UNIVERSIDAD CENTRAR DEL ECUADOR

FACULTAD DE CIENCIAS ADMINISTRATIVAS

ESCUELA DE CONTABILIDAD Y AUDITORIA
AUDITORIA INFORMÁTICA I

Nombre: Salazar Arevalo Fabricio Alejandro

Curso: CA9-04
Fecha: 21 - 05 - 2018
TEMA: INFORME DE ENCUESTAS REALIZADAS ISO 1779, COSO 2 y COBIT 5

ISO 1779

POLÍTICA DE SEGURIDAD.

De la encuesta realizada a 20 personas se puede observar que el 50% de las personas encuestadas afirma que
dentro de la empresa existen políticas de seguridad que dirijan y den soporte a la gestión de la seguridad
informática y el otro 50% no afirma que exista.

De la encuesta realizada a 20 personas se puede observar que el 65% de las personas encuestadas afirma que
dentro de la empresa existen políticas que aseguren procedimientos para la detección y protección de contra
códigos maliciosos que pueden ser transmitidos a través del uso de comunicaciones electrónicas y el otro 35%
no afirma que exista.

ASPECTOS ORGANIZATIVOS PARA LA SEGURIDAD.

De la
encuesta realizada a 20 personas se puede observar que el 75% de las personas encuestadas afirma que La
organización para la seguridad informática, es un asunto de importancia para toda la empresa y el otro 25%
no afirma que exista.

De la encuesta realizada a 20 personas se puede observar que el 20% de las personas encuestadas Califique a
la organización de la seguridad informática en su empresa como mala, el 30% como regular, el 45% como
buena y el otro 5% excelente.
CLASIFICACIÓN Y CONTROL DE ACTIVOS.

De la encuesta realizada a 20 personas se puede observar que el 70% de las personas encuestadas afirma que
La entidad define una clasificación de los activos relacionados con los sistemas de información, manteniendo
un inventario actualizado y el otro 30% no afirma que exista.

De la encuesta realizada a 20 personas se puede observar que el 60% de las personas encuestadas afirma que
La entidad mantiene un inventario actualizado con datos registrados de los activos de la entidad y el otro 40%
no afirma que exista.
SEGURIDAD LIGADA AL PERSONAL.

De la encuesta realizada a 20 personas se puede observar que el 100% de las personas encuestadas afirma
que es consciente de las amenazas y riesgos en el ámbito de la seguridad de la información dentro de su
organización.

De la encuesta realizada a 20 personas se puede observar que el 65% de las personas encuestadas afirma que
Dentro de la organización existe control para minimizar los daños provocados por incidencias de seguridad y
por el mal funcionamiento y el otro 35% no afirma que exista.
SEGURIDAD FÍSICA Y DEL ENTORNO.

De la encuesta realizada a 20 personas se puede observar que el 65% de las personas encuestadas afirma que
La entidad cuenta con un área de recepción con un(a) recepcionista u otros medios para controlar el acceso
físico al local o edificio y el otro 35% no afirma que exista.

De la encuesta realizada a 20 personas se puede observar que el 80% de las personas encuestadas afirma que
El acceso a áreas donde se procesa y almacena información sensible de la organización está debidamente
controlada y restringida sólo para personas autorizadas y el otro 20% no afirma que exista.
GESTIÓN DE COMUNICACIONES Y OPERACIONES

De la encuesta realizada a 20 personas se puede observar que el 80% de las personas encuestadas afirma que
El acceso a áreas donde se procesa y almacena información sensible de la organización está debidamente
controlada y restringida sólo para personas autorizadas y el otro 20% no afirma que exista.

De la encuesta realizada a 20 personas se puede observar que el 65% de las personas encuestadas afirma que
Los procedimientos de operación se documentan, mantienen y está a disposición de todos los usuarios que
los necesiten y el otro 35% no afirma que exista.

De la encuesta realizada a 20 personas se puede observar que el 75% de las personas encuestadas afirma que
La organización tiene procedimientos de reinicio y recuperación del sistema para su uso en el caso de una falla
en el sistema y el otro 25% no afirma que exista.
CONTROL DE ACCESOS

De la encuesta realizada a 20 personas se puede observar que el 50% de las personas encuestadas afirma que
La gerencia revisa los accesos de los empleados a intervalos regulares utilizando un proceso formal.

De la encuesta realizada a 20 personas se puede observar que el 85% de las personas encuestadas afirma que
debiera requerir a los usuarios que sigan buenas prácticas de seguridad en la selección y uso de claves secretas
y el otro 15% no afirma que exista.
DESARROLLO Y MANTENIMIENTO DE SISTEMAS

De la encuesta realizada a 20 personas se puede observar que el 60% de las personas encuestadas afirma que
Los sistemas de información que posee la empresa incluye sistemas de operación, infraestructura, aplicaciones
comerciales, productos de venta masiva, servicios y aplicaciones desarrollada y el otro 40% no afirma que
exista.

De la encuesta realizada a 20 personas se puede observar que el 75% de las personas encuestadas afirma que
identifica los requerimientos de seguridad antes del desarrollo y/o implementación de los sistemas de
información y el otro 25% no afirma que exista.
GESTIÓN DE CONTINUIDAD DEL NEGOCIO.

De la encuesta realizada a 20 personas se puede observar que el 65% de las personas encuestadas afirma que
Conoce cuales son los eventos y el impacto que pueden ocasionar interrupciones en las operaciones de su
empresa y el otro 35% no afirma que exista.

De la encuesta realizada a 20 personas se puede observar que el 50% de las personas encuestadas afirma que
Los planes de continuidad del negocio en su empresa son probados por todos los miembros del equipo de
trabajo y el otro 50% no afirma que exista.
CONFORMIDAD CON LA LEGISLACIÓN

De la encuesta realizada a 20 personas se puede observar que el 60% de las personas encuestadas afirma que
Existen procedimientos apropiados para asegurar el cumplimiento de los requerimientos legislativos,
reguladores y contractuales sobre el uso del material con respecto a los cuales puedan existir derechos de
propiedad intelectual y sobre el uso de productos de software patentado y el otro 40% no afirma que exista.

De la encuesta realizada a 20 personas se puede observar que el 75% de las personas encuestadas afirma que
protegen los registros importantes de pérdida, destrucción, falsificación; en concordancia con los
requerimientos estatutarios, reguladores, contractuales y comerciales y el otro 25% no afirma que exista.

COSO II
AMBIENTE DE CONTROL

De la encuesta realizada a 20 personas se puede observar que el 65% de las personas encuestadas afirma que
El personal conoce el objetivo general, las atribuciones y los principales procesos y proyectos a cargo de la
unidad administrativa y el otro 35% no afirma que exista.

De la encuesta realizada a 20 personas se puede observar que el 70% de las personas encuestadas afirma que
El manual de organización de la unidad administrativa está actualizado y corresponde con la estructura
organizacional autorizada y el otro 30% no afirma que exista.
ESTABLECIMIENTO DE OBJETIVOS

De la encuesta realizada a 20 personas se puede observar que el 85% de las personas encuestadas afirma que
Los objetivos y metas de los principales procesos y proyectos a cargo de la unidad administrativa son
difundidos entre su personal encargado y el otro 15% no afirma que exista.

De la encuesta realizada a 20 personas se puede observar que el 65% de las personas encuestadas afirma que
La empresa cuenta con una capacitación constante del personal, en donde los impulsa para cumplir los
objetivos de la organización y el otro 35% no afirma que exista.
IDENTIFICACIÓN DE EVENTOS

De la encuesta realizada a 20 personas se puede observar que el 80% de las personas encuestadas afirma que
La empresa cuenta con una capacitación constante del personal, en donde los impulsa para cumplir los
objetivos de la organización y el otro 20% no afirma que exista.

De la encuesta realizada a 20 personas se puede observar que el 75% de las personas encuestadas afirma que
La empresa cuenta con estrategias para enfrentar eventos externos o internos que pudieran afectar a la
empresa y por ende al logro de sus objetivos y el otro 25% no afirma que exista.
EVALUACIÓN DE RIESGOS

De la encuesta realizada a 20 personas se puede observar que el 65% de las personas encuestadas afirma que
La dirección evalúa los riegos que se presentan en la empresa y el otro 35% no afirma que exista.

De la encuesta realizada a 20 personas se puede observar que el 75% de las personas encuestadas afirma que
Los riesgos han sido evaluados desde su impacto económico y de la probabilidad de ocurrencia de estos y el
otro 25% no afirma que exista.
RESPUESTA AL RIESGO

De la encuesta realizada a 20 personas se puede observar que el 65% de las personas encuestadas afirma que
La empresa una vez que identifico la razón de un problema, toma acciones de discontinuar las actividades que
generan el riesgo y el otro 35% no afirma que exista.

De la encuesta realizada a 20 personas se puede observar que el 65% de las personas encuestadas afirma que
La empresa evalúa cada una de las posibles respuestas al riesgo, a fin de seleccionar la más adecuada y el otro
35% no afirma que exista.
ACTIVIDADES DE CONTROL

De la encuesta realizada a 20 personas se puede observar que el 80% de las personas encuestadas afirma que
La empresa cuenta con políticas y procedimientos para asegurar que se lleven a cabo las instrucciones de la
dirección correctamente y el otro 20% no afirma que exista.

De la encuesta realizada a 20 personas se puede observar que el 85% de las personas encuestadas afirma que
Las actividades de control permiten controlar los riesgos relacionados con la consecución de los objetivos de
la empresa y el otro 15% no afirma que exista.
INFORMACIÓN Y COMUNICACIÓN

De la encuesta realizada a 20 personas se puede observar que el 75% de las personas encuestadas afirma que
Existe asignación de responsabilidades respecto de la custodia de las copias de seguridad de los programas y
archivos informáticos y el otro 25% no afirma que exista.

De la encuesta realizada a 20 personas se puede observar que el 50% de las personas encuestadas afirma que
Existe apoyo de la Dirección hacia la implantación de nuevos y más aptos sistemas de información y el otro
50% no afirma que exista.
MONITOREO

De la encuesta realizada a 20 personas se puede observar que el 50% de las personas encuestadas afirma que
Se realiza un seguimiento de las acciones efectuadas para comprobar la implantación de las recomendaciones
y el otro 50% no afirma que exista.

De la encuesta realizada a 20 personas se puede observar que el 65% de las personas encuestadas afirma que
Se aplican controles por oposición que permita comprobar la ejecución de funciones de control e identificar
las deficiencias existentes y el otro 35% no afirma que exista.
COBIT 5

SATISFACER LAS NECESIDADES DE LAS PARTES INTERESADAS

De la encuesta realizada a 20 personas se puede observar que el 65% de las personas encuestadas afirma que
Las alternativas para la adquisición de los productos de software están claramente definido y que se puedan
adquirir en el mercado y el otro 35% no afirma que exista.

De la encuesta realizada a 20 personas se puede observar que el 60% de las personas encuestadas afirma que
Se planean el impacto logístico y ambiental de las adquisiciones tecnológicas y el otro 40% no afirma que
exista.
SATISFACER LAS NECESIDADES DE LAS PARTES INTERESADAS

De la encuesta realizada a 20 personas se puede observar que el 80% de las personas encuestadas afirma que
En la empresa que usted trabaja, la Dirección considera a todas las partes que toman decisiones con respecto
a la evaluación de los riesgos, los beneficios y el manejo de recursos y el otro 20% no afirma que exista.

De la encuesta realizada a 20 personas se puede observar que el 40% de las personas encuestadas afirma que
Se realizan estudios estadísticos que permitan tomar decisiones, en cuanto al manejo de las partes interesadas
(clientes) y el otro 60% no afirma que exista.
CUBRIR LA ORGANIZACIÓN DE FORMA INTEGRAL

De la encuesta realizada a 20 personas se puede observar que el 65% de las personas encuestadas afirma que
Considera que los procesos de la empresa en que labora están integrados y el otro 35% no afirma que exista.

De la encuesta realizada a 20 personas se puede observar que el 70% de las personas encuestadas afirma que
En la empresa la tecnología de la información es manejada por toda la organización y el otro 30% no afirma
que exista.
CUBRIR LA ORGANIZACIÓN DE FORMA INTEGRAL

De la encuesta realizada a 20 personas se puede observar que el 55% de las personas encuestadas afirma que
La empresa contempla todos los procesos y funciones para llevar a cabo la información corporativa y el otro
45% no afirma que exista.

De la encuesta realizada a 20 personas se puede observar que el 70% de las personas encuestadas afirma que
La empresa posee una base sólida y exhaustiva de buenas prácticas y el otro 30% no afirma que exista.
APLICAR UN SOLO MARCO INTEGRADO

De la encuesta realizada a 20 personas se puede observar que el 70% de las personas encuestadas afirma que
La empresa utiliza estándares y marcos empresariales y relacionados con TI y el otro 30% no afirma que exista.

De la encuesta realizada a 20 personas se puede observar que el 60% de las personas encuestadas afirma que
El Gobierno de la Tecnología de la Información alinea las Tecnologías de la información y la comunicación (TI)
con la estrategia del negocio y el otro 40% no afirma que exista.
HABILITAR UN ENFOQUE HOLISTICO

De la encuesta realizada a 20 personas se puede observar que el 85% de las personas encuestadas afirma que
Se toma en cuenta la cultura, ética y comportamiento en las actividades como factor de éxito en la
administración y el otro 15% no afirma que exista.

De la encuesta realizada a 20 personas se puede observar que el 65% de las personas encuestadas afirma que
La empresa cuenta con el uso de la tecnología y aplicaciones que mejoran el procesamiento de la información
y el otro 35% no afirma que exista.
SEPARAR EL GOBIERNO DE LA ADMINISTRACIÓN

De la encuesta realizada a 20 personas se puede observar que el 60% de las personas encuestadas afirma que
Considera usted que dentro de la organización la administración planifica, construye, ejecuta y monitorea las
actividades conforme a las directivas fijadas por el ente de Gobierno para lograr los objetivos y el otro 40% no
afirma que exista.

De la encuesta realizada a 20 personas se puede observar que el 75% de las personas encuestadas afirma que
Dentro de la organización existen procesos de gobierno y administración de tal manera que las áreas claves
queden cubiertas para satisfacer las necesidades de la organización y el otro 25% no afirma que exista.
Conclusiones y recomendaciones

 Las normas (ISO 1779, COSO 2 y COBIT 5) son muy importantes en el área laboral y en la parte de la
auditoria ya que esta nos va a ayudar a recolectar, transformar datos en información así poder dar un
dictamen de auditoria más exacto.

 Saber distinguir el tipo de procesos que tenemos en una empresa nos ayudara para poder realizar con
mayor facilidad una auditoria ya que podremos conocer como la empresa está realizando sus
operaciones, distinguir con los riesgos en cada uno de los procesos que tiene la empresa, por esta
razón es muy importante conocer y saber distinguir los tipos de procesos que existen en las
organizaciones.

 Podemos recomendar que las normas (ISO 1779, COSO 2 y COBIT 5) son muy útiles en la parte laboral
ya que nos ayudara a disminuir los costos en los que incurren las empresas tomando en cuenta que la
tecnología avanza día a día.

 Para el auditor es muy importante el conocimiento de las normas (ISO 1779, COSO 2 y COBIT 5) dentro
de la empresa para poder levantar información, por esta razón recomendamos conocer los tipos de
procesos que existe dentro de la entidad.