PROCEDIMIENTOS Y TECNICAS DE AUDITORIA.

El proceso de auditora exige que el auditor de sistemas rena evidencia, evale fortalezas y debilidades de los controles existentes basado en la evidencia recopilada, y que prepare un informe de auditora que presente esos temas en forma objetiva a la gerencia. Planificacin de la auditora Una planificacin muy adecuada es el primer paso necesario para que realicemos auditoras de sistemas. Debemos comprender el ambiente del negocio y en el que vamos a realizar la auditora as como los riesgos del negocio y control asociado. a. Comprensin del negocio y de su ambiente. Debemos incluir una comprensin general de las diversas prcticas comerciales y funciones relacionadas en la auditora, as como los tipos de sistemas que se utilizan. El estudio de los informes sobre normas o reglamentos. Revisin de planes estratgicos a largo plazo. Revisin de informes de auditoras anteriores. b. Riesgo y materialidad de auditora. Los riesgos que podemos tener en la auditora los podemos clasificarse de la siguiente manera: 1. Riesgo inherente: Cuando un error material no se puede evitar que suceda por que no existen controles compensatorios relacionados que se puedan establecer. 2. Riesgo de Control: Cuando un error material no puede ser evitado o detectado en forma oportuna por el sistema de control interno. 3. Riesgo de deteccin: Es el riesgo de que el auditor realice pruebas exitosas a partir de un procedimiento inadecuado. c. Tcnicas de evaluacin de Riesgos. Existen cuatro doctrinas que debemos tener en cuenta para la evaluacin de riesgos: 1. Permitir que la gerencia nos asigne recursos necesarios para la auditora. 2. Garantizar que se ha obtenido la informacin pertinente de todos los niveles gerenciales, y garantiza que las actividades de la funcin de auditora se dirigen correctamente a las reas de alto riesgo y constituyen un valor agregado para la gerencia. 3. Constituir la base para la organizacin de la auditora a fin de administrar eficazmente el departamento. 4. Proveer un resumen que describa como el tema individual de auditora se relaciona con la organizacin global de la empresa as como los planes del negocio. d. Objetivos de controles y objetivos de auditora. Vamos anular el riesgo siguiendo la metodologa, el objetivo de auditora es verificar la existencia de estos controles y que estn funcionando de manera eficaz, respetando las polticas de la empresa y los objetivos de la empresa. e. Procedimientos de auditora. Los procedimientos de auditora son: 1. Revisin de la documentacin de sistemas e identificacin de los controles existentes. 2. Entrevistas con los especialistas tcnicos a fin de conocer las tcnicas y controles aplicados. 3. Utilizacin de software de manejo de base de datos para examinar el contenido de los archivos de datos. 4. Tcnicas de diagramas de flujo para documentar aplicaciones automatizadas. DESARROLLO DEL PROGRAMA DE AUDITORA. Tema de auditora: el rea a ser auditada son: 1. Ingeniera 2. Administracin Objetivos de Auditora: verificar la conformidad del sistema de gestin de acuerdo a las normas establecidas por la empresa en (ISO 9001; ISO 14001; OHSAS 18001 Y RUC) y buscar la mejora continua de los procesos. Alcances de auditora: se aplicaran todos los procesos incluidos en el alcance del sistema de gestin de la organizacin.

Planificacin previa: tenemos identificado los recursos y destrezas que se necesitan para realizar el trabajo as como las fuentes de informacin para pruebas o revisin y lugares fsicos o instalaciones donde vamos auditar. Procedimientos de auditora para: 1. Recopilacin de datos. 2. Identificacin de lista de personas a entrevistar. 3. Identificacin y seleccin del enfoque del trabajo 4. Identificacin y obtencin de polticas, normas y directivas. 5. Desarrollo de herramientas y metodologa para probar y verificar los controles existentes. 6. Procedimientos para evaluar los resultados de las pruebas y revisiones. 7. Procedimientos de comunicacin con la gerencia. 8. Procedimientos de seguimiento. Asignacin de Recursos de auditora.

Hoja de control de tiempo semanal Semana: del __/__/__ al __/__/__ Nombre:___________________________ Registro: ___________________________ General Auditoria 1 Auditoria 1 Auditoria 1 Auditoria 2 Auditoria 2 Actividad 1 Actividad 2 Actividad 3 Actividad 1 Actividad 4 Detalle L x M x M x x x x x J V S

Tcnicas de recopilacin de evidencias. La recopilacin de material de evidencia es un paso clave en el proceso de la auditora, algunas formas que utilizaremos son las siguientes: 1. Revisin de las estructuras organizacionales de sistemas de informacin. 2. Revisin de documentos que inician el desarrollo del sistema, especificaciones de diseo funcional, historia de cambios a programas, manuales de usuario, especificaciones de bases de datos, arquitectura de archivos de datos, listados de programas. 3. Entrevistas con el personal apropiado. 4. Observacin de operaciones y actuacin de empleados. 5. Auto documentacin, flujogramas, cuestionarios de entrevistas realizados. 6. Aplicacin de tcnicas de muestreo para saber cundo aplicar un tipo adecuado de pruebas (de cumplimiento o sustantivas) por muestras. 7. Utilizacin de tcnicas de auditora asistida por computador CAAT, consiste en el uso de software genrico, especializado o utilitario. Evaluacin de fortalezas y debilidades de auditora. Luego de desarrollar el programa de auditora y recopilar evidencia de auditora, lo que debemos hacer es evaluar la informacin recopilada con la finalidad de desarrollar una opinin y para esto utilizaremos una matriz de control con la que se evaluar el nivel de los controles identificados. PLANEACIN DE LA AUDITORA EN INFORMTICA Para que hagamos una adecuada planeacin de la auditora en informtica, debemos seguir una serie de pasos que permitirn dimensionar el tamao y caractersticas de rea dentro del organismo. La auditora en informtica y la planeacin es fundamental y la haremos de los dos objetivos: Evaluacin de los sistemas y procedimientos. Evaluacin de los equipos de cmputo. INVESTIGACIN PRELIMINAR Hemos revisando la informacin de cada una de las reas basndose en los siguientes puntos:

ADMINISTRACIN Se recopila la informacin para obtener una visin general del departamento por medio de observaciones, entrevistas preliminares y solicitud de documentos para poder definir el objetivo y alcances del departamento. RECURSOS MATERIALES Y TECNICOS. Se ha solicitado a la empresa lo siguiente: 1. 2. 3. Se ha Solicitado los documentos de los equipos, nmero de ellos, localizacin y caractersticas. Los estudios de viabilidad. Nmero de equipos, localizacin y las caractersticas (de los equipos instalados y por instalar y programados) 4. Fechas de instalacin de los equipos y planes de instalacin. 5. Contratos vigentes de compra, renta y servicio de mantenimiento. 6. Contratos de seguros. 7. Convenios que se tienen con otras instalaciones. 8. Configuracin de los equipos y capacidades actuales y mximas. 9. Planes de expansin. 10. Ubicacin general de los equipos. 11. Polticas de operacin. 12. Polticas de uso de los equipos. SISTEMAS En el rea de sistemas se han solicitado la descripcin general de los sistemas instalados y de los que estn por instalarse que contengan volmenes de informacin, tales con son: 1. Manual de formas. 2. Manual de procedimientos de los sistemas. 3. Descripcin genrica. 4. Diagramas de entrada, archivos, salida. 5. Fecha de instalacin de los sistemas. 6. Proyecto de instalacin de nuevos sistemas.

PERSONAL PARTICIPANTE

Nombre Edwin cuadros Cisneros Wisgton Rodrigo Zapata Andrs Ocando Colina Reinaldo Barbosa Jahir Bautista Alexander

Asistentes Cargo caractersticas Coordinador Equipo Experiencia en el rea de informtica. Lder Experiencia en operacin y anlisis de sistemas Gestor Conocimientos de los sistemas ms importantes Gestor Conocimientos de los sistemas ms importantes Gestor Tcnico en informtica

CONTROLES Conjunto de disposiciones metdicas, cuyo fin es vigilar las funciones y actitudes de las empresas y para ello permite verificar si todo se realiza conforme a los programas adoptados, rdenes impartidas y principios admitidos. Clasificacin general de los controles 1. Controles Preventivos: con el fin de reducir que ocurren las causas del riesgo, no se puede permitir cierto margen de violaciones, para tal medida se instalaran Letrero "No fumar" para salvaguardar las instalaciones. 2. Controles detectives: los archivos y procesos que sirvan para la auditora sern restringido al personal con el fin de salvaguardar la informacin y evitar Procedimientos de validacin o alteracin de la informacin. 3. Controles Correctivos: se harn recomendaciones al personal de los Principales Controles fsicos y lgicos 1. Autenticidad: se recomienda la verificar la identidad Passwords y Firmas digitales

2. 3. 4. 5. 6. 7. 8. 9.

Exactitud: Aseguran la coherencia de los datos, Validacin de campos y Validacin de excesos. Redundancia: se debe evitar la duplicidad de datos, Cancelacin de lotes y Verificacin de secuencias Privacidad: se debe aseguran la proteccin de los datos, Compactacin y Encriptacin Existencia: se debe Aseguran la disponibilidad de los datos, Bitcora de estados y Mantenimiento de activos Proteccin de Activos: Destruccin o corrupcin de informacin o del hardware, Extintores y Passwords Efectividad: se debe aseguran el logro de los objetivos, Encuestas de satisfaccin y Medicin de niveles de servicio Eficiencia: se debe aseguran el uso ptimo de los recursos, Programas monitores, Anlisis costobeneficio y Controles automticos o lgicos Periodicidad de cambio de claves de acceso: se le recomienda al personal los cambios de las claves de acceso a los programas peridicamente.

Combinacin de alfanumricos en claves de acceso Confidenciales: se recomienda al personal tener una clave de forma confidencial y para ellos se instruidos formalmente respecto al uso de las claves. Conteo de registros: Se crea unos campos de memoria para ir acumulando cada registro que se ingresa y verificar con los totales ya registrados. Utilizar software de seguridad en los microcomputadores Se implementara un software de seguridad (WACHDOG) para restringir el acceso al microcomputador, de tal modo que solo el personal autorizado pueda utilizarlo. Controles administrativos en un ambiente de Procesamiento de Datos Se implantar los siguientes controles que se agruparan de la siguiente forma: 1.- Controles de Preinstalacin 2.- Controles de Organizacin y Planificacin 3.- Controles de Sistemas en Desarrollo y Produccin 4.- Controles de Procesamiento 5.- Controles de Operacin 6.- Controles de uso de Microcomputadores PLANES DE CONTINGENCIA: 1. En corte total de energa o explota, se instalara planta auxiliares de energa y UPS. 2. Se harn Backups de la informacin diariamente y que aparte, sea doble, para tener un Backup en la empresa y otro afuera de sta. 3. Tener unas oficinas paralelas que posean servicios bsicos (luz, telfono, agua) distintos de los de la empresa principal, es decir, si a la empresa principal le provea telfono Telecom, a las oficinas paralelas, Telefnica. 4. En este caso, si se produce la inoperancia de Sistemas en la empresa principal, se utilizara el Backup para seguir operando en las oficinas paralelas. Los Backups se pueden acumular durante dos meses, o el tiempo que estipule la empresa, y despus se van reciclando.

HERRAMIENTAS Y TCNICAS PARA LA AUDITORA INFORMTICA Cuestionarios pre impresos que se envan a las personas administracin. HORAS DE TRABAJO
PREGUNTAS DE LA AUDITORA Cuenta la instalacin con una poltica escrita referente a las horas de trabajo y horas extraordinarias conforme a lo establecido en la (s) ley (es) local (es)? Disponen todos los empleados de las horas de trabajo legales y de las horas de trabajo de la instalacin? Se encuentran las horas trabajadas debidamente documentadas (por ejemplo, tarjetas de fichar)? Las horas extraordinarias son voluntarias? Cul es el nmero mximo de horas trabajadas por da? ________ Horas. Por semana ________ horas Cul es el mximo de horas extraordinarias trabajadas por mes? _______ Horas. Se les permite a los trabajadores disfrutar de un da libre de cada siete das? Se les permite a los trabajadores disfrutar de una baja presentando certificado mdico por enfermedad o por maternidad? Disponen los trabajadores de adecuados: a) Descansos para comer? b) Descansos personales? Salarios y Retribuciones PREGUNTAS DE LA AUDITORA Cuenta la instalacin con una poltica escrita referente a los salarios y retribuciones conforme a lo establecido en las leyes locales? Se encuentran los ndices salariales mnimos legales y de la empresa visible o a disposicin de los trabajadores? Cumplen los salarios y retribuciones con los requerimientos legales y de la poltica de la empresa? ndices Horario Mnimo: ____ndices Hora Extra Mnimo: ______ Das laborables normales: _____ Das de Descanso: ________ Fiestas: _________ Se requiere por ley que retenciones sean retenidas correctamente, y abonadas a la (s) agencia (s) apropiada (s)? Se les informa a los trabajadores de dichas retenciones y otras deducciones previo a su contratacin? Son las deducciones atribuibles a dietas y alojamiento razonables y conformes con la legalidad vigente? Son las deducciones atribuibles a artculos proporcionados por la empresa razonable y conforme con la legalidad vigente? Se ofrecen los beneficios extra salariales legalmente exigidos (bonificaciones, vacaciones pagadas, complementos por dietas, etc.)? Reciben los trabajadores sus nminas detalladas? [ ]S [ ]No [ ]S [ ]No [ ]S [ ]No [ ]S [ ]S [ ]No [ ]No [ ]S [ ]No [ ]S [ ]No [ ]S [ ]No [ ]S [ ]No [ ]S [ ]S [ ]No [ ]No [ ]S [ ]S [ ]S [ ]S [ ]S [ ]S [ ]No [ ]No [ ]No [ ]No [ ]No [ ]No [ ]S [ ]No [ ]S [ ]No

Se paga a los trabajadores de forma regular y peridica? Se les facilitan a los trabajadores los medios necesarios para la recepcin de su salario? Representacin de los Trabajadores PREGUNTAS DE LA AUDITORA Cuentan los trabajadores con facilidades para tratar con la direccin temas de su inters? Existen representante (s) de los trabajadores en el lugar de trabajo? Existen representante (s) de la direccin designados para tratar con los representante (s) de los trabajadores? Se celebran reuniones peridicas entre los representante (s) y la direccin, estando las actas de dichas reuniones archivadas y disponibles? Existe evidencia alguna de un trato desigual entre los representante(s) de los trabajadores y otros empleados? Instalaciones PREGUNTAS DE LA AUDITORA Cuenta la instalacin con una poltica escrita para cumplir con las leyes locales que rigen la seguridad, higiene, medioambiente y condiciones laborales en sus instalaciones? Existe algn representante de la direccin general para la seguridad, higiene, bienestar y servicios generales?. Se mantiene la instalacin limpia y en buenas condiciones? - Pasarelas y pasillos - reas de Almacn y Depsito - Ascensores y Escaleras - reas de Fabricacin - Equipamiento elctrico - Otros Se llevan a cabo inspecciones rutinarias de la instalacin? Se conserva toda la maquinaria, equipamiento e instalacin en condiciones de trabajo seguras, siendo adecuadamente reparados tras una avera? Existen medios de comunicacin eficaces disponibles para la notificacin externa e interna de emergencias? Cumplen los controles de temperatura y humedad con las prcticas laborales seguras? Proporcionan los controles de ventilacin general un ambiente de trabajo seguro? Es adecuada la iluminacin? Existe una recogida sistemtica y regular de residuos? Tienen todos los trabajadores acceso a agua potable para beber? Existen aseos disponibles, operativos y limpios? Existen instalaciones para el lavado de manos disponibles, operativas, limpias, y localizadas dentro del rea correspondiente a los aseos? Existe personal de seguridad adecuadamente formado?

[ ]S [ ]S

[ ]No [ ]No

[ ]S [ ]S [ ]S [ ]S [ ]S

[ ]No [ ] No [ ] No [ ] No [ ] No

[ ]S [ ]S

[ ] No [ ] No

[ ]S [ ]S [ ]S [ ]S [ ]S [ ]S [ ]S [ ]S [ ]S [ ]S [ ]S [ ]S [ ]S [ ]S [ ]S [ ]S [ ]S

[ ] No [ ] No [ ] No [ ] No [ ] No [ ] No [ ] No [ ] No [ ] No [ ] No [ ] No [ ] No [ ] No [ ] No [ ] No [ ] No [ ] No

Se respetan las normas referentes al tabaco? Proteccin frente a Incendios PREGUNTAS DE LA AUDITORA A) Preparacin para Emergencias Cuenta el lugar con un plan adecuado escrito sobre preparacin para emergencias? Est el personal formado sobre los planes de prevencin de incendios y preparacin para emergencias? Se ha designado un coordinador local para administrar los procedimientos sobre prevencin de incendios y los planes de preparacin para emergencias? B) Salida y Evacuacin Cuenta el lugar con un sistema de alarma de emergencia para avisar al personal de la evacuacin del lugar? Existe un alumbrado de emergencia, colocado en los lugares apropiados e inspeccionado peridicamente? Existen pasillos y puertas de salida de emergencias claramente sealadas, iluminadas, accesibles, y mantenidos libres de obstrucciones, interna y externamente? Existen rutas de evacuacin visibles en las zonas de trabajo con instrucciones claras sobre como abandonar la instalacin? Tiene cada trabajador acceso a no menos de dos salidas de emergencia no lejos de su alcance? Se encuentran las puertas, pasillos, o cualesquiera que podran ser errneamente interpretados como salidas de emergencia, apropiadamente sealados con NO SALIDA. Se abren libremente las puertas de salida de emergencia (sin llave) en la direccin de la marcha y sin necesidad de ningn conocimiento especial para abrirlas? Se lleva a cabo en el lugar simulacros de evacuacin de emergencia anuales? C) Limpieza de las instalaciones Se almacena la basura en contenedores no combustibles vaciados de forma regular? Se almacenan despojos de hierro, escombros y materiales de desecho combustibles (por ejemplo trapos aceitosos) en contenedores metlicos cubiertos y son retirados del lugar de trabajo con prontitud? Se encuentran las zonas libres de materiales combustibles innecesarios? Se mantiene el suelo limpio de vertidos y materiales? Se encuentran los contenedores etiquetados con sus contenidos y adecuadamente almacenados? Se encuentran las zonas peligrosas y otras zonas apropiadamente sealadas con carteles de No fumar? Se mantiene el equipamiento productor de calor tal y como calefactores porttiles, motores, hornos, etc., libre de materiales combustibles (incluyendo polvo, grasa, aceite, y fibras)? Se encuentran los materiales adecuadamente almacenados ya sea dentro o fuera del edificio? D) Elctrico Se encuentran el equipamiento elctrico y cableado adecuadamente conservados, recubiertos / aislados para prevenir la exposicin del cableado? Se encuentra el cableado adecuadamente fijado a montajes, clavijas, fusibles / interruptores, y otros

[ ]S

[ ] No

[ ]S [ ]S [ ]S

[ ] No [ ] No [ ] No

[ ]S [ ]S [ ]S [ ]S [ ]S [ ]S [ ]S [ ]S [ ]S [ ]S

[ ] No [ ] No [ ] No [ ] No [ ] No [ ] No [ ] No [ ] No [ ] No [ ] No

[ ]S [ ]S [ ]S [ ]S [ ]S [ ]Si [ ]S [ ]S

[ ] No [ ] No [ ] No [ ] No [ ] No [ ] No [ ] No [ ] No

equipamientos? Estn los aislamientos elctricos instalados en cajas de unin, enchufes, panel elctrico, estando libres de cualquier obstruccin? Presenta el lugar un sistema de proteccin de la iluminacin? E) Riesgos Especiales [ ]S [ ]S [ ]S [ ]S [ ]S [ ] No [ ] No [ ] No [ ]No [ ]No Se encuentran los lquidos inflamables adecuadamente almacenados en armarios de seguridad y / o salas de almacenaje de productos inflamables adecuadamente ventiladas y protegidas elctricamente? Se encuentran los lquidos inflamables que est siendo utilizado adecuadamente almacenados en contenedores dispensadores de seguridad? Se encuentran las botellas de gas adecuadamente sealadas, usadas, inspeccionadas, almacenadas y aseguradas? Han recibido los trabajadores formacin sobre los dispositivos de seguridad de las mquinas Se encuentran las zonas de pintado con disolvente por rociado o en las que se produce polvo en buen estado, limpias y construidas con materiales no combustibles, estando alejadas al menos 20 pies de llamas, chispas, motores elctricos en funcionamiento, o cualquier otro foco de ignicin? Existe una adecuada ventilacin para prevenir la acumulacin de vapores inflamables en el transcurso de las operaciones de rociado? Ha recibido el personal la formacin adecuada en el manejo y utilizacin de materiales inflamables y combustibles? F) Alarmas y Extintores [ ]S [ ]S [ ]S [ ]S [ ]S [ ]S [ ] No [ ] No [ ] No [ ] No [ ] No [ ] No Se encuentran las alarmas de incendios claramente sealadas, accesibles, y mantenidas operativas? Estn los extintores adecuados disponibles, claramente sealados y accesibles? Se encuentran los extintores completamente cargados, siendo sometidos a una inspeccin visual con carcter mensual? Ha recibido el personal de respuesta ante una emergencia la formacin sobre el correcto funcionamiento de los extintores? Se investigan los incendios a fin de determinar sus causas, siendo examinadas para prevenir reincidencias? Se inspecciona rutinariamente y mantiene en buen estado el resto del equipamiento anti-incendios? Seguridad e Higiene PREGUNTAS DE LA AUDITORA Se discrimina negativamente a los trabajadores por informar de un accidente? Est prohibida la ropa suelta, llevar joyas, y el pelo largo en las cercanas de una mquina con partes movibles? Han recibido los trabajadores formacin sobre los dispositivos de seguridad de las mquinas? Se proporcionan y utilizan dispositivos de seguridad para las mquinas? a) b) c) d) e) Puntos de trabajo Aparatos de Transmisin de fuerza / energa Otras partes movibles peligrosas Poleas y correas Aspas de ventilador protegidas con un dispositivo de guardia y con aperturas limitadas [ ]S [ ]S [ ]S [ ]S [ ]S [ ] No [ ] No [ ] No [ ] No [ ] No [ ]S [ ] No [ ]S [ ]S [ ] No [ ] No [ ]S [ ] No [ ]S [ ]No [ ]S [ ] No [ ]S [ ] No

PREGUNTAS DE LA AUDITORA Son los controles de arranque / parada los adecuados? a) b) c) d) Proporcionados para cada operario Protegidos frente a activacin accidental Etiquetados y / o clasificados adecuadamente por colores Paradas de emergencia del tipo palma / seta y de color rojo [ ]S [ ]S [ ]S [ ]S [ ]S [ ]S [ ]S [ ] No [ ] No [ ] No [ ] No [ ] No [ ] No [ ] No

Se encuentra alguna mquina, equipamiento y montaje no mencionado arriba, en condiciones de funcionamiento seguro? Existe una ventilacin de salida local adecuada en las zonas en que se utilizan pinturas y productos qumicos (por ejemplo, disolventes, soldadura, polvo)? Se mantienen los niveles de exposicin de todo el personal en o por debajo de los niveles de exposicin de seguridad? Descrbanse. Medioambiental

PREGUNTAS DE LA AUDITORA Se manejan adecuadamente los residuos peligrosos? Todos los residuos peligrosos se gestionan en un lugar debidamente autorizado por el gobierno? Cuenta la instalacin con un permiso para la descarga de aguas residuales del proceso? Ha obtenido la instalacin el permiso necesario otorgado por la agencia medioambiental local para todos los puntos de descarga de aire? Cuenta la instalacin con un sistema sptico o permiso de descarga para tratar las aguas residuales? Bienestar Servicios Mdicos PREGUNTAS DE LA AUDITORA Cuenta la instalacin con un procedimiento escrito para el manejo de las emergencias mdicas? Existe un tratado mdico para emergencias disponibles para todos los trabajadores? Mantiene la instalacin informes de heridas / enfermedades, siendo empleados los mismos para la implementacin de acciones correctivas? Cuenta cada turno con el personal adecuado y formado en primeros auxilios y en reanimacin cardiopulmonar (RCP)? Se encuentran los suministros de primeros auxilios razonablemente disponibles en la instalacin y la residencia? Cuenta la instalacin con un proceso de agentes patgenos presentes en la sangres? Se encuentran los residuos mdicos separados del resto, siendo adecuadamente eliminados? [ ]S [ ]S [ ] No [ ] No [ ]S [ ] No [ ]S [ ] No [ ]S [ ]S [ ]S [ ] No [ ] No [ ] No [ ]S [ ]No [ ]S [ ]S [ ]S [ ]S [ ] No [ ] No [ ] No [ ] No

Entrevistas: Mediante oficio N 0001 se hace la peticin de documentacin de la parte sistemas la empresa. Seguridad fsica PREGUNTAS DE LA AUDITORA Se encuentra el sistema en una superficie slida y estable lo ms cerca del suelo posible? Est el sistema a salvo de la luz solar excesiva, viento, polvo, agua o temperaturas extremas de fro

[ ]S [ ]S

[ ] No [ ] No

/ calor? Est el sistema situado en un sitio donde pueda tener un seguimiento, aislado y con poco trfico humano? Est la sala / edificio en el que se encuentra el sistema securizado con una cerradura o sistema de alarma para que slo personal autorizado acceda? Estn las puertas cerradas con llave y las alarmas activadas fuera de horario de oficina? Est el terminal del sistema bloqueado para evitar que alguien por casualidad pase por el sistema y lo use (aunque slo sea por unos segundos)? Estn todos los usuarios desconectados del terminal? Estn los interruptores del terminal bloqueados o protegidos? Existen dispositivos de entrada al sistema no asegurados / deshabilitados: unidades de disco bloqueadas / deshabilitadas? Estn los puertos paralelo / serie / infrarrojo / USB / SCSI asegurados o deshabilitados? Existen discos duros conectados fsicamente al sistema sin bloquear?

[ ]S [ ]S

[ ] No [ ] No

[ ]S [ ]S [ ]S

[ ] No [ ] No [ ] No

Seguridad de redes PREGUNTAS DE LA AUDITORA RED FSICA Est la red segura sin peligro de conexin no autorizada? Tiene slo el personal autorizado acceso a la red fsica a la que est conectado el sistema? Conoce y confa en todos los diversos puntos donde se gestiona la conexin de red fsica / administrados por otra persona o entidad? Estn los otros sistemas de la misma red fsica y electrnicamente securizados?

[ ]S [ ]S [ ]S [ ]S

[ ] No [ ] No [ ] No [ ] No

PREGUNTAS DE LA AUDITORA TRFICO DE RED APROBADO Conoce los nombres de los proveedores, la funcionalidad y la naturaleza del software en su sistema que participa en cualquier actividad de la red? Ha comprobado que no existan parches de seguridad del software y recibe regularmente las actualizaciones de seguridad / vulnerabilidades del software que utiliza en la red? Ha probado a fondo cualquier servicio que funcione en la red para asegurarse de que por defecto no proporcionan a algn usuario no autorizado informacin de seguridad que se podra utilizar para atacar el sistema? Se limitan las capacidades de los usuarios para que la informacin sensible sobre el sistema no est disponible en la red? Se permite la ejecucin de la consola del sistema (o lnea de comandos) slo a usuarios autorizados? Es consciente de los agujeros de seguridad creados por cierto software que interacta con otros? Mantiene suficientes registros (logs) de la actividad de red aprobada? Conoce todo el software que puede interactuar con la red, los nmeros de puerto que utilizan, el tamao y la ubicacin de los ejecutables, etc? Se cambian las contraseas de las cuentas de usuario de la red con regularidad? Se cifran los datos confidenciales que se transfieren a travs de la red? Seguridad de usuario PREGUNTAS DE LA AUDITORA Desarrolle un mtodo estndar para la creacin y mantenimiento de cuentas de usuario. Desarrollar polticas aceptables de uso claras y concisas, y comunicarlo as a los usuarios. No crear cuentas de usuario para personas u organizaciones con quienes no ha interactuado de alguna forma, o que han sido conocidos por tener problemas de seguridad en otros sistemas. Debe fijar lmites a la cantidad de recursos que un usuario puede consumir, desde el nmero de inicios de sesin a la cantidad de espacio en disco, asegrese de que el usuario no puede causar un fallo de seguridad o acabar con el sistema por una estupidez (por ejemplo, una rutina en bucle, que crea una archivo de 10 MB cada vez) En algunos casos, es posible que desee limitar la forma en que un usuario puede conectarse a la red, si usted est proporcionando un inicio de sesin de terminal, asegrese de que el propio terminal sea seguro y es mantenido. Si usted proporciona acceso directo a travs de protocolos como telnet, considere ejecutar servicios

[ ]S [ ]S [ ]S

[ ] No [ ] No [ ] No

[ ]S [ [ [ [ ]S ]S ]S ]S

[ ] No [ [ [ [ ] No ] No ] No ] No

[ ]S [ ]S

[ ] No [ ] No

Si
[ ]S [ ]S [ ]S [ ]S

No
[ ] No [ ] No [ ] No [ ] No

[ ]S

[ ] No

[ ]S

[ ] No

como tcp_wrappers o identd para verificar que el usuario se conecta desde el sistema que dicen estar usando. Mantener registros detallados de la actividad del usuario, en concreto, la hora de conexin, la duracin y el lugar desde donde ha entrado en l. En algunos casos es posible que desee registrar con ms detalle con el recuento de procesos, historial de comandos de usuario y control de la actividad. Debe revisar peridicamente la actividad inusual del usuario, hay muchos programas disponibles que constantemente revisan los intentos fallidos por parte de los usuarios de obtener permisos de administrador, acceder a archivos que no deben, o realizar otras tareas no autorizadas. Contraseas PREGUNTAS DE LA AUDITORA Requerir contraseas nicas y complejas de todas las cuentas de usuario en el sistema, no es aceptable tener invitados cuentas u otras cuentas que no requieren ningn tipo de autenticacin. Si una cuenta no se ha usado para la conexin (es decir, que cuenta nunca ser visitada), retire su posibilidad de acceder por completo Las contraseas deben contener al menos 6 caracteres y una combinacin de letras y nmeros, maysculas y minsculas. Las contraseas no deben parecerse a cualquier palabra, nombre, idea o concepto que pueda aparecer en cualquier diccionario de cualquier parte del mundo. Un buen ejemplo: jY2EHxqy Aplicar rotacin contrasea y expiracin, los usuarios nunca deben ser capaces de mantener una contrasea para ms de unos pocos meses a la vez, como alguien fcilmente podra (pero imperceptible) hack fuerza bruta una contrasea durante un largo perodo de tiempo. Se asesorar a los usuarios contra el uso de la misma contrasea en otros sitios. Tambin debe El archivo de contrasea o un mecanismo similar para almacenar las contraseas deben ser encriptados, y no debe estar disponible para el usuario medio, si es posible (por ejemplo, a travs de sombra). Si un usuario puede obtener el archivo de contraseas, se puede utilizar otro sistema para intentar descifrar las contraseas sin que te des cuenta. No escriba contraseas o almacenarlas en otra cosa que la memoria humana

[ ]S [ ]S [ ]S

[ ] No [ ] No [ ] No

[ ]S [ ]S [ ]S [ ]S [ ]S

[ ] No [ ] No [ ] No [ ] No [ ] No

[ ]S [ ]S

[ ] No [ ] No

[ ]S

[ ] No

ACTIVIDADES PROPIAMENTE DICHAS DE LA AUDITORA

ALCANCE Se Aplicaran todos los procesos incluidos en el alcance del Sistema de Gestin de la organizacin. HALLAZGOS DE LA AUDITORIA Durante la indagacin en el proceso de auditora de la Empresa INVERSIONES PINTO REY, se identific que controles generales de tecnologas de informacin requeridos para proteger los archivos de los datos de las transacciones diarias son mnimos, por no seguir los procedimientos establecidos por ley y el manual de funciones. Resultados de la evaluacin de la evidencia de la auditoria recopilada frente a los criterios de la auditoria. Auditado: Se har una auditoria a la empresa INVERSIONES PINTO REY. Auditor: Persona encarga de hacer la auditoria es el seor Edwin cuadros Cisneros Ya es competente para llevar a cabo una auditora. Equipo Auditor: El equipo Auditor que llevan a cabo est conformado por: Wisgton Rodrigo Zapata Andrs Ocando Colina Reinaldo Barbosa Jahir Bautista Verificacin: Confirmacin mediante el aporte de evidencia objetiva de que se han cumplido los requisitos especificados. DESCRIPCIN DE ACTIVIDADES Se aplicara una auditoria de tipo de INTERNA, se har una revisin de los procesos de la entidad, realizada do por parte de un equipo y su objetivo es realizar un autodiagnstico de la conformidad y situacin de la Gestin. Se utilizara discos duros portable para almacenar la informacin recopilada durante la auditoria, la fecha de inicio es el da 20 de abril de 2013 y terminaremos el 20 de mayo de 2013, tiempo en el cual se prepara el infirme que ser entregado. Nmero de Trabajadores: Nmero Trabajadores 1 5 1 3 2 0 2 3 25 42

Departamento Administracin Fbrica Administracin Oficinas Ingeniera Mantenimiento Produccin Aseguramiento de la Calidad Control de Calidad Almacn / Distribucin Otros Nmero Total de Trabajadores:

ACTA DE APERTURA Acta No. 01 Fecha: 2013 04 20 Asunto: EQUIPO DE GESTIN Lugar: Casa 162 Direccin de Extensin H.I. 8 a.m. H.F. 10:30 a.m.

Elaborada por: Margarita Ruiz Correa

Nombre Edwin cuadros Cisneros Wisgton Rodrigo Zapata Andrs Ocando Colina Reinaldo Barbosa Jahir Bautista Alexander

Asistentes Cargo Coordinador Equipo Lder Gestor Gestor Gestor

Firma

Temas Tratados 1. Se envi previamente el acta a todos los asistentes, se sugiere complementar algunos aspectos. 2. Edwin cuadros Cisneros, Coordinador del equipo inicia la reunin comentando las particularidades de la auditoria, da cuenta de la complejidad del manejo del aplicativo. 3. Planes de mejoramiento de cada puesto de trabajo y el mejoramiento del servicio: a. Wisgton Rodrigo Zapata, Lder b. Andrs Ocando Colina, Gestor c. Reinaldo Barbosa, Gestor d. Jahir Bautista Alexander, Gestor

Compromisos Adquiridos Actividad Fecha Envo peridico de pre-informes correspondencia a la auditoria Se enviar una vez dirigido al Equipo Gestor por semana

Responsable Margarita Ruiz Correa

Para constancia de la instalacin de la auditoria Firman:

Responsable de proceso Auditor Lder

ACTA No. 02 Acta No. 02 Fecha: 2013 04 20 Asunto: EQUIPO DE GESTIN Lugar: Casa 162 Direccin de Extensin H.I. 8 a.m. H.F. 11:30 a.m.

Elaborada por: Margarita Ruiz Correa

Nombre Edwin cuadros Cisneros Wisgton Rodrigo Zapata Andrs Ocando Colina Reinaldo Barbosa Jahir Bautista Alexander

Asistentes Cargo Coordinador Equipo Lder Gestor Gestor Gestor

Firma

Temas Tratados 1. Se envi previamente el acta a todos los asistentes, se sugiere complementar algunos aspectos. 2. Edwin cuadros Cisneros, Coordinador del equipo inicia la reunin comentando las particularidades de la auditoria, da cuenta de la complejidad del manejo del aplicativo. Con respecto a los avances de la auditoria advierte que se hicieron algunas observaciones, el avance de este debe estar listo para 20 de mayo de 2013. Por el momento no se han dado lineamientos desde la parte administrativa con respecto al reciclaje y al manual de servicio, con respecto al financiera se logr ingresar toda la informacin, excepto la correspondiente a la Unidad de Gestin Tecnolgica porque no fueron creadas las polticas. 3. Planes de mejoramiento de cada puesto de trabajo y el mejoramiento del servicio: Como compromiso de la reunin anterior cada uno de los miembros del equipo deba exponer en esta reunin cuales son las acciones que desde su puesto de trabajo ha implementado para mejorar su desempeo y proponer acciones que conduzcan a la satisfaccin del servicio, a continuacin lo sealado por cada uno de ellos: 1. Wisgton Rodrigo Zapata, Lder manifiesta que se debe realizar una encuesta de satisfaccin del servicio para que los usuarios puedan brindar sus aportes y sugerencias en cuanto al desempeo de los funcionarios teniendo en cuenta los siguientes criterios: atencin, informacin, buen trato e instalaciones locativas, ello para determinar si la gestin de los empleados de la oficina cumple con las expectativas del usuario. Las acciones en su puesto de trabajo incluyen: Mejorar el orden, cuando se tengan dudas consultar para evitar suministrar informacin errada, mejorar la comunicacin. Y por ltimo, como propsito: dedicar media hora a descargar los registros en la planilla para mantener actualizado este formato. 2. Andrs Ocando Colina, Gestor, afirma que en cuanto a la mejora del puesto de trabajo elabor una lista de chequeo de cada documento que se elabore para evitar reproces, dispuso el presupuesto de los proyectos a la vista de todos los miembros del EG para que en su ausencia cualquiera de ellos pueda tener acceso a esa informacin, adems elabor un cuadro de control de actividades, y afirm que se estn adelantando reuniones peridicas para monitorear el avance de los proyectos , adems estuvo ordenando mucho el escritorio, evitando torres de papel y el uso de papeles pequeos para tomar notas. 3. Reinaldo Barbosa, Gestor, afirma que le preocupa que no hay carpetas fsicas para organizar la informacin de los proyectos, debido a ello se autoriza la compra de AZ, seala que se ha generado informacin que no se puede perder, es necesario recuperar el histrico desde 1998 hasta el 2006. Sugiere la incorporacin de un formato de felicitacin por el buen servicio, ya que ello exaltara el buen desempeo de los empleados. 4. Jahir Bautista Alexander, Gestor, manifiesta su agrado con la implementacin de las 5s que se ha dado en la oficina, y el mejoramiento de la comunicacin de los miembros de extensin a travs del uso de calendarios compartidos. Uno de los objetivos para mejorar su puesto de trabajo consiste en dedicar por lo menos una o dos horas al da a ese propsito. En cuanto al mejoramiento de la infraestructura se tiene pendiente la compra de una puerta, la recepcin de 5 computadores y la compra de unas persianas para mejorar la seguridad. De otro lado afirma que de acuerdo a las nuevas disposiciones para este ao se debe incluir junto con las certificaciones un avance de resultados que d cuenta de las actividades desempeadas por los contratistas dentro del mes correspondiente al pago.

Compromisos Adquiridos Actividad Fecha Envo peridico de correspondencia con tips de mejoramiento Se enviar una vez dirigido al Equipo Gestor por semana Enviar por correo electrnico el Manual de Atencin al Cliente de la 22/05/2013 empresa Kaisen S.A, la norma ISO 9000 y la NPGP de gestin privada.

Responsable Margarita Ruiz Correa Andrs Ocando Colina

Para constancia de la instalacin de la auditoria Firman:

Responsable de proceso Auditor Lder

ACTA No. 03 INFORME FINAL Acta No. 02 Fecha: 2013 04 20 Asunto: EQUIPO DE GESTIN Lugar: Casa 162 Direccin de Extensin H.I. 8 a.m. H.F. 11:30 a.m.

Elaborada por: Margarita Ruiz Correa

Nombre Edwin cuadros Cisneros Wisgton Rodrigo Zapata Andrs Ocando Colina Reinaldo Barbosa Jahir Bautista Alexander PARRAFO INTRODUCCIN

Asistentes Cargo Coordinador Equipo Lder Gestor Gestor Gestor

Firma

De acuerdo con nuestro plan de actividades de auditoria interna, hemos llevado a cabo nuestra revisin del control interno y operaciones contables en las reas de Administracin, Ingeniera, Mantenimiento, Produccin, Aseguramiento de la Calidad, Control de Calidad Almacn, Distribucin por el periodo 20 de abril de 2013 y terminaremos el 20 de mayo de 2013. PARRAFO DEL ALCANCE La auditora comprendi entrevistas con personal administrativo y personal de operacin en cada una de las reas auditadas. Se evalu documentos seleccionados, archivos, reportes, sistemas, procedimientos y polticas que juzgamos apropiados. Despus de analizar la informacin desarrollamos recomendaciones para mejorarlas Posteriormente se discutieron los resultados y recomendaciones con el personal administrativo del rea evaluada. PARRAFO DE ANTECEDENTES El rea de Cuentas por cobrar clientes se encarga de otorgar crditos a los clientes y luego de su cobranza. El rea de Ventas como su nombre lo indica se encarga de controlar las ventas, para lo cual se relaciona con el rea de inventarios y con el rea de Cuentas por cobrar- clientes. RESUMEN DE ASPECTOS PRINCIPALES Presentacin de hallazgos de auditoria y recomendaciones: (aspectos individuales) Los hallazgos, resultados y recomendaciones importantes que se incluyen en este informe, consideramos que al ponerse en prctica, segn nuestro criterio, traern mejoras al sistema de control interno y salvaguarda de los activos de la empresa. 1. Los equipos no cuenta con UPS de respaldo en caso de un corte de energa. 2. No cuenta con seguridad perimetral. 3. No cuenta en las instalaciones con un procedimiento escrito para el manejo de las emergencias mdicas. 4. No se manejan adecuadamente los residuos peligrosos. 5. Los trabajadores no han recibido ninguna formacin sobre los dispositivos de seguridad de las mquinas. 6. No se cuenta el lugar con un plan adecuado escrito sobre preparacin para emergencias.

El desarrollo de este trabajo para INVERSIONES PINTO REY ha resultado un factor benfico en todos los sentidos ya que se ha logrado revisar los procesos en dos reas muy importantes como son Ventas-Cobros y Compras-Pagos. A travs de este proyecto se ha podido revisar y darnos cuenta que la creacin de una Unidad de Auditora Interna haca falta desde hace mucho tiempo atrs para poder tener lineamientos y procesos que rijan las funciones dentro de las reas especficas. Una vez cumplido con el objetivo de la creacin del departamento de Auditora Interna en INVERSIONES PINTO REY es muy importante determinar a las personas que se encargarn de realizar las actividades necesarias para desarrollar este departamento, puesto que ellas sern las responsables de asegurar la confianza y credibilidad de la

informacin entregada a la Gerencia y del seguimiento de las recomendaciones efectuadas. Uno de los objetivos ms importantes es obtener mayor rentabilidad, ya que, la implantacin de un departamento de auditora Interna dentro de una empresa es un buen paso, con esto se podr prevenir posibles sucesos que impidan que las actividades se desarrollen normalmente, as como tambin eliminar actividades innecesarias detectadas generalmente en las auditora s internas que representan un costo adicional. Se pudo identificar que haba ciertas actividades que se realizaban repetitivamente dentro de la empresa lo cual ocasionaba doble gasto en todo sentido, se dejaba de lado ciertas cosas que eran importantes pero por falta de control y seguimiento nunca se las pudo corregir. El departamento de Auditoria Interna desea expresar su agradecimiento por la cooperacin recibida durante la revisin por parte del personal y funcionarios de Inversiones pinto rey y ponernos a sus rdenes en cualquier duda que se presente, como resultado de la realizacin de las auditoras Internas dentro de INVERSIONES PINTO REY se lograr que todas las operaciones que se lleven a cabo cuenten con un alto nivel de revisin que garantice que los informes entregados a la gerencia sean tiles para la toma de decisiones como un factor para la administracin y de esta manera determinar la manera de evaluar el sistema de control interno. Para que el resultado de una auditora interna sea considerado como exitoso por parte de la administracin es obtener unos informes con resultados tiles, importantes, confiables que muestren a simple vista la situacin como se encuentra la empresa, cual ha sido el cambio desde que tenemos un departamento que controle internamente cada una de las reas de la empresa, detectando anomalas con el fin de corregir y proceder de mejor manera. Definitivamente la creacin de un departamento de auditora interna dentro de una organizacin es un paso muy importante y muy satisfactorio ya que nos ayudar a regular todos aquellos procesos que estbamos omitiendo por falta de conocimiento o de tiempo pero que de ahora en adelante van a ser tomados en cuenta Fecha de Entrega de Informe: 20 de mayo de 2013 Para constancia de la instalacin de la auditoria Firman: Responsable de proceso Auditor Lder

ACTA DE CIERRE Acta No. 03 Fecha: 2013 05 20 Asunto: EQUIPO DE GESTIN Lugar: Casa 162 Direccin de Extensin H.I. 8 a.m. H.F. 9:30 a.m.

Elaborada por: Margarita Ruiz Correa

ORDEN DEL DIA 1. Presentacin de No. de No conformidades detectadas. 2. Registro de Observaciones 3. Registro fecha de entrega Informe 4. Firma de Acta de Cierre No. de no Conformidades identificadas: 6

Nombre Edwin cuadros Cisneros Wisgton Rodrigo Zapata Andrs Ocando Colina Reinaldo Barbosa Jahir Bautista Alexander

GRUPO AUDITOR Cargo Coordinador Equipo Lder Gestor Gestor Gestor

Firma

OBSERVACIONES: se debed realizar un seguimiento de las cobranzas de los crditos de la empresa tendiente a acotar la dilatacin de los atrasos.

Fecha de Entrega de Informe: 20 de mayo de 2013 Para constancia de la instalacin de la auditoria Firman: Responsable de proceso Auditor Lder

Ciclo de Seguridad. Suma Pesos Segmentos = 100 (Con independencia del nmero de segmentos consideradas) Ciclo de seguridad. Suma pesos segmentos (con independencia del nmero de secciones consideradas = 100) tcnicos Pesos tcnicos Pesos polticos Pesos finales Segmento 1. Normas y estndares 12 8 10 Segmento 2. Sistema operativo 10 10 10 Segmento 3. Software bsico 10 14 12 Segmento 4. Comunicaciones 12 12 12 Segmento 5. Base de datos 12 12 12 Segmento 6. Procesos 16 12 14 Segmento 7. Aplicaciones 16 16 16 Segmento 8. Seguridad fsica 12 16 14 TOTAL 100 100 100

Suma peso seccionales (con independencia del nmero de secciones consideradas = 20) Secciones pesos Pesos tcnicos Pesos polticos Pesos finales Secciones Segmento fsica de datos 6 6 6 Secciones 2. Control de accesos 3 3 3 Secciones 3. Equipos 6 4 5 Secciones 4. Documentos 2 6 4 Secciones 5. suministros 3 1 2 TOTAL 20 20 20