Escuela de Ciencias Básicas, Tecnología e Ingeniería

Auditoria de Sistemas
Fase 4

Presentado A:

Francisco Solarte
Tutor

Juan Carlos Barreto

1.012.376.677

Grupo

90168_6

Escuela de Ciencias Básicas, Tecnología e Ingeniería

Auditoria de Sistemas
Fase 1 - Inicial
Bogotá, D.C., Mayo de 2019
 Cuadro De Tratamiento De Los Riesgos, Los Hallazgos, Y
Controles

PO7 Administrar Recursos Humanos de TI

CUADRO VALORACIÓN DE RIESGOS

PO7 Administrara los Recursos Humanos TI

Actividad Objetivos de Detalle Objetivo Pregunta Rta
del proceso Control de Control
Identificar las PO7.1. Asegurarse que los ¿Los procesos de
habilidades de Reclutamiento y procesos de reclutamiento del
TI, retención del reclutamiento del personal de TI están
benchmarks personal personal de TI estén acordes a las políticas y
sobre de acuerdo a las procedimientos
descripciones políticas de generales del personal
de puesto, procedimientos de la organización?
rango de generales del
salarios y personal de la
desempeño organización. La
personal gerencia implementa
procesos para
garantizar que la ¿Existe un proceso que
organización cuente garantice que la
con una fuerza de organización cuente
trabajo posicionada con una fuerza de
de forma apropiada y trabajo apropiada?
que tenga las
habilidades
necesarias para
alcanzar las metas de
la organización.

Identificar las PO7.2. Verificar de forma ¿Se verifica en forma

habilidades de Competencias periódica que el periódica que el
TI, del personal personal tenga las personal tenga las
benchmarks habilidades para habilidades para
sobre cumplir sus roles con cumplir sus roles?
descripciones base en su educación,
de puesto, entrenamiento y/o ¿Se define los
rango de experiencia. Definir requerimientos
salarios y los requerimientos esenciales de
desempeño esenciales de habilidades para TI?
personal habilidades para TI y
 verificar que se les de ¿Se verifica que se les
mantenimiento. de mantenimiento?

Identificar las PO7.3. Definir, monitorear y ¿El marco de trabajo

habilidades de Asignación de supervisar los marcos para la asignación de
TI, roles de trabajo para los roles,
benchmarks roles, responsabilidades y
sobre responsabilidades y compensación del
descripciones compensación del personal está definido?
de puesto, personal, incluyendo ¿El marco de trabajo
rango de el requerimiento de para la asignación de
salarios y adherirse a las y roles,
desempeño procedimientos responsabilidades y
personal administrativos, así compensación del
como al código de personal está
ética y prácticas monitoreado?
profesionales. ¿El marco de trabajo
para la asignación de
roles,
responsabilidades y
compensación del
personal está
supervisado?

Ejecutar las PO7.4 Proporcionar los ¿Se proporciona a los

políticas y Entrenamientoempleados de TI la empleados de TI
procedimiento del personal de
orientación necesaria entrenamiento
s relevantes de TI. al momento de la continuo?
Rh para TI, contratación,
reclutar, aptitudes,
contratar, habilidades, controles
investigar, internos y conciencia
compensar y sobre la seguridad, al
entrenar nivel requerido para
alcanzar las metas
organizacionales.
Identificar las PO7.5. Minimizar la ¿Se minimiza las
habilidades de Dependencia exposición a dependencias críticas
TI, sobre los dependencias críticas sobre los individuos
benchmarks individuos sobre individuos clave?
sobre clave por medio de la
descripciones captura de
de puesto, conocimiento
rango de (documentación),
salarios y compartir el
conocimiento,
desempeño planeación de la
personal sucesión y respaldo
del personal.
Ejecutar las PO7.6. Incluir verificaciones ¿Se verifican los
políticas y Procedimientos de antecedentes en el antecedentes en el
procedimiento de investigación proceso de proceso de
s relevantes de del personal reclutamiento de TI. reclutamiento TI?
RH para TI
(reclutar,
contratar,
investigar,
compensar,
entrenar,
evaluara,
promover y
terminar

Identificar las PO7.7. Es necesario que las ¿Se realizan

habilidades de Evaluacióndel evaluaciones de evaluaciones de
TI, desempeño del desempeño se desempeño
benchmarks empleado realicen periódicamente?
sobre periódicamente,
descripciones comparando contra
de puesto, los objetivos
rango de individuales
salarios y derivados de las
desempeño metas
personal organizacionales,
estándares
establecidos y
responsabilidades
específicas del
puesto.
Identificar las PO7.8. Tomar medidas ¿Se toman medidas
habilidades de Cambios y expeditas respecto a necesarias respecto a
TI, terminación de los cambios en los los cambios de puesto,
benchmarks trabajo puestos, en especial reasignación de
sobre las terminaciones. Se responsabilidades y
descripciones debe realizar la eliminación de los
de puesto, transferencia del privilegios de acceso?
rango de conocimiento,
salarios y reasignar
desempeño responsabilidades y
personal se deben eliminar los
privilegios de acceso,
de tal modo que los
riesgos se minimicen
y se garantice la
continuidad de la
función.
 Procesos de revisión Calificación
PO7 Administrara los Recursos Humanos TI Irregularidad
PO7.1. Reclutamiento y retención del personal Irregularidad
PO7.2. Competencias del personal Irregularidad
PO7.3. Asignación de roles Irregularidad
PO7.4 Entrenamiento del personal de TI. Irregularidad
PO7.5. Dependencia sobre los individuos Irregularidad
PO7.6. Procedimientos de investigación del Irregularidad
personal
PO7.7.Evaluación del desempeño del empleado Irregularidad
PO7.8. Cambios y terminación de trabajo Irregularidad

CUADRO DE DEFINICION DE FUENTES DE REF

CONOCIMIENTO, PRUEBAS DE ANALISIS DE
AUDITORIA

ENTIDAD PAGINA
AUDITADA 1 DE 1
PROCESO
Técnicas de Información
AUDITADO
RESPONSABLE Director Recursos Humanos
MATERIAL DE
COBIT
SOPORTE
DOMINIO Recursos humanos
PROCESO P07: Administración de Recursos Humanos

FUENTES DE REPOSITORIO DE PRUEBAS APLICABLES

CONOCIMIENTO DE ANALISIS DE EJECUCION
Se realizaran diferentes
Con base a lo establecido pruebas :
COBIT 4,01 en COBIT 4,01, analizar y  software
AUDITORÍA EN comparar con la empresa  levantar
INFORMATICA auditada para establecer inventarios
las mejoras pertinentes.  seguridad en
redes
  seguridad en
bases de datos

RIESGOS

1. Capacitación deficiente e insuficiente del personal.

2. Deficiente desempeño laboral.
3. Deterioro del clima laboral.
4. Contratación de personal sin experiencia.

ANALISIS Y EVALUACIÓN DE RIESGOS

N° Descripción Probabilidad Impacto

Baja Media Alta Leve Moderado Catastrófico

R1 Capacitación X X
deficiente e
insuficiente del
personal.
R2 Deficiente X X
desempeño laboral.
R3 Deterioro del clima X X
laboral.
R4 Contratación de X X
personal sin
experiencia.
.
Resultado Matriz de riesgos Recursos humanos

R1.R3 R2,34

Alto
PROBABILIDAD

Media

Baja
 Leve Moderado Catastrófico

IMPACTO

Menor impacto o probabilidad de ocurrencia

Probabilidad y ocurrencia media

Alta probabilidad de ocurrencia

Tratamiento de los riesgos

ID. Descripción Riesgo Tratamiento Riesgo

Riesgo
R1 Capacitación deficiente e insuficiente del Controlarlo
personal.
R2 Deficiente desempeño laboral. Controlarlo
R3 Deterioro del clima laboral. Controlarlo
R4 Contratación de personal sin experiencia. Controlarlo
.
 Cuadro de Riesgos

Riesgos o hallazgos Tipo de Soluciones o Controles

encontrados Control
Capacitación deficiente e CORRECTIVO Seguimiento al cumplimiento del Plan de
insuficiente del personal. Capacitaciones.
Deficiente desempeño CORRECTIVO Realizar una evaluación periódica del
laboral. desempeño laboral de los empleados

Deterioro del clima laboral. CORRECTIVO Elaboración y ejecución de plan de

mejoramiento del clima laboral con base a la
realización de encuestas para la obtención de
diagnóstico actual.
Contratación de personal sin CORRECTIVO Riguroso control en la contratación y
experiencia. capacitación del personal.
.

Control De Riesgos
Riesgos Controles propuestos Tipo de control
el porcentaje de participantes que se Se debe enfocar en Preventivo
encuentran satisfechos con el contar con la
cumplimiento de los niveles definición de
acordados, por parte de los servicios servicios y niveles de
entregados servicio
Se realizan planes de continuidad de Se deben realizar Preventivo
TI como almacenar datos en planes para la
instalaciones externas continuidad de TI en
caso de errores y
probar todos estos
planes
alta cantidad de Quejas de los Se debe ajustar los Correctivo
usuarios sobre los servicios servicios que se
contratados ofrecen a los usuarios
para ajustarse a la
calidad necesaria
Se realizan planes en contra de robo Se deben realizar Preventivo
de información planes de seguridad
para evitar pérdidas de
datos
Posibilidad de no tener personal Se debe elegir el Preventivo
especializado en seguridad de datos personal con
preguntas especiales

Falta estudios económicos sobre los
costos de TI
para tener seguridad
en los datos que serán
trabajados
Antes de adquirir Preventivo
cualquier producto se
deben realizar los
estudios pertinentes
sobre el presupuesto
que se necesitara para
completar todo el
proceso

Dictamen De La Auditoria COBIT PO7 Administrar Recursos Humanos De TI

PROCESO Objetivo de la auditoria

Aumentar los aportes del personal a los procesos que se
desarrollan dentro de la empresa, logrado así satisfacer las
necesidades de la empresa, por medio de la implementación de
técnicas para la correcta administración del personal.
DICTAMEN
Nivel de madurez actual: Cero - Incompleto
No existe conciencia del proceso en la organización y falta
capacitación del personal encargado.

Proceso COBIT Nivel De Madurez

PO7.1. Reclutamiento y Los procesos de reclutamiento del
PO7 personal no están acordes a las
retención del personal
ADMINISTRAR políticas y procedimientos generales
RECURSOS del personal de la organización
HUMANOS PO7.2. Competencias del No se verifica en forma periódica
DE TI personal que el personal tenga las
habilidades para cumplir sus roles
PO7.3. Asignación de El marco de trabajo para la
roles asignación de roles,
responsabilidades y compensación
del personal está no supervisado ni
monitoreado.
PO7.4 Entrenamiento del No Se proporciona a los empleados
personal de TI. de TI entrenamiento continuo
PO7.5. Dependencia No Se minimiza las dependencias
sobre los individuos críticas sobre los individuos clave
PO7.6. Procedimientos N se verifican los antecedentes en el
de investigación del proceso de reclutamiento TI
personal
PO7.7.Evaluación del No se realizan evaluaciones de
desempeño del empleado desempeño periódicamente
PO7.8. Cambios y No se toman medidas necesarias
terminación de trabajo respecto a los cambios de puesto,
reasignación de responsabilidades y
eliminación de los privilegios de
acceso
Hallazgos que soportan el Dictamen
 Se encontró el reclutamiento y contratación de personal no
calificado sin el conocimiento ni la experiencia que
requiere la empresa.
 La empresa no cuenta con programas de entrenamiento, lo
cual impide el crecimiento de las habilidades técnicas y
administrativas del personal.
 Se encontró la falta de seguimiento al personal que impide
medir el desempeño del mismo y las necesidades de los
recursos humanos de la empresa.
Nivel recomendado: Dos - Gestionado
Recomendaciones
 Establecer un plan para la administración de los recursos
humanos en la empresa.
 Implementar un plan definido y documentado de
contratación y seguimiento del personal.
 Se necesita la ayuda de un experto para la definición y
documentación del plan de contratación, administración y
capacitación, para que sirva de guía en la gestión de los
recursos humanos con base en las necesidades de la
empresa.