEO - XX
DOMINIO Adquirir e Implementar (AI) PROCESO AI1: Identificar Soluciones

AUDITADO Automatizadas
OBJETIVO DE CONTROL AI1.2 Reporte de Análisis de Riesgos
CUMPLE
CUMPLE
NO
COBIT
AI1.2 Reporte de Se aplican medidas

Análisis de correctivas en cuanto a
Riesgos posibles fallas del sistema de
control
AI1.2 Reporte de La empresa cuenta con
Análisis de protocolos de seguridad
Riesgos informática
AI1.2 Reporte de Cuenta con mecanismos de
Análisis de evaluación y seguimiento de
Riesgos acuerdo a los protocolos de
seguridad informática.

AUDITADA
1 DE 1
AUDITORÍA
PROCESO DS13 Administración de Operaciones
AUDITADO
RESPONSABLE JORGE BALMORE PEREZ
Entregar y Dar DS13.5 Mantenimiento Preventivo del
DOMINIO Soporte (DS) PROCESO Hardware

SI NO
SI NO
LISTA DE CHEQUEO - XX
DOMINIO Entregar y Dar Soporte (DS) PROCESO DS13 Administración de

AUDITADO Operaciones
OBJETIVO DE CONTROL DS13.5 Mantenimiento Preventivo del Hardware
CUMPLE
CUMPLE
NO
COBIT
DS13.5 Cada personal cuenta con los

Mantenimiento recursos físicos, medios y
Preventivo del equipos en cuanto a dotación
Hardware correspondiente para ejercer
la labor
DS13.5 Cumple con el mantenimiento
Mantenimiento preventivo y correctivo de los
Preventivo del equipos de cómputo.
Hardware

AUDITADA
1 DE 1
AUDITORÍA
PROCESO ME2 Monitorear y Evaluar el Control Interno
AUDITADO
RESPONSABLE JUAN CAMILO RUBIANO
Monitorear y ME2.1 Monitoreo del Marco de Trabajo de
DOMINIO Evaluar (ME) PROCESO Control Interno:

SI NO
SI NO
LISTA DE CHEQUEO XXX
DOMINIO Monitorear y Evaluar (ME) PROCESO ME2 Monitorear y Evaluar el Control

AUDITADO Interno
OBJETIVO DE CONTROL ME2.1 Monitoreo del Marco de Trabajo de Control Interno:
CUMPLE
CUMPLE
NO
COBIT
PO3.2 Plan de Cuenta con una periodicidad

Infraestructura establecida para realizar el
Tecnológica mantenimiento preventivo de
correctivo de los Software y
hardware
Los sistemas de información e
infraestructura son acordes a
las necesidades de la
empresa
2. Diseñar y aplicar un conjunto de pruebas que permitan confirmar las

vulnerabilidades, amenazas y riesgos detectados con los instrumentos de
recolección de información.
En esta parte el equipo pretende aplicar una serie de pruebas que permitan
confirmar si la empresa CONTRASUR Industria y Comercio, se encuentra
expuestas a posibles riesgos el cual se detectara por medio de los instrumentos de
recolección diseñados.
Las pruebas se realizarán de manera Unitaria, analizando la funcionalidad,

integración, validación y pruebas del sistema mediante estos pasos diseñados a
continuación:
1. Observación de cada una de las áreas con el fin de tener un cotejo de los
componentes de software, hardware y de la red que cuenta la empresa.
2. Entrevistas/Encuestas con cada una de las áreas y centro de cómputo.
3. Análisis de documentos de gestión y técnicos.
4. Análisis de las claves de acceso, control, seguridad, confiabilidad y
respaldos.
5. Evaluar las tecnologías de información tanto de hardware como del
software.
6. Evaluar el Plan de la infraestructura tecnológica que cuenta la empresa.
Los procedimientos que se llevarán a cabo serán los siguientes:
 Tomar cada una de los equipos y evaluar la dificultad de acceso al sistema.

 Intentar sacar datos con un dispositivo externo con el fin de verificar la
seguridad del sistema.
 Facilidad de acceso a información confidencial tanto de usuarios y
contraseñas del sistema.
 Verificación de mantenimiento preventivo de los componentes de hardware.
 Comprobar la inactividad del usuario y si el mismo se desloguee.
3. Elaborar un cuadro de las vulnerabilidades, amenazas y riesgos detectados para

cada proceso evaluado.
PROCESO COBIT VULNERABILIDAD AMENZAS RIESGO

PO2.1 Modelo de Programas de Falta de inducción, Actualmente no existen
Arquitectura de comunicación. capacitación y políticas ni
Información Empresarial Programas de conocimientos de procedimientos escritos
PO2.3 Esquema de producción de datos. programas, planes, para la gestión de la
Clasificación de Datos Base de datos interno y normatividad que se seguridad física de la
PO2.4 Administración de externo. encuentran inmersos en red.
Integridad Mecanismos de el manual de funciones. No existen políticas de
verificación de normas y Sensibilización de datos procedimientos escritos
reglas claras para el y el sistema. para el mantenimiento
análisis adecuado de No existen políticas, ni
datos de control. procedimiento para
inventarios.
No existen políticas ni
procedimientos para la
asignación de
responsabilidades.
Entrada de virus a la red.
Mal manejo del sistemas
y herramienta.
Perdida de datos por
error del usuario.
Manipulación de datos
de manera errónea.
No disponibilidad de
respaldos.
PO3.2 Plan de Infraestructura (planes Al no contar con un plan Falta de mantención de
Infraestructura documentación etc.,). estructural la infraestructura
Tecnológica Medidas de Protección correspondiente a cada tecnológica.
física adecuada. uno de los procesos
Administración de las inmersos en el manual Falta de medida de
redes adecuadas. no se pueden garantizar seguridad o de
Plan de abastecimiento y la monitorización contingencia para el
medición de energía. técnica, personal y ambiente e
Diseño de aplicación de operacional del sistema infraestructura que
los sistemas de tecnológico. puede acarrear
información. desastres naturales.
AI1.2 Reporte de Sistemas de Manejo inadecuado de Perdida de datos o
Análisis de Riesgos autenticación. datos críticos (borrar, información.
Transmisión cifrada de codificar etc..). Infección del sistema
Datos. Transmisión no cifrada atreves de unidades.
Red asegurada para el de datos.
acceso no autorizado. Sabotaje ataque (físico y
Acceso autorizado a electrónico).
medios electrónico. Perdida de
confidencialidad.
Exposición de
contraseñas.
DS13.5 Mantenimiento Mantenimiento Mal exposición de Fallas por degradación

Preventivo del Hardware Correctivo físico unidades de equipo de tiempo y
(procesos, repuestos e cómputo y lugares de disponibilidad del
insumos). almacenamiento. software y hardware.
Actualización de Falta de hardware y sus
software (procesos y componentes. Daños por exposición o
recursos). Incompatibilidad de almacenamiento
Recursos disponibles de unidades de hardware y inadecuado.
hardware y sus software.
componentes. Perdida de datos por Rendimiento no
error de hardware. esperado del sistema.
Falta de mantenimiento
preventivo y correctivo.
ME2.1 Monitoreo del Soporte interno Ausencia de Uso no controlados y no
Marco de Trabajo de Soporte técnico externo documentación autorizados del sistema.
Control Interno Falta de políticas de Falta de definición de
Seguridad Corporativa. perfiles, privilegios y Falta de conciencia de
Mecanismos de restricciones del seguridad.
monitoreo. personal.
Falta de mecanismos de
Falta de estudios de monitoreo.
riesgos del sistema.
4. Realizar el análisis y evaluación de riesgos para cada proceso asignado.
En esta etapa se obtendrá el análisis y evaluación de los resultados que surjan de

la aplicación de los procedimientos de control y las pruebas realizadas con el
propósito de determinar si cumple o no con el objetivo del plan de la auditoria
definidos mediante el proceso de control.
PO2.1, PO2.3, PO2.4: En este proceso se enfocará hacia los errores que pueda
causar al usuario por el reconocimiento de información sobre los activos del sistema
en la empresa.
PO3.2 Plan de Infraestructura Tecnológica: En este proceso se enfocará desde la
normatividad corporativa a verificar la falta de normas o reglas de la empresa de los
cuales pueden llegar a producir un gran riesgo.
AI1.2 Reporte de Análisis de Riesgos: En este proceso se enfocará en la

información y datos del sistema al que puedan estar expuestos el acceso no
autorizado o alteración de la transmisión de datos no cifrados.
DS13.5 Mantenimiento Preventivo del Hardware: En este proceso se enfocará a

diferentes fallas que pueda presentar los componentes del hardware y software,
errores de diseño, pruebas e implementación del mismo dentro del sistema.
ME2.1 Monitoreo del Marco de Trabajo de Control Interno: En este proceso se

enfocará a fallas de seguridad en el acceso y transmisión de las políticas de soporte
interno/ externo y seguridad de la red del sistema.
5. Elaborar la matriz de riesgos de cada proceso evaluado.
De acuerdo a la elaboración e implementación de nuestros instrumentos de

verificación y recolección de información, se formula una matriz como herramienta
de control y gestión para el análisis de posibles riesgos, es mismo se utilizará para
identificar y determinar las actividades a realizar de acuerdo a los procesos,
servicios y productos más importantes o relevantes de la empresa CONTRASUR
Industria y Comercio.
Mediante la siguiente matriz visualizaremos los riesgos desde la etapa inicial,

facilitando la mitigación al maximizar las oportunidades de los riesgos de los cuales
se manejarán los tiempos minimizando el impacto negativo, cuyo objetivo primordial
es identificar y cuantificar los posibles riesgos.
6. Elaborar la matriz de riesgos de cada proceso evaluado
MATRIZ DE RIESGOS - PO2: DEFINIR ARQUITECTURA DE INFORMACIÓN
IMPACTO
PROBABILIDAD FACTORES DE RIESGO
Insignificante (1) Menor (2) Moderado (3) Mayor (4) Catastrófico (5)
Actualmente no existen
políticas ni procedimientos
escritos para la gestión de la
Raro (1) seguridad física de la red. R1, R6
Mal manejo del sistemas y
herramienta
No existen políticas de
procedimientos escritos para
Improbable (2) R2
el mantenimiento.
No existen políticas, ni
procedimiento para
inventarios.
Perdida de datos por error

Posible (3) R3 R7 ,R8
del usuario.
Manipulación de datos de
manera errónea
No existen políticas ni
procedimientos para la
asignación de
responsabilidades.
Probable (4) R4, R9 R5
No disponibilidad de
respaldos
Entradas de virus a la red

Entrada de virus a la red.
Casi Seguro (5)
ANALISIS Y EVALUACION DEL FACTOR DE RIESGO - PO2: DEFINIR ARQUITECTURA DE INFORMACIÓN

N° Descripción Impacto Probabilidad
R1 Actualmente no existen políticas ni procedimientos escritos para 3 1
la gestión de la seguridad física de la red.
R2 No existen políticas de procedimientos escritos para el 3 1
mantenimiento
R3 No existen políticas, ni procedimiento para inventarios. 2 2
R4 No existen políticas ni procedimientos para la asignación de 4 1
responsabilidades.
R5 Entrada de virus a la red. 4 3
R6 Mal manejo del sistemas y herramienta. 3 1
R7 Perdida de datos por error del usuario. 3 3
R8 Manipulación de datos de manera errónea. 4 1
R9 No disponibilidad de respaldos 1 4
Una vez se tiene la matriz de riesgos aplicada a cada uno de los procesos se indica las acciones que pueden realizarse
para el tratamiento de los riesgos de acuerdo a la siguiente tabla donde se indica por cada color, el tratamiento que se
puede aplicar en cada caso.
B Zona de riesgo Baja: Asumir el riesgo
M Zona de riesgo Moderada: Asumir el riesgo, reducir el riesgo
A Zona de riesgo Alta: Reducir el riesgo, evitar, compartir o transferir
E Zona de riesgo Extremo: Reducir el riesgo, evitar, compartir o transferir
7. Elaborar el cuadro de tratamiento de riesgos para cada riesgo detectado.
CUADRO TRATAMIENTO DE RIESGO - PO2: DEFINIR ARQUITECTURA DE INFORMACIÓN

DESCRIPCION ELIMINAR TRANSFERIR ASIMIR MITIGAR/ REDUCIR
Actualmente no existen No es posible No es posible Si se asumirá el riesgo La Implementación espera
políticas ni procedimientos implementando políticas de mitigar el riesgo.
escritos para la gestión de la procedimiento
seguridad física de la red.
No existen políticas de No es posible No es posible Si se asumirá el riesgo La Implementación espera
procedimientos escritos para implementando políticas de mitigar el riesgo.
el mantenimiento procedimiento.
No existen políticas, ni No es posible Es posible subcontratar a Si se asumirá el riesgo La Implementación espera
procedimiento para una persona para implementando políticas de mitigar el riesgo.
inventarios. implementar las políticas del procedimiento.
procedimiento de inventarios
No existen políticas ni No es posible No es posible Si se asumirá el riesgo N o es posible
procedimientos para la creando mecanismos de
asignación de responsabilidades .
responsabilidades.
Entrada de virus a la red. No es posible No es posible No es posible Se reduce el riesgo,
mediante la contratación de
un experto en sistemas, y la
implementación de un
antivirus y FIREWALL.
Mal manejo del sistemas y No es posible No es posible Si se asumirá el riesgo La Implementación espera
herramienta. implementando Brindando mitigar el riesgo.
capacitaciones
correspondiente al manejo
de sistemas ofimáticos
Perdida de datos por error No es posible No es posible Si se asumirá el riesgo, N o es posible
del usuario. recomendando el buen uso
del tratamiento de la
informacion.
Manipulación de datos de No es posible No es posible Si se asumirá el riesgo N o es posible
manera errónea. brindando capacitaciones en
el buen uso de la información
y los sistemas .
No disponibilidad de No es posible No es posible Si se asumirá el riesgo N o es posible
respaldos implementando copias de
seguridad del sistema
(backup).

Auditoria Grupo 90168 47 Fase3 Ok

Загружено:

Сведения о документе

Оригинальное название

Авторское право

Доступные форматы

Поделиться этим документом

Поделиться или встроить документ

Параметры публикации

Этот документ был вам полезен?

Это неприемлемый материал?

Авторское право:

Доступные форматы

Auditoria Grupo 90168 47 Fase3 Ok

Загружено:

Авторское право:

Доступные форматы

AUDITORIA DE SISTEMAS

Fase 3 Ejecución de la Auditoria

SHIRLEY JASBLEIDY CURICO NORIEGA - Código: 41.061.151

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA - UNAD

INSTRUMENTOS DE RECOLECCIÓN DE INFORMACIÓN: En esta fase el equipo

Esta empresa estará constituida por los siguientes departamentos.

ENTIDAD AUDITADA: CONTRASUR Industria y Comercio.

PROCESO AUDITADO: El presente Plan de Auditoria busca evaluar la

PO2.1 Modelo de Arquitectura de Información Empresarial

PROCESO PO2.3 Esquema de Clasificación de Datos

PO2.4 Administración de Integridad

DOMINIO Planear y Organizar (PO)

FUENTES DE REPOSITORIO DE PRUEBAS APLICABLES

RESPONSABLE FRANYER ALBERTO LOPEZ

MATERIAL DE SOPORTE COBIT

FUENTES DE REPOSITORIO DE PRUEBAS APLICABLES

RESPONSABLE NESTOR GABRIEL PAIVA

MATERIAL DE SOPORTE COBIT

FUENTES DE REPOSITORIO DE PRUEBAS APLICABLES

RESPONSABLE JORGE BALMORE PEREZ

MATERIAL DE SOPORTE COBIT

FUENTES DE REPOSITORIO DE PRUEBAS APLICABLES

RESPONSABLE JUAN CAMILO RUBIANO

MATERIAL DE SOPORTE COBIT

PROCESO ME2.1 Monitoreo del Marco de Trabajo de Control Interno

DOMINIO Monitorear y Evaluar (ME)

FUENTES DE REPOSITORIO DE PRUEBAS APLICABLES

ENTIDAD CONTRASUR Industria y Comercio. PAGINA

1. ¿Dispone de un organigrama Empresarial?

2. ¿Con que periodicidad se identifica los riesgos que afectan a la empresa?

Cada mes Cada 6 meses

3. ¿En los últimos 13 meses se ha utilizado algún tipo de auditoria a esta

4. ¿Si la respuesta anterior fue positiva que tipo de auditoria se ha realizado?

5. Cuenta con un sistema operacional y sistémico para las rutas establecidas

DOMINIO Planear y Organizar (PO) PROCESO PO2: Definir arquitectura de

OBJETIVO DE CONTROL PO2.1 Modelo de Arquitectura de Información Empresarial

PO2.1 Modelo de Tiene diseñado el X

ENTIDAD CONTRASUR Industria y Comercio. PAGINA

2. ¿Se realizan controles o revisiones internas de las operaciones

3. ¿Se encuentran las cuentas bancarias registradas y autorizadas por la

4. ¿Está centralizada la responsabilidad de los cobros y depósitos en efectivo

5. Se realizan de manera separada el balance de las cuentas de gastos y las

7. ¿El área cuenta con equipos de cómputo de acuerdo a la necesidad?

LISTA DE CHEQUEO - DEPARTAMENTO DE FINANZAS

DOMINIO Planear y Organizar (PO) PROCESO PO2: Definir arquitectura de

OBJETIVO DE CONTROL PO2.1 Modelo de Arquitectura de Información Empresarial

PROCESO IDENTIFICADOR OBSERVACIONES

PO2.1 Modelo de Cuenta con un software X

ENTIDAD CONTRASUR Industria y Comercio. PAGINA

1. ¿En la empresa se han realizado auditorias administrativas?

2. ¿Cree usted que al realizar auditorías administrativas internas en la

3. ¿La empresa mantiene algún tipo de registros de manera permanente para

4. ¿Existen políticas de manera que permitan realizar un diagnóstico

5. Realiza una planificación estratégica para cada uno de los componentes

6. ¿El área cuenta con equipos de cómputo de acuerdo a la necesidad?

LISTA DE CHEQUEO - DEPARTAMENTO DE ADMINISTRACION/ ESTADISTICO

DOMINIO Planear y Organizar (PO) PROCESO PO2: Definir arquitectura de

OBJETIVO DE CONTROL PO2.1 Modelo de Arquitectura de Información Empresarial

PO2.1 Modelo de Los manuales de X Cuenta con manuales, pero no con

CUESTIONARIO DE PERCEPCION - DEPARTAMENTO JEFE DE PERSONAL,

ENTIDAD CONTRASUR Industria y Comercio. PAGINA

1. ¿Todo el personal conoce los lineamientos, políticas, procesos y

2. ¿Posee lineamientos de control sistemático establecido por la empresa?