CUADRO DE DEFINICION DE FUENTES DE CONOCIMIENTO y PRUEBAS DE ANALISIS Y EJECUCCIÓN REF FUENTES DE CONOCIMIENTO, PRUEBAS
Views 88 Downloads 0 File size 121KB
CUADRO DE DEFINICION DE FUENTES DE CONOCIMIENTO y PRUEBAS DE ANALISIS Y EJECUCCIÓN
REF FUENTES DE CONOCIMIENTO, PRUEBAS DE ANALISIS DE AUDITORIA
PAGINA 1 DE 1
ENTIDAD AUDITADA
Empresa de Telefonía móvil CLARO
PROCESO AUDITADO
Contratación TI
RESPONSABLE
Lina Marcela Ramírez, Brayan Alexis Pedraza, Erika Esmeralda Meneses.
MATERIAL DE SOPORTE DOMINIO PROCESO
COBIT
Planeación y Organización (PO) PO7 Administrar Recursos Humanos de TI
FUENTES DE CONOCIMIENTO
Los datos utilizados como fuente de conocimiento y base de la empresa de telefonía móvil CLARO se tomaron de la página web https://www.elempleo.com/ sitiosempresariales/colombia/cl arocolombia/quienes_somos. asp
REPOSITORIO DE PRUEBAS APLICABLES DE ANALISIS DE EJECUCION
Mediante una serie de pruebas de observación al recurso humano de la empresa, se pretende establecer las posibles falencias que presenta en lo pertinente al cumplimiento de roles, entrenamiento y evaluación de desempeño.
Los formularios web son herramientas que permiten ser aplicadas al recurso humano y a algunos clientes de la empresa, permitiendo reflejar si se está cumpliendo con la objetividad de la misma, para establecer estrategias administrativas de aplicación.
AUDITOR RESPONSABLE:
Lina Marcela Ramírez Carvajal
LISTA CHEQUEO DOMINIO
Planear y Organizar (PO)
OBJETIVO DE CONTROL
PO7 Administrar Recursos Humanos de TI
PROCESO
PO7.3 Asignación de Roles:
Nº
ASPECTO EVALUADO
1
¿Existe un organigrama institucional que permita conocer y establecer los diferentes roles que deben cumplir los funcionarios según el área donde se encuentren ubicados?
CONFORME
SI
NO
OBSERVACIÓN
x
OBJETIVO DE CONTROL PO7.4 Entrenamiento del Personal de TI:
2
¿Se realiza entrenamiento, capacitación oportuna e inducción a los funcionarios que ingresan a la empresa o son cambiados de puesto de trabajo?
x
En algunos casos
OBJETIVO DE CONTROL PO7.7 Evaluación del Desempeño del Empleado:
3
¿Se realiza evaluación de desempeño periódica y anual dejando los respectivos soportes de la aplicación, a todo el recurso humano de la empresa?
x
No hay soportes de la aplicación.
FORMATO ENTREVISTA ENTIDAD AUDITADA
Empresa de telefonia móvil CLARO
PAGINA
OBJETIVO
Conocer los problemas relacionados con la ejecución de los
1
DE
1
AUDITORÍA
procesos administrativos y de software para el mejoramiento continuo y la prestación del servicio a los usuarios.
PROCESO PO7: Administrar Recursos Humanos de TI AUDITADO RESPONSABLE Lina Marcela Ramírez MATERIAL DE SOPORTE COBIT DOMINIO Planear y Organizar PROCESO PO7: Administrar Recursos (PO) Humanos de TI ENTREVISTADO CARGO
AZUCENA GOMEZ LIZ Técnico Operativo de la oficina de sistemas
Tema 1: Hardware, Software y equipos de cómputo 1. ¿Cuenta con las herramientas (hardware y software) necesarias para el desempeño de las funciones? Si, la empresa cuenta con equipos nuevos y programas con licencia. 2. ¿El equipo de cómputo asignado se encuentra actualizado y en buen estado? Sí, me asignaron un equipo de cómputo nuevo. 3. ¿Cuántas capacitaciones ha recibido para el manejo de los programas de la dependencia? La inducción, el manejo de los programas y una actualización en TI. 4. ¿Qué nivel de conocimientos tiene en el manejo de un Computador y/o Móvil? Tengo un nivel conocimientos básicos, espero poder aprender mucho más. Tema 2: Atención a usuarios 5. ¿Usted da respuesta oportuna a los usuarios cuando recibe una solicitud? Sí, todo depende del orden en el cual son recibidas. 6. ¿Usted ha recibido capacitaciones en atención al cliente? Si, cuando ingrese a la empresa. 7. ¿Cuántas solicitudes atiende al día? Un promedio entre 15 y 20 solicitudes al día 8. ¿Qué tipo de atención brinda a los usuarios?
Asistencia técnica personalizada o telefónica según corresponda 9. ¿Ha tenido problemas con los usuarios al momento de prestar atención personalizada o telefónica? Si, algunos usuarios se exaltan con facilidad al no poder solucionar inmediatamente sus problemas con el sistema o por daños en los equipos. 10. ¿Cómo resuelve los problemas que se han presentado? Procuro ser honesto con el cliente para que comprenda la situación y los casos más complejos son remitidos al jefe del área para dar solución. 11. ¿Cuál es el tiempo máximo en solucionar o dar respuesta a un requerimiento recibido por parte de un usuario? Se procura dar respuesta una vez es recibido, pero normalmente contamos con 3 o 4 días hábiles para proporcionar una solución.
AZUCENA GOMEZ LIZ
LINA MARCELA RAMIREZ
Entrevistado Firma
Auditor Responsable Firma
FORMATO CUESTIONARIO Oficina de Sistemas de la Empresa CLARO Cuestionario de Control: C1 Dominio Planear y Organizar (PO) Proceso PO7: Administrar Recursos Humanos de TI
Pregunta ¿La empresa cuenta con el personal necesario para atender las solicitudes recibidas?
Si
¿Los empleados conocen y aplican los 4 acuerdos de confidencialidad de la información de la empresa? ¿Existe un programa de bienestar laboral en la 3 empresa? ¿Los funcionarios se encuentran vinculados a 3 un programa de bienestar laboral? ¿Las pausas activas se realizan según corresponde?
No OBSERVACIONES 4 Algunos funcionarios deben apoyar otros procesos.
4
¿Las capacitaciones de actualización de TI se realizan periódicamente? ¿El entorno laboral hace posible una convivencia adecuada?
3
¿La empresa realiza la evaluación desempeño a todos los funcionarios?
de
4
¿Los funcionarios cuentan con un puesto de trabajo y condiciones adecuadas para el desempeño de sus funciones?
3
¿Ante la ausencia injustificada de un funcionario 4 que la empresa toma alguna medida? Indagan al respecto Asignan un funcionario en remplazo por la ausencia Despiden al funcionario No hacen nada ¿La empresa hace seguimiento al cumplimiento 4 del horario laboral por parte de todos los funcionarios? TOTALES 18
3
Solo cuando la demanda laboral es menor. Solo en algunos casos. Hay funcionarios que indisponen el entorno laboral. Ocasionalmente cuando no se cumplen las metas. Algunos compañeros comparten puestos de trabajo. Asignan un funcionario en remplazo por la ausencia.
Existen algunas excepciones. 21
La escala de calificación de cada una de las preguntas va de 1 hasta 5, la calificación puede ir en el SI, en el NO, donde 1 significa que no es importante tener el control para el auditor y 5 significa que es importante que se tenga el control, el auditor debe tratar de dar estas calificaciones lo más objetivamente posible para aplicar la fórmula y calcular el porcentaje de riesgo.
Las equivalencias utilizadas para la puntuación serán de uno a cinco, siendo uno el valor mínimo considerado de poca importancia y cinco el máximo considerado de mucha importancia. PORCENTAJE DE RIESGO: Hace referencia a la probabilidad de que el proceso se vea afectado por las acciones de las cuales se está indagando, entre mas alto el porcentaje mayor probabilidad de riesgo tiene el proceso de salir perjudicado. PREGUNTA: ¿Cuál es la probabilidad de que la empresa CLARO no preste una atención oportuna los usuarios a raíz de la administración del recurso humano? SI – NO: Posibilidades de respuesta, cumple, no cumple, o no aplica para la entidad. El cálculo de este porcentaje se hace de la siguiente forma: Porcentaje de riesgo parcial = (Total SI * 100) / Total Porcentaje de riesgo = 100 - Porcentaje de riesgo parcial Porcentaje de riesgo parcial = (18 * 100) / 39 = 46,15% Porcentaje de riesgo = 100 – 46,15 = 53,85% Para determinar el nivel de riesgo total, se tiene en cuenta la siguiente categorización: 1% - 30% = Riesgo Bajo 31% - 70% = Riesgo Medio 71% - 100% = Riesgo Alto RIESGO: Porcentaje de riesgo parcial: ¿ 46,15 % Porcentaje de riesgo = 53,85% Impacto según relevancia del proceso: Riesgo Medio
FORMATO CUESTIONARIO PARA SEGUIMIENTO Oficina de Sistemas de la Empresa CLARO Cuestionario de servicio requeridos
Dominio
Planeación y Organización (PO). Este dominio cubre las estrategias y las tácticas, tiene que ver con identificar la manera en que las tecnologías de información pueden contribuir de la mejor manera al logro de los objetivos de una entidad. Proceso Evaluar el servicio de la empresa claro Pregunta Si No OBSERVACIONES ¿Existen soportes de auditorías 3 realizadas anteriormente? ¿Los hallazgos encontrados en las Solo algunos auditorias anteriores fueron 3 hallazgos. subsanados? ¿Existen archivos físicos o digitales que permitan verificar la 4 información general (hojas de vida) del recurso humano de la empresa? ¿Se cuenta con registros históricos que evidencien la prestación del 4 servicio a los usuarios? ¿Se cuenta con registros físicos de las capacitaciones, talleres de 3 actualización e inducción realizada a funcionarios? TOTALES 7 10 Porcentaje de riesgo parcial = (Total SI * 100) / Total Porcentaje de riesgo = 100 – Porcentaje de riesgo parcial Porcentaje de riesgo parcial = (7* 100) / 17 = 41,17% Porcentaje de riesgo = 100 – 41,17 = 58,83% Para determinar el nivel de riesgo total, se tiene en cuenta la siguiente categorización: 1% - 30% = Riesgo Bajo 31% - 70% = Riesgo Medio 71% - 100% = Riesgo Alto
RIESGO: Porcentaje de riesgo parcial: ¿ 4 1,17 % Porcentaje de riesgo = 58,83% Impacto según relevancia del proceso: Riesgo Medio
Elaborar un cuadro de las vulnerabilidades, amenazas y riesgos detectados para cada proceso evaluado aplicándolos en el proceso de seguridad en la información VULNERABILIDADES, AMENAZAS Y RIESGOS DETECTADOS R1
Falta de recurso humano en la empresa
R2
Los empleados no cuentan con las capacitaciones y actualización de información necesaria para el desempeño de las actividades.
R3
Aún existen hallazgos de auditorías anteriores sin resolver.
R4
No se cuenta con estrategias que permitan brindar información y solución oportuna a los requerimientos de los usuarios.
R5
No existe un control al cumplimiento de las funciones y el horario laboral de la totalidad de los empleados.
R6
Perdida de información histórica de la empresa.
R7
La empresa no tiene asignado un puesto de trabajo por cada empleado, para garantizar la prestación de los servicios.
R8
Solo se cuenta con atención personalizada y telefónica
R9
Los funcionarios de la oficina de sistemas deben remplazar a aquellos que se ausentan de sus labores.
Realizar el análisis y evaluación de riesgos para cada proceso asignado aplicándolos en el proceso de seguridad en la información ANALISIS Y EVALUACIÓN DE RIESGOS N° R1
R2
Descripción
Falta de recurso humano en la empresa Los empleados no cuentan con las capacitaciones y actualización de información necesaria para el desempeño de las actividades.
Probabilidad Impacto Baja Media Alta Leve Moderado Catastrófico X X X X
R3
Aún existen hallazgos de auditorías anteriores sin resolver.
R4
No se cuenta con estrategias que permitan brindar información y solución oportuna a los requerimientos de los usuarios.
R5
No existe un control al cumplimiento de las funciones y el horario laboral de la totalidad de los empleados.
X
X
R6
Perdida de información
X
X
X
X
X
X
histórica de la empresa.
R7
La empresa no tiene asignado un puesto de trabajo por cada empleado, para garantizar la prestación de los servicios.
X
R8
Solo se cuenta con atención personalizada y telefónica
X
X
R9
Los funcionarios de la oficina de sistemas deben remplazar a aquellos que se ausentan de sus labores.
X
X
X
Elaborar la matriz de riesgos de cada proceso evaluado aplicándolos en el proceso de seguridad en la información RESULTADO MATRIZ DE RIESGOS
PROBABILIDAD
Alto 61-100%
R7
Medio 31-60% Bajo 0-30%
R4 LEVE
R1, R2, R3, R5, R6, R8, R9
MODERADO CATASTRÓFICO IMPACTO
MATRIZ PARA MEDICIÓN DE PROBABILIDAD E IMPACTO DE RIESGOS Alto 61-100%
Zona de Riesgo Moderado
Zona de riesgo Importante
Medio 31-60%
Zona de Riesgo tolerable
Zona de Riesgo Zona de Riesgo moderado importante
Bajo 0-30%
Zona de Riesgo aceptable
Zona de Riesgo Zona de Riesgo tolerable moderado
PROBABILIDAD
LEVE
MODERADO IMPACTO
Zona de riesgo Inaceptable
CATASTRÓFICO
Elaborar el cuadro de tratamiento de riesgos para cada proceso evaluado.
ID. RIESGO R1 R2
DESCRIPCIÓN RIESGO Falta de recurso humano en la empresa Los empleados no cuentan con las capacitaciones y actualización de información necesaria para el desempeño de las actividades.
TRATAMIENTO RIESGO Aceptarlo Controlarlo
R3
Aún existen hallazgos de auditorías anteriores sin resolver.
Controlarlo
R4
No se cuenta con estrategias que permitan brindar información y solución oportuna a los requerimientos de los usuarios.
Aceptarlo
R5
No existe un control al cumplimiento de las funciones y el horario laboral de la totalidad de los empleados.
Aceptarlo
R6
Perdida de información histórica de la empresa.
Controlarlo
R7
La empresa no tiene asignado un puesto de trabajo por cada empleado, para garantizar la prestación de los servicios.
Transferirlo
R8
Solo se cuenta con atención personalizada y telefónica
Transferirlo
R9
Los funcionarios de la oficina de sistemas deben remplazar a aquellos que se ausentan de sus labores.
Controlarlo