AUDITORIA DE SISTEMAS

TRABAJO COLABORATIVO 2

PRESENTADO POR:
ALEXSANDER DIAZ GUALDRON
LEIDY VIVIANA RUIZ SAAVEDRA
JAVIER FELIPE MARQUEZ

GRUPO: 90168_56

PRESENTADO A
MARCO ANTONIO LOPEZ OSPINA
TUTOR

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

NOVIEMBRE 2 DE 2016
CEAD VELZ

INTRODUCCION

El trabajo presenta la continuidad de los procesos que se viene realizando en la auditora a la

COMPAIA COOPSERVIVELEZ, presenta una dinmica de trasferencia del
conocimiento de los marcos referenciales que se tratan en el curso y esboza paso a paso por
parte de cada participante el anlisis y evaluacin de riesgos a los procesos identificando
los que se trazaron inicialmente y tomndolos como punto de referencia de manera que el
ejercicio represente un trabajo significativo y a la vez contribuya a la construccin de
conocimiento de manera efectiva.

OBJETIVOS

Objetivo general
Disear y ejecutar el plan de auditora para la empresa COOPSERVIVELEZ
especificando las vulnerabilidades, amenazas y riesgos segn los procesos COBIT
seleccionados y los respectivos objetivos de control.
Objetivos especficos
Analizar y evaluar los riesgos para el proceso CobIT seleccionado.
Disear y aplicar los instrumentos de recoleccin de informacin segn el proceso
seleccionado como entrevistas, cuestionarios y listas de chequeo.

1. Un cuadro consolidado con la informacin de cada estudiante y el proceso CobIT

elegido para trabajar.

NOMBRE
ESTUDIANTE

PROCESO COBIT
ESCOGIDO

LEIDY VIVIANA
RUIZ SAAVEDRA

P01: Definir un plan

estratgico de TI

ALEXSANDER
DIAZ
GUALDRON
JAVIER FELIPE
MRQUEZ
PEREZ

P03: Determinar la
direccin tecnolgica
P03: Determinar la
direccin tecnolgica

OBJETIVOS DE CONTROL
P01.2: Alineacin de TI con el
negocio
P01.3: Evaluacin de
desempeo y la capacidad
actual
P03.1: planeacin de la
direccin tecnolgica
P03.4: Estndares tecnolgicos
P03.3: Monitoreo de tendencias
y regulaciones futuras
P03.4 Estndares tecnolgicos

2. Los formatos que cada estudiante diseo ordenados por proceso CobIT para la
recoleccin de informacin.
Leidy Viviana Ruiz Saavedra
Proceso Cobit: P01: Definir un plan estratgico de TI
Objetivos de control: P01.2: Alineacin de TI con el negocio, P01.3: Evaluacin de
desempeo y la capacidad actual

ENTREVISTA

1. los empleados realizan el borrado de la informacin de aos anteriores con o sin

autorizacin de un supervisor
2. Cul es el procedimiento que se realiza para la destruccin de la informacin de
manera fsica como cartas oficios cds , tirillas del sistema
3. Los empleados de la compaa estn capacitados o cuentan con conocimientos en
las tics

4. La empresa cuenta con planes de recuperacin de la informacin por fallas en los

sistemas de computo
5. el personal con el que se cuenta es idneo y esta consiente y apto sobre los
posibles cambios que pueden ocurrir en la entidad
6. a la hora de ingresar la informacin de registro de las transacciones financieras, el
funcionario est totalmente lucido y consiente del procedimiento que realiza en
cuanto al registro de informacin
7. Los activos informticos cuentan con una pliza en caso de algn dao fsico,
prdida o robo
8. Los funcionarios cuentan con los estudios conocimientos adecuados para ejercer el
cargo asignado
9. La red informtica cuenta con un sistema de antivirus legal
10. con que frecuencia se realiza el bakup de la informacin importante de la empresa.

CUESTIONARIO

1. Es necesario capacitar al personal de la empresa sobre las nuevas tecnologas

si______ no______
2. Dentro de la entidad se han desarrollado evaluaciones de desempeo
si______ no______
3. usted conoce los planes y procesos internos del sistema financiero de la empresa
si______ no______
4. la empresa cuenta con un profesional en ingeniera de sistemas
si______ no______
5. como considera usted el servicio ofrecido por la empresa
excelente______

bueno______
regular______
malo______
deficiente______
6. cree usted que la empresa o negocio necesita de las tecnologas actuales
si______ no______
7. el cuarto de comunicaciones cuenta con sensores de humedad
si______ no______
8. conoce usted el proceso para el apagado correcto de un equipo de computo
si______ no______
9. conoce el riesgo de navegar por portales web de dudosa reputacin
si______ no______
10. conoce usted las prioridades de la empresa en la actualidad
si______ no______

LISTA DE CHEQUEO COOPSERVIVELEZ

Cuestionario de control
Dominio
Proceso
Objetivo de control
Objetivo de control

LC1
Planear y Organizar
P01: Definir un plan estratgico de TI
P01.2: Alineacin de TI con el negocio
P01.3: Evaluacin de desempeo y la
capacidad actual

REQUERIMIENTOS A EVALUAR

CUMPLIMIENTO
DE LOS
REQUERIMIENTOS

SI

FECHA DE
REALIZACIN

NO

los empleados de la empresa cuentan con capacitacin en las tics

La empresa cuenta con planes de recuperacin de la informacin por
fallas en los sistemas de computo
La red informtica cuenta con un sistema de antivirus legal
Los activos informticos cuentan con una pliza en caso de algn
dao fsico, prdida o robo
se realiza el bakup de la informacin importante de la empresa
el cuarto de comunicaciones cuenta con sensores de humedad
los empleados cumplen las normas y leyes de la empresa
el personal est capacitado adecuadamente contra desastres
naturales
hay polticas claras sobre el uso y riesgos de internet
se realizan bakup de informacin peridicamente
Funciona correctamente la red de datos disponible en la entidad.
la informacin confidencial est debidamente resguardada
son adecuados los procesos de servicio ofrecidos por la empresa

Observaciones

Firma del ingeniero Auditor

Firma Gerente de la empresa

Alexsander Daz Gualdrn

Proceso Cobit: P03: Determinar la direccin tecnolgica

Objetivos de control: P03.1: planeacin de la direccin tecnolgica, P03.4: Estndares

tecnolgicos.

ENTREVISTA
1. Est permitido a los empleados de la empresa conectar los dispositivos como
telfonos mviles, tabletas a la red de datos de la compaa
2. La informacin relevante de la compaa con qu tipo de seguridad y
confidencialidad se maneja
3. Porque no se cuenta con el servicio de un guarda de seguridad que realice la labor
de vigilancia
4. cuantas personas manejan o conocen la clave de la caja de seguridad
5. con que periodo se realizan simulacros de evacuacin ante desastres naturales
6. las instalaciones son antissmicas
7. con que periodo se realizan mantenimiento de los sistemas de computo
8. el personal encargado de realizar el soporte tcnico a los equipos cuenta con
estudio profesional
9. Por qu no se cuenta con una planta elctrica en caso de ausencia de energa
elctrica
10. los empleados cumplen a satisfaccin con las normas y leyes que rigen la
empresa.

CUESTIONARIO

1. existe en la empresa un plan de infraestructura tecnolgica

si______ no______
2. se cuenta con un inventario actualizado de los activos informticos de la empresa
si______ no______
3. la empresa cuenta con una mesa de ayuda encargada de realizar soporte tcnico a
los equipos informticos
si______ no______
4. conoce usted la funcin de los servicios de informacin

si______ no______
5. existen planes de contingencia en caso de desastres naturales
si______ no______
6. que piensa sobre dar solucionas tecnolgicas oportunas para la compaa
De acuerdo______
En desacuerdo ______
Totalmente de acuerdo______
7. las tomas de corriente de los equipos de cmputo cuentan con polo a tierra
si______ no______
8. sabe usted a que se refiere el termino Phishing
si______ no______
9. permite que se recuerde la contrasea de su correo electrnico en el equipo donde
usted labora
si______ no______
10. realiza la descarga de software que podra poner en riesgo la informacin de la
empresa
si______ no______

LISTA DE CHEQUEO COOPSERVIVELEZ

Cuestionario de control
LC2
Dominio
Planear y Organizar
Proceso
P03: Determinar la direccin tecnolgica
Objetivo de control
P03.1: planeacin de la direccin
tecnolgica
Objetivo de control
P03.4: Estndares tecnolgicos
tem a evaluar
cumple no cumple
observaciones

la informacin confidencial de la
empresa se encuentra
resguardada de robo perdida o
dao
existen polticas de seguridad
informtica en la compaa
existen listas de controles sobre
los procesos financieros internos
cuenta con planes de contingencia
en caso de un incidente

la compaa cuenta con un plan

que permita realizar los bakup de
la informacin

la empresa cuenta con un sistema

de control y acceso al cuarto de
comunicaciones
se lleva una bitcora de las
actividades que realiza los
administradores del sistema
se cuenta con polticas para el
manejo de internet
se realizan simulacros que
permitan llevar a cabo la
evacuacin de las instalaciones en
caso de inundaciones terremotos
incendios

se cuenta con extintor, camilla y

botiqun de primeros auxilios

Javier Felipe Mrquez Prez

Proceso Cobit: P03: Determinar la direccin tecnolgica
Objetivos de control: P03.3: Monitoreo de tendencias y regulaciones futuras, P03.4:
Estndares tecnolgicos.

ENTREVISTA

Existe un responsable encargado de la verificacin de que los equipos funcionen

conforme las necesidades del usuario?

Se tiene control adecuado sobre sistemas y programas que estn en operacin?

Puede el operador modificar los datos de entrada de los equipos?

Cul es el tipo de controles que se tiene sobre archivos magnticos, de datos que
aseguren la utilizacin de la informacin registrada?

Cul es la estrategia y tipos de controles del acceso a la documentacin de

programas o aplicaciones rutinarias?

Cules son los instructivos que se les proveen a las personas que intervienen en la
operacin rutinaria de los sistemas?

Existen instructivos de operacin para cada aplicacin, que identifique sistemas,

programas, etiquetas de archivo de salida, fechas de creacin y expiracin?

Cul es la periodicidad de actualizacin de procedimientos y equipos?

Existe un control que asegure la justificacin de los procesos en el computador?

Cules son los programas que se manejan para el mantenimiento preventivo para
cada equipo?

Se tienen identificados en los equipos los archivos con informacin confidencial y

cuenta con claves de acceso?

Con que periodicidad se borran archivos de los dispositivos de almacenamiento

cundo estos se desechan?

Quienes realizan la entrega de documentos de salida y en que formatos son

entregados?

Se manejan controles de salida, copias de archivos en otros equipos y qu tipo

de confidencialidad tienen estos equipos?

Se lleva un registro de utilizacin de equipos, con qu periodicidad, al igual que de

los sistemas en lnea, de manera que se mida la eficiencia de los mismos?

CUESTIONARIO

Se controla el uso de los equipos de cmputo fuera del

horario de atencin
Puede alguien ingresar sin autorizacin a los equipos
Se mantiene libertad absoluta para descarga de archivos y
programas
Se presenta afectacin constante por virus
Existen equipos con alta periodicidad para restriccin de
su uso por daos
Existen bajas de paquetes de archivos de datos que
resguarda informacin solicitada por el usuario
Se genera entrenamiento constante a los operadores de
los equipos sobre actualizaciones o innovaciones
tecnolgicas
Existe el registro de todos los procesos realizados en los
equipos
Se verifica la existencia de pasword para garantizar la
operacin de los equipos
Se permite la utilizacin de dispositivos ajenos al centro
Existe la `posibilidad de recuperacin de datos ante fallas
del sistema
Se genera libertad para descarga de aplicaciones y
programas
Se verifica la informacin proveniente de equipos
externos
Existen privilegios o niveles de seguridad de acceso
suficientes

SI

NO

Se realizan peridicamente copias de seguridad

LISTA DE CHEQUEO COMPAIA COOPSERVIVELEZ
CUESTIONARIO DE CONTROL
DOMINIO
PROCESO
OBJETIVO DE CONTROL
OBJETIVO DE CONTROL
REQUERIMIENTOS A EVALUAR

LC3
Planear y organizar
P03: Determinar direccin tecnolgica
P03.3: Monitoreo de tendencias y
regulaciones futuras
P03.4 Estndares tecnolgicos
CUMPLIMIENTO DE
FECHA
LOS REQUERIMIENTOS EJECUCIN
SI

Existencia de registro de los sistemas en operacin

Se hallan actualizados los manuales tcnicos.
Existen registros de acceso al control de operacin del
usuario
Existen formatos y reportes generados peridicamente.
Existencia de los estudios de viabilidad y caractersticas de
los equipos actuales
Existencia de proyectos sobre ampliacin de equipos, su
actualizacin
Existencia de contratos de compra y mantenimientos de
equipo y sistemas.
Evidencia de diversos convenios de respaldo.
Existen contratos de seguros orientados al equipamiento.
Existe hoja de vida de cada equipo con sus caractersticas
esenciales.
Existencia de plizas de seguro empresarial
Se hallan actualizados los manuales tcnicos.
Existen registros de acceso al control de operacin del
usuario
OBSERVACIN

NO

3. Cuadro de anlisis y evaluacin de riesgos y las matrices de riesgos que ir

ordenado en cada proceso luego de los formatos aplicados.

Leidy Viviana Ruiz Saavedra

Vulnerabilidades
Robos o hurtos dentro de la empresa.
software no actualizado en algunos equipos de cmputo, versin de sistema operativo
Windows xp.
Limitacin en las tecnologas de seguridad.
Ausencia de correccin en errores cometidos.
Radiaciones electromagnticas.

Movimientos ssmicos repentinos.

Poca eficiencia en el servicio al cliente.
Falta de soporte tcnico. Falta de atencin hacia las restricciones internas.
Personal no confiable.
Desorganizacin del cableado.
Libertad de uso inadecuado en los sistemas internos de la empresa.
Ausencia de monitorizacin constante de la seguridad de la empresa.

Amenazas

Incursin de hackers.
Software malicioso
Uso de ingeniera social para adquirir informacin.
Presencia de scam es decir la utilizacin de estafas a travs de los medios tecnolgicos.
Fallos elctricos.
Virus en los pcs.
Ausencia de capacitacin para los empleados sobre el manejo adecuado de los medios

tecnolgicos.
Filtracin de datos por utilizacin inadecuada.
Uso desmedido de las redes sociales.
Descarga inadecuada de software no autorizado y potencialmente daino.
Desconocimiento del sistema masivo de prevencin de riesgos.
Desconocimiento o desinformacin de los riesgos en la web que pueden afectar los

procedimientos internos de la empresa.

Presencia de Phishing.

Riesgos

Perdida de informacin confidencial por procedimientos incorrectos.

Mala utilizacin de Las herramientas de seguridad informtica.
Falta confidencialidad de la informacin interna de la empresa.
Ausencia de antivirus adecuado que regule y proteja el sistema informtico en general.
Falta de proteccin fsica para los equipos presentes en la empresa en caso de daos
potenciales.

Falta de tcnicas de recuperacin de informacin prdida.

Malos manejos en el registro de informacin.
Falta de adaptacin al cambio por parte del personal de trabajo.
Ingreso errneo de informacin de los usuarios en las bases de datos.
Personal a cargo inadecuado.

Falta de control del fluido elctrico.

Falta de actualizacin para los aplicativos y herramientas utilizadas por la empresa.

Falta de bakup de informacin importante.

Alto
61-100%

Probabilid
ad

Medio
31-60%
Bajo
0-30%

Zona de
riego
moderado
zona de
riesgo
tolerante
zona de
riesgo
aceptable
leve

Zona de
zona de
riesgo
riego
importante inaceptable
zona de
Zona de
riesgo
riesgo
moderado
importante
zona de
Zona de
riesgo
riego
tolerante
moderado
moderado catastrfico
impacto

Matriz de probabilidad de impacto

Evaluacin de riesgos

N
R1

Descripcin
Perdida de
informacin
confidencial por
procedimientos
incorrectos.

PROBABILIDAD
Baja
Media
Alta

Lev
e

IMPACTO
Moderado
Catastrfico

x
x

R2

R3

R4

R5

R6

R7

R8

R9

R10

R11

Mala utilizacin de
Las herramientas de
seguridad
informtica.
Falta
confidencialidad de
la informacin
interna de la
empresa.
Ausencia de
antivirus adecuado
que regule y proteja
el sistema
informtico en
general

Falta de proteccin
fsica para los
equipos presentes en
la empresa en caso
de daos potenciales
Falta de tcnicas de
recuperacin de
informacin prdida.
Malos manejos en el
registro de
informacin.
Falta de adaptacin
al cambio por parte
del personal de
trabajo.
Ingreso errneo de
informacin de los
usuarios en las bases
de datos.

x
x

Personal a cargo
inadecuado.

Falta de control del

fluido elctrico.

R12

R13

Falta de actualizacin Alto

61-100%
para los aplicativos y
Medio
herramientas
31-60%
utilizadas por la
Probabilid
empresa.
Bajo
ad de
Falta de bakup
0-30%
informacin
importante.

R1,R3,R4,R5,
R13
x

R7,R8,R9
leve

R2,R6,R10,R11
,R12

x
moderado

catastrfico

impacto

Matriz de riesgos

Escala de probabilidad:
Bajo: Cuando el riesgo se presenta espordicamente 1 0 2 veces en el ao
Medio: Cuando el riesgos se presenta cada mes
Alto: Cuando el riesgo se presenta todas las semanas
Fjense que lo importante es la unidad de tiempo en que se mide, en un sistema puede que
se presenten errores todo los das o varias veces en una hora, por lo tanto la medicin de be
hacerse de acuerdo al proceso evaluado y a los riesgos que pueden presentarse, tambin hay

que tener en cuenta si se est evaluado el rea informtica, sus activos de hardware, el
personal o uno de los sistemas especficamente.
Escala de impacto:
Leve: Cuando el riesgo afecta a una sola persona o dependencia de la organizacin
Moderado: Cuando el riesgo afecta a un grupo de personas o a toda una dependencia
Catastrfico: Cuando se paraliza completamente la actividad en la organizacin

Alexsander Daz Gualdrn

Vulnerabilidades:
1
2
3
4
5
6
7
8

9
10
11
12
13

Descuido de puesto de trabajo

los equipos de cmputo no cuentan con guayas de seguridad
no se cuenta con un manual de poltica de seguridad informtica y de datos
personales
reciclaje inadecuado de documentacin interna de la empresa
no se cuenta con sensores de humo
los equipos informticos no cuentan con sellos de seguridad que impidan la apertura
por parte de los empleados de los dispositivos
los computadores no cuentan con contraseas de inicio , cuando se encienden
los computadores ,impresoras, escneres, etc.; de la empresa no se encuentran
contramarcados con etiquetas para activos fijos, que permitan una identificacin de
la compaa
no se ha realizado un estudio de Auditoria informtica a la empresa para detectar
vulnerabilidades, amenazas y riesgos informticos
ausencia de clima organizacional
Deficiente instalacin de redes de cableado y energa.
Existen cables dispuestos al ingreso del sitio a la vista del pbico
Puestos de trabajo rotatorios sin asignacin fija

Amenazas:

1
2

Fallas en la utilizacin de los sistemas

no se cuenta con sensores de humedad , que permita medir los niveles de humedad
en los cuartos de comunicaciones
3 consumo de bebidas cerca a los equipos de computo
4 fuga de datos en CD/DVD, que no son destruidos de manera adecuada
5 no se cuenta con un experto en seguridad informtica
6 apagado incorrecto de los equipos de computo
7 la empresa no realiza un control del uso de la navegacin en Internet, permitiendo a
sus empleados navegar por portales web peligrosos
8 divulgacin errnea de informacin prioritaria para la empresa , es decir la mala
comunicacin entre el personal de trabajo
9 algunos empleados dejan abiertos los correos electrnicos cuando al iniciar seccin
permite que se recuerden los datos en el equipo
10 No hay garante de seguridad en dispositivos y equipamiento
11 Cristalizacin de los cables por la disposicin al sol y el agua
12 Ambiente laboral afectado por ubicacin de elementos requeridos para las tareas
asignadas

Riesgos:
1
2
3
4
5
6
7
8
9
10
11
12
13

Presencia masiva de dispositivos mviles en la red que pueden perjudicar el libre

funcionamiento del sistema interno
no cumplimiento de las leyes y normas que rigen a la compaa
Falta de vigilancia, es decir un empleado que realice la labor de vigilancia en el da
y noche.
ausencia de un reforzamiento especial y ms adecuado en las instalaciones donde
se encuentran las cantidades de dinero
falta de control para la reduccin de costos innecesarios para la compaa
Falta de revisin diaria a los procesos del personal subordinado por parte del
gerente de la entidad.
No todos los equipos informticos son alimentados mediante UPS
desconocimiento sobre los procesos de evacuacin sobre riesgos y desastres
naturales
No cuentan an con una planta elctrica en caso de bajonazos y cortes de luz
falta de determinacin si se deben efectuar cambios en el manejo de la informacin
Colapso en cualquier momento de la red
Interferencia en la red.
Inseguridad de cada uno de los trabajadores.

Matriz de probabilidad de impacto

Alto
61-100%

Probabilida
d

Medio
31-60%
Bajo
0-30%

Zona de
riego
moderado
zona de
riesgo
tolerante
zona de
riesgo
aceptable
leve

Zona de
riesgo
importante
zona de
riesgo
moderado
zona de
riesgo
tolerante
moderado
impacto

Evaluacin de Riesgo

zona de riego
inaceptable
Zona de riesgo
importante
Zona de riego
moderado
catastrfico

Matriz de Riesgo

R14, R16,
R17,R20,R21,
R22

Alto
61-100%
Probabilida
d

Medio
31-60%
Bajo
0-30%

R15,R18,R25
R19,R23,R24,
R26
leve

moderado

catastrfico

impacto

Javier Felipe Mrquez Prez

Vulnerabilidades

Software no actualizado en algunos equipos de cmputo , versin de sistema

operativo Windows xp
Limitacin en las tecnologas de seguridad
Ausencia de correccin en errores cometidos
Falta de soporte tcnico
Falta de atencin hacia las restricciones internas
Libertad de uso inadecuado en los sistemas internos de la empresa
No se cuenta con un manual de poltica de seguridad informtica y de datos
personales
Reciclaje inadecuado de documentacin interna de la empresa
Equipos informticos no cuentan con sellos de seguridad que impidan la apertura
por parte de los empleados de los dispositivos
Los computadores no cuentan con contraseas de inicio , cuando se encienden

Amenazas
1
2
3
4
5
6

Presencia de scam es decir la utilizacin de estafas a travs de los medios

tecnolgicos
Virus en los pcs
Filtracin de datos por utilizacin inadecuada
Uso desmedido de las redes sociales
Descarga inadecuada de software no autorizado y potencialmente daino
Desconocimiento del sistema masivo de prevencin de riesgos

7
8
9
10

Fallas en la utilizacin de los sistemas

Fuga de datos en CD/DVD, que no son destruidos de manera adecuada
Apagado incorrecto de los equipos de computo
La empresa no realiza un control del uso de la navegacin en Internet, permitiendo a
sus empleados navegar por portales web peligrosos
11 Divulgacin errnea de informacin prioritaria para la empresa , es decir la mala
comunicacin entre el personal de trabajo
12 Falta de seguridad especial en las contraseas de los usuarios
13 No hay garante de seguridad en dispositivos y equipamiento.

Riesgos
14
15
16
17
18
19
20
21
22
23

Perdida de informacin confidencial por procedimientos incorrectos

Mala utilizacin de Las herramientas de seguridad informtica
Falta confidencialidad de la informacin interna de la empresa
Ausencia de antivirus adecuado que regule y proteja el sistema informtico en
general
Falta de tcnicas de recuperacin de informacin prdida.
Malos manejos en el registro de informacin.
Ingreso errneo de informacin de los usuarios en las bases de datos.
Falta de actualizacin para los aplicativos y herramientas utilizadas por la empresa.
Falta de bakup de informacin importante.
Falta de determinacin si se deben efectuar cambios en el manejo de la
informacin.

EVALUACION DE RIESGOS
Descripcin

R1

Ausencia de antivirus adecuado que regule y

proteja el sistema informtico en general

R2

Perdida de informacin confidencial por

procedimientos incorrectos.
Mala utilizacin de Las herramientas de
seguridad informtica

R3

R4

PROBABILIDAD
Baja Media Alt
a
X

Malos manejos en el registro de informacin

IMPACTO
Lev Moderado
e

X
X

Catastrfico

R5

Alto

Falta de tcnicas de recuperacin de

61-100%
informacin perdida

Medio
31-60%

R6

R10, R9

Falta de actualizacin
los aplicativos y
Probabilidpara
Bajo
herramientas
ad
0-30%
R4
leve

R7

R1,R2,R3,R5,R
7.R8

moderado

Falta de bakup de informacin importante.

catastrfico

impacto

R8

Perdida de informacin confidencial por

procedimientos incorrectos

R9

Falta confidencialidad de la informacin

interna de la empresa

R1
0

falta de determinacin si se deben efectuar

cambios en el manejo de la informacin

Matriz de riesgos

CONCLUSIONES

Mediante el desarrollo del trabajo se desarrollaron habilidades en el diseo

de diversos instrumentos de medicin que permiten una clara constatacin y
anlisis de riesgos que se generan en la COMPAIA COOPSERVIVELEZ
La matriz de riesgos a la cual se ha llegado como construccin prctica en
un entorno real, se convierte en el insumo importante para la parte
administrativa, en cuanto que permite fundamentar y orientar planes de

mejora para minimizar los mismos y garantizar un direccionamiento asertivo

de la compaa.

REFERENCIAS BIBLIOGRAFICAS

Aguirre A. (2016) modulo auditoria de sistemas 90168. Recuperado el 10 de septiembre de:

http://campus06.unad.edu.co/ecbti08/mod/lesson/view.php?id=5520
Acimed. (Ciudad de La Habana feb. 2008). Apuntes sobre las convergencias y divergencias entre

las

profesiones

de

consultor

auditor.

Recuperado

el

21

de

octubre

de:

http://campus06.unad.edu.co/ecbti08/mod/lesson/view.php?id=5521&pageid=1351
Brun R. (Agosto 2003). Herramientas de auditoria. Recuperado el 21 de octubre de:
http://campus06.unad.edu.co/ecbti08/mod/lesson/view.php?id=5521&pageid=1352
Muoz Razo Carlos. (2000). Auditoria en Sistemas computacionales. Mxico. Editorial
Pearson Educacin. Recuperado el 21 de septiembre de: http://books.google.es/books?
id=3hVDQuxTvxwC&lpg=PP1&hl=es&pg=PP1#v=onepage&q&f=false