DICTAMEN DE LA AUDITORA

Para el dictamen de la auditora en cada uno de los procesos, hay que tener en
cuenta los resultados de las listas de chequeo aplicadas en el proceso donde
se verifica el cumplimiento de controles y los hallazgos encontrados donde se
refleja el grado de exposicin a los riesgos. Una vez se tiene estos datos hay
que ir a la norma CobIT 4.1 donde se define la escala de medicin y a cada
uno de los procesos evaluados donde al final de cada proceso luego de los
objetivos de control se explica el valor a calificar de acuerdo a los resultados
anteriores

A continuacin se presentan los resultados definitivos de la auditoria y las

recomendaciones de mejoramiento por cada proceso COBIT auditado, una vez
revisadas las observaciones y aclaraciones hechas por la empresa al grupo
auditor:1

PROCESO COBIT: PO4: DEFINIR LOS PROCESOS, ORGANIZACIN Y

RELACIONES DEL SISTEMA DE INFORMACIN DE LA EMPRESA.

a. Objetivo de la Auditoria: Conceptuar sobre organizacin y relaciones

entre el personal, los recursos de hardware y software, los documentos
soporte, el centro de cmputo con el fin de establecer el grado de eficiencia
de los procesos que ejecutan en el sistema.

b. Dictamen:

Se califica un nivel de madurez 3 DEFINIDO, por cuanto los procesos,

organizacin y relaciones del rea evaluada estn contenidos en un manual
de procesos y los recursos de hardware y software son adecuados. Sin
embargo, este manual no se ha actualizado con respecto a la evolucin que
ha tenido el Sistema, lo que hace que no sea posible medirlo y redefinirlo.
En procesos clave de administracin del sistema se observa excesiva

1 El nivel de Madurez emitido en el dictamen se clasificar en los siguientes niveles:

0-NO EXISTENTE: No se aplican procesos administrativos en lo absoluto
1-INICIAL: Los procesos son espontneos y desorganizados. No se ha implementado procesos estndar para
el procesamiento de informacin.
2-REPETIBLE: Los procesos siguen un patrn regular o estndar; pero no se ha documentado
suficientemente. Falta capacitacin del personal encargado. La eficiencia y eficacia depende en gran parte
del conocimiento y profesionalismo de los empleados y contratistas.
3-DEFINIDO: Los procesos estn estandarizados, se documentan, se comunican y se capacita al personal
encargado; pero no se miden o se hacen mediciones parciales de las metas.
4-ADMINISTRADO: Los procesos estn estandarizados, se documentan, se comunican, se capacita al
personal, se monitorean y se miden: Se utiliza mtricas de rendimiento, se establecen metas de
mejoramiento.
5-OPTIMIZADO: Las buenas prcticas se siguen y se automatizan. Los controles son permanentes y se utiliza
software para implementarlos.
 dependencia en la capacidad y conocimiento que empleados clave tienen
del sistema.

c. Hallazgos que soportan el Dictamen:

El manual de procesos y perfiles no se ha actualizado de acuerdo a los

mdulos del sistema, acorde con la estructura de cargos de la empresa lo
que dificulta ejecutar planes de contingencia y capacitacin cruzada, en
caso de necesidad de reemplazar o rotar personal clave en las
operaciones y administracin del sistema.

Se encontr que la empresa contratista del sistema ejecuta labores de

captura de la informacin, operacin directa sobre tablas de la base de
datos. Igualmente, realiza labores de auditora y tambin administra el
sistema operativo, la aplicacin y la base de datos. Se considera un nivel de
acceso amplio que dificulta establecer controles por parte de la empresa.

Se encontr que el funcionario encargado del mdulo de auditora, realiza

solamente el control de usuarios con niveles de seguridad inmediatamente
inferiores a l, pero nadie realiza auditoria a las entradas de los sper
usuarios del sistema.

d. Recomendaciones:

Disear Bitcora de procesos y perfiles de acuerdo al manual actualizado

de funciones y procedimientos del rea Comercial.

Documentar los procesos de consulta, lecturas y facturacin realizados por

fuera del software, para que sean integrados al software. Implementar
registro de solicitudes de modificaciones y diseo de soluciones y
actualizaciones.

Documentar y diferenciar en forma precisa los procesos, polticas

administrativas y procedimientos de la administracin de riesgos, la
seguridad de la informacin, la propiedad de datos y del sistema. Esto es,
separar completamente en diferentes responsables los procesos de captura
de lecturas, correcciones masivas sobre las tablas de la base de datos,
administracin de la base de datos, auditoria.

Asignar funciones de auditora a uno de los funcionarios que est en

capacidad de registrar los movimientos realizados por los sper usuarios
del sistema, pudiendo el mismo realizar auditoras y ejerciendo controles
adecuados sobre la seguridad del servidor e produccin y sobre la base de
datos.
PROCESO COBIT: P09: EVALUAR Y ADMINISTRAR LOS RIESGOS DEL SIC.

a. Objetivo de la Auditoria: Medir los riesgos, su probabilidad e impacto

sobre el aplicativo, personal, recursos, procesos, soportes

b. Dictamen:

Se estableci un nivel de madurez 2 REPETIBLE por cuanto se hacen

anlisis y evaluacin al Sistema, pero no son permanentes, ni se ha
documentado suficientemente. Adems, falta capacitacin del personal
encargado. La deteccin de riesgos y el establecimiento de controles se
hacen, en gran parte, por iniciativa propia de los empleados, y no en un
procedimiento regular de auditora.

c. Hallazgos que soportan el Dictamen:

Aunque existe documentacin sobre auditorias anteriores y anlisis y

evaluacin de riesgos sobre el sistema, no se ha destinado personal para
establecer un plan de controles sobre el mismo, lo que impide prevenir
posibles fraudes, inconsistencias o prdidas de informacin y econmicas.
Los riesgos tampoco se han clasificado por niveles de criticidad, no se han
establecido riesgos residuales.

No se encontr una poltica claramente documentada para el manejo de

riesgos que presentan nivel de criticidad medio o moderada en el sistema,
tales como: infeccin por virus, plan para enfrentar contingencias en el
sistema, plan para detectar y corregir debilidades o huecos en las
operaciones, y errores de digitacin de datos por parte de los usuarios,
generacin de pistas de administracin y auditoria de datos, actividades de
supervisin para detectar el nivel de confianza en los controles
automatizados, difusin y adopcin de las polticas de seguridad en el
procesamiento de datos, revisin metodolgica del sistema para proponer
mejoras al diseo inadecuado o cuestionable de algunos mdulos,
correccin de las deficiencias u obsolescencias de los mecanismos de
control interno del sistema, determinacin de especificaciones tcnicas
inapropiadas, deteccin de deficiencias en el entrenamiento de los
funcionarios que ejecutan los procesos, determinacin de estndares de
control de calidad de la informacin de la base de datos, anlisis de
cumplimiento de la validacin de las reglas del negocio en el sistema,
Cumplimiento normativo y de las polticas internas en el proceso del rea
comercial a cargo del sistema.

d. Recomendaciones:
 Implementar el software de administracin de riesgos y establecimiento
de controles al sistema en general, como parte de la Funcin del SGSI.

Capacitar al personal encargado de auditar el sistema, sobre la

identificacin de riesgos, medicin e implementacin de controles,
enfocada en la seguridad de acceso e integridad de la base de datos.

Implementar un estndar como metodologa para el anlisis y la

evaluacin de riesgos informticos, que permita que este proceso se
lleve a cabo de manera adecuada se debe tener en cuenta que los
estndares son apropiados a ciertos tipos de evaluacin, algunos de
ellos son: MAGERIT, ISO 27005, OCTAVE que nos brindan los
estndares y las escalas de evaluacin.

Retomar las recomendaciones que han realizado en las auditorias

anteriores para realizar el anlisis, evaluacin y gestin de los riesgos
encontrados; establecer un sistema de control adecuado al sistema de
informacin y trabajar en la documentacin del proceso.