DICTAMEN DE LA AUDITORA

Para el dictamen de la auditora en cada uno de los procesos, hay que tener en
cuenta los resultados de las listas de chequeo aplicadas en el proceso donde se
verifica el cumplimiento de controles y los hallazgos encontrados donde se
refleja el grado de exposicin a los riesgos. Una vez se tiene estos datos hay
que ir a la norma CobIT 4.1 donde se define la escala de medicin y a cada uno
de los procesos evaluados donde al final de cada proceso luego de los objetivos
de control se explica el valor a calificar de acuerdo a los resultados anteriores

A continuacin se presentan los resultados definitivos de la auditoria y las

recomendaciones de mejoramiento por cada proceso COBIT auditado, una vez
revisadas las observaciones y aclaraciones hechas por la empresa al grupo auditor:1

PROCESO COBIT: PO4: DEFINIR LOS PROCESOS, ORGANIZACIN Y

RELACIONES DEL SISTEMA DE INFORMACIN DE LA EMPRESA.

a. Objetivo de la Auditoria: Conceptuar sobre organizacin y relaciones entre

el personal, los recursos de hardware y software, los documentos soporte, el
centro de cmputo con el fin de establecer el grado de eficiencia de los
procesos que ejecutan en el sistema.

b. Dictamen:

Se califica un nivel de madurez 3 DEFINIDO, por cuanto los procesos,

organizacin y relaciones del rea evaluada estn contenidos en un manual
de procesos y los recursos de hardware y software son adecuados. Sin
embargo, este manual no se ha actualizado con respecto a la evolucin que
ha tenido el Sistema, lo que hace que no sea posible medirlo y redefinirlo. En
procesos clave de administracin del sistema se observa excesiva
dependencia en la capacidad y conocimiento que empleados clave tienen del
sistema.

1
El nivel de Madurez emitido en el dictamen se clasificar en los siguientes niveles:

0-NO EXISTENTE: No se aplican procesos administrativos en lo absoluto

1-INICIAL: Los procesos son espontneos y desorganizados. No se ha implementado procesos estndar para el procesamiento de
informacin.
2-REPETIBLE: Los procesos siguen un patrn regular o estndar; pero no se ha documentado suficientemente. Falta capacitacin del
personal encargado. La eficiencia y eficacia depende en gran parte del conocimiento y profesionalismo de los empleados y contratistas.
3-DEFINIDO: Los procesos estn estandarizados, se documentan, se comunican y se capacita al personal encargado; pero no se miden o
se hacen mediciones parciales de las metas.
4-ADMINISTRADO: Los procesos estn estandarizados, se documentan, se comunican, se capacita al personal, se monitorean y se
miden: Se utiliza mtricas de rendimiento, se establecen metas de mejoramiento.
5-OPTIMIZADO: Las buenas prcticas se siguen y se automatizan. Los controles son permanentes y se utiliza software para
implementarlos.
c. Hallazgos que soportan el Dictamen:

El manual de procesos y perfiles no se ha actualizado de acuerdo a los

mdulos del sistema, acorde con la estructura de cargos de la empresa lo
que dificulta ejecutar planes de contingencia y capacitacin cruzada, en caso
de necesidad de reemplazar o rotar personal clave en las operaciones y
administracin del sistema.

Se encontr que la empresa contratista del sistema ejecuta labores de

captura de la informacin, operacin directa sobre tablas de la base de
datos. Igualmente, realiza labores de auditora y tambin administra el
sistema operativo, la aplicacin y la base de datos. Se considera un nivel de
acceso amplio que dificulta establecer controles por parte de la empresa.

Se encontr que el funcionario encargado del mdulo de auditora, realiza

solamente el control de usuarios con niveles de seguridad inmediatamente
inferiores a l, pero nadie realiza auditoria a las entradas de los sper
usuarios del sistema.

d. Recomendaciones:

Disear Bitcora de procesos y perfiles de acuerdo al manual actualizado de

funciones y procedimientos del rea Comercial.

Documentar los procesos de consulta, lecturas y facturacin realizados por

fuera del software, para que sean integrados al software. Implementar
registro de solicitudes de modificaciones y diseo de soluciones y
actualizaciones.

Documentar y diferenciar en forma precisa los procesos, polticas

administrativas y procedimientos de la administracin de riesgos, la
seguridad de la informacin, la propiedad de datos y del sistema. Esto es,
separar completamente en diferentes responsables los procesos de captura
de lecturas, correcciones masivas sobre las tablas de la base de datos,
administracin de la base de datos, auditoria.

Asignar funciones de auditora a uno de los funcionarios que est en

capacidad de registrar los movimientos realizados por los sper usuarios del
sistema, pudiendo el mismo realizar auditoras y ejerciendo controles
adecuados sobre la seguridad del servidor e produccin y sobre la base de
datos.

Como se puede ver en el ejemplo, hay que tomar en cuenta los resultados
de los hallazgos en cada proceso para poder calificar el nivel de madurez
de cada uno de los procesos. El objetivo de la auditora se refiere a lo que
 se va a evaluar al aplicar el proceso, eso se puede tomar de los alcances
de la auditora. La Calificacin del dictamen tiene que ver con si se estn
aplicando controles o no y si hubo muchos hallazgos en el proceso, por lo
tanto entre ms hallazgos y menos controles existan la calificacin ser
ms baja para el proceso, tambin se debe buscar en el estndar CobIT
especficamente en cada proceso las escalas del nivel de madurez que
estn explicadas para cada proceso, con eso yo puedo argumentar el
porqu de la calificacin. Los hallazgos son tomados de las tablas de
hallazgos entregadas anteriormente para cada proceso. Y finalmente las
recomendaciones son los que ustedes mencionaron tambin en el formato
de hallazgos, esas recomendaciones son los controles para solucionar los
hallazgos encontrados.

Este proceso debe aplicarse por cada estuante para cada uno de los
procesos seleccionados por ellos, y hasta aqu termina el proceso
individual.

Luego se elabora el informe final de auditora donde se menciona el

objetivo de la auditora, los procesos evaluados, los hallazgos en cada
proceso y las recomendaciones. En este informe deben ir todos los
procesos evaluados, por lo tanto debe elaborarse un solo informe final por
cada grupo.

PROCESO COBIT: P09: EVALUAR Y ADMINISTRAR LOS RIESGOS DEL SIC.

a. Objetivo de la Auditoria: Medir los riesgos, su probabilidad e impacto

sobre el aplicativo, personal, recursos, procesos, soportes

b. Dictamen:

Se estableci un nivel de madurez 2 REPETIBLE por cuanto se hacen

anlisis y evaluacin al Sistema, pero no son permanentes, ni se ha
documentado suficientemente. Adems, falta capacitacin del personal
encargado. La deteccin de riesgos y el establecimiento de controles se
hacen, en gran parte, por iniciativa propia de los empleados, y no en un
procedimiento regular de auditora.

c. Hallazgos que soportan el Dictamen:

Aunque existe documentacin sobre auditorias anteriores y anlisis y

evaluacin de riesgos sobre el sistema, no se ha destinado personal para
establecer un plan de controles sobre el mismo, lo que impide prevenir
posibles fraudes, inconsistencias o prdidas de informacin y econmicas.
Los riesgos tampoco se han clasificado por niveles de criticidad, no se han
establecido riesgos residuales.
 No se encontr una poltica claramente documentada para el manejo de
riesgos que presentan nivel de criticidad medio o moderada en el sistema,
tales como: infeccin por virus, plan para enfrentar contingencias en el
sistema, plan para detectar y corregir debilidades o huecos en las
operaciones, y errores de digitacin de datos por parte de los usuarios,
generacin de pistas de administracin y auditoria de datos, actividades de
supervisin para detectar el nivel de confianza en los controles
automatizados, difusin y adopcin de las polticas de seguridad en el
procesamiento de datos, revisin metodolgica del sistema para proponer
mejoras al diseo inadecuado o cuestionable de algunos mdulos, correccin
de las deficiencias u obsolescencias de los mecanismos de control interno
del sistema, determinacin de especificaciones tcnicas inapropiadas,
deteccin de deficiencias en el entrenamiento de los funcionarios que
ejecutan los procesos, determinacin de estndares de control de calidad de
la informacin de la base de datos, anlisis de cumplimiento de la validacin
de las reglas del negocio en el sistema, Cumplimiento normativo y de las
polticas internas en el proceso del rea comercial a cargo del sistema.

d. Recomendaciones:

Implementar el software de administracin de riesgos y establecimiento

de controles al sistema en general, como parte de la Funcin del SGSI.

Capacitar al personal encargado de auditar el sistema, sobre la

identificacin de riesgos, medicin e implementacin de controles,
enfocada en la seguridad de acceso e integridad de la base de datos.

Implementar un estndar como metodologa para el anlisis y la

evaluacin de riesgos informticos, que permita que este proceso se lleve
a cabo de manera adecuada se debe tener en cuenta que los estndares
son apropiados a ciertos tipos de evaluacin, algunos de ellos son:
MAGERIT, ISO 27005, OCTAVE que nos brindan los estndares y las
escalas de evaluacin.

Retomar las recomendaciones que han realizado en las auditorias

anteriores para realizar el anlisis, evaluacin y gestin de los riesgos
encontrados; establecer un sistema de control adecuado al sistema de
informacin y trabajar en la documentacin del proceso.