DICTAMEN DE LA AUDITORÍA

El dictamen de la auditoría es la medición del nivel de madurez en el

cumplimiento de controles para cada uno de los procesos evaluados de acuerdo
a la norma usada que en nuestro caso es el CobIT. El nivel de madurez se mide
mediante una escala de valores numérica (0,1,2,3,4,5), donde el nivel más bajo
es el 0 y el más alto es el 5, cada uno de los valores tendrá un significado en
cada proceso evaluado.

En general, si el valor es de 0 significa que en el proceso se encontraron muchos

riesgos y que no existen controles en el proceso evaluado. Si es valor es 1
significa que se están aplicando algunos controles esporádicos por algunos
usuarios, pero no se han implementado como procesos. Si el valor es 2 significa
es un proceso que se realiza regularmente, pero que aún no están
documentados, ni se han comunicado. Si el valor es 3 significa que los procesos
son documentados, se comunican al personal encargado de los controles y se
hace la capacitación. Si el valor es 4 significa que los procesos ya están
estandarizados, se documentan, se comunican, se capacita al personal, se
monitorea y se hace las mediciones de los controles aplicados. Y el valor 5
significa que el proceso esta optimizado, es decir, que se están aplicando todas
las normas y controles especificados en la norma.

Para hacer el dictamen, primero se debe ir al documento de CobIT y allí buscar

el proceso evaluado por cada estudiante, al encontrar el proceso se encuentra
la información sobre los objetivos de control y en la parte final se describe el
modelo de madurez para cada proceso. En los pantallazos se muestra el nivel
de madurez para el proceso PO3.
 Como se muestra en este último pantallazo, esta descrito los valores y el
significado de cada uno de los valores en la escala. En la descripción se
especifican las condiciones que deben cumplirse para cada uno de los valores
en la escala.

Para elaborar el dictamen de la auditoría, hay que tener en cuenta los resultados
de las listas de chequeo aplicadas anteriormente para la recolección de
información, donde se hicieron preguntas de SI/NO existen los controles para
cada uno de los objetivos de control en el proceso evaluado. Las respuestas de
NO significa que no existen los controles que debería cumplir la empresa con
respecto a la norma CobIT.

Por lo tanto, teniendo en cuenta los resultados de las listas de chequeo y los
hallazgos encontrados, se compara la escala de madurez en el CobIT con los
resultados de las listas de chequeo y hallazgos, y de allí se elije el valor en la
escala más cercano de acuerdo al cumplimiento de los controles por parte de la
empresa.

Una vez se tiene estos datos hay que ir a la norma CobIT 4.1 donde se define la
escala de medición y a cada uno de los procesos evaluados y se explica el valor
a calificar de acuerdo a los resultados anteriores. En el dictamen se califica y se
explica el porque del valor asignado para cada proceso.

A continuación, se presentan como se hace el dictamen de la auditoria para el

proceso PO4, con el valor en la escala, la explicación, los hallazgos y
recomendaciones de mejoramiento por cada proceso COBIT auditado en la
empresa, en la cita se muestra los valores en la escala:1

PROCESO COBIT: PO4: DEFINIR LOS PROCESOS, ORGANIZACIÓN Y

RELACIONES DEL SISTEMA DE INFORMACIÓN DE LA EMPRESA.

a. Objetivo de la Auditoria: Conceptuar sobre organización y relaciones entre

el personal, los recursos de hardware y software, los documentos soporte, el
centro de cómputo con el fin de establecer el grado de eficiencia de los
procesos que ejecutan en el sistema.

b. Dictamen:

Se califica un nivel de madurez 3 DEFINIDO, por cuanto los procesos,

organización y relaciones del área evaluada están contenidos en un manual
de procesos y los recursos de hardware y software son adecuados. Sin
embargo, este manual no se ha actualizado con respecto a la evolución que
ha tenido el Sistema, lo que hace que no sea posible medirlo y redefinirlo. En
procesos clave de administración del sistema se observa excesiva
dependencia en la capacidad y conocimiento que empleados clave tienen del
sistema.

c. Hallazgos que soportan el Dictamen:

 El manual de procesos y perfiles no se ha actualizado de acuerdo a los

módulos del sistema, acorde con la estructura de cargos de la empresa lo
que dificulta ejecutar planes de contingencia y capacitación cruzada, en caso
de necesidad de reemplazar o rotar personal clave en las operaciones y
administración del sistema.

 Se encontró que la empresa contratista del sistema ejecuta labores de

captura de la información, operación directa sobre tablas de la base de
datos. Igualmente, realiza labores de auditoría y también administra el

1
El nivel de Madurez emitido en el dictamen se clasificará en los siguientes niveles:

0-NO EXISTENTE: No se aplican procesos administrativos en lo absoluto

1-INICIAL: Los procesos son espontáneos y desorganizados. No se ha implementado procesos estándar para el procesamiento de
información.
2-REPETIBLE: Los procesos siguen un patrón regular o estándar; pero no se ha documentado suficientemente. Falta capacitación del
personal encargado. La eficiencia y eficacia depende en gran parte del conocimiento y profesionalismo de los empleados y contratistas.
3-DEFINIDO: Los procesos están estandarizados, se documentan, se comunican y se capacita al personal encargado; pero no se miden o
se hacen mediciones parciales de las metas.
4-ADMINISTRADO: Los procesos están estandarizados, se documentan, se comunican, se capacita al personal, se monitorean y se
miden: Se utiliza métricas de rendimiento, se establecen metas de mejoramiento.
5-OPTIMIZADO: Las buenas prácticas se siguen y se automatizan. Los controles son permanentes y se utiliza software para
implementarlos.
 sistema operativo, la aplicación y la base de datos. Se considera un nivel de
acceso amplio que dificulta establecer controles por parte de la empresa.

 Se encontró que el funcionario encargado del módulo de auditoría, realiza

solamente el control de usuarios con niveles de seguridad inmediatamente
inferiores a él, pero nadie realiza auditoria a las entradas de los súper
usuarios del sistema.

d. Recomendaciones:

 Diseñar Bitácora de procesos y perfiles de acuerdo al manual actualizado de

funciones y procedimientos del Área Comercial.

 Documentar los procesos de consulta, lecturas y facturación realizados por

fuera del software, para que sean integrados al software. Implementar
registro de solicitudes de modificaciones y diseño de soluciones y
actualizaciones.

 Documentar y diferenciar en forma precisa los procesos, políticas

administrativas y procedimientos de la administración de riesgos, la
seguridad de la información, la propiedad de datos y del sistema. Esto es,
separar completamente en diferentes responsables los procesos de captura
de lecturas, correcciones masivas sobre las tablas de la base de datos,
administración de la base de datos, auditoria.

 Asignar funciones de auditoría a uno de los funcionarios que esté en

capacidad de registrar los movimientos realizados por los súper usuarios del
sistema, pudiendo el mismo realizar auditorías y ejerciendo controles
adecuados sobre la seguridad del servidor e producción y sobre la base de
datos.

Como se puede ver en el ejemplo, hay que tomar en cuenta los resultados
de los hallazgos en cada proceso para poder calificar el nivel de madurez
de cada uno de los procesos. El objetivo de la auditoría se refiere a lo que
se va a evaluar al aplicar el proceso, eso se puede tomar de los alcances
de la auditoría. La Calificación del dictamen tiene que ver con si se están
aplicando controles o no y si hubo muchos hallazgos en el proceso, por lo
tanto entre más hallazgos y menos controles existan la calificación será
más baja para el proceso, también se debe buscar en el estándar CobIT
específicamente en cada proceso las escalas del nivel de madurez que
están explicadas para cada proceso, con eso yo puedo argumentar el
porqué de la calificación. Los hallazgos son tomados de las tablas de
hallazgos entregadas anteriormente para cada proceso. Y finalmente las
recomendaciones son los que ustedes mencionaron también en el formato
 de hallazgos, esas recomendaciones son los controles para solucionar los
hallazgos encontrados.

Este proceso debe aplicarse por cada estuante para cada uno de los
procesos seleccionados por ellos, y hasta aquí termina el proceso
individual.

Luego se elabora el informe final de auditoría donde se menciona el

objetivo de la auditoría, los procesos evaluados, los hallazgos en cada
proceso y las recomendaciones. En este informe deben ir todos los
procesos evaluados, por lo tanto debe elaborarse un solo informe final por
cada grupo.

PROCESO COBIT: P09: EVALUAR Y ADMINISTRAR LOS RIESGOS DEL SIC.

a. Objetivo de la Auditoria: Medir los riesgos, su probabilidad e impacto

sobre el aplicativo, personal, recursos, procesos, soportes

b. Dictamen:

Se estableció un nivel de madurez 2 REPETIBLE por cuanto se hacen

análisis y evaluación al Sistema, pero no son permanentes, ni se ha
documentado suficientemente. Además, falta capacitación del personal
encargado. La detección de riesgos y el establecimiento de controles se
hacen, en gran parte, por iniciativa propia de los empleados, y no en un
procedimiento regular de auditoría.

c. Hallazgos que soportan el Dictamen:

 Aunque existe documentación sobre auditorias anteriores y análisis y

evaluación de riesgos sobre el sistema, no se ha destinado personal para
establecer un plan de controles sobre el mismo, lo que impide prevenir
posibles fraudes, inconsistencias o pérdidas de información y económicas.
Los riesgos tampoco se han clasificado por niveles de criticidad, no se han
establecido riesgos residuales.

 No se encontró una política claramente documentada para el manejo de

riesgos que presentan nivel de criticidad medio o moderada en el sistema,
tales como: infección por virus, plan para enfrentar contingencias en el
sistema, plan para detectar y corregir debilidades o huecos en las
operaciones, y errores de digitación de datos por parte de los usuarios,
generación de pistas de administración y auditoria de datos, actividades de
supervisión para detectar el nivel de confianza en los controles
automatizados, difusión y adopción de las políticas de seguridad en el
procesamiento de datos, revisión metodológica del sistema para proponer
mejoras al diseño inadecuado o cuestionable de algunos módulos, corrección
 de las deficiencias u obsolescencias de los mecanismos de control interno
del sistema, determinación de especificaciones técnicas inapropiadas,
detección de deficiencias en el entrenamiento de los funcionarios que
ejecutan los procesos, determinación de estándares de control de calidad de
la información de la base de datos, análisis de cumplimiento de la validación
de las reglas del negocio en el sistema, Cumplimiento normativo y de las
políticas internas en el proceso del área comercial a cargo del sistema.

d. Recomendaciones:

 Implementar el software de administración de riesgos y establecimiento

de controles al sistema en general, como parte de la Función del SGSI.

 Capacitar al personal encargado de auditar el sistema, sobre la

identificación de riesgos, medición e implementación de controles,
enfocada en la seguridad de acceso e integridad de la base de datos.

 Implementar un estándar como metodología para el análisis y la

evaluación de riesgos informáticos, que permita que este proceso se lleve
a cabo de manera adecuada se debe tener en cuenta que los estándares
son apropiados a ciertos tipos de evaluación, algunos de ellos son:
MAGERIT, ISO 27005, OCTAVE que nos brindan los estándares y las
escalas de evaluación.

 Retomar las recomendaciones que han realizado en las auditorias

anteriores para realizar el análisis, evaluación y gestión de los riesgos
encontrados; establecer un sistema de control adecuado al sistema de
información y trabajar en la documentación del proceso.