S.O.S.

EMPLEADOS 24-05-2016
Actualización No. 01

INFORME FINAL DE AUDITORIA

AUDITORIAS INTERNAS Página 1 de 4

FECHA DEL INFORME: 24-05-2016 NUMERO DEL INFORME:

OBJETO AUDITADO: Administración y control de tecnologías de la
información en la organización.
MACROPROCESO AUDITADO Gestión de recursos de Tecnología de la
información.
FECHA REALIZACION DE LA AUDITORIA Febrero 01 de 2016

RESPONSABLE DEL OBJETO AUDITADO

NOMBRE CARGO
Rodolfo Díaz Mur. Jefe de Tecnología.

INTRODUCCION (Objetivo, Alcance)

INTRODUCCIÓN.

El proceso de auditoría, busca evaluar procesos actuales que se tienen en la organización, en determinadas
áreas, que constituyen el funcionamiento y operaciones de la misma, siempre con la premisa de buscar mejorar,
ya sea implementando nuevos métodos de trabajo, modificando, o adaptando nuevas técnicas, en base a una
evaluación imparcial y de calidad, acorde a estándares internacionales de calidad y desarrollo de procesos
(Normas ISO).

OBJETIVOS.

OBJETIVO GENERAL.

 Identificar y evidenciar hallazgos, o puntos críticos, que actualmente a la compañía le están generando
inconvenientes, u obstáculos en el correcto desempeño, y búsqueda de mejora organizacional, para
poder formular planes de mejora, óptimos según el ideal de desarrollo de funciones.

OBJETIVOS ESPECÍFICOS.

 Definir objetivos o finalidad de la organización.

 Identificar Áreas críticas a evaluar.
 Evaluar procesos de desarrollo de operaciones en la organización.
 Determinar aspecto a mejorar o cambiar.
 Divulgar hallazgos, soportados en pruebas de proceso actual y plan de mejora.
 S.O.S. EMPLEADOS 24-05-2016
Actualización No. 01

INFORME FINAL DE AUDITORIA

AUDITORIAS INTERNAS Página 2 de 4

ALCANCE.

El proceso de auditoría, busca evaluar los procesos que se han definido en la organización, ya sea de manera
global o específica, en ciertas áreas o departamentos fundamentales, en este caso, el proceso de auditoria, se
centralizara, en la administración y control de tecnologías de la información, ya que se ha evidenciado que es un
aspecto des atendido, y vital, para el funcionamiento tanto operativo como financiero de la organización. Se ha
evidenciado que la falta o escasez de control en el departamento de administración de tecnologías de TI, puede
generar significativas pérdidas económicas y operativas a la empresa, por esto se busca evaluar acorde a la
funcionalidad de la organización, aquellos procesos que se tienen actualmente, buscando determinar o identificar
posibles controles que les permitan mejorar su funcionamiento actual, y mitigar el impacto que generan aquellos
proceso mal implementados o mal definidos.

CONCLUSION

El proceso de auditoría, dará una guía sobre la cual se pueden soportar los procesos de la organización, para
buscar mejorar aquellos aspectos evaluados, acorde a levantamiento de información, y basados en
funcionamiento y estándares de operatividad de seguridad (ISO 9001:2008).

RESULTADOS DE LA AUDITORIA

HALLAZGO No. 1 - ACUERDOS DE CONFIDENCIALIDAD.

PARAMETRO:
La NTC-ISO 9001:2008 en el requisito 6.1.5.literal G, establece “proceso de notificación y reporte de
divulgación no autorizada o incumplimiento del acuerdo de información confidencial’’

SITUACION OBSERVADA:

Se detectó que algunos de los colaboradores en especial en cargos gerenciales tienen un acuerdo de
confidencialidad y no divulgación sin penalidad alguna, sin embargo en cargos operativos esto no se
aplica, dado que no está completamente definida una política de seguridad dela información.

RECOMENDACIÓN:

De acuerdo a ISO 9001:2008 en el anexo G 6.1.5 sugiere:

Se debe establecer un proceso de notificación y reporte de divulgación no autorizada en caso de que

este sea incumplido así como la sanción pertinente.

HALLAZGO No. 2 - USO ACEPTABLE DE LOS ACTIVOS

PARAMETRO:
La NTC-ISO 9001:2008 en el requisito 7.1.3.literal A,B, establece “reglas para la utilización del correo
electrónico e Internet; b) lineamientos para el uso de dispositivos móviles, especialmente para el uso
fuera del local de la organización.’’
 S.O.S. EMPLEADOS 24-05-2016
Actualización No. 01

INFORME FINAL DE AUDITORIA

AUDITORIAS INTERNAS Página 3 de 4

SITUACION OBSERVADA:

Se indaga con el responsable del proceso, el cual informa que se cuenta con políticas de seguridad en
cuanto al contenido web, sin embargo el uso de dispositivos móviles, dispositivos de almacenamiento
externo, entre otros, no es controlado y es de libre uso para cada uno de los usuarios

RECOMENDACIÓN:

De acuerdo a ISO / 9001:2008 en el anexo 7.1.3 sugiere:

Se debieran identificar, documentar e implementar reglas para el uso aceptable de la

Información y los activos asociados con los medios del procesamiento de la información.

HALLAZGO No. 3 - CONOCIMIENTO, EDUCACIÓN Y CAPACITACIÓN EN SEGURIDAD DE LA

INFORMACIÓN

PARAMETRO:

La NTC-ISO 9001:2008 en el requisito 8.2.2, establece “La capacitación y el conocimiento debieran

comenzar con un proceso de inducción formal diseñado para introducir las políticas y expectativas de
seguridad de la organización antes de otorgar acceso a la información o servicios.’’

SITUACION OBSERVADA:

No se evidencia programa de inducción al cargo de manera formal, no hay formatos de entrega de

cargo. Se identifica que días antes de la salida de un colaborador ingresa un nuevo colaborador a
quien se le entregan las tareas e información de relevancia para el cumplimiento de las funciones.

RECOMENDACIÓN:

De acuerdo a ISO 9001:2008en el anexo 8.2.2 sugiere:

Todos los empleados de la organización y, cuando sea relevante, los contratistas y terceras personas
debieran recibir una adecuada capacitación en seguridad y actualizaciones regulares sobre las
políticas y procedimientos organizacionales conforme sea relevante para su función laboral.
 S.O.S. EMPLEADOS 24-05-2016
Actualización No. 01

INFORME FINAL DE AUDITORIA

AUDITORIAS INTERNAS Página 4 de 4

LISTA DE DISTRIBUCION
Copia de este informe se ha entregado a las siguientes personas:
NOMBRE CARGO
Rodolfo Díaz Mur. Jefe de Tecnología.
Heraldo Peña Calderón. Gerente General.

OBSERVACIONES DEL AUDITADO

 El proceso de administración y control de tecnologías de la información en la organización, se evaluó en

base a normatividad ISO 9001:2008, Norma que aún no ha sido implementada en su totalidad en la
organización, pero sirvió de base para evaluar y evidenciar que aspectos se deben mejorar para poder
calificar a la certificación.
 Cada aspecto evaluado evidencia necesidades administrativas de registro y control de operaciones y una
debida capacitación al personal administrativo y operativo.

ANEXOS
1. Norma ISO 9001:2008
2. Formato de ingreso de activos de TI actualmente en la organización.
3. Formato asignación de activos
4. Registro de estado de activos (Uso, dados de bajo, en reparación, en almacén)

Notas:
1. Copia de este informe debe ser devuelto al auditor firmado en señal de aceptación y confirmación
de lo acordado en la revisión, dentro de los siguientes cinco (5) días calendario. Cumplido este término
se dará como aceptado el informe.

2. El auditado cuenta con un plazo máximo de cuatro semanas a partir de la entrega de este informe
para que formule y comunique le Plan de Acción para el tratamiento de las No Conformidades y
Observaciones que se relacionan y enviar copia de éste al auditor líder para el seguimiento
correspondiente.

NOMBRE FIRMA

Andrés Felipe Orduy Santa.

Auditor Líder

Yesica Lorena Sanchez

Director Ejecutivo de Auditoria

Rodolfo Díaz Mur

Responsable del Objeto Auditado