AUDITORIA DE SISTEMAS

JULIO CSAR FLREZ ARTEAGA

LICEHT CAROLINA
LEDALIZ QUROZ GARCA
NAVIS MARA LPEZ GUERRA

AUDITORIA DE SISTEMAS

TUTOR
EUGENIS YANEZ SEGURA
UNIVERSIDAD DE CARTAGENA
FACULTAD DE INGENIERIA
INGENIERIA DE SISTEMAS
VIII SEMESTRE

LORICA - CORDOBA
2015

Introduccin

Se hizo la visita estipulada a una sala de internet (Pequea

Microempresa) ubicada en el Corregimiento de Tierralta-Lorica
con direccin Calle 3 N 2C-44 Calle Principal. En la cual se pudo
evaluar su parte fsica (Hardware). Como su parte Lgica
(Software). Esta pequea microempresa fue fundada en el ao
2004, la cual comenz a brindar servicios de telecomunicacin
como son internet, servicio de voz nacional e internacional, la
cual fue creciendo y hoy en da se ha mantenido en el mercado
mediante su buen servicio ofrecido a la comunidad en general.
En la auditoria de sistemas realizada a la sala Internet Artecel
Comunicaciones se identificaron los siguientes elementos:

Estructura Fsica

HARDWARE
Catorce (14) computadores los cuales funcionan en un
pequea sala de internet, de los cuales doce (12) son de
mesa o (escritorio) prestan el servicio a la comunidad, de
los cuales dos (2) de ellos son Porttiles que funcionan
como servidores donde se controla el tiempo consumido
y se llevan los inventarios de las ventas hechas durante el
da.
Como est construida la red: Dentro de la estructura de
la red se encontraron dos switch. Marca D-Link- 10/100
Fast Ethernet de 7 puertos, Tambin se encontraron
Modem o Router inalmbrico de marca ZTE los cuales
estn dividas en dos lneas donde un Modem va
conectado a un Switch y 6 pc Conectados con cable UTP y
sus conectores correspondientes de esta misma forma se
encuentra configurados los Otros 6 Pc.
Los otros dos computadores porttiles que son los
servidores se encuentran distribuidos una por cada
Modem o Router de forma inalmbrica.
Proveedor de internet UNE EDATEL el servicio que ofrece
para esta zona es inalmbrico de 2 Mbs.

Estructura Lgica

SOFTWARE
Los 12 computadores tienen instalados Sistemas
operativos Windows 7 Ultimate los cuales prestan el
servicio a la comunidad en general para sus
investigaciones en internet.

Los dos (2) computadores Porttiles que son los servidores

Tienen montado en su sistema operativo Windows 7
Ultimate y llevan el control a internet por medio de un
programa que se llama Ciber Control.
Programa de proteccin contra virus Norton 2013
se utiliza en ofimtica office 2010
base de datos utilizada elaborada en el programa Excel
Se utiliza Google Chrome el cual es un navegador ms
rpido para las consultas hechas por los usuarios.
Tambin tienen montado el Navegador Internet Explore ya
que hay pginas que solo pueden ser manejadas
mediante este Navegador Por ejemplo la Plataforma de La
universidad de Crdoba.

FUNCION DE LOS ELEMENTOS ANOTADOS

COMPUTADORES
*Servicio al Usuario: Son utilizados para brindar servicio
a la comunidad en cuanto a tareas e investigaciones.
*Orientadora consultas de atencin al cliente. Es la
persona encargada se encarga de asesorar a los que no
saben hacer una investigacin por medio de la red
internet es como una orientadora a la vez. Esta persona
esta prepara con cursos de informtica para resolver las
inquietudes que algunos clientes no saben encontrar
dentro de la red de navegacin

SWICH: Sirve para interconectar varios computadores en

una red por medio de conexin cableada.
Los elementos que
comunicacin son:

conformada esta

red o sistema de

Modem: suministrado por la empresa de telecomunicaciones UNE EDATEL.

Switch: para conexiones con cable.
Cable UTP: para interconexiones cableadas.

Las redes son muy importantes en una organizacin debido a que con ellas
se comparten recursos e internet.

Identifiqu, los elementos que permiten el acceso a internet y determine

cules son los usos ms frecuentes de esta herramientas. Consult por lo
menos tres sitios. He aqui el resultado de esta consulta.

CONSEJO DIRECTIVO

Sala de internet CYBERGEN: Se encontr el modem que brinda

la empresa de telecomunicaciones. Y adems un Reuter
inalmbrico proporcionado por el propietario para el servicio de
internet
Colegio Lacides C. Bersal: un modem suministrado por la
empresa prestadora deRECTOR
servicio de internet. Utilizado para
brindar internet en el rea administrativa y a los estudiantes.
Fotocopiadora MUNDIAL: Un modem suministrado por la
empresa de telecomunicaciones para brindar el servicio de
internet en el negocio.

ACADEMICO
PERSONAL DE APOYO CONCEJO
APOLAPOLLO

APOLAPOLLO

SECRETARA

PERSONAL DE VIGILANCIA

COORDINADOR

Determin los procesos principales que se desarrollan en una organizacin;

elabor un diagrama del mismo, donde he logrado identifique las
COMIT DE APOYO
actividades operativas
y de control.
JORNADAS

PROFESORES

COMUNIDAD ESTUDIANTIL

INSTITUCION

Autoevaluacin formativa
1. Defina qu es informtica?
Informacin automtica: Es el rea de tecnologa que involucra todo lo
relacionado con el almacenamiento, procesamiento y consulta de
informacin en las empresas.
2. Qu es una Red de comunicaciones?

Es bsicamente un conjunto o sistema de equipos informticos conectados

entre s, por medio de dispositivos fsicos que envan y reciben impulsos
elctricos, ondas electromagnticas o cualquier otro medio para el
transporte de datos con la finalidad de compartir datos, informacin
recursos y ofrecer servicios.
3. Para qu sirve Internet?
Es la Red de Redes donde todos los ordenadores del mundo se conectan
entre s, creando una inmensa que sirve como red de comunicacin e
intercambio de datos, videos, fotos, compras online etc.
4. En qu consiste la Auditora?
Consiste en la evaluacin de los sistemas y procedimientos, evaluacin de
los equipos de cmputo.
5. Cules son los elementos ms importantes de una Auditora
Informtica?

Identificacin de los recursos y los flujos de informacin.

Valoracin del uso efectivo que se hace de las tecnologas de la

informacin disponibles.

Control y racionalizacin de costes.

Marketing de la unidad y de sus productos informativos.

Diseo de las tareas de las personas que trabajan con

informacin dentro de la unidad.

Identifiqu y describ el papel del auditor de sistemas o

informtica en los procesos operativos de una organizacin.
Adems califiqu cada uno de estos aspectos de acuerdo con
su importancia o impacto dentro de la empresa.

 El papel de un auditor dentro de una empresa u organizacin es de

analizar y detallar que los sistemas de cmputos e informtica
cumplan con unas especificaciones tcnicas para su mejor
funcionamiento. El auditor realiza un examen crtico ms no
mecnico con el fin de evaluar y mejorar la eficacia y eficiencia de
una organizacin o empresa con respecto a sus sistemas de
informacin.
Los aspectos de suma importancia seran la seguridad (antivirus),la
fiabilidad de los dispositivos utilizados en su red local
(infraestructura), soporte tcnico (tcnicos en sistemas),

Determin los factores que inciden en el xito de un proceso

de auditoria informtica y explique sus argumentos.

Los factores incidentes seran los siguientes:

detallar los sistemas empleados para la elaboracin y
funcionamiento en la comunicacin de sus dispositivos
dentro de una organizacin o empresa.
Verificar que los sistemas de cmputo cumplan con los
requerimientos pertinentes para lo cual sern utilizados.
Puedo decir que para un proceso de auditora, el auditor debe
conocer con que elementos cuenta dicha empresa. Pues es la
base con la que el auditor determinara que es lo ms viable.
Un auditor no puede hablar de auditoria informtica sin conocer
la infraestructura con la que cuenta una empresa, el sabr si los
elementos empleados fueron los ms acertados.

Describ las clases y tipos de auditoras y determine cual son

las ms utilizadas en Colombia

CLASES DE AUDITORIA
Auditoria informtica de
usuario
Auditoria informtica de
actividades
internas
Auditoria informtica de
direccin
Auditoria de seguridad

TIPOS DE AUDITORIA
Auditora financiera
Auditoria operacional
Auditoria de sistemas
Auditora fiscal
Auditoria administrativa

 Las clases de auditoria y tipos de auditoria ms utilizadas en

Colombia son:
por parte de las clases de auditoria la ms utilizada en
Colombia es la Auditoria de seguridad
Y por parte de los tipos de auditoria ms utilizados en
Colombia para nuestro concepto vendran siendo todas
porque nuestro pas cuenta con muchos organismos.
De qu depende la utilizacin de las clases y tipos de auditoria en
las organizaciones..
Depende del tipo de organizacin o empresa a la cual se
dedica, como por ejemplo si es una entidad bancaria ya aqu
estaramos hablando de una auditoria de tipo financiera
donde tambin tendramos en cuenta la clase de Auditoria
de seguridad por las exigencias en la proteccin de datos
de usuario y dinero

Describ como se puede realizar las funciones de auditoria

informtica de un plan de trabajo.
La manera en que debe hacerse es cuando este est en
funcionamiento para detallar los fallos esta pueda tener
cuando esta est en plena funcin. Observar todos y cada
uno de los dispositivos con los cuales cuenta el sistema, y
para esto se deben realizar unos controles tcnicos que
especifiquen su funcionamiento.

Expliqu de que depende el xito en la gestin de un auditor

de sistemas.
Para garantizar el xito el auditor de sistemas puede dividir
su proceso de auditoria en planeacin, personal, control e
informes de desempeo. Todas ellas para poder seccionar el
sistema en subsistemas y detallar sus posibles ventajas y
falencias.

Autoevaluacin formativa

1CUL ES EL ROL DE LA AUDITORA?

La auditora en informtica deber comprender, no slo la evaluacin de los
equipos de cmputo, de un sistema o procedimiento especfico, sino que
adems habr de evaluar los sistemas de informacin en general, desde sus
entradas, procedimientos, controles, archivos, seguridad y obtencin de
informacin.
Irregularidades que puedan tener un impacto sobre el rea auditada o
sobre toda la organizacin.
Debilidades en los controles internos que podran resultar en la falta de
prevencin o deteccin de irregularidades.

2EXPLIQUE LOS PASOS EN EL PROCESO DE AUDITORA?

La secuencia de pasos que implica llevar a cabo una auditora, del tipo que
sea, puede variar segn diferentes circunstancias. No obstante ello,
usualmente se verifican tres etapas esenciales: planificacin, ejecucin y
conclusin.
Planificacin: el objetivo ltimo de esta etapa es la determinacin del
enfoque de auditora a aplicar y su consecuencia inmediata, la seleccin de
los procedimientos particulares a ejecutar.
Ejecucin: su finalidad ser la de cumplimentar los procedimientos
planificados para obtener elementos de juicio vlidos y suficientes para
sustentar una opinin. Todos esos elementos de juicio se traducirn en
papeles de trabajo que constituyen la documentacin y evidencian el
examen realizado.
Conclusin: en esta etapa se evalan todas las evidencias obtenidas
durante la etapa de ejecucin que deben permitir formar un juicio o una

opinin sobre la razonabilidad de los estados, emitiendo el respectivo

informe del auditor.

3Cmo est organizada la Auditora?

Sistema particular con objetivos propios y compuestos por recursos
humanos y materiales que actan en una permanente interrelacin y con un
cierto orden preestablecido.

Administracin
Planificar
Organizar
Ejecutar
Controlar
Comunicar

4CUL ES LA FUNCIN DE LA AUDITORA?

Es la revisin y la evaluacin de los controles, sistemas, procedimientos de
informtica.
5Cules son los indicadores de gestin en el trabajo de la Auditora?
Alcance del sistema de indicadores.
Indicadores
del
negocio,
con
de valor de mercado.
Indicadores de efectividad.
Indicadores de eficiencia.
Indicadores de calidad.
Indicadores de productividad.
Indicadores de apalancamiento.
Indicadores de rentabilidad.
Indicadores de riesgo.
Indicadores de competitividad.
Indicadores de liquidez.

base

en

Cul es la importancia de la planeacin en una empresa?

el

esquema

La planeacin en una empresa es de vital importancia, ya que esto ayudara

a que tengan prolongacin en el tiempo y alcancen un xito sostenible. Las
empresas que tienen una adecuada planeacin logran muchos objetivos que
se trazan, ya que es una de las funciones ms importantes de la
Administracin en cualquier nivel.
Identifiqu los aspectos fundamentales en la planeacin del rea de
informtica de una organizacin.
Los aspectos fundamentales en la planeacin del rea de informtica de una
organizacin son:

Introducir los procedimientos adecuados para la revisin y auditora

del rea informtica en Empresas u Organizaciones.
Introducir el concepto de Sistema de Informacin, sus principales
componentes y tipos de informacin manejados.
Definir los conceptos bsicos involucrados en la seguridad
informtica como son la confidencialidad, integridad y disponibilidad.
Definir cules son las principales amenazas y vulnerabilidades de un
sistema informtico, as como los distintos tipos de medidas que
podemos utilizar para prevenirlas.
Definir qu se entiende por poltica de seguridad, cmo se fija y
cules son sus principales contenidos.
Introducir algunos principios bsicos que subyacen en la aplicacin
de cualquier poltica de seguridad informtica.

Porque considera que los planes de la auditoria afectan la planeacin de la

auditoria informtica?
Para hacer una adecuada planeacin de la auditora en informtica hay que
seguir una serie de pasos previos que permitirn dimensionar el tamao y
caractersticas del rea dentro del organismo a auditar, sus sistemas,
organizacin y equipo.
Con ello podremos determinar el nmero y caractersticas del personal de
auditora, las herramientas para, en caso necesario, poder elaborar el
contrato de servicios.

De qu depende el xito en la planeacin de la auditoria informtica?

Para hacer una adecuada planeacin de la auditora en informtica, hay que
seguir una serie de pasos previos que permitirn dimensionar el tamao y

caractersticas de rea dentro del organismo a auditar, sus sistemas,

organizacin y equipo. En el caso de la auditora en informtica, la
planeacin es fundamental, pues habr que hacerla desde el punto de vista
de los dos objetivos:

Evaluacin de los sistemas y procedimientos.

Evaluacin de los equipos de cmputo.

Para hacer una planeacin eficaz, lo primero que se requiere es obtener

informacin general sobre la organizacin y sobre la funcin de informtica
a evaluar. Para ello es preciso hacer una investigacin preliminar y algunas
entrevistas previas, con base en esto planear el programa de trabajo, el cual
deber incluir tiempo, costo, personal necesario y documentos auxiliares a
solicitar o formular durante el desarrollo de la misma.

Describ la organizacin el rea de auditoria informtica en la empresa

donde preste mis servicios.
El instituto donde hice mi prctica de auditoria no cuenta con un
rea de auditoria informtica exactamente. Los tcnicos en
sistemas del instituto son los encargados del funcionamiento de
los dispositivos que conforman sus redes y los equipos de
cmputo.
Hasta donde pude percatar el instituto
cuenta con unos
dispositivos excelentes de alta calidad y fiabilidad, pero no usan
sus mximas capacidades.
La parte de hardware es excelente cuenta con equipos de
cmputo de ltima tecnologa, las conexiones y dispositivos de
red son las ms utilizadas y de muy buen desempeo.
Por otro lado la parte de software es la que debe reestructurarse
pues no es viable ni tampoco seguro. Usan software muy
esencial en la parte administrativa.
Describ los aspectos ms relevantes de un plan de trabajo de la
auditoria informtica.
Para mi criterio un aspecto muy relevante seria que la auditoria
debe ser global y no parcial.
Porque de esta forma la auditoria tendr xito porque se hace
nfasis en toda el rea, y se detallara parte por parte si cumple

o no cumple con los estndares que hacen que esta sea

eficiente y arroje muy buenos resultados.

Autoevaluacin formativa
1. Cmo se debe organizar el rea de Auditora de Sistemas en una
empresa?
Para organizar un departamento de auditoria interna en la organizacin
se debe tener en cuenta los siguientes parmetros:

Necesidad de la empresa: Que necesita la empresa? Esto se refiere a

mirar si la empresa necesita implementar o ampliar la auditoria
administrativa, la operacional, la financiera o puede que necesite de
las 3, entonces necesitara una auditora integral.
Complejidad de las funciones: Hace relacin a l volumen de
transacciones y la complejidad estructural y de funcionamiento.
Grupo nter disciplinado: El grupo de trabajo no puede ser de una
misma profesin, ni de la misma universidad, ni del mismo semestre...
Los resultados de los puntos 1 y 2 nos dicen que personas necesito y
cuantos.
Programa de Trabajo: Esta asociado a la necesidad del punto 1. el
programa se desarrolla dependiendo: Contenido, cantidad de trabajo,
su necesidad y su complejidad.

2. Cules son las principales reas de apoyo a la gestin de la Auditora de

Sistemas?

Auditora de la direccin (Plan Estratgico de Sistemas)

Auditora del desarrollo (gestin de proyecto)
Auditora de la Adquisicin

Auditora Seguridad (Seguridad Fsica Plan de Contingencias,

evaluacin de riesgos, seguridad lgica)
Auditora de la explotacin y Mantenimiento (Utilizacin de sistemas,
puesta en marcha, cambios de programas)

3. Enumere las principales actividades del plan de trabajo de la Auditora de

Sistemas.

En el plan no se consideran calendarios, porque se manejan recursos

genricos y no especficos.
En el plan se establecen los recursos y esfuerzos globales que van a
ser necesarios.
En el plan se establecen las prioridades de materias auditables, de
acuerdo siempre con las prioridades del cliente.
El plan establece disponibilidad futura de los recursos durante la
revisin.
El plan estructura las tareas a realizar por cada integrante del grupo.
En el plan se expresan todas las ayudas que el auditor ha de recibir
del auditado.

Apliqu las diferentes herramientas de auditora en un caso simulado para

obtener informacin sobre la infraestructura tecnolgica que posee una
empresa. Archiv en una carpeta el resultado de la aplicacin de este
instrumento.
Checklist. rea de administracin.
A continuacin formular una serie de preguntas donde se evaluar la
vulnerabilidad de la informacin de los equipos de cmputo, y el
control de acceso del personal.
Anexos:
Responda de 1 a 5 donde 1 es la respuesta ms negativa y 5 el valor
ms positivo
cree usted que en el rea de administracin, el personal ajeno
a esta rea tiene acceso a la informacin clasificada?
R/ (5)
El personal de seguridad siempre est atento a quien entra y
sale del rea de administracin?

R/ (3)

A los equipos de cmputo se les hace peridicamente

mantenimiento preventivo?
R/ (3)

Para su criterio piensa que los computadores son viables en su

labor?
R/ (5)
En su rea de trabajo cree usted que es susceptible a
manipulacin por parte de personas ajenas?
R/ (3)

Apliqu las diferentes tcnicas de Auditora de Sistemas para evaluar

un centro de cmputo de una Empresa. Archive en una carpeta el
resultado de evaluacin.
Tcnicas de evaluacin de riesgos
En la auditoria realizada al instituto Inter system express se hizo un anlisis
de las distintas reas de trabajos que estn ms expuestas a riesgos.
Y para nuestro criterio el rea ms susceptible a riesgos es el rea de
aprendizaje de mantenimiento y reparacin de computadores.
Por qu? Porqu en esta rea los alumnos estn en contacto permanente
con la electricidad. Los alumnos no estn vigilados para ver si sacan
herramientas o partes de los equipos con los cuales se les ensea. No
existen extintores contra fuego, no hay salida de emergencia y tampoco hay
botiqun de primeros auxilios.
Por ende esta evaluacin se ha hecho bajo un anlisis riguroso para que no
pueda entorpecer nuestra labor como auditor y poder presentar una buena
evaluacin de posibles riesgos en el rea auditada.

Tcnicas de recopilacin de evidencias

Usando las diferentes tcnicas de recopilacin de evidencias llegamos a la
conclusin sobre cul sera el rea vulnerable, realizando un chequeo a la
infraestructura del instituto y una encuesta al personal de trabajo y a los
estudiantes. Durante 2 horas asistiendo a una clase como espectadores sin
verme en la necesidad de interactuar para evaluar el comportamiento de
los alumnos y la seguridad con la que son manipuladas las herramientas
con que se ensea como reparar un computador.
Llegamos a la conclusin de que el rea es muy susceptible con lo acorde
en el punto de las tcnicas de evaluacin de riesgos.

Describmos la importancia de utilizar una metodologa en el trabajo

del Auditor
Informtico y establecmos para cada etapa, el resultado obtenido
Es muy importante contar con las diversas tcnicas usadas en un
trabajo de auditoria, porque nos brinda las pautas que debemos
seguir para elaborar y obtener muy buenos resultados en la labor
prestada pero sobre todo con mucha responsabilidad y compromiso.
Es por eso que en base a estas metodologas empleadas analic de
forma ms precisa el rea a auditar.
Etapas:
Alcance y objetivos de la auditora informtica.
rea: rea de aprendizaje de mantenimiento y reparacin de
computadores.
Objetivo: determinar los riesgos que pueden ocasionar con la
manipulacin de elementos elctricos.
Estudio inicial del entorno auditable.
Observar la infraestructura del rea de trabajo
Determinacin de los recursos necesarios para realizar la
Auditora.
Percatar si el rea cumple con los estndares de seguridad
establecidos por la ley.
Elaboracin del plan y de los programas de trabajo.

En esta etapa cuento con la manera idnea con la que dispongo

durante el desarrollo de esta auditora.
Actividades propiamente dichas de la Auditora.
Teniendo en cuenta mi programa de trabajo obtendr las
pruebas suficientes y resultados de la observacin.
Confeccin y redaccin del Informe final.
Ya realizadas las pruebas y estudios correspondientes prosigo a
describir el rea auditada donde se detectaron los riesgos.
Como bien he venido presentando los resultados en los puntos
anteriores el instituto est expuesto a riesgos de consideracin
que pueden llegar a afectar la integridad fsica de los
trabajadores y sus alumnos.
Es por eso que este estudio me lleva a la conclusin de que el
instituto no cuenta con las medidas de seguridad y prevencin
contra riesgo elctrico y fuego, como tambin la seguridad de
sus instrumentos de reparacin y atencin a una posible
emergencia.
Redaccin de la Carta de Introduccin o Carta de Presentacin
del Informe.
En base a la auditora realizada evalu las reas de trabajo y
determin las posibles reas de riesgo. Utilizando las diversas
metodologas y tcnicas por las cuales he llegado a resolver de
una manera muy eficaz y responsable
la auditoria
correspondiente.

Utilizando los instrumentos de fascculos anteriores y basados en las

pruebas obtenidas, determin el diagnstico de la organizacin frente
al nivel de riesgo que presenta.
El nivel de riesgo que presenta el instituto al cual se le ha
venido haciendo la auditoria es muy alto, ya que no cuenta con
ningn tipo de seguridad. No cuenta con personal de seguridad,
controles de acceso fsico, mucho menos tecnologa biomtrica.
La seguridad es muy vulnerable de tal forma que un simple
estudiante o un subordinado pueden acceder a registros e
informacin de sus bases de datos con mucha facilidad.

El software utilizado no cuentas con actualizaciones constantes

que debera tener. Las entradas y salidas de los equipos de
cmputo tampoco tienen ningn tipo de restriccin y estn al
alcance de todos.
No existe un monitoreo constante de las actividades hechas en
el rea administrativa.

Con base a las pruebas determinamos que el nivel de riesgo del rea
de informtica y todos sus componentes organizacionales y
operativos.
Como bien hemos plasmado en la respuesta anterior hay un
control muy bajo en el flujo de informacin, segn el director del
instituto los controles para el son fiables y pertinentes, pero
para mi criterio no es el adecuado ya que las bases de datos son
fcil de acceder porque no cuenta con ningn tipo de seguridad
implementado por usuario y contrasea.
Otro punto que permanece en riesgo es la elaboracin de
certificados. Los subordinados pueden acceder a estos equipos
y diligenciar sin ningn problema una certificacin puesto que
no hay un monitoreo de actividades.

Autoevaluacin formativa
1. Cmo se evalan la estructura organizacional de una empresa y sus
procedimientos?
Para la realizacin del diagnstico organizacional de una se requiere
partir desde el origen mismo de la empresa, de su misin, visin,
objetivos y propsitos. Con base a ellos se fijan las estrategias
necesarias para lograrlos. Cada estrategia ira encaminada hacia la
consecucin de cada uno de los objetivos y lineamientos de la
empresa.
Partiendo de la matriz DOFA se hace un diagnstico de la empresa de
su parte interna y externa, lo que permite identificar con exactitud las
necesidades y las posibilidades que se tienen y que se deben
aprovechar.

La matriz DOFA permite identificar las diferentes situaciones posibles

en la empresa que requieren de una atencin especial ya sea para
corregir una situacin o falencia, o para sacar provecho de una
oportunidad. Cualquiera sea el objetivo, se requiere del diseo de
unas estrategias para lograrlo. Si hablamos de fortalezas se deben
disear estrategias encaminadas a utilizar tales fortalezas con lo que
se puede minimizar los efectos de las posibles amenazas que se
presenten. Mediante un correcto uso de planes de contingencia y
dems.

2. Cules son los aspectos que se deben tener en cuenta en la evaluacin

de la administracin de una empresa?

Calidad de Trabajo
Cantidad de Trabajo
Conocimiento del puesto
Iniciativa y Motivacin
Planificacin
Control de costos
Relaciones con los compaeros
Relaciones con el supervisor
Relaciones con el Pblico
Direccin y de los Subordinados
Responsabilidades

3. Cmo se evalan los riesgos en una empresa?

Es uno de los pasos que se utiliza en un proceso de gestin de riesgos.
El riesgo R se evala mediante la medicin de los dos parmetros que lo
determinan, la magnitud de la prdida o dao posible L, y la
probabilidad p que dicha prdida o dao llegue a ocurrir.
La evaluacin de riesgo es probablemente el paso ms importante en un
proceso de gestin de riesgos, y tambin el paso ms difcil y con mayor
posibilidad de cometer errores. Una vez que los riesgos han sido
identificados y evaluados, los pasos subsiguientes para prevenir que ellos
ocurran, protegerse contra ellos o mitigar sus consecuencias son mucho
ms programticos.
Parte de la dificultad en la gestin de riesgos es que la medicin de los dos
parmetros que determinan el riesgo es muy difcil, por lo cual se dice que
es un proceso subjetivo. La incertidumbre asociada a la medicin de cada
uno de los dos parmetros (L y p) es por lo general grande. La gestin de
riesgo tambin sera ms simple si fuera posible contar con una nica

mtrica que refleje en la medicin toda la informacin disponible. Sin

embargo esto no es posible, ya que se trata de medir dos cantidades. Un
riesgo con gran magnitud de prdida o dao y una baja probabilidad de
ocurrencia debe ser tratado en forma distinta que un riesgo con una
reducida magnitud de prdida o dao y una alta probabilidad de ocurrencia.
En teora los dos riesgos indicados poseen una idntica prioridad para su
tratamiento, pero en la prctica es bastante difcil gestionarlos cuando se
hace frente a limitaciones en los recursos disponibles, especialmente
tiempo para llevar a cabo el proceso de gestin de riesgo.
Matemticamente se expresa:

4. Cules son los riesgos a que est expuesta una organizacin?

Toda organizacin o empresa, independientemente del tipo de negocio que
desarrolle est expuesto a muchos tipos de riesgos los cuales pueden ser
inciertos. En algunos casos los riesgos estn presentes en todo momento o
circunstancia y son amenazas externas e internas que no precisamente
son originadas por una inadecuada estructura organizacional sino que son
inertes a cualquier tipo de organizacin.
Riesgos competitivos normales a diario como lo son el precio, el servicio, la
calidad, productos sustitutos etc., los cuales deben ser una razn para
fortalecer los procesos, productos y servicios que se estn ofreciendo; no
dejando de ser un riesgo permanente.
Riesgo de iliquidez: se pueden llegar a tener activos improductivos, exceso
de financiaciones, inversiones inoficiosas, inventarios exagerados en
bodega etc., los cuales en un momento dado pueden afectar de manera
muy significativa la liquidez de la empresa.
Riesgo de crdito: En los cuales se puede encontrar tasas altas de inters,
desconfianza en el mercado, corrupcin en general.
Respecto a los riesgos internos o de la organizacin los cuales suceden por
carencia de buenas administraciones, ausencia de planificacin de los
procesos, mal clima laboral entre otros.

Riesgo de Auditoria: inherente, deteccin y control; un equipo de auditor

deben ser constructivo, til, firme, transparente y razonable en las
discusiones de los hallazgos de la auditoria, debe ser muy profesional en la
ejecucin de su labor.
Riesgo de Recurso Humano: Riesgos en la contratacin del personal sin
investigacin suficiente, en la capacitacin, promocin y comunicacin,
fraude.
Riesgos de procedimientos: Manuales de instrucciones desactualizados,
incompletos, demasiados engorrosos, obsoletos con los cuales no se
permite una buena ejecucin de las labores.
Riesgo de Informacin: Tecnolgico,
actualizacin.

disponibilidad de la informacin,

Elabor la matriz de riesgos de una empresa y determin las reas de

mayor impacto o criticidad para la misma.

Aspectos o componentes
por riesgo
Misin y objetivos
Organizacin
Administracin de
informtica
Servicios
Parmetros de medicin
Seguimiento a la funcin
Direccin y niveles
Comunicacin e integracin
ejecutivos
Apoyo a toma de decisiones
Comunicacin e integracin
Proyectos conjuntos
Usuarios de informtica
Admn. de recursos
Grado de satisfaccin
Control interno
Polticas y procedimientos
Metodologa
Tcnicas
Ciclo de desarrollo e
implementacin de sistemas
Herramientas
Capacitacin / actualizacin
rea susceptible

clasificacin de
riesgo
Alto
Alto
Alto
Bajo
Alto
Alto
Alto
Alto
Bajo
Medio
Medio
Medio
Bajo
Medio
Bajo
Bajo

En el punto anterior llego a la conclusin de que el instituto muestra

puntos muy favorables en cuanto a la administracin, direccin,
usuario y control interno, pero en desarrollo e implementacin de
nuevas tecnologas y sistemas su condicin es psima.

Utilizo la palabra psima porque no cuentan con un plan a futuro con

los nuevos avances y las nuevas implementaciones informticas.
Desde hace varios aos siguen utilizando los mismos dispositivos y no
cuentan con un plan
de actualizacin para prestar un buen servicio.

Elabor una gua de trabajo para los controles aplicando la

metodologa CRMR en el rea de informtica de una empresa.

R/ Gua
Datos necesarios para confeccionar la gua de trabajo empleando el
mtodo CRMR

Datos de mantenimiento preventivo de hardware.

Informes de anomalas de los sistemas.
Procedimientos estndar de actualizacin.
Procedimientos de emergencia.
Monitorizacin de los sistemas.
Informes del rendimiento de los sistemas.
Mantenimiento de las libreras de programas Gestin de espacio en
disco.
Documentacin de entrega de aplicaciones a explotacin.
Documentacin de alta de cadenas en explotacin.
Utilizacin de CPU, canales y discos.
Datos de paginacin de los sistemas.
Volumen total y libre de almacenamiento.
Ocupacin media de disco.
Manuales de procedimientos de explotacin.

Utilizando el levantamiento y anlisis de riesgos de una empresa,

elabor el cuadro de evaluacin de los controles respectivos.
En las siguientes checklists, las respuestas se calificarn de 1 a
5, siendo 1 la ms Deficiente y 5 la mxima puntuacin.

Control de Accesos: Autorizaciones

Preguntas
Respuestas
Puntos
Existe
un
nico
responsable
de
implementar
la
poltica de
Autorizaciones
de
entrada en el Centro Si, el director que a la
de Clculo?
vez es el dueo del
4
instituto
Existe
alguna
autorizacin
permanente
de
estancia de
Personal ajeno a la
Ninguna
persona
empresa?
ajena
al
instituto
cuenta con permisos
5
Quines saben
cules son las
personas
autorizadas?

Los
secretarias
personal
vigilancia

tutores,
y
el
de

Adems
de
la
tarjeta magntica de
identificacin,
hay No existe mecanismo
que
pasar
otra identificacin del
especial?
personal
Se pregunta a las
visitas si
piensan visitar el
Centro de
Clculo?

No.

1
3

Se prevn las visitas

al Centro de Clculo
con 24 horas al
menos?

No por lo general
entran acompaados
de los tutores u otro
personal

TOTAL
AUTORIZACIONES

1
19/20
95%

Control de Accesos: Controles Automticos

Preguntas
Respuestas
Cree Ud. que los
No
cuenta
con
Controles
Automticos
son controles
adecuados?
automticos,
1
Quedan registradas
todas las entradas y No existe control de
salidas del Centro de entradas y salidas de
Clculo?
personal en los
centros de clculo.
Al final de cada
se
hacen
turno, Se controla el No,
del
nmero de entradas controles
y
salidas
del personal que entra y
personal
de tampoco
del
Operacin?
personal que sale

No cuentan con este

sistema, por ende el
puede
Puede salirse del personal
Centro de Clculo sin entrar y salir sin
tarjeta magntica?
ningn impedimento

TOTAL
CONTROLES AUTOMATICOS

4/20
20%

Control de Accesos: Vigilancia

Preguntas
Respuestas
Hay vigilancia las 24
No
horas?
Existen circuitos
cerrados de tv
No
exteriores?
Identificadas
las
visitas.
Se
les
acompaa hasta la
persona que desean
Si
ver?
Conocen los
vigilantes los
terminales que deben
quedar encendidos
Si
por la noche?
TOTAL:
VIGILANCIA

5
8/20
40%

Control de Accesos: Vigilancia

Preguntas
Respuestas
Puntos
Si existen polticas
de
seguridad
de
registros.
Solo
que
Existe una adecuada
hasta el momento no
poltica de registro?
1
han sido necesarias
Se ha registrado
alguna vez a una
persona?
Si
5
Se abren todos los No,
se
le
hace
paquetes dirigidos a entrega del paquete
personas concretas y a cada persona.

no a informtica?
Hay un cuarto para
abrir los paquetes?
No existe tal cuarto.
TOTAL:
REGISTROS

1
8/20
40%