Scribd Logo
Upload

Welcome to Scribd!

  • Ejemplos de Observaciones Explicacion

    Uploaded by

    Gino Paul Gonzales Custodio
    78 views4 pages
    Ejemplo de Observacione de auditoria

    Copyright

    © © All Rights Reserved

    Available Formats

    DOCX, PDF, TXT or read online from Scribd

    Did you find this document useful?

    Is this content inappropriate?

    Report this Document
    Ejemplo de Observacione de auditoria

    Copyright:

    © All Rights Reserved
    Download as DOCX, PDF, TXT or read online from Scribd
    Flag for inappropriate content
    78 views4 pages

    Ejemplos de Observaciones Explicacion

    Uploaded by

    Gino Paul Gonzales Custodio
    Ejemplo de Observacione de auditoria

    Copyright:

    © All Rights Reserved
    Download as DOCX, PDF, TXT or read online from Scribd
    Flag for inappropriate content
    of 4

    EJEMPLOS DE OBSERVACIONES SOLO CON FINES ACADEMICOS LAS

    ORGANIZACIONES CITADAS SON FICTICIAS


    Material preparado por Ms. Ing. Edwin Valencia Castillo
    MySQL Server se ejecuta como un usuario sin privilegios.

    (Una observacin tiene lo siguiente: condicin, criterio, causa y efecto, aparte


    del ttulo de la observacin.
    Cul es la condicin? La condicin es lo que estoy observando, es la situacin
    como encuentras el problema.
    El criterio es la norma base, la base terica o la buena prctica o estndar. En
    qu base en que estas observando?
    La causa es porque se gener? Quin genera? Porque se genera eso? La
    raz del problema.
    El efecto es lo que puede ocasionar. Las posibles consecuencias.
    Luego siempre se coloca la recomendacin. Que se recomienda como auditor
    para reducir o minimizar el riesgo que se puede ocasionar esa observacin.
    En todo trabajo de auditoria, se va observar, las observaciones tienen que tener
    esas partes. Una observacin tiene que estar redactada de manera coloquial, de
    corrido. Talvez se pueda poner primero la causa, luego el criterio y despus la
    condicin. Se debe estructurar de la manera que ms mejor se entienda, la
    cuestin que debe tener las 4 partes, no importa el orden. Luego de hacer todo
    eso se hace la recomendacin, recordar que la recomendacin no debe estar
    ligada a una tecnologa.
    La observacin debe estar redactado en un solo prrafo.)
    1. SE HA DETERMINADO UN RIESGO EN LA SEGURIDAD DE LA INFORMACIN
    Y LA CONTINUIDAD OPERACIONAL EN CASO DE CONTINGENCIA DEBIDO A
    QUE EL PLAN DE CONTINUIDAD DEL NEGOCIO Y PLAN DE SEGURIDAD DE LA
    INFORMACION NO HA SIDO ACTUALIZADO RESPECTO A LOS ULTIMOS
    CAMBIOS TECNOLOGICOS REALIZADOS EN LA CMAC LIMA SA.
    De la informacin alcanzada, la cual fue analizada y evaluada, se pudo determinar que
    el plan de continuidad del negocio y plan de seguridad de la informacin, no ha sido
    actualizado respecto a los ltimos cambios tecnolgicos realizados en la CMAC LIMA
    SA, como es el la puesta en produccin del nuevo sistema SISTEMA FINANCIERO
    SIF y la poltica de backup a travs del sistema Tivoli Storage Management,
    incumplindose la circular G-105-2002 emitida por la SBS.
    (en el prrafo anterior explica la condicin: como es el la puesta en produccin
    del nuevo sistema SISTEMA FINANCIERO SIF y la poltica de backup a travs del

    EJEMPLOS DE OBSERVACIONES SOLO CON FINES ACADEMICOS LAS


    ORGANIZACIONES CITADAS SON FICTICIAS
    Material preparado por Ms. Ing. Edwin Valencia Castillo
    sistema Tivoli Storage Management y el criterio: incumplindose la circular G105-2002 emitida por la SBS.(norma base en la cual estoy contrastando para
    hacer la observacin)
    Asimismo dichos planes presentan deficiencias que deben ser consideradas al ser
    actualizados, entre otros podemos citar a:
    1. Se debe designar de manera oficial al responsable de monitorear el desarrollo,
    implementacin y mantenimiento a Plan de continuidad de negocio y Plan de
    Seguridad de la informacin.
    2. El plan de continuidad debe describir los procesos crticos de la CMAC LIMA
    SA, en forma detallada.
    3. Por la magnitud de operaciones la CMAC LIMA debe considerar la
    implementacin de un centro de cmputo alterno.
    4. El plan de contingencia debe especificar cules son los procedimientos para el
    entrenamiento del personal que participara durante una contingencia.
    5. El plan de continuidad debe definir los procedimientos para realizar pruebas al
    plan as como su mantenimiento.
    Sin embargo a la fecha la CMAC LIMA ha contratado los servicios de una empresa
    consultora la cual est encargada de actualizar el Plan de continuidad del negocio y
    plan de seguridad de la informacin, que le permita afrontar eventos contingentes y
    garantizar la seguridad de la informacin. (mientras no se haga el plan de
    continuidad seguir siendo una observacin)
    Teniendo como referencia la Resolucin SBS N 006-2002, la circular G-105-2002, y la
    documentacin presentada por la caja, durante el trabajo de campo, se pudo
    determinar que no se estn cumpliendo con las polticas y procedimientos para la
    administracin de los riesgos asociados a las tecnologas de informacin emitidos por
    la SBS, determinndose que

    al no tener actualizado el Plan de seguridad de la

    informacin se est, contraviniendo el artculo 5 de la circular G 105-2002 que indica


    que Las empresas debern establecer, mantener y documentar un sistema de
    administracin de seguridad de la informacin en adelante Plan de Seguridad de la
    Informacin. Adems, no tener actualizado el plan de continuidad del negocio, se est
    contraviniendo con el artculo 11 de la circular G 105-2002, que indica que Las
    empresas, bajo responsabilidad de la Gerencia y el Directorio, deben desarrollar y
    mantener un "Plan de Continuidad de Negocios" (PCN), que tendr como objetivo

    EJEMPLOS DE OBSERVACIONES SOLO CON FINES ACADEMICOS LAS


    ORGANIZACIONES CITADAS SON FICTICIAS
    Material preparado por Ms. Ing. Edwin Valencia Castillo
    asegurar un nivel aceptable de operatividad de los procesos crticos, ante fallas
    mayores internas o externas. (el efecto: contraviniendo el articulo 5 de la circular
    G 105-2002 que indica )
    La existencia del Plan de continuidad del Negocio actualizado, el Plan de Seguridad de
    la Informacin actualizado y sus evaluaciones permitirn que la CMAC LIMA S.A.
    responder gilmente ante cualquier evento contingente, dichos documentos no ha sido
    actualizado respecto a los ltimos cambios tecnolgicos, no evidencindose ninguna
    prueba durante el periodo 2008, lo cual ha generado un riesgo en la seguridad de la
    informacin y la continuidad operacional en caso de contingencia.
    RECOMENDACIN:
    La gerencia debe disponer que el departamento de Tecnologa de la Informacin
    elabore herramientas complementarias que le permita afrontar eventos contingentes
    ante la falta del Plan de continuidad del negocio y plan de seguridad de la informacin
    actualizada, mientras dure el proceso de actualizacin de dichos documentos.
    (la recomendacin es al titular, al jefe de todos, al gerente, en esa recomendacin dice que no
    hay plan, no esta actualizado, pero puede pasar eventos contingentes, la gerencia debe
    disponer que el rea de ti se prepare por si acaso)

    2. EL PLAN ESTRATEGICO DE SISTEMAS DE INFORMACION DE LA


    CMAC LIMA SA PRESENTA ALGUNAS DEFICIENCIAS
    De la informacin solicitada al departamento de tecnologa de la informacin y de la
    entrevista sostenida con su jefe, se determin que el plan estratgico de sistemas de
    informacin presenta algunas deficiencias que de ser corregidas permitirn mejorar la
    administracin del rea.
    Al revisar dicho plan se pudo determinar que dicho documento tiene algunas
    deficiencias en su contenido, las cuales debe ser mejoradas, estas se describen a
    continuacin:

    No se han especificado las estrategias generales y especificas que espera


    alcanzar el Departamento de Tecnologa de la Informacin en el periodo

    especificado.
    No se han especificado los procesos de negocio de la CMAC LIMA SA.
    El plan no detalla la arquitectura de sistemas de informacin actual y la que se

    espera alcanzar en el futuro.


    El plan no detalla la infraestructura tecnolgica de la CMAC LIMA SA.

    EJEMPLOS DE OBSERVACIONES SOLO CON FINES ACADEMICOS LAS


    ORGANIZACIONES CITADAS SON FICTICIAS
    Material preparado por Ms. Ing. Edwin Valencia Castillo

    El Plan estratgico informtico 2008, no contempla una anlisis de la


    problemtica

    actual

    realizando

    anlisis

    de

    fortalezas,

    debilidades,

    oportunidades y amenazas as como el alineamiento con el plan estratgico

    institucional.
    Los objetivos y metas no se expresan en forma cuantificable.
    No se han especificado en forma detallada las fechas de inicio y propuestos

    para cada proyecto.


    Al no especificar actividades, no existe asignacin de responsables.
    No existen mecanismos de control del avance del Plan estratgico informtico

    2008
    No se incluye el presupuesto necesario aproximando de los gastos de inversin
    por proyecto informtico

    Al respecto la norma de control Interno para Tecnologas de Informacin y


    comunicaciones en su comentario 02 indica que para el funcionamiento de las TIC, la
    entidad debe disear controles en la etapa de planificacin y organizacin, es decir
    que debe mantener un plan estratgico de sistemas de informacin acorde a las
    necesidades de la CMAC LIMA SA con el objeto de preveer que el desarrollo de sus
    actividades contribuya al logro de sus objetivos institucionales, contraviniendo esta
    norma por las deficiencias encontradas.

    RECOMENDACIN:
    La gerencia general debe disponer que el jefe del departamento de Tecnologa
    de Informacin adecue el plan estratgico de sistema de informacin respecto
    a las deficiencias encontradas y su respectiva aprobacin por la rgano
    superior respectivo.

    You might also like