Auditoria de sistemas

Fase 4 – Resultados
de la auditoria

Elaborado por:
Héctor Alonso Ortiz Vargas
C.C: 1.036.395.578

Presentado a:
Francisco Nicolás Solarte
Tutor

Universidad Nacional Abierta y a Distancia UNAD

Ingeniería de Sistemas

El Carmen de Viboral, noviembre 2020

 1. Elaborar el formato de hallazgos para cada uno de los riesgos cuyo
tratamiento sea controlarlo o ejercer control.

ANALISIS Y EVALUACIÓN DE RIESGOS

Calificación Nivel de
N° Descripción Probabilidad
Impacto impacto/Probabilidad
Evaluaciones de desempeño poco constantes a
R1 Moderado/Probable
empleados del área TI. 3 4
R2 No tiene plan de correctivos para evaluaciones de Moderado/Posible
desempeño poco favorables. 3 3
No tiene definido los roles del trabajo y las
R3 Mayor/Posible
responsabilidades del personal del área TI. 4 3
R4 La empresa no cuenta con una dependencia Menor/Improbable
establecida para el área TI. 2 2
No se realiza investigación de antecedentes de los Catastrófico/Casi
R5
empleados antes del ingreso. 5 5 seguro
No cuenta con restricción de cuentas de acceso a Catastrófico/Casi
R6 la información de la empresa para el personal que
seguro
sale del área TI. 5 5
R7 Poco seguimiento de habilidades y competencias Moderado/Posible
del personal del área TI. 3 3

ID.
Descripción Riesgo Tratamiento Riesgo
Riesgo
Evaluaciones de desempeño poco constantes a
R1 Transferirlo
empleados del área TI.
No tiene plan de correctivos para evaluaciones de
R2 Controlarlo o reducirlo
desempeño poco favorables.
No tiene definido los roles del trabajo y las
R3 Transferirlo
responsabilidades del personal del área TI.
No se realiza investigación de antecedentes de los
R5 Reducirlos
empleados antes del ingreso.
No cuenta con restricción de cuentas de acceso a la
R6 información de la empresa para el personal que sale del Reducirlos
área TI.
 REF
 
HALLAZGO 1
HHDN_O1
 
Recursos Humanos de PÁGINA
PROCESO AUDITADO
TI 1 DE 1
RESPONSABLE Héctor Ortiz Vargas
MATERIAL DE SOPORTE COBIT
Planear y
PO7 Administrar
DOMINIO Organizar PROCESO
Recursos Humanos de TI
(PO)
DESCRIPCIÓN:
No cuenta con restricción de cuentas de acceso a la información de la empresa
para el personal que sale del área TI.
CAUSAS:
No se está informando al área encargada de la creación de usuarios de accesos
del retiro de los trabajadores.
CONSECUENCIAS:
El personal que sale de la empresa queda con el acceso para ingresar a toda
información que manejaba.
Obtener los datos personales de los clientes y vendérselos a la competencia
Obtener información confidencial (como formulas químicas) y venderlas o
plagiarlas.
Borrar o divulgar información importante
VALORACIÓN DEL RIESGO:
Catastrófico/Casi seguro
RECOMENDACIONES:
El área de recursos humanos tendrá la responsabilidad de informar por medio de
un correo electrónico al área encargada de la creación de los perfiles de la salida
de una trabajador del área TI.
El área de la creación de los usuarios deberá realizar mensualmente revisión de
los perfiles activos y cerciorarse de que esas personas actualmente si se
encuentren laborando y ejecutando labores para el perfil que tienen asignado.
EVIDENCIAS - REF_PT:
Acceso de uno de los ex empleados de la empresa a la plataforma que manejan.
 REF
 
HALLAZGO 2
HHDN_O1
 
Recursos Humanos de PÁGINA
PROCESO AUDITADO
TI 1DE 1
RESPONSABLE Héctor Ortiz Vargas
MATERIAL DE SOPORTE COBIT
Planear y
PO7 Administrar
DOMINIO Organizar PROCESO
Recursos Humanos de TI
(PO)
DESCRIPCIÓN:
No se realiza investigación de antecedentes de los empleados antes del ingreso.
CAUSAS:
Contratar personal con antecedentes judiciales, despedidos por fraude o robo.
CONSECUENCIAS:
Tener empleados delincuentes.
Que la empresa incurra en algún tipo de sanción o problema judicial a causa de
un empleado.
Poner en riesgo la información de la empresa.
Poner en riesgo el buen nombre de la empresa.
VALORACIÓN DEL RIESGO:
Catastrófico/Casi seguro
RECOMENDACIONES:
* Verificar los antecedentes judiciales de los empleados a contratar.
* Llamar a cerciorarse de las experiencias laborales y pedir recomendación de
ellos.
Verificar la autenticidad de los documentos.
Decidir si contrata o no al candidato.
EVIDENCIAS - REF_PT:
Entrevista: Área de recursos humanos.

REF
HALLAZGO 3
 
 HHDN_O1
 
Recursos Humanos de PÁGINA
PROCESO AUDITADO
TI 1 DE 1
RESPONSABLE Héctor Ortiz Vargas
MATERIAL DE SOPORTE COBIT
Planear y
PO7 Administrar
DOMINIO Organizar PROCESO
Recursos Humanos de TI
(PO)
DESCRIPCIÓN:
No tiene definido los roles del trabajo y las responsabilidades del personal del
área TI.
CAUSAS:
Dejar de hacer tareas importantes.
CONSECUENCIAS:
Retraso en el tiempo de entrega o informes.
Reprocesos en las actividades.
Ocasionar mal ambiente laboral.
No cumplir a cabalidad con la razón social de la empresa.
VALORACIÓN DEL RIESGO:
Mayor/Posible
RECOMENDACIONES:
Realizar evaluación semestral del cumplimiento de los roles y responsabilidades
del personal del área TI.
Por medio del supervisor recibir información periódica sobre el cumplimiento de
metas establecidas.
Contratar con un tercero experto en procesos para que se encargue de elaborar
los roles y responsabilidad de los empleados del área de TI.
EVIDENCIAS - REF_PT:
Alta deserción del personal del área de TI (El área de Recursos humanos
manifiesta que es por no tener roles y responsabilidades establecidas)

REF
 
HALLAZGO 4
HHDN_O1
 
 Recursos Humanos de PÁGINA
PROCESO AUDITADO
TI 1 DE 1
RESPONSABLE Héctor Ortiz Vargas
MATERIAL DE SOPORTE COBIT
Planear y
PO7 Administrar
DOMINIO Organizar PROCESO
Recursos Humanos de TI
(PO)
DESCRIPCIÓN:
No tiene plan de correctivos para evaluaciones de desempeño poco favorables.
CAUSAS:
Contar con personal poco eficiente.
CONSECUENCIAS:
Bajo rendimiento.
Incumplimiento de metas.
Perdidas económicas
Quejas constantes por parte de los empleados de las demás áreas.
VALORACIÓN DEL RIESGO:
Moderado/Posible
RECOMENDACIONES:
Realizar capacitación a los empleados 4 veces al año.
Despedir personal que tenga bajo rendimiento en las evaluaciones de
desempeño.
EVIDENCIAS - REF_PT:
Evaluaciones de desempeño.

REF
 
HALLAZGO 5
HHDN_O1
 
PROCESO AUDITADO Recursos Humanos de PÁGINA
 TI 1 DE 1
RESPONSABLE Héctor Ortiz Vargas
MATERIAL DE SOPORTE COBIT
Planear y
PO7 Administrar
DOMINIO Organizar PROCESO
Recursos Humanos de TI
(PO)
DESCRIPCIÓN:
Evaluaciones de desempeño poco constantes a empleados del área TI.
CAUSAS:
No hay una persona encargada de realizar evaluaciones de desempeño del area
TI.
CONSECUENCIAS:
Empleados poco comprometidos.
No se logran mejorar los procesos, porque no se conocen las falencias.
VALORACIÓN DEL RIESGO:
Moderado/Probable
RECOMENDACIONES:
De acuerdo a los resultados de las evaluaciones realizadas, capacitar al personal
en las falencias encontradas.
Por medio del supervisor detectar las personas con falencias y de esta manera
brindarles refuerzo en la información, para que mejoren en sus procesos.
Contratar con un tercero experto en evaluaciones de desempeño para que
realice evaluaciones de forma periódica y de un informe de resultado al área de
Recursos Humanos.
EVIDENCIAS - REF_PT:
Evaluaciones de desempeño.

2. Elaborar un cuadro de los controles propuestos, y clasificarlos como

controles preventivos, detectivos y correctivos.

RIESGOS o
TIPO DE
HALLAZGOS SOLUCIONES O CONTROLES
CONTROL
ENCONTRADOS
No cuenta con restricción PREVENTIVO El área de recursos humanos tendrá
 la responsabilidad de informar por
medio de un correo electrónico al
área encargada de la creación de
los perfiles de la salida de una
trabajador del área TI.
El área de la creación de los
de cuentas de acceso a la usuarios deberá realizar
información de la empresa mensualmente revisión de los
para el personal que sale perfiles activos y cerciorarse de que
del área TI. DETECTIVO
esas personas actualmente si se
encuentren laborando y ejecutando
labores para el perfil que tienen
asignado.
CORRECTIVO  
* Verificar los antecedentes
judiciales de los empleados a
contratar.
No se realiza PREVENTIVO
* Llamar a cerciorarse de las
investigación de experiencias laborales y pedir
antecedentes de los recomendación de ellos.
empleados antes del Verificar la autenticidad de los
ingreso. DETECTIVO
documentos.

CORRECTIVO Decidir si contrata o no al candidato.

Realizar evaluación semestral del
cumplimiento de los roles y
PREVENTIVO
responsabilidades del personal del
área TI.
No tiene definido los roles Por medio del supervisor recibir
del trabajo y las información periódica sobre el
DETECTIVO
responsabilidades del cumplimiento de metas
personal del área TI. establecidas.
Contratar con un tercero experto en
procesos para que se encargue de
CORRECTIVO
elaborar los roles y responsabilidad
de los empleados del área de TI.
Realizar capacitación a los
No tiene plan de PREVENTIVO
empleados 4 veces al año.
correctivos para
evaluaciones de DETECTIVO  
desempeño poco
favorables. Despedir personal que tenga bajo
CORRECTIVO
rendimiento en las evaluaciones de
 desempeño.
De acuerdo a los resultados de las
evaluaciones realizadas, capacitar
PREVENTIVO
al personal en las falencias
encontradas.
Por medio del supervisor detectar
las personas con falencias y de esta
Evaluaciones de
DETECTIVO manera brindarles refuerzo en la
desempeño poco
información, para que mejoren en
constantes a empleados
sus procesos.
del área TI.
Contratar con un tercero experto en
evaluaciones de desempeño para
que realice evaluaciones de forma
CORRECTIVO
periódica y de un informe de
resultado al área de Recursos
Humanos.

A continuación, se presentan los resultados definitivos de la auditoria y las

recomendaciones de mejoramiento por cada proceso COBIT auditado, una vez
revisadas las observaciones y aclaraciones hechas por la empresa al grupo
auditor.

PROCESO COBIT: PO7 Administrar Recursos Humanos de TI

a. Objetivo de la Auditoria: Verificar practicas definidas y aprobadas que

apoyen el reclutamiento, entrenamiento, evaluación de desempeño,
 promoción y terminación del personal en el área de recursos humanos de
TI.

b. Dictamen: Se califica un nivel de madurez 3 DEFINIDO, ya que cuenta con

procesos estandarizados que se documentan y comunican; Sin embargo,
no se capacita constantemente al personal encargado, no se miden las
evaluaciones de desempeño y no cuenta con puestos de trabajo
establecidos, por lo que se le dificulta cumplir a cabalidad con las metas de
la organización.

c. Hallazgos que soportan el Dictamen:

- No cuenta con restricción de cuentas de acceso a la información de la

empresa para el personal que sale del área TI.
- No se realiza investigación de antecedentes de los empleados antes del
ingreso.
- No tiene definido los roles del trabajo y las responsabilidades del personal
del área TI.
- No tiene plan de correctivos para evaluaciones de desempeño poco
favorables.
- Evaluaciones de desempeño poco constantes a empleados del área TI.

d. Recomendaciones:

- El área de recursos humanos tendrá la responsabilidad de informar por

medio de un correo electrónico al área encargada de la creación de los
perfiles de la salida de un trabajador del área TI.
- El área de la creación de los usuarios deberá realizar mensualmente
revisión de los perfiles activos y cerciorarse de que esas personas
actualmente si se encuentren laborando y ejecutando labores para el perfil
que tienen asignado.
- Verificar los antecedentes judiciales de los empleados a contratar.
- Llamar a cerciorarse de las experiencias laborales y pedir recomendación
de ellos.
- Verificar la autenticidad de los documentos.
- Decidir si contrata o no al candidato.
- Realizar evaluación semestral del cumplimiento de los roles y
responsabilidades del personal del área TI.
- Por medio del supervisor recibir información periódica sobre el
cumplimiento de metas establecidas.
- Contratar con un tercero experto en procesos para que se encargue de
elaborar los roles y responsabilidad de los empleados del área de TI.
- Realizar capacitación a los empleados 4 veces al año.
- Despedir personal que tenga bajo rendimiento en las evaluaciones de
desempeño.
- De acuerdo a los resultados de las evaluaciones realizadas, capacitar al
personal en las falencias encontradas.
- Por medio del supervisor detectar las personas con falencias y de esta
manera brindarles refuerzo en la información, para que mejoren en sus
procesos.
- Contratar con un tercero experto en evaluaciones de desempeño para que
realice evaluaciones de forma periódica y de un informe de resultado al
área de Recursos Humanos.