• Author / Uploaded
• SEBASYUCAS TORRES

Citation preview

CUADRO DE DEFINICION DE FUENTES DE CONOCIMIENTO y PRUEBAS DE ANALISIS Y EJECUCCIÓN

REF FUENTES DE CONOCIMIENTO, PRUEBAS DE ANALISIS DE AUDITORIA

PAGINA 1 DE 1

ENTIDAD AUDITADA

Empresa de Telefonía móvil CLARO

PROCESO AUDITADO

Contratación TI

RESPONSABLE

Lina Marcela Ramírez, Brayan Alexis Pedraza, Erika Esmeralda Meneses.

MATERIAL DE SOPORTE DOMINIO PROCESO

COBIT

Planeación y Organización (PO) PO7 Administrar Recursos Humanos de TI

FUENTES DE CONOCIMIENTO

Los datos utilizados como fuente de conocimiento y base de la empresa de telefonía móvil CLARO se tomaron de la página web https://www.elempleo.com/ sitiosempresariales/colombia/cl arocolombia/quienes_somos. asp

REPOSITORIO DE PRUEBAS APLICABLES DE ANALISIS DE EJECUCION

Mediante una serie de pruebas de observación al recurso humano de la empresa, se pretende establecer las posibles falencias que presenta en lo pertinente al cumplimiento de roles, entrenamiento y evaluación de desempeño.

Los formularios web son herramientas que permiten ser aplicadas al recurso humano y a algunos clientes de la empresa, permitiendo reflejar si se está cumpliendo con la objetividad de la misma, para establecer estrategias administrativas de aplicación.

AUDITOR RESPONSABLE:

Lina Marcela Ramírez Carvajal

LISTA CHEQUEO DOMINIO

Planear y Organizar (PO)

OBJETIVO DE CONTROL

PO7 Administrar Recursos Humanos de TI

PROCESO

PO7.3 Asignación de Roles:

Nº

ASPECTO EVALUADO

1

¿Existe un organigrama institucional que permita conocer y establecer los diferentes roles que deben cumplir los funcionarios según el área donde se encuentren ubicados?

CONFORME

SI

NO

OBSERVACIÓN

x

OBJETIVO DE CONTROL PO7.4 Entrenamiento del Personal de TI:

2

¿Se realiza entrenamiento, capacitación oportuna e inducción a los funcionarios que ingresan a la empresa o son cambiados de puesto de trabajo?

x

En algunos casos

OBJETIVO DE CONTROL PO7.7 Evaluación del Desempeño del Empleado:

3

¿Se realiza evaluación de desempeño periódica y anual dejando los respectivos soportes de la aplicación, a todo el recurso humano de la empresa?

x

No hay soportes de la aplicación.

FORMATO ENTREVISTA ENTIDAD AUDITADA

Empresa de telefonia móvil CLARO

PAGINA

OBJETIVO

Conocer los problemas relacionados con la ejecución de los

1

DE

1

AUDITORÍA

procesos administrativos y de software para el mejoramiento continuo y la prestación del servicio a los usuarios.

PROCESO PO7: Administrar Recursos Humanos de TI AUDITADO RESPONSABLE Lina Marcela Ramírez MATERIAL DE SOPORTE COBIT DOMINIO Planear y Organizar PROCESO PO7: Administrar Recursos (PO) Humanos de TI ENTREVISTADO CARGO

AZUCENA GOMEZ LIZ Técnico Operativo de la oficina de sistemas

Tema 1: Hardware, Software y equipos de cómputo 1. ¿Cuenta con las herramientas (hardware y software) necesarias para el desempeño de las funciones? Si, la empresa cuenta con equipos nuevos y programas con licencia. 2. ¿El equipo de cómputo asignado se encuentra actualizado y en buen estado? Sí, me asignaron un equipo de cómputo nuevo. 3. ¿Cuántas capacitaciones ha recibido para el manejo de los programas de la dependencia? La inducción, el manejo de los programas y una actualización en TI. 4. ¿Qué nivel de conocimientos tiene en el manejo de un Computador y/o Móvil? Tengo un nivel conocimientos básicos, espero poder aprender mucho más. Tema 2: Atención a usuarios 5. ¿Usted da respuesta oportuna a los usuarios cuando recibe una solicitud? Sí, todo depende del orden en el cual son recibidas. 6. ¿Usted ha recibido capacitaciones en atención al cliente? Si, cuando ingrese a la empresa. 7. ¿Cuántas solicitudes atiende al día? Un promedio entre 15 y 20 solicitudes al día 8. ¿Qué tipo de atención brinda a los usuarios?

Asistencia técnica personalizada o telefónica según corresponda 9. ¿Ha tenido problemas con los usuarios al momento de prestar atención personalizada o telefónica? Si, algunos usuarios se exaltan con facilidad al no poder solucionar inmediatamente sus problemas con el sistema o por daños en los equipos. 10. ¿Cómo resuelve los problemas que se han presentado? Procuro ser honesto con el cliente para que comprenda la situación y los casos más complejos son remitidos al jefe del área para dar solución. 11. ¿Cuál es el tiempo máximo en solucionar o dar respuesta a un requerimiento recibido por parte de un usuario? Se procura dar respuesta una vez es recibido, pero normalmente contamos con 3 o 4 días hábiles para proporcionar una solución.

AZUCENA GOMEZ LIZ

LINA MARCELA RAMIREZ

Entrevistado Firma

Auditor Responsable Firma

FORMATO CUESTIONARIO Oficina de Sistemas de la Empresa CLARO Cuestionario de Control: C1 Dominio Planear y Organizar (PO) Proceso PO7: Administrar Recursos Humanos de TI

Pregunta ¿La empresa cuenta con el personal necesario para atender las solicitudes recibidas?

Si

¿Los empleados conocen y aplican los 4 acuerdos de confidencialidad de la información de la empresa? ¿Existe un programa de bienestar laboral en la 3 empresa? ¿Los funcionarios se encuentran vinculados a 3 un programa de bienestar laboral? ¿Las pausas activas se realizan según corresponde?

No OBSERVACIONES 4 Algunos funcionarios deben apoyar otros procesos.

4

¿Las capacitaciones de actualización de TI se realizan periódicamente? ¿El entorno laboral hace posible una convivencia adecuada?

3

¿La empresa realiza la evaluación desempeño a todos los funcionarios?

de

4

¿Los funcionarios cuentan con un puesto de trabajo y condiciones adecuadas para el desempeño de sus funciones?

3

¿Ante la ausencia injustificada de un funcionario 4 que la empresa toma alguna medida? Indagan al respecto Asignan un funcionario en remplazo por la ausencia Despiden al funcionario No hacen nada ¿La empresa hace seguimiento al cumplimiento 4 del horario laboral por parte de todos los funcionarios? TOTALES 18

3

Solo cuando la demanda laboral es menor. Solo en algunos casos. Hay funcionarios que indisponen el entorno laboral. Ocasionalmente cuando no se cumplen las metas. Algunos compañeros comparten puestos de trabajo. Asignan un funcionario en remplazo por la ausencia.

Existen algunas excepciones. 21

La escala de calificación de cada una de las preguntas va de 1 hasta 5, la calificación puede ir en el SI, en el NO, donde 1 significa que no es importante tener el control para el auditor y 5 significa que es importante que se tenga el control, el auditor debe tratar de dar estas calificaciones lo más objetivamente posible para aplicar la fórmula y calcular el porcentaje de riesgo.

Las equivalencias utilizadas para la puntuación serán de uno a cinco, siendo uno el valor mínimo considerado de poca importancia y cinco el máximo considerado de mucha importancia. PORCENTAJE DE RIESGO: Hace referencia a la probabilidad de que el proceso se vea afectado por las acciones de las cuales se está indagando, entre mas alto el porcentaje mayor probabilidad de riesgo tiene el proceso de salir perjudicado. PREGUNTA: ¿Cuál es la probabilidad de que la empresa CLARO no preste una atención oportuna los usuarios a raíz de la administración del recurso humano? SI – NO: Posibilidades de respuesta, cumple, no cumple, o no aplica para la entidad. El cálculo de este porcentaje se hace de la siguiente forma: Porcentaje de riesgo parcial = (Total SI * 100) / Total Porcentaje de riesgo = 100 - Porcentaje de riesgo parcial Porcentaje de riesgo parcial = (18 * 100) / 39 = 46,15% Porcentaje de riesgo = 100 – 46,15 = 53,85% Para determinar el nivel de riesgo total, se tiene en cuenta la siguiente categorización: 1% - 30% = Riesgo Bajo 31% - 70% = Riesgo Medio 71% - 100% = Riesgo Alto RIESGO: Porcentaje de riesgo parcial: ¿ 46,15 % Porcentaje de riesgo = 53,85% Impacto según relevancia del proceso: Riesgo Medio

FORMATO CUESTIONARIO PARA SEGUIMIENTO Oficina de Sistemas de la Empresa CLARO Cuestionario de servicio requeridos

Dominio

Planeación y Organización (PO). Este dominio cubre las estrategias y las tácticas, tiene que ver con identificar la manera en que las tecnologías de información pueden contribuir de la mejor manera al logro de los objetivos de una entidad. Proceso Evaluar el servicio de la empresa claro Pregunta Si No OBSERVACIONES ¿Existen soportes de auditorías 3 realizadas anteriormente? ¿Los hallazgos encontrados en las Solo algunos auditorias anteriores fueron 3 hallazgos. subsanados? ¿Existen archivos físicos o digitales que permitan verificar la 4 información general (hojas de vida) del recurso humano de la empresa? ¿Se cuenta con registros históricos que evidencien la prestación del 4 servicio a los usuarios? ¿Se cuenta con registros físicos de las capacitaciones, talleres de 3 actualización e inducción realizada a funcionarios? TOTALES 7 10 Porcentaje de riesgo parcial = (Total SI * 100) / Total Porcentaje de riesgo = 100 – Porcentaje de riesgo parcial Porcentaje de riesgo parcial = (7* 100) / 17 = 41,17% Porcentaje de riesgo = 100 – 41,17 = 58,83% Para determinar el nivel de riesgo total, se tiene en cuenta la siguiente categorización: 1% - 30% = Riesgo Bajo 31% - 70% = Riesgo Medio 71% - 100% = Riesgo Alto

RIESGO: Porcentaje de riesgo parcial: ¿ 4 1,17 % Porcentaje de riesgo = 58,83% Impacto según relevancia del proceso: Riesgo Medio

Elaborar un cuadro de las vulnerabilidades, amenazas y riesgos detectados para cada proceso evaluado aplicándolos en el proceso de seguridad en la información VULNERABILIDADES, AMENAZAS Y RIESGOS DETECTADOS R1

Falta de recurso humano en la empresa

R2

Los empleados no cuentan con las capacitaciones y actualización de información necesaria para el desempeño de las actividades.

R3

Aún existen hallazgos de auditorías anteriores sin resolver.

R4

No se cuenta con estrategias que permitan brindar información y solución oportuna a los requerimientos de los usuarios.

R5

No existe un control al cumplimiento de las funciones y el horario laboral de la totalidad de los empleados.

R6

Perdida de información histórica de la empresa.

R7

La empresa no tiene asignado un puesto de trabajo por cada empleado, para garantizar la prestación de los servicios.

R8

Solo se cuenta con atención personalizada y telefónica

R9

Los funcionarios de la oficina de sistemas deben remplazar a aquellos que se ausentan de sus labores.

Realizar el análisis y evaluación de riesgos para cada proceso asignado aplicándolos en el proceso de seguridad en la información ANALISIS Y EVALUACIÓN DE RIESGOS N° R1

R2

Descripción

Falta de recurso humano en la empresa Los empleados no cuentan con las capacitaciones y actualización de información necesaria para el desempeño de las actividades.

  Probabilidad Impacto Baja Media Alta   Leve Moderado Catastrófico   X   X       X   X    

R3

Aún existen hallazgos de auditorías anteriores sin resolver.

R4

No se cuenta con estrategias que permitan brindar información y solución oportuna a los requerimientos de los usuarios.

R5

No existe un control al cumplimiento de las funciones y el horario laboral de la totalidad de los empleados.

X

X

R6

Perdida de información

X

X

X

X

X

X

histórica de la empresa.

R7

La empresa no tiene asignado un puesto de trabajo por cada empleado, para garantizar la prestación de los servicios.

X

R8

Solo se cuenta con atención personalizada y telefónica

X

X

R9

Los funcionarios de la oficina de sistemas deben remplazar a aquellos que se ausentan de sus labores.

X

X

X

Elaborar la matriz de riesgos de cada proceso evaluado aplicándolos en el proceso de seguridad en la información RESULTADO MATRIZ DE RIESGOS

PROBABILIDAD

Alto 61-100%

R7

Medio 31-60% Bajo 0-30%

R4 LEVE

R1, R2, R3, R5, R6, R8, R9

MODERADO CATASTRÓFICO IMPACTO

MATRIZ PARA MEDICIÓN DE PROBABILIDAD E IMPACTO DE RIESGOS Alto 61-100%

Zona de Riesgo Moderado

Zona de riesgo Importante

Medio 31-60%

Zona de Riesgo tolerable

Zona de Riesgo Zona de Riesgo moderado importante

Bajo 0-30%

Zona de Riesgo aceptable

Zona de Riesgo Zona de Riesgo tolerable moderado

PROBABILIDAD

 

LEVE

MODERADO IMPACTO

Zona de riesgo Inaceptable

CATASTRÓFICO

Elaborar el cuadro de tratamiento de riesgos para cada proceso evaluado.

ID. RIESGO R1 R2

DESCRIPCIÓN RIESGO Falta de recurso humano en la empresa Los empleados no cuentan con las capacitaciones y actualización de información necesaria para el desempeño de las actividades.

TRATAMIENTO RIESGO Aceptarlo Controlarlo

R3

Aún existen hallazgos de auditorías anteriores sin resolver.

Controlarlo

R4

No se cuenta con estrategias que permitan brindar información y solución oportuna a los requerimientos de los usuarios.

Aceptarlo

R5

No existe un control al cumplimiento de las funciones y el horario laboral de la totalidad de los empleados.

Aceptarlo

R6

Perdida de información histórica de la empresa.

Controlarlo

R7

La empresa no tiene asignado un puesto de trabajo por cada empleado, para garantizar la prestación de los servicios.

Transferirlo

R8

Solo se cuenta con atención personalizada y telefónica

Transferirlo

R9

Los funcionarios de la oficina de sistemas deben remplazar a aquellos que se ausentan de sus labores.

Controlarlo