MAESTRÍA EN SISTEMAS Y

TECNOLOGÍA DE LA INFORMACIÓN

GRUPO 4

TRABAJO PARCIAL: ELABORACIÓN DEL PLAN DE AUDITORIA Y

EJECUCIÓN DE LA AUDITORÍA DE SI

Curso:
Auditoría de los Sistemas de Información

Docente:
Ronald Mejía Tarazona

Integrantes:
 Cristian Paul Angulo Anyosa
e202110641@upc.edu.pe
 Jorge Alejandro Arakaki Seto
e201210282@upc.edu.pe
 Carlos Andres Documet Celis
e202110372@upc.edu.pe
 Paulo Serapio Figueroa Delgado
e202110925@upc.edu.pe

2022
 TRABAJO PARCIAL: ELABORACIÓN DEL PLAN DE AUDITORIA Y EJECUCIÓN DE
LA AUDITORÍA DE SI

Empresa
FIBRAFORTE S.A. es una empresa que produce y comercializa productos innovadores en el
mercado de materiales de construcción, con oportunidades de financiamiento de proyectos
de desarrollo, innovación e investigación de origen nacional como internacional, con
consumidores que se ven beneficiados por producto con estándares de calidad, con
implementación de tecnología emergentes para desarrollo de materiales, con materia prima
reciclable, y apertura comercial de Tratados de Libre Comercio.
Los consumidores agrupados de acuerdo con sus necesidades están divididos personas
naturales, empresas privadas y proyectos para gobiernos, con puntos de comercialización en
el norte y en el sur (Chiclayo y Lima), comercializando productos en todas las cadenas
ferreteras (Maestro, Sodimac y Promart) y las ferreterías, con asesoría técnicas totalmente
gratuita para resolver las dudas sobre los proyectos a nivel nacional, llevando seguridad y
bienestar a las familias, con capacitaciones y eventos para promoción del producto, con un
alto compromiso con la sociedad.

Elabore el Plan de Auditoría para establecer el alcance y actividades a realizar. Considerar

para esto los riesgos y objetivos de negocio establecidos por la organización. La Auditoría
debe incluir al menos 4 Objetivos de Gobierno y Gestión, de 2 dominios COBIT. Utilice el
formato Anexo 1: Alcance Auditoría TI para sustentar su elección.
Para establecer el alcen y actividades a realizar para la empresa FIBRAFORTE S.A. se ha
seleccionado 4 Objetivos de Gobierno y Gestión, con el mapeo de la cascada de objetivos.
APO004 - Managed innovation: para poder lograr una ventaja competitiva, con una mejor
experiencia del cliente, identificando oportunidades de innovación de acuerdo con las
necesidades de la empresa, por medio de la innovación de procesos y tecnologías
emergentes.
BAI06 - Managed IT changes: para poder mitigar los riesgos, administrando todos lo cambios
relacionado a procesos de las aplicaciones, comerciales e infraestructura.
BAI08 - Managed knowledge: proporciona el conocimiento y la información necesario para
apoyar a todo el personal, con conocimiento, experiencia e iniciativas, con personal motivado
y competente.
APO02 - Managed strategy: aprovecha los componentes de gobiernos de la organización y las
capacidades relacionadas, para permitir una respuesta confiable y eficiente s los objetivos
estratégicos.
 ALCANCE DE AUDITORIA DE SI

Objetivos de Requerimiento de
Prioridades del EG Cobit gobierno y gestion Prácticas de Gestión Información / Entrevista /
negocio 2019 AG Cobit 2019 cobit 2019 (Actividades) Validación
Desarrollar productos EG01 - AG05 - Delivery of I&T APO05 APO03 BAI05 APO04.01 Crear un entorno a. Revisar plan de innovación
innovadores, Portfolio of services in line with APO08 APO04 BAI11 favorable que conduzca a la b. Revisar oportunidades de
alternativos para la competitive business APO09 APO08 AP04 innovación. innovación relacionadas con los
construcción, y que se products and requirements APO10 BAI02 AP07 APO04.02 Mantener un motivadores empresariales
adecuen a cualquier services AG06 - Agility to turn BAI02 BAI03 AP08 entendimiento del entorno de c. Revisar alcance de la prueba
necesidad. EG13 - Product business BAI03 APO02 BAI08 la empresa. de conceptos y descripción del
and business requirements into BAI06 APO03 APO04.03 Monitorizar y caso de negocio
innovation operational solutions BAI07 BAI05 explorar el entorno d. Revisar evaluaciones del uso
AG08 - Enabling and BAI11 DSS06 tecnológico. de estrategias innovadoras
supporting business BAI04 EDM04 APO04.04 Evaluar el potencial e. Revisar evaluación de los
processes by DSS01 AP06 de las tecnologías emergentes beneficios de innovación
integrating DSS02 AP011 y las ideas de innovación. f. Revisar ajuste de los planes de
applications and DSS03 BA101 APO04.05 Recomendar innovación
technology DSS04 BAI02 iniciativas adicionales
AG09 - Delivering MEA01 BAI03 apropiadas.
programs on time, on APO04.06 Supervisar la
budget and meeting implementación y el uso de la
requirements and innovación.
quality standards
AG13 - Knowledge,
expertise and
initiatives for business
innovation
 Objetivos de Requerimiento de
Prioridades del EG Cobit gobierno y gestion Prácticas de Gestión Información / Entrevista /
negocio 2019 AG Cobit 2019 cobit 2019 (Actividades) Validación
Mejoramiento del EG08 - AG03 - Realized EDM01 APO03 BAI06.01 Evaluar, priorizar y a. Revisar plan y cronograma de
proceso productivo Optimization benefits from I&T- EDM02 APO04 autorizar solicitudes de cambios
of business enabled investments AP01 APO08 cambio. b. Revisar solicitudes de cambio
process and services portfolio AP05 BAI02 BAI06.02 Gestionar cambios aprobadas
functionality AG05 - Delivery of BAI01 BAI03 de emergencia. c. Revisar evaluaciones del
I&T services in line BAI05 APO02 BAI06.03 Hacer seguimiento e impacto
with business BAI11 APO03 informar sobre cambios de d. Revisar informes de estado de
requirements estado. las solicitudes de cambio
AG06 - Agility to turn APO05 EDM04 BAI06.04 Cerrar y documentar e. Revisar cambio en la
business APO08 AP011 los cambios. documentación
requirements into APO09 AP06
operational solutions APO10 BA101
AG08 - Enabling and BAI02 BAI02
supporting business BAI03 BAI03
processes by BAI06 BAI05
integrating BAI07 BAI11
applications and BAI11
technology BAI04
AG09 - Delivering DSS01
programs on time, on DSS02
budget and meeting DSS03
requirements and DSS04
quality standards MEA01
BAI05
BAI08
DSS06

Optimizar la gestión del EG10 - Staff AG08 - Enabling and APO02 BAI08.01 Identificar y clasificar a. Revisar clasificación de las
área de talento skills, supporting business APO03 las fuentes de información fuentes de información
 Objetivos de Requerimiento de
Prioridades del EG Cobit gobierno y gestion Prácticas de Gestión Información / Entrevista /
negocio 2019 AG Cobit 2019 cobit 2019 (Actividades) Validación
humano motivation and processes by BAI05 para el gobierno y la gestión b. Revisar esquemas de
productivity integrating BAI08 de I&T. concienciación y capacitación
applications and DSS06 BAI08.02 Organizar y c. Revisar base de datos de
technology contextualizar la información usuarios de conocimiento
AG12 - Competent AP07 en conocimiento. d. Revisar resultados de la
and motivated staff AP08 BAI08.03 Utilizar y compartir evaluación de uso del
with mutual BAI08 conocimiento. conocimiento
understanding of BAI08.04 Evaluar y actualizar o
technology and retirar la información.
business
Obtener un mayor EG05 - AG08 - Enabling and APO02 APO02.01 Comprender el a. Revisar brechas y riesgos
reconocimiento en el Customer- supporting business APO03 contexto y la dirección de la relacionados con las
mercado oriented processes by BAI05 empresa. capacidades actuales
service culture integrating BAI08 APO02.02 Evaluar las b. Revisar análisis FODA de
applications and DSS06 capacidades, rendimiento y capacidades
technology madurez digital actual de la c. Revisar capacidades
empresa. empresariales y de TI requeridas
APO02.03 Definir las d. Revisar metas de alto nivel
capacidades digitales objetivo. relacionadas con I&T
APO02.04 Llevar a cabo un e. Revisar declaración del
análisis de brecha beneficio de valor del entorno
APO02.05 Definir el plan objetivo
estratégico y el mapa de ruta. f. Revisar Línea base de
APO02.06 Comunicar la capacidades actuales
dirección y estrategia de I&T.
Ejecute el relevamiento de información necesario para la ejecución de la Auditoría de SI.
Para efectos de este trabajo, debe evaluarse al menos los controles relacionados a 2 de los 4
objetivos de gobierno y gestión elegidos. Documente este trabajo en el formato Anexo 2:
Registro de Observaciones Auditoría TI.

Evidencia /
Referencia Evaluación Hallazgo Comentarios
APO02 Revisar análisis Las fortalezas no se encuentran Se debe priorizar este punto
FODA de alineadas a los objetivos de la ya que consideramos
capacidades empresa importante que las fortalezas
apoyen a la estrategia de
transformación digital de la
organización

APO02 Revisar Falta de documento de análisis Este proceso indica que se

capacidades de las capacidades deben llevar las operaciones
empresariales y empresariales de TI alineadas a las
de TI requeridas necesidades del negocio,
para lo cual es necesario
declarar roles,
responsabilidades, así como
definir políticas que regulen
las expectativas de TI

APO02 Revisar Línea Carencia de planes de acción de Se debe de priorizar para

base de mejora mejorar los planes de acción
capacidades de la empresa
actuales
APO02 Revisar Alcance no definido para la Proceso para mejorar el
estrategia y arquitectura posicionamiento y
objetivos de I&T competitividad

BAI06 Revisar Falta de aprobación solicitudes Se debe considerar para la

solicitudes de de servicio aprobación de la gestión de
cambio cambio
aprobadas
BAI06 Evaluaciones Falta de recomendaciones en el Se debe de priorizar para la
del impacto análisis de las causas raíz gestión de cambio
Documente sus hallazgos en el Anexo 3: Matriz de Observaciones de Auditoría.

Comentarios de
Riesgo
Nro. Observación Detalle Recomendación Criticidad Gerencia de
Asociado
Sistemas
APO02 Las fortalezas no se Se requiere Pérdidas Se recomienda revaluar las Alta Se evaluará los objetivos
encuentran alineadas mantener una forma financieras por fortalezas, tratando de para desarrollar una
a los objetivos de la actual de trabajar, falta de cobertura identificar aquellas que se compresión del entorno
empresa incluida el entorno de cuota de alineen a la estrategia de adecuado de la empresa
operativo, cultura y mercado transformación digital
desafíos.

APO02 Falta de documento Recopilación de Deficiencia en la Comprender adecuadamente Media Se definirá un plan
de análisis de las comentarios y comunicación el contexto de la empresa estratégico y hoja de
capacidades documentación de interna para establecer planes de ruta.
empresariales análisis de comunicaciones
capacidades

APO02 Carencia de planes de  Mantener una Estancamiento de Identificar adecuadamente Alta Revisión de los planes de
acción de mejora compresión de la la empresa los planes de mejora acción de mejora
dirección de la
empresa,
estrategias, metas y
objetivos.
 Comentarios de
Riesgo
Nro. Observación Detalle Recomendación Criticidad Gerencia de
Asociado
Sistemas
APO02 Alcance no definido  Principios y políticas Porcentaje Definir los objetivos en base a Media Mejorar la cultura interna
para la arquitectura no detallados para inadecuado de los objetivos empresariales de alineación entre el
I&T objetivos de I&T negocio y TI
que apoyan la
estrategia
empresarial
BAI06 Falta de aprobación  Asegurar la Porcentaje Mejorar el control de las Media Evaluar el impacto de las
solicitudes de servicio evaluación de los incorrecto de solicitudes de cambio soluciones propuesta
requisitos cambios totales
funcionales y de correcciones
técnicos de emergencia

BAI06 Falta de Carencia de Aumento en la Identificar las causas que Media Mejorar la comunicación
recomendaciones en herramienta de cantidad de generan los retrabajos de todos los cambios
el análisis de las gestión de cambios y retrabajo causado para minimizar los
causas raíz los riesgos asociados por cambios riesgos e impacto
fallidos
Bibliografía

 COBIT 2019 Framework: Introduction and Methodology.

 COBIT 2019 Framework Governance and Management Objetives.