Bogotá, 25 Febrero 2018

Señores.
Expertos en Auditorías
Bogotá

Con el fin de solicitar su portafolio ya que nos encontramos interesados en realizar

una Auditoría en Sistemas a nuestra empresa Filtros Master S.A identificada con
Nit. 830.258.698-9, con el objetivo de detectar el por qué de las fallas que se
mencionaran a continuación, solucionar y mejorar todas nuestras herramientas
tecnológicas.

➢ Principales Fallas del Hardware y del Software:

Las principales fallas de hardware son las siguientes:

Fallas de memoria
Calentamiento del Procesador
Falla del disco duro

➢ Las principales fallas de software son las siguientes:

Fallas del Sistema Operativo

Presencia de virus
Conflicto entre programas

Nota: La idea de este proceso de auditoría es atacar los problemas que

planteamos anteriormente y poder detectar otras fallas tanto tecnológico como de
procedimiento al interior de la empresa.

Agradezco una pronta respuesta

Cordialmente

Daniela Palacios
Gerente General
PORTAFOLIO DE SERVICIOS
EXPERTOS EN AUDITORÍAS
Quienes somos

▪ Somos una firma de consultores y asesores

empresariales que contribuye en el desarrollo de
numerosas Compañías nacionales y extranjeras,
en diversos sectores de la economía, con el
propósito de prestar sus servicios en el campo
tecnológico, contable, administrativo y otros.
Contamos con personal altamente capacitado y
para brindar soluciones y mejoras a su
compañia. Trabajamos de forma comprometida,
ética, eficaz e innovadora.
PRINCIPALES CLIENTES
ATENDIDOS.
▪ Diageo
▪ Oil filter`s
▪ Libreria Nacional
▪ Avianca
▪ Gobernaciòn de Cundinamarca
▪ Servientrega
PORTAFOLIO DE SERVICIOS.

▪ Auditorías de seguridad en la red

corporativa
▪ Auditoría de bases de datos
▪ Auditoría de desarrollo
▪ Auditorías Contables
▪ Auditoría externa e integral
OBJETIVOS

▪ Mitigar los riesgos asociados con el manejo

inadecuado de los datos.
▪ Apoyar el cumplimiento regulatorio.
▪ Satisfacer los requerimientos de los auditores.
▪ Evitar acciones criminales.
▪ Evitar multas por incumplimiento.
▪ Comprobar que se produjeron sistemas eficientes y
efectivos.
▪ Examinar y evaluar el sistema de control de calidad
aplicado al desarrollo de sistemas.
▪ Establecer si los objetivos están actualizados y
debidamente documentados.
PROFESIONALES QUE INTEGRAN
EL GRUPO DE TRABAJO
▪ JOHN FREDY USMA GARCIA

Socio y representante legal de “Expertos en Auditoría”

Contador Público, Universidad Minuto de Dios. Asesor
Contable y Financiero especialista en Contabilidades
Especiales y auditorías de Sistemas.

▪ LUISA MARIA OSPINA

Asociado externo en calidad de Consultor en asuntos de

informática. Ingeniero de Sistemas de la Universidad
Javeriana, especialista en Telemática y evaluación integral
de gestión informática.
ORGANIGRAMA DE LA EMPRESA

Fredy Usma
(Representante
Legal)

Luisa Ospina
(Ingeniera de
Sistemas)

Angelica Gonzalez
Luz Diaz Miguel Garzon
(Trabbajo de
(Recepcionista) (Mensajero)
Campo)
Etapas principales de la
Auditoría
▪ Exploración: estudio o examen previo al
inicio de la Auditoría con el propósito de
conocer en detalle las características de la
entidad a auditar para tener los elementos
necesarios que permitan un adecuado
planeamiento del trabajo a realizar y dirigirlo
hacia las cuestiones que resulten de mayor
interés de acuerdo con los objetivos
previstos.
Planeamiento
Partiendo de los objetivos y alcance previstos para la Auditoría y considerando
toda la información obtenida y conocimientos adquiridos sobre la entidad
en la etapa de exploración, el jefe de grupo procede a planear las tareas a
desarrollar y comprobaciones necesarias para alcanzar los objetivos de la
Auditoría

▪ Definición de los temas y las tareas a ejecutar.

▪ Nombre del o los especialistas que intervendrán en cada una de ellas.
▪ Fecha prevista de inicio y terminación de cada tarea. Se considera desde la
exploración hasta la conclusión del trabajo.

Igualmente se confecciona el plan de trabajo individual de cada especialista,

considerando como mínimo:

▪ Nombre del especialista.

▪ Definición de los temas y cada una de las tareas a ejecutar.
▪ Fecha de inicio y terminación de cada tarea.
Supervisión

▪ El propósito esencial de la supervisión es

asegurar el cumplimiento de los objetivos de
la auditoría y la calidad razonable del trabajo.
Una supervisión y un control adecuado de la
auditoría son necesarios en todos los casos y
en todas las etapas del trabajo, desde la
exploración hasta la emisión del informe y su
análisis con los factores de la entidad
auditada.
Ejecución

▪ El propósito fundamental de esta etapa es

recopilar las pruebas que sustenten las opiniones
del auditor en cuanto al trabajo realizado, es la
fase, por decir de alguna manera, del trabajo de
campo, esta depende del grado de profundidad
con que se hayan realizado las dos etapas
anteriores, en esta se elaboran los Papeles de
trabajo y las hojas de nota, instrumentos que
respaldan excepcionalmente la opinión del
auditor actuante.
Informe

En esta etapa el Auditor se dedica a formalizar en un

documento los resultados a los cuales llegaron los
auditores en la auditoría ejecutada y demás
verificaciones vinculadas con el trabajo realizado.
Comunicar los resultados al máximo nivel de dirección
de la entidad auditada y otras instancias
administrativas, así como a las autoridades que
correspondan, cuando esto proceda.
El informe parte de los resúmenes de los temas y de las
actas de notificación de los resultados de auditoría
(parciales) que se vayan elaborando y analizando con
los auditados, respectivamente, en el transcurso de
la auditoría.
Seguimiento

▪ En esta etapa se siguen, como dice la palabra,

los resultados de una auditoría, generalmente
una auditoría evaluada de deficiente o mala,
así que pasado un tiempo aproximado de seis
meses o un año se vuelve a realizar otra
auditoría de tipo recurrente para comprobar
el verdadero cumplimiento de las deficiencias
detectadas en la auditoría.
 CRONOGRAMA
Ejecutado
Fecha Inicial Fecha Fina Acción Responsable
SI NO
1-Mar-18 4-May-18 Exploración Luisa Ospina X
1-Mar-18 8-Mar-18 Gestión de recuros tecnológicos Luisa Ospina X
9-Mar-18 16-Mar-18 Seguridad de la información y recursos tecnológicos Luisa Ospina X
17-Mar-18 24-Mar-18 Sistema de gestión de seguridad de la información Luisa Ospina X
26-Mar-18 2-Apr-18 Seguridad de la información personal entorno al recurso humano Luisa Ospina X
3-Apr-18 10-Apr-18 Control de acceso a la información Luisa Ospina X
11-Apr-18 18-Apr-18 Procesamiento de información Luisa Ospina X
19-Apr-18 26-Apr-18 Seguridad en los sistemas de información Luisa Ospina X
27-Apr-18 4-May-18 Gestión de incidentes de seguridad Luisa Ospina X
7-May-18 10-May-18 Informe de hallazgos Fredy Usma X
11-May-18 17-May-18 Planeamiento Fredy Usma X
18-May-18 6-Jun-18 Supervisión Fredy Usma X
18-May-18 6-Jun-18 Ejecución Fredy Usma X
7-Jun-18 12-Jun-18 Informe Final Fredy Usma X
17-Sep-18 21-Sep-18 Seguimiento Fredy Usma X
 AUDITORÍA
PREGUNTAS Excelente Bueno Regular Minimo No Cumple
Tiene un documento de seguridad de la información general aprobado X
Ha realizado documentación de procesos entorna a la seguridad de la información
y los equipos tecnológicos
X
SEGURIDAD DE LA
INFORMACIÓN Y Tiene procedimientos de asignación de responsabilidades y autorizaciones en la X
RECURSOS manipulación de los recursos tecnológicos de la empresa
TECNOLÓGICOS Ha implementado acuerdos de confidencialidad con las personas que tienen
acceso a la información
X

Tiene controles de seguridad en la tercerización de servicios para el tratamientos X

de la información suministrado a los proveedores y acreedores
Tienen implementadas herramientas de gestión de riesgos en el tratamiento de
SISTEMA DE GESTIÓN DE
datos e información manejada en la empresa
X
SEGURIDAD DE LA
Tiene implementado un sistema de gestión de seguridad de la información o un
INFORMACIÓN
programa integral de gestión de datos
X
SEGURIDAD DE LA
INFORMACIÓN PERSONAL
ENTORNO AL RECURSO Tiene implementados controles de seguridad de la información personal para el
X
HUMANO recurso humano ante de la vinculación y una vez finalizado el contrato laboral
Tiene política de control de acceso a la información tanto en las instalaciones
físicas como a nivel tecnológico
X
Cuenta con un procedimiento para la gestión de usuarios con acceso a la
información o políticas para el manejo de los recursos tecnológicos
X
CONTROL DE ACCESO A LA Ha implementado una política especifica para el acceso a la información personal
INFORMACIÓN de las bases de datos con información sensible
X

Tiene una política implementada de copia de respaldo de la información

X
Ha implementado una política de protección para el acceso remoto a la
información
X
Cuenta con una política implementada para el correcto tratamiento de la
información en las diferentes etapas del ciclo de vida del dato (Recolección, X
circulación y disposición final)

PROCESAMIENTO DE
INFORMACIÓN
 Cuenta con un procedimiento implementado para la validación de datos de
entrada y procesamiento de la información, para garantizar que los datos X
recolectados y procesados sean correctos y apropiados, como confirmación de
PROCESAMIENTO DE tipos, formatos, longitudes, pertinencia, cantidad, uso, etc.
INFORMACIÓN Cuenta con un control de seguridad de información para la validación de datos de
salida
X

Cuenta con una política implementada para el intercambio físico o electrónico de

datos (como por ejemplo durante el comercio electrónico para la compra y venta
X
de productos o servicios), transporte y o almacenamiento de información
Tiene un procedimiento o control implementado para la disposición final de la
información (Supresión, archivo, destrucción, etc.)
X

Tiene implementado un procedimiento que contemple la definición de X

SEGURIDAD EN LOS
especificaciones y requisitos de seguridad de los sistemas de información
SISTEMAS DE
INFORMACIÓN Las bases de datos poseen monitoreo de consulta X
Tiene implementado controles de seguridad de la información durante el
mantenimiento (Control de cambios) de los sistemas de información
X
Cuenta con una política y procedimientos implementados de gestión de incidentes
GESTIÓN DE INCIDENTES de la información o de los recursos tecnológicos
X
DE SEGURIDAD Tiene implementada una política para mejorar la seguridad de la información a
partir de los incidentes o vulnerabilidades detectados
X
Los recursos tecnológiocos se encuentran ubicados en sitios protegidos y con las
medidas necesarias para protegerlos de incidentes
X
Los recursos tecnológiocos cuntan con un anti virus y un sistema de backup
GESTIÓN DE RECUROS
externo
X
TECNOLÓGICOS
El servidor pricipal se encuentra ubicado en un sitio con altas medidas de
seguridad y protegidos de riesgos externos o cuenta con un respald backup en la X
nube
Bogotá 10 Mayo 2018

Señores
Filtros Master S.A
Ciudad

En el proceso de observación y exploración de la auditoria solicitada se encontraron graves

falencias que ponen en riesgo la materialidad del departamento de sistemas y específicamente en
el manejo de los datos, información y recursos tecnológicos, esto puede llegar a ser un riesgo
altamente nocivo y que puede interrumpir el desarrollo del objeto social de la compañía, es
necesario adoptar políticas que promuevan procesos para la protección de todos los recursos
tecnológicos que tiene la compañía, adjunto encontraran el informe de la exploración realizada
donde se identifica los puntos críticos del departamento de sistemas.

A continuación se entrega el informe de las soluciones a las falencias encontradas y como

debemos solucionarlas.

➢ Realizar documento de seguridad de la información general debidamente aprobado

➢ Implementar y dar a conocer los acuerdos de confidencialidad con las personas que tienen
acceso a la información.
➢ Desarrollar e implementar herramientas de gestión de riesgos en el tratamiento de datos
e información manejada en la empresa
➢ Crear e implementar un sistema de gestión de seguridad de la información o un programa
integral de gestión de datos
➢ Crear una política de procedimiento para la gestión de usuarios con acceso a la
información para el manejo de los recursos tecnológicos
➢ Realizar una copia de respaldo de la información apoyada en una política donde se
estipule los tiempos periódicos de ejecución. E implementar un software donde el se
encargue de realizarlo automáticamente.
➢ Crear una política con los debidos formatos para el correcto tratamiento de la información
en las diferentes etapas del ciclo de vida del dato (Recolección, circulación y disposición
final)
➢ Crear un proceso de control de seguridad de información para la validación de datos de
salida
➢ Implantar un procedimiento que contemple la definición de especificaciones y requisitos
de seguridad de los sistemas de información
➢ Crear un proceso donde se establezca controles de seguridad de la información durante el
mantenimiento (Control de cambios) de los sistemas de información
➢ Disponer de sitios que protejan los recursos tecnológicos con las medidas necesarias
➢ Adquirir un Antivirus confiable para todos proteger todos los recursos tecnológicos
 ➢ Disponer de un lugar altamente protegido para la ubicación del servidor principal con altas
medidas de seguridad y protegidos de riesgos externos
➢ Crear una cuenta donde se pueda realizar el backup en la nube.

Para lo anterior se ha desarrollado un plan de ejecución y mejoras basados en el informe de

auditoría realizado el cual tanto la puesta en marcha como la supervisión se ejecutara entre el 18
de Mayo y 6 de Junio del presente año.

Cordialmente

Fredy Usma
Representante Legal
Expertos en Auditorías
Bogotá 12 Junio 2018

Señores
Filtros Master S.A
Ciudad

Después de hacer el seguimiento respectivo al nivel de ejecución de todos los

aspectos a mejorar determinados por la auditoría realizada, se puede concluir que
las observaciones que se realizaron para construir procesos y políticas con el
único objetivo de proteger los recursos tecnológicos, datos e información vital para
que la compañía pueda desarrollar su objeto social más tranquila se ha llevado a
buen término, se requiere que todos estos procesos se fortalezcan periódicamente
y se mantengan en el tiempo ya que los riesgos en las tecnologías de la
información cada día son más grandes, de allí la importancia de fortalecer este
tipo de acciones.

De ante mano damos gracias por el apoyo y la disposición para solucionar e

implementar todos los procesos y sugerencias que nos dio la auditoria
desarrollada.

Cordialmente

Fredy Usma
Representante Legal
Expertos en Auditorías