Beruflich Dokumente
Kultur Dokumente
Académico
Escuela Profesional Ciencias Contables y Financieras 2019-1B
AUDITORIADE SISTEMAS CONTABLES
0302-03E12
Nota:
Docente: MA. ING. ALEJANDRO DÍAZ AGUILAR
Uded de matrícula:
Hasta el Domingo 16 de Junio 2019
CAÑETE Hasta las 23.59 PM
Recomendaciones:
1. Recuerde verificar la
correcta publicación de
su Trabajo Académico
en el Campus Virtual
antes de confirmar al
sistema el envío
definitivo al Docente.
Revisar la
previsualización de su
trabajo para asegurar
archivo correcto.
2. Las fechas de publicación de trabajos académicos a través del campus virtual DUED LEARN están definidas
en la plataforma educativa, de acuerdo al cronograma académico 2019-1B por lo que no se aceptarán
trabajos extemporáneos.
3. Las actividades de aprendizaje que se encuentran en los textos que recibe al matricularse, servirán para su
autoaprendizaje mas no para la calificación, por lo que no deberán ser consideradas como trabajos
académicos obligatorios.
5. Estimado alumno:
El presente trabajo académico tiene por finalidad medir los logros alcanzados en el desarrollo del curso.
Para el examen parcial Ud. debe haber logrado desarrollar hasta01 y para el examen final debe haber
desarrollado el trabajo completo.
1TADUED2019-1B DUEDUAP
Fecha de inicio: 29Abril
Fecha de término: 23 de Junio
Trabajo
Académico
Criterios de evaluación del trabajo académico:
Este trabajo académico será calificado considerando criterios de evaluación según naturaleza del curso:
Preguntas:
INDICACIONES ADICIONALES:
A fin de garantizar una buena presentación; el presente trabajo deberá estar realizado en Ms-
Word, asignándole02 puntossiempre y cuando este realizado con una ortografía y
redacción correcta, no olvide que al finalizar el desarrollo del Trabajo Académico, deberá
indicar sus conclusiones y las fuentes de consulta bibliográfica, así mismo está demás decir
que se calificará con CERO aquel Trabajo Académico que cuente con las misma
secuencia o palabras, pues se considerará como plagio. Se le recuerda al estudianteque la
DUED - UAP cuenta con el Software SafeAssign, que detecta en forma automática, los
Trabajos Académicos copiados de otros Trabajos Académicos, así como de sitios de internet.
Estimado estudiante sea original al desarrollar los problemas planteados, recuerde que usted
está llevando el curso a distancia y por lo tanto la exigencia en la solución de la pregunta es
necesaria y obligatoria. Publique su Trabajo Académico en el campus virtual hasta la fecha
indicada. ¡Tome sus precauciones!
Siendo la elaboración del Trabajo Académico parte del proceso de enseñanza y de aprendizaje,
los alumnos de la asignatura de AUDITORIA DE SISTEMAS CONTABLES,cuentan con el apoyo del
profesor tutor para su orientación en lo que se refiere a la bibliografía adicional, alcance del
desarrollo del tema, etc.
2TADUED2019-1B DUEDUAP
Fecha de inicio: 29Abril
Fecha de término: 23 de Junio
Trabajo
Académico
PREGUNTAS:
1. Analiza las 5 áreas específicas de Auditoría de TI, y determine cuál de ellas es la más
importante que se debe tomar en una empresa. Describa las razones por las cuales lo
considera la más importante. (3 ptos)
Objetivo:
Adquirir conocimientos especializados de actualidad sobre la Gestión del mantenimiento,
planificación, organización, la ejecución y el control del Mantenimiento aplicados a distintos
tipos de industrias, que contribuyan a elevar la eficiencia, liderazgo, competitividad y
productividad de las empresas.
Habilidades
2. Investigue una empresa nacional o internacional, que haya utilizado el COBIT, e indique
los beneficios que ha obtenido dicha empresa al utilizar el COBIT. (5 ptos)
3TADUED2019-1B DUEDUAP
Fecha de inicio: 29Abril
Fecha de término: 23 de Junio
Trabajo
Académico
COBIT EN ECOPETROL S. A.
En el año 2007, la empresa adopta el modelo COSO para la gestión de control interno, el cual
es un documento de contiene las principales directivas para la implantación, gestión y control
de un sistema de control (Cabello, N., 2011)
DTI eligió COBIT como el marco de gobierno de TI adecuado para integrar un sistema de
gestión de TI, basado en las siguientes características de COBIT (ISACA, 2016):
4TADUED2019-1B DUEDUAP
Fecha de inicio: 29Abril
Fecha de término: 23 de Junio
Trabajo
Académico
Indica claramente la propiedad y las responsabilidades basadas en la orientación del proceso.
En general se acepta por parte de terceros y reguladores.
Proporciona un entendimiento compartido entre todas las partes interesadas, sobre la base de
un lenguaje común.
Cumple con los requisitos de COSO y Sarbanes-Oxley para el entorno de control de TI.
¿QUÉ SE HIZO?
Una vez realizado esto, se establece un proyecto, donde se presta especial atención a
cuestiones como:
¿CÓMO SE HIZO?
Como menciona (Valverde, F., 2014) a mediados del 2009 y al empezar el 2010, se llevaron
auditorias tanto de tipo interno como de tipo externo, se implementaron medidas de corrección
5TADUED2019-1B DUEDUAP
Fecha de inicio: 29Abril
Fecha de término: 23 de Junio
Trabajo
Académico
para las debilidades y el mejoramiento en los principales procesos y controles de TI, la auditoria
externa reporto que no había deficiencias significativas o debilidades materiales en los controles
de TI que requieran ser informadas por el CIO, el CFO, el CEO o el auditor externo.
Los factores que contribuyeron al éxito del proyecto de implementación de COBIT fueron:
CONCLUSIONES
Sin determinar el tamaño de la organización ni en el mercado que esta pueda desempeñar los
marcos de referencia para la gestión de TI agregan valor a las empresas, le dan al gerente una
visión sobre las mejores prácticas en el desempeño de TI orientado netamente al negocio.
Los factores de éxito evidenciados en el caso de estudio muestran la importancia de contar con
una eficiente gestión de los cambios, la asignación de responsabilidades, el monitoreo
frecuente, un plan de comunicaciones bien definido, gestión de riesgos, apoyo permanente de
6TADUED2019-1B DUEDUAP
Fecha de inicio: 29Abril
Fecha de término: 23 de Junio
Trabajo
Académico
la lata dirección, entre muchos otros, que para este caso ayudaron a alcanzar con éxito el
proyecto.
Se resaltan las evaluaciones a nivel de madurez que se llevaron a cabo por un tercero
competente e independiente para la medición de madurez de los procesos, así como la
comunicación permanente con las auditorías realizadas y la socialización de las lecciones
aprendidas.
.La aplicación del COBIT en las empresas son una mejor forma de manejar las informaciones
que son muy importantes en el desarrollo de la empresa y para los estados de gobierno ya que
se evitara fraudes que van de la mano con los profesionales contadores brindando auditorias
confiables para todos los interesados.
3. Investigue una empresa nacional o internacional, que haya implementado el uso del
ITIL, e indique los beneficios que ha obtenido dicha empresa al utilizar el ITIL. (5 ptos)
OUTSOURCING S.A
Outsourcing S. A. es una empresa especializada en prestar servicios de TI a terceros.
Cuenta con los siguientes servicios:
Mesa de ayuda.
Mantenimiento de hardware.
Administración de servidores.
Entrenamiento en TI para usuarios.
La empresa Outsourcing S.A desea implementar un nuevo servicio que brindara a todos sus
cliente y a las empresas que utilicen las tecnologías de la información un gran apoyo y beneficio
en su funcionamiento, además tendrán un gran respaldo ya que ellos emplearan este nuevo
servicio para su comunicación y el procesamiento de su información por eso la empresa
Outsourcing S.A ve un gran campo de acción en este servicio de infra estructura de red.
El servicio de soporte de infra estructura de la red será un servicio que contara con una total
garantía de con fiabilidad y funcionabilidad, debido a que este es un servicio que tiene grandes
posibilidades de cambios y de variedad en posibles errores a lo largo de los procesos que se
7TADUED2019-1B DUEDUAP
Fecha de inicio: 29Abril
Fecha de término: 23 de Junio
Trabajo
Académico
dan en la red. La empresa Outsourcing S.A antes de implementar este nuevo servicio debe
conocer todos los aspectos que conciernen a este nuevo servicio, deberá tener en cuenta que
recursos posee la empresa y cuál es la capacidad de esta para administrarlos de una manera
óptima. El software de administración de infraestructura que utilizara la empresa Outsourcing
S.A no será creado por ellos por tal motivo se requiere de la contratación de un tercero que le
preste este servicio a la empresa, sin embargo el personal para administrar las herramientas
que le serán provistas, será seleccionado y capacitado por la propia empresa, por lo tanto para
suplir este servicio se requerirá de proveedores tanto externos como internos. Outsourcing S.A
deberá hacer una investigación de mercado de dicho servicio por eso se deberá encontrar los
servicios que ya estén implementados y que se consideren similares al que se planea
implementar, definiendo con esto cuales son las posibles ventajas con las que se puede contar
y que diferencias se pueden dar con respecto a servicio de la competencia.
En el diseño del servicio podremos ver como se implementara de una forma correcta y funcional
este nuevo servicio, para eso la empresa deberá identificar y analizar cuáles son los procesos
que se deberán llevar a cabo. Hay que tener en cuenta que se realice y se edite debidamente
un Catálogo de Servicios que contenga información precisa y actualizada de todos los servicios
operacionales. Para la puesta en marcha de este servicio se deberán de tener en cuenta
informes referentes al mercado que posee el servicio y analizar los detalles técnicos que se
requieren y los recursos o las capacidades técnicas que se deben de desarrollar con el fin de
tener un servicio eficiente. Se debe tener seguridad que la capacidad del servicio y que la
infraestructura de TI sea capaz de cumplir con los objetivos que han sido pactados de capacidad
y desempeño de manera económicamente efectiva y puntual. Acá se deben tener en cuenta
todos los recursos necesarios para prever las necesidades de la empresa a corto, medio y largo
plazo. Se debe asegurar que la información que se maneje tenga integridad, confiabilidad y
disponibilidad.
La fase de la Transición del Servicio es muy importante porque acá se va a dar la gran
posibilidad de ampliar y extender el nuevo servicios que ha sido implementado por la empresa
Outsourcing S.A y si es el caso poder hacerle algunas modificaciones que puedan llegar a hacer
necesarias para el mejor funcionamiento de dicho servicio. Al desarrollar e implementar las
modificaciones y ampliaciones, mediante este proceso también se asegura que los cambios en
los servicios y procesos de la gestión de servicios se lleven a cabo de manera coordinada.
La mejora continua del servicio se alcanzara con una continua medición y monitorización de
todos los procesos que involucran la buena prestación del nuevo servicio que ha sido
implementado, los informes que se vallan dando tras la obtención de resultados de la
monitorización se van a ver reflejados en planes que mejoraran la prestación del nuevo servicio.
Mesa de ayuda
Recepción de solicitudes.
Reportes.
Identificación problema.
Evaluación de soluciones.
Solución de problema.
Reporte solución y cierre.
Mantenimiento De Hardware
Hardware de respaldo.
Backups de la información.
Soporte y reparación.
Reporte de fallas.
Informes.
Desecho de equipamiento.
Administración De Servidores
Backups información.
Verificación de Logs.
Monitorizar las funciones.
Protección contra amenazas.
Comprobar la seguridad en los servidores.
Capacitación.
9TADUED2019-1B DUEDUAP
Fecha de inicio: 29Abril
Fecha de término: 23 de Junio
Trabajo
Académico
Entrenamiento En TI Para Usuarios
Recepción de solicitudes.
Recopilar información de diagnóstico.
Evaluación de soluciones.
Reporte de solución.
Capacitación al personal de infraestructura.
Como ya sabemos ITIL es una metodología reconocida a nivel internacional la cual nos
ofrece una serie de recopilaciones sobre las mejores prácticas tanto del sector público
como del sector privado. Estas mejores prácticas se dan en base a toda la experiencia
adquirida con el tiempo en determinada actividad. ITIL como metodología para la correcta
prestación de servicios de TI nos propone el establecimiento de estándares que nos
ayudan en el control, operación y administración de los recursos (ya sea para beneficio de
nuestra empresa o para los clientes). Esta metodología nos plantea hacer una revisión y
reestructuración de los procesos existentes en caso de que estos lo necesiten (si el nivel
de eficiencia no es el esperado o que haya una forma más rápida y eficiente de hacer las
cosas), y esto es una muy buena alternativa ya que nos lleva a una mejora continua en la
realización de los procesos. Otra de las mejores prácticas que propone es que para la
10TADUED2019-1B DUEDUAP
Fecha de inicio: 29Abril
Fecha de término: 23 de Junio
Trabajo
Académico
realización de cada actividad que se realice se debe de hacer la documentación pertinente,
y es importante ya que esta puede ser de gran utilidad para otros miembros del área,
además de que quedan plasmados todos los movimientos realizados, permitiendo así a
que todo el personal esté al tanto de los cambios y no se tome a nadie por sorpresa. Esto
es realmente importante ya que muchos incidentes suceden en empresas y/o entidades
debido a la no correcta divulgación de la información al personal que lo requiere. Toda esta
serie de métodos, practicas ofrecen a la empresa una mejor y mayor eficiencia en los
procesos de prestación de los servicio, mejores respuestas a incidentes, mejores
respuestas a el mejoramiento de los servicios ofrecidos, permitiendo así una mayor
consolidación de la empresa y llevándola así a ser más fuerte competitivamente.
Reseña de la empresa
Grupo Salud del Perú S.A.C, pertenece al rubro salud, cuenta con empresas de prestigio como
Oncosalud, Clínica bellavista, Servimedicos en Chiclayo, Clínica Miraflores y Centro médico
monteverde en Piura; además de contar con grandes proyectos a nivel nacional.
11TADUED2019-1B DUEDUAP
Fecha de inicio: 29Abril
Fecha de término: 23 de Junio
Trabajo
Académico
en todas las especialidades. Así mismo, ofrece programas oncológicos con el respaldo y
experiencia de 25 años de Oncosalud.
Problema principal
Ineficiente organización para la gestión de los servicios de TI, lo cual genera retraso en la
atención de los requerimientos de los usuarios, así como, degradación en la productividad
del personal de TI.
Objetivos.
Objetivo principal
Objetivos específicos
12TADUED2019-1B DUEDUAP
Fecha de inicio: 29Abril
Fecha de término: 23 de Junio
Trabajo
Académico
a) Implementar procesos alineados a las buenas prácticas de ITIL.
Justificación
La empresa Grupo Salud del Perú S.A.C. busca la calidad y la estandarización de sus
procesos. Actualmente posee la certificación NANDA, certificación otorgada por la
estandarización de los procesos de diagnóstico clínico, con el fin de brindar un mejor
servicio. El presente proyecto tiene como objetivo implementar el estándar ITIL en el
proceso de atención de requerimientos que brinde soporte a los procesos de la empresa
orientados al cumplimiento de los requisitos exigidos por sus estándares de negocio y
apoyando el fin de la mejora en la calidad del servicio al usuario final.
CASO SOFTSIERRA
La empresa SoftSierra S.A. por naturaleza es una empresa de venta de servicios, y con la
finalidad de incrementar la calidad de los mismos para que sus clientes retornen, aplicó ITIL
2011 como una alternativa para mejorar la calidad de Soporte que recibían los usuarios, de tal
forma que los clientes al recibir un servicio, sientan que han obtenido una solución que satisface
su expectativa de calidad y por ende aumente el índice de satisfacción del mismo.
El área de Service Desk de la empresa SoftSierra no aplica buenas prácticas para gestionar el
servicio entregado a sus clientes. Con esto en muchas ocasiones provoca insatisfacción en los
clientes y algunas veces este resultado, interpretado por el Área Administrativa de SofSsierra
S.A., como una baja productividad y mal servicio de parte del personal de soporte.
13TADUED2019-1B DUEDUAP
Fecha de inicio: 29Abril
Fecha de término: 23 de Junio
Trabajo
Académico
ITIL, acordados al tipo de servicio que el Área de Service Desk de SoftSierra brinda, los pasos
son:
4. Investigue una empresa nacional o internacional, que haya implementado la Norma ISO
27002, e indique los beneficios que ha obtenido dicha empresa al utilizar dicha Norma.
(5 ptos)
Actualmente las organizaciones dependen mucho de la información y los datos que esta
mantenga como resultado de sus procesos internos y externos. Una gran cantidad de
empresas, en su mayoría MYPEs, establecen sus propias reglas o normas para otorgarle
seguridad a toda la información almacenada, así como también a la manera en que se manejan
todos los dispositivos informáticos.
Este trabajo se centra en la explicación de los capítulos cinco y seis de la norma que hablan de
las ‘Políticas de la Seguridad de la Información y de la Organización de Seguridad de la
Información’, respectivamente. Estos capítulos son explicados concretamente con las
recomendaciones de la norma y utilizando como casos prácticos, tesis desarrolladas que se
basan en este estándar para buscar la solución o mejora de la seguridad de información en
diferentes empresas del Perú.
14TADUED2019-1B DUEDUAP
Fecha de inicio: 29Abril
Fecha de término: 23 de Junio
Trabajo
Académico
“DISEÑO DE UNA RED DE DATOS PARA EL POLICLÍNICO SEÑOR DE LOS MILAGROS,
USANDO METODOLOGÍA TOP DOWN NETWORK DESIGN Y APLICANDO ESTÁNDARES
ISO/IEC 27002”.
Actualmente el Policlínico Señor de Los Milagros no cuenta con una red de computadores en
la que no se comparten recursos de hardware (impresoras) y software, esto genera demora en
la impresión de documentos debido a que todo el laboratorio solo cuenta con una sola
impresora.
Dado el siguiente problema se plantea hacer una red de datos con la metodología Diseñar una
red de datos usando metodología Top Down Network Desing y aplicando estándares ISO/IEC
27002. Para dar seguridad de información a la empresa se requiere implementar un Estándar
de seguridad mediante la Norma ISO 27002.
A continuación, se especificarán los detalles de la implementación de la política de seguridad
de la información, para definir las políticas necesita de otros controles de información, como por
ejemplo; la gestión de activos y control de acceso.
Los controles que se consideran esenciales para esta empresa desde un punto de vista
legislativo comprenden:
La protección de los datos de carácter personal y la intimidad de las personas.
La salvaguarda de los registros de la organización
Los derechos de la propiedad intelectual.
Los controles que se consideran comunes para la mejor práctica habitual para conseguir la
seguridad de la información comprenden:
RESULTADOS
Al aplicar el dominio 7 de la Norma ISO 27002 nos ha dado como resultado apoyar en políticas
de responsabilidad para un mejor manejo de los Activos del Policlínico.
La certificación ISO se aplicó una guía de levantamiento de información de riesgo el cual nos
dio como resultado una mejora del 16% en el diseño e implementación de la Red ante una crisis
encontrada en 21%.
Beneficios de empresa:
Este trabajo se dividirá en varias partes las cuales serán: Introducción al proyecto sobre el que
se va a trabajar, enfoque y selección de la empresa con la que se va a trabajar y por último la
definición de los objetivos del plan de seguridad y el análisis diferencial de la empresa, y
siempre de acuerdo con las normas ISO27001 y ISO 27002.
La compañía sobre la que vamos a trabajar se sitúa en Asturias y tiene alrededor de unos
1000 empleados.
Es una compañía estadounidense que da soporte a múltiples clientes tanto nacionales como
internacionales.
Es una compañía que ya ha tenido sus primeros contactos con la ISO 27001 puesto que
parte de ella ya tiene una certificación.
Los principales servicios que esta compañía proporciona son: servicios de aplicaciones,
servicios en la nube, consultoría, seguridad, banca, seguros, sector público global.
El alcance sobre el que trabajaremos serán:
Todos los recursos humanos que se vean implicados directa o indirectamente con el negocio
de Asturias.
Todos los servidores (producción, testeo, desarrollo), aplicaciones que se manejen o
controlen desde nuestro emplazamiento.
Todos los activos de información durante toda su vida útil hasta su eliminación.
Toda la información generada durante la vida del negocio para los proyectos.
La información de empleados, clientes, proveedores de servicios, etc.
18TADUED2019-1B DUEDUAP
Fecha de inicio: 29Abril
Fecha de término: 23 de Junio
Trabajo
Académico
CONOCIENDO LA ISO 27001:
Como todos bien sabemos ISO es una norma internacional emitida por la organización
internacional de normalización y describe cómo gestionar la seguridad de la información en una
empresa. La revisión más reciente de la norma fue la de 2013. El eje central de ISO 27001 es
proteger la confidencialidad, integridad y disponibilidad de la información en una empresa. Esto
lo hace investigando cuáles son los potenciales problemas que podrían afectar la información
y luego definiendo lo que es necesario hacer para evitar que estos problemas se produzcan.
Por lo tanto, la filosofía principal de la norma ISO 27001 se basa en la gestión de riesgos:
investigar dónde están los riesgos y luego tratarlos sistemáticamente.
Para implementar la norma ISO 27001 en una empresa, usted tiene que seguir estos 16 pasos:
ANALISIS DIFERENCIAL:
Para una estimación inicial se han evaluado algunos de los puntos obligatorios de las normas,
así como algunos de los controles de la norma ISO27002. La estimación se ha realizado a alto
nivel.
El estado de los controles obligatorios de la norma superan en su mayoría el 80% exceptuando
algunos como:
El punto número 9 – control de accesos.
El punto número 10 - Mejora
El estado de los controles según la ISO 27002 también superan en su mayoría el 80 %
exceptuando algunos como:
ANALISIS DE RIESGOS
19TADUED2019-1B DUEDUAP
Fecha de inicio: 29Abril
Fecha de término: 23 de Junio
Trabajo
Académico
Las fases que se llevaran a cabo en este punto serán:
Identificación-valoración de activos:
Se realizará una identificación, valoración de los activos, que serán los elementos a proteger.
Se ha realizado una tabla con todos los activos y su valoración, como se podrá ver en una
imagen en la siguiente diapositiva.
Identificación de amenazas:
Identificar y valorar las amenazas a las que se encuentran expuestos estos activos.
Se ha realizado una tabla bastante extensa con todas las valoraciones teniendo en cuenta las
siguientes amenazas: desastres naturales, de origen industrial, errores o fallos no
intencionados y ataques intencionados. En la siguiente diapositiva se podrá ver una captura.
Calculo de impacto:
20TADUED2019-1B DUEDUAP
Fecha de inicio: 29Abril
Fecha de término: 23 de Junio