GUÍAS DE HALLAZGOS

RESULTADOS DE AUDITORIA
GUÍAS DE HALLAZGOS
 Teniendo en cuenta la aplicación de los instrumentos para
recolección de información, los objetivos planteados con
anterioridad y los riesgos definidos en la Matriz se obtienen las
siguientes tablas de hallazgos para cada uno de ellos.
RESULTADOS DE AUDITORIA
DICTAMEN DE LA AUDITORIA

El dictamen es el
concepto del auditor
Para elaborar el sobre el nivel de
dictamen de la madurez en el que se
auditoría, el auditor encuentra el proceso
debe tener en cuenta evaluado respecto de la
los hallazgos norma.
encontrados en el
proceso evaluado y
los controles
 La escala de medición se encuentra en la norma
existentes.
CobIT 4.1, los valores son de tipo cuantitaivo, pero
se convierten a cualitativos para explicar el porque
de esa valoración.
El nivel de Madurez emitido en el dictamen se clasificará en los
siguientes niveles:
0-NO EXISTENTE: No se aplican
procesos administrativos en lo
absoluto
3-DEFINIDO: Los procesos están
estandarizados, se documentan, se
comunican y se capacita al
personal encargado; pero no se
miden o se hacen mediciones
parciales de las metas.
1-INICIAL: Los procesos son
espontáneos y desorganizados. No
se ha implementado procesos
estándar para el procesamiento de
información.
4-ADMINISTRADO: Los procesos están
estandarizados, se documentan, se
comunican, se capacita al
personal, se monitorean y se miden:
Se utiliza métricas de rendimiento, se
establecen metas de mejoramiento.
2-REPETIBLE: Los procesos siguen un
patrón regular o estándar; pero no se
ha documentado suficientemente.
Falta capacitación del personal
encargado. La eficiencia y eficacia
depende en gran parte del
conocimiento y profesionalismo de
los empleados y contratistas.
5-OPTIMIZADO: Las buenas prácticas
se siguen y se automatizan. Los
controles son permanentes y se
utiliza software para implementarlos.
PROCESO COBIT: PO4: DEFINIR LOS PROCESOS, ORGANIZACIÓN
Y RELACIONES DEL SISTEMA DE INFORMACIÓN DE LA EMPRESA.

Objetivo de la Auditoria:
Conceptuar sobre organización y
relaciones entre el personal, los
recursos de hardware y software,
los documentos soporte, el centro Dictamen: Se califica un nivel de madurez 3
de cómputo con el fin de DEFINIDO, por cuanto los procesos, organización y
establecer el grado de eficiencia
relaciones del área evaluada están contenidos en un
de los procesos que ejecutan en
el sistema.
manual de procesos y los recursos de hardware y
software son adecuados. Sin embargo, este manual
no se ha actualizado con respecto a la evolución que
ha tenido el Sistema, lo que hace que no sea posible
medirlo y redefinirlo. En procesos clave de
administración del sistema se observa excesiva
dependencia en la capacidad y conocimiento que
empleados clave tienen del sistema.
Hallazgos que soportan el Dictamen:

El manual de procesos y perfiles no se ha actualizado de acuerdo a los módulos del sistema, acorde
con la estructura de cargos de la empresa lo que dificulta ejecutar planes de contingencia y
capacitación cruzada, en caso de necesidad de reemplazar o rotar personal clave en las
operaciones y administración del sistema.

Se encontró que la empresa contratista del sistema ejecuta labores de captura de la

información, operación directa sobre tablas de la base de datos. Igualmente, realiza labores de
auditoría y también administra el sistema operativo, la aplicación y la base de datos. Se
considera un nivel de acceso amplio que dificulta establecer controles por parte de la empresa.

Se encontró que el funcionario encargado del módulo de auditoría, realiza solamente el control de
usuarios con niveles de seguridad inmediatamente inferiores a él, pero nadie realiza auditoria a las
entradas de los súper usuarios del sistema.
Recomendaciones:

Diseñar Bitácora de procesos y perfiles de acuerdo al manual actualizado de funciones y procedimientos del
Área Comercial.

Documentar los procesos de consulta, lecturas y facturación realizados por fuera del software, para que
sean integrados al software. Implementar registro de solicitudes de modificaciones y diseño de soluciones y
actualizaciones.

Documentar y diferenciar en forma precisa los procesos, políticas administrativas y procedimientos de la

administración de riesgos, la seguridad de la información, la propiedad de datos y del sistema. Esto es,
separar completamente en diferentes responsables los procesos de captura de lecturas, correcciones
masivas sobre las tablas de la base de datos, administración de la base de datos, auditoria.

Asignar funciones de auditoría a uno de los funcionarios que esté en capacidad de registrar los movimientos
realizados por los súper usuarios del sistema, pudiendo el mismo realizar auditorías y ejerciendo controles
adecuados sobre la seguridad del servidor e producción y sobre la base de datos.