Scribd
Cargar
186 vistas3 páginas

Ejemplo Dictamen de La Auditoria

El resumen analiza el dictamen de la auditoría de dos procesos COBIT evaluados en un sistema. El Proceso PO4 recibió una calificación de nivel 3 por tener procesos, organización y relaciones definidas pero un manual no actualizado. El Proceso P09 recibió una calificación de nivel 2 por realizar análisis de riesgos pero de manera no permanente ni documentada, además de falta de capacitación. Se recomienda actualizar el manual, documentar procesos, separar funciones, asignar auditoría y adoptar software de gestión de

Cargado por

henry
Derechos de autor
© © All Rights Reserved
Nos tomamos en serio los derechos de los contenidos. Si sospechas que se trata de tu contenido, reclámalo aquí.
Formatos disponibles
Descarga como DOCX, PDF, TXT o lee en línea desde Scribd
186 vistas3 páginas

Ejemplo Dictamen de La Auditoria

El resumen analiza el dictamen de la auditoría de dos procesos COBIT evaluados en un sistema. El Proceso PO4 recibió una calificación de nivel 3 por tener procesos, organización y relaciones definidas pero un manual no actualizado. El Proceso P09 recibió una calificación de nivel 2 por realizar análisis de riesgos pero de manera no permanente ni documentada, además de falta de capacitación. Se recomienda actualizar el manual, documentar procesos, separar funciones, asignar auditoría y adoptar software de gestión de

Cargado por

henry
Derechos de autor
© © All Rights Reserved
Nos tomamos en serio los derechos de los contenidos. Si sospechas que se trata de tu contenido, reclámalo aquí.
Formatos disponibles
Descarga como DOCX, PDF, TXT o lee en línea desde Scribd

DICTAMEN DE LA AUDITORIA 

Para elaborar el dictamen de la auditoría, el auditor debe tener en cuenta los


hallazgos encontrados en el proceso evaluado y los controles existentes. El
dictamen es el concepto del auditor sobre el nivel de madurez en el que se
encuentra el proceso evaluado respecto de la norma. La escala de medición se
encuentra en la norma CobIT 4.1, los valores son de tipo cuantitaivo, pero se
convierten a cualitativos para explicar el porque de esa valoración.

A continuación se presenta un ejemplo de la valoración de dos procesos


evaluados en un sistema y la escala de medición:

DICTAMEN DE LA AUDITORÍA

A continuación se presentan los resultados definitivos de la auditoria y las recomendaciones


de mejoramiento por cada proceso COBIT auditado, una vez revisadas las observaciones y
aclaraciones hechas por la empresa al grupo auditor: [1]

PROCESO COBIT: PO4: DEFINIR LOS PROCESOS, ORGANIZACIÓN Y RELACIONES


DEL SISTEMA DE INFORMACIÓN DE LA EMPRESA.

1. Objetivo de la Auditoria: Conceptuar sobre organización y relaciones entre el


personal, los recursos de hardware y software, los documentos soporte, el centro de cómputo
con el fin de establecer el grado de eficiencia de los procesos que ejecutan en el sistema.

2. Dictamen:Se califica un nivel de madurez 3 DEFINIDO, por cuanto los procesos,


organización y relaciones del área evaluada están contenidos en un manual de procesos y los
recursos de hardware y software son adecuados. Sin embargo, este manual no se ha
actualizado con respecto a la evolución que ha tenido el Sistema, lo que hace que no sea
posible medirlo y redefinirlo. En procesos clave de administración del sistema se observa
excesiva dependencia en la capacidad y conocimiento que empleados clave tienen del
sistema.

3. Hallazgos que soportan el Dictamen:

 El manual de procesos y perfiles no se ha actualizado de acuerdo a los módulos del


sistema, acorde con la estructura de cargos de la empresa lo que dificulta ejecutar planes de
contingencia y capacitación cruzada, en caso de necesidad de reemplazar o rotar  personal
clave en las operaciones y administración del sistema.

 Se encontró que la empresa contratista del sistema ejecuta labores de captura de la


información,  operación directa sobre tablas de la base de datos. Igualmente, realiza labores
de auditoría y también administra el sistema operativo, la aplicación y la base de datos. Se
considera un nivel de acceso amplio que dificulta establecer controles por parte de la
empresa.
 Se encontró que el funcionario encargado del módulo de auditoría, realiza solamente
el control de usuarios con niveles de seguridad inmediatamente inferiores a él, pero nadie
realiza auditoria a las entradas de los súper usuarios del sistema.

4. Recomendaciones:

 Diseñar Bitácora de procesos y perfiles de acuerdo al manual actualizado de funciones


y procedimientos del Área Comercial.

 Documentar los procesos de consulta, lecturas y facturación realizados por fuera del
software, para que sean integrados al software. Implementar registro de solicitudes de
modificaciones y diseño de soluciones y actualizaciones.

 Documentar y diferenciar en forma precisa los procesos, políticas administrativas y


procedimientos de la administración de riesgos, la seguridad de la información, la propiedad
de datos y del sistema. Esto es, separar completamente en diferentes responsables los
procesos de captura de lecturas, correcciones masivas sobre las tablas de la base de datos,
administración de la base de datos, auditoria.

 Asignar funciones de auditoría a uno de los funcionarios que esté en capacidad de


registrar los movimientos realizados por los súper usuarios del sistema, pudiendo el mismo
realizar auditorías y ejerciendo controles adecuados sobre la seguridad del servidor e
producción y sobre la base de datos.

PROCESO COBIT: P09: EVALUAR Y ADMINISTRAR LOS RIESGOS DEL SIC.

1. Objetivo de la Auditoria:  Medir los riesgos, su probabilidad e impacto sobre el


aplicativo, personal, recursos, procesos, soportes

2. Dictamen:Se estableció un nivel de madurez  2 REPETIBLE por cuanto se hacen


análisis y evaluación al Sistema, pero no son permanentes, ni se ha documentado
suficientemente. Además, falta capacitación del personal encargado.  La detección de riesgos
y el establecimiento de controles se hacen, en gran parte, por iniciativa propia de los
empleados, y no en un procedimiento regular de auditoría.

3. Hallazgos que soportan el Dictamen:

 Aunque existe documentación sobre auditorias anteriores y análisis y evaluación de


riesgos sobre el sistema, no se ha destinado personal para establecer un plan de controles
sobre el mismo, lo que impide prevenir posibles fraudes, inconsistencias o pérdidas de
información y económicas. Los riesgos tampoco se han clasificado por niveles de criticidad, no
se han establecido riesgos residuales.

 No se encontró una política claramente documentada para el manejo de riesgos que


presentan nivel de criticidad medio o moderada en el sistema, tales como: infección por virus,
plan para enfrentar contingencias en el sistema,  plan para detectar y corregir debilidades o
huecos en las operaciones, y errores de digitación de datos por parte de los usuarios,
generación de pistas de administración y auditoria de datos, actividades de supervisión para
detectar el  nivel de confianza en los controles automatizados, difusión y adopción de las
políticas de seguridad en el procesamiento de datos, revisión metodológica del sistema para
proponer mejoras al diseño inadecuado o cuestionable de algunos módulos, corrección de las
deficiencias u obsolescencias de los mecanismos de control interno del
sistema,  determinación de especificaciones técnicas inapropiadas, detección de deficiencias
en el entrenamiento de los funcionarios que ejecutan los procesos, determinación de
estándares de control de calidad de la información de la base de datos, análisis de
cumplimiento de la validación de las reglas del negocio en el sistema, Cumplimiento normativo
y de las políticas internas en el proceso del área comercial a cargo del sistema.

4. Recomendaciones:

Implementar el software de administración de riesgos y establecimiento de controles al sistema


en general,  como parte de la  Función del SGSI.

Capacitar al personal encargado de auditar el sistema, sobre la identificación de riesgos,


medición e implementación de controles, enfocada en la seguridad de acceso e integridad de
la base de datos.

Implementar un estándar como metodología para el análisis y la evaluación de riesgos


informáticos, que permita que este proceso se lleve a cabo de manera adecuada se debe
tener en cuenta que los estándares son apropiados a ciertos tipos de evaluación, algunos de
ellos son: MAGERIT, ISO 27005, OCTAVE que nos brindan los estándares y las escalas de
evaluación.

Retomar las recomendaciones que han realizado en las auditorias anteriores para realizar el
análisis, evaluación y gestión de los riesgos encontrados; establecer un sistema de control
adecuado al sistema de información y trabajar en la documentación del proceso.

También podría gustarte