Académique Documents
Professionnel Documents
Culture Documents
AUDITORA EN SISTEMAS Empresa: ADOC DE GUATEMALA S.A. rea Auditada: Departamento de sistemas.
De conformidad con la conversacin sostenida con su persona respecto a evaluar el sistema de informtica para su Prestigiosa Empresa ADOC DE GUATEMALA, S.A. es un gusto presentarle nuestra propuesta de servicios profesionales para la realizacin de la misma.
Cordialmente.
En el presente trabajo
auditora en base a Normas de Auditora Generalmente Aceptadas, para llevar a cabo la auditora en sistemas computacionales en la empresa ADOC DE GUATEMALA, S.A. ubicada en zona 11, capital Ciudad de Guatemala, el trabajo de campo se efectuar con el propsito de monitorear y evaluar lo inherente a los sistemas de la entidad.
Este tipo de auditora se realiza con el objetivo de evaluar y medir los sistemas, proponiendo medidas para mejorar el rendimiento del equipo para obtener resultados eficientes y oportunos.
Podemos mencionar que surge la necesidad de realizar dicho trabajo a solicitud del Grupo No. 15 de estudiantes del saln 111 que cursan el noveno semestre de la carrera De Contadura Pblica y Auditora de la Facultad de Ciencias Econmicas de la Universidad de San Carlos De Guatemala, en la empresa antes mencionada con el objetivo principal de contribuir con dicha entidad a un mejor desarrollo y desempeo en las funciones de sus colaboradores y del mejor aprovechamiento de los recursos de la empresa.
Para iniciar el trabajo se planea realizar una visita preliminar con su representante a nivel de Informtica en la entidad, as poder familiarizarse con el personal, instalaciones y equipo con el que se cuenta en ella, evaluar las posibilidades de monitorear si existan riesgos potenciales para la proteccin y resguardo del equipo de comput, as como la documentacin y registros de operaciones que ejecuten.
VISITA PRELIMINAR
Con el objetivo de tener un acercamiento inicial con el personal de la Empresa ADOC DE GUATEMALA S.A. se realiz la visita preliminar a las 8 horas con 30 minutos aproximadamente del da 13 febrero del 2014, as observar como se
encuentra distribuido el equipo de cmputo y la instalacin del mismo, tambin para conocer las instalaciones que ocupa la empresa, el personal con que cuenta la entidad, para el desempeo de sus actividades. En dicha visita como parte de nuestro trabajo se pudo observar lo siguiente:
Instalaciones, equipo y conexiones: Segn la observacin realizada se pudo hacer el recuento del equipo de cmputo siendo este de 8 computadoras, 1 Servidor local y una plataforma externa, distribuidas as: 4 laptops personales y 4 laptops con su respectivo monitor externo como medida de seguridad para apoyar en la agilizacin de las revisiones de las revisin de los reportes mensuales de la circulacin en la plataforma. El servidor local tiene la proteccin de un UPS para cuando se corta la energa. Para el mantenimiento, soporte tcnico y servicios varios a dicho equipo, la empresa contrata los servicios de una persona externa encargada del mismo a la cual se le llama va telefnica cuando existe alguna eventualidad. El uso y mantenimiento de la plataforma es de carcter externo en la casa matriz que se encuentra fuera de nuestro pas (Venezuela)
Entrevista con el personal: Segn el colaborador responsable del rea de Tcnica de Informtica de la empresa, se encuentran en una etapa de reestructuracin y adecuacin de funciones por una nueva adquisicin de equipo dentro de la plataforma de trfico de mensajes, el cual tiene mejor
cobertura y estabilidad, por lo que el tiempo para entablar conversaciones con el resto del personal no fue posible en estos momentos, siendo el quien nos atendi, a la vez nos mostr las instalaciones de la empresa, dicho inmueble cuenta con 5 oficinas las cuales se utilizan para la realizacin de las tareas que corresponde a cada empleado de la misma, tambin tiene un rea de cafetera y otra rea de recepcin. Hablamos brevemente con la Gerente del rea de Finanzas quien mostr inters en ayudarnos para llevar a cabo el trabajo de Auditora, ella manifest su buena disposicin y el inters en que se efectu en la empresa un trabajo de esta naturaleza ya que est consciente de la importancia del mismo, a la vez nos manifestaron de la necesidad en la empresa de un Manual de Polticas y Procedimientos Administrativos dentro del cual se pueda cubrir el rea de Informtica, el cual nos piden apoyo para la realizacin del mismo.
Evaluacin de las medidas de seguridad: Al momento de ingresar a la empresa se observo que la localidad es pequea, no cuentan con guardia de seguridad para la vigilancia del inmueble, pero cuentan con sistema de seguridad en acceso el cual nicamente se controla por la recepcionista, quien es el filtro para el ingreso de las visitas a los colaboradores de la empresa, as tambin lleva el control de acceso a las instalaciones, adicionalmente no existe un lugar para resguardar las computadoras porttiles, esto en vista que la mayora del personal las utiliza todo el tiempo, trasladndolas consigo para cubrir las emergencias o trabajar cuando es necesario fuera del horario normal de oficina.
Posibles obstculos en la evaluacin del rea: Por no contar la empresa con un encargado del rea de informtica, la persona encargada del
mantenimiento y soporte del equipo de cmputo es ajena a la empresa, quien asiste en cualquier eventualidad o tarea de mantenimiento que se le requiera.
Contacto preliminar con funcionarios y empleados (reaccin al trabajo de auditoria): El personal con el cual se pudo tener un breve
acercamiento se mostr atento y colaborador, la reaccin que se observ fue optimista y de aceptacin al trabajo de los auditores.
PUNTOS A EVALUAR EN EL DEPARTAMENTO DE SISTEMAS DEL ARE DE INFORMTICA DE LA EMPRESA ADOC DE GUATEMALA S.A. a) Verificar la proteccin y respaldo de archivos e informacin. b) Evaluacin de los sistemas, equipos, instalaciones y componentes.
OBJETIVOS DE LA AUDITORA En el presente trabajo se evaluarn dos aspectos importantes para la realizacin de la auditora, los mtodos de Monitorear y Evaluar dentro de los sistemas, los cuales son distintos pero por estar ligados a los recursos tecnolgicos de la empresa los cuales son la fuente principal de nuestro estudio, guardan una estrecha relacin entre si, se pretende que con la evaluacin de los puntos ya determinados podamos dar una opinin oportuna, confiable y eficaz a los administradores de la entidad en la cual se har el trabajo de campo. En el presente se plantean objetivos para cada uno de los puntos a evaluar de la siguiente manera:
OBJETIVO GENERAL Establecer el grado de seguridad y control interno sobre una adecuada salvaguarda y custodia de informacin de la entidad, as como verificar el correcto almacenamiento de la misma en medios magnticos y fsicos como medidas de respaldo, adems de verificar los controles establecidos en la entidad y sugerir posibles cambios e implementacin de controles nuevos en el caso que no cuenten con ellos, tomando la base de definicin y recoleccin de datos que se puedan monitorear y generar reportes con acciones correctivas.
10
OBJETIVOS ESPECFICOS:
Determinar que los procedimientos de proteccin del equipo de cmputo de la empresa sean los adecuados y cumplan con los requerimientos mnimos del control interno para el resguardo de la informacin, adems de verificar las polticas de vigilancia y acceso a las instalaciones y la proteccin de la Informacin ya almacenada en medios magnticos as como el espacio fsico con el que se cuenta para el resguardo de la misma.
Evaluar las polticas contra siniestros, contingencias, robos, perdida o dao del equipo de computo que pueda provocar perdidas irreparables a la informacin ya procesada.
Evaluar el dao que puede ocasionarle al equipo y a la informacin almacenada en el mismo las condiciones naturales del entorno, tales como polvo, lluvia, humedad y otro tipo de condiciones climticas tales como el calor o fri.
Revisar el grado de riesgo de la informacin con las condiciones del inmueble tales como conexiones elctricas en mal estado, tambin posibles interrupciones en el fluido elctrico y que se cuente con el equipo adecuado para suministrar energa en caso de verse afectado el sistema de fluido elctrico.
Verificar si existen manuales o instrucciones para el resguardo y recuperacin de informacin, monitorear la informacin que ya se encuentre o no almacenada en medios magnticos o espacios fsicos establecidos para el efecto.
11
Verificar las conexiones a redes, filtros de informacin y proteccin de informacin contra virus informticos y la actualizacin de las versiones de los mismos y las licencias correspondientes, que cumplan con los requerimientos de las Leyes Regulatorios del pas.
OBJETIVO GENERAL: Determinar el nmero de programas o software con el que cuenta, en la empresa, as como el nmero de equipos, sus caractersticas y especificaciones particulares, adems de verificar las conexiones de redes, cableado y otros equipos auxiliares con los que cuente la entidad para la realizacin de sus actividades y as poder proponer herramientas para monitorear y aumentar la eficiencia operativa de los colaboradores de la empresa.
OBJETIVOS ESPECFICOS:
Verificar que la empresa cuente con un programa de capacitacin para colaboradores, enfocado a un buen manejo y al mejor aprovechamiento de los recursos tecnolgicos, asi como un mtodo de verificacin de la captacin del mismo.
Revisar que los equipos no cuenten con programas de poca utilidad o que no ayuden a un mejor aprovechamiento de los recursos con que se cuenta en la entidad.
12
Revisar que en las REDES operativas de informtica no existan posibilidades de dao, si estn a la Intemperie o el espacio fsico por donde corren las mismas no es el adecuado y que esto repercuta en un posible fallo en conjunto de todo el equipo de la empresa.
Evaluar si existen polticas o manuales de uso o autorizacin de instalacin de programas, por parte de los usuarios del equipo de cmputo de la entidad y cuales son los permitidos a instalar.
Verificar la correcta utilizacin del equipo de cmputo, que est siendo usado nicamente para el giro normal del negocio y si existen normas de autorizacin para realizar trabajos por parte de los usuarios y que esto no est afectando con el rendimiento del personal, crear sistemas de monitoreo sobre estos recursos.
Revisar que sistemas perifricos usan dentro de la entidad, as como que otros componentes electrnicos usan para la realizacin de sus labores tales como impresoras, scanner, cmaras digitales, etc.
13
PROGRAMA DE AUDITORA
DD MM
AA
HOJA
EMPRESA: AUDITOR:
ACTIVIDADES
OBJETIVO GENERAL Establecer el grado de
AUDITOR
TIEMPO INVERTIDO/HORAS
REFERENCIA P.T
y custodia
fsicos
respaldo adems de verificar los controles establecidos en la entidad y sugerir posibles cambios e implementacin de controles nuevos si no
procedimientos de proteccin
14
del equipo de comput de la empresa sean los adecuados y se cumpla con los
espacio fsico con el que se cuenta para el resguardo de la misma. 2) Evaluar las polticas contra siniestros, contingencias,
robos, prdida o dao del equipo de cmputo que pueda provocar perdidas irreparables a la informacin ya procesada. 3) Evaluar el dao que puede ocasionarle al equipo y a la informacin almacenada en el mismo las condiciones
naturales del entorno, tales como polvo, lluvia, humedad y otro tipo de condiciones
climticas. 4) Revisar el grado de riesgo de la informacin con las condiciones del inmueble tales como conexiones elctricas en mal estado, tambin posibles interrupciones en el fluido
15
el
equipo
adecuado
para
manuales o instrucciones para el resguardo y recuperacin de informacin que ya se encuentre o no almacenada en medios magnticos o
espacios fsicos establecidos para el efecto. 6) Verificar las conexiones a redes, filtros de informacin y proteccin de informacin
contra virus informticos y la actualizacin de las versiones de los mismos y las licencias correspondientes.
16
FECHA
PROGRAMA DE AUDITORA
DD MM 03 03
AA 2012
HOJA
ACTIVIDADES
OBJETIVO GENERAL: Determinar el nmero de
AUDITOR
TIEMPO INVERTIDO/HORAS
REFERENCIA P.T
especificaciones particulares, adems conexiones cableado y de verificar de otros las redes, equipos
auxiliares con los que cuente la entidad para la realizacin de sus actividades y as poder proponer herramientas para aumentar la eficiencia
17
buen
manejo
al de
mejor los
2) Revisar que los equipos no se encuentren con programas de poca utilidad o que no ayuden a un de mejor los
aprovechamiento
recursos con que se cuenta en la entidad. 3) Revisar que en las REDES operativas de informtica no existan posibilidades de dao, si estn a la intemperie o el espacio fsico por donde
repercuta en un posible fallo en conjunto de todo el equipo de la empresa. 4) Evaluar si existen polticas o manuales de uso o
autorizacin de instalacin de programas por parte de los usuarios cmputo del de la equipo entidad de y
utilizacin cmputo,
equipo est
siendo
utilizado nicamente para el giro normal del negocio y si existen autorizacin normas para de realizar
18
trabajos
por
parte
de
los
usuarios y que esto no est afectando personal. 6) Revisar que sistemas la eficiencia del
19
FECHA
GUAS DE AUDITORA
DD MM
AA
HOJA
REF
ACTIVIDAD EVALUADA
PROCEDIMIENTO DE AUDITORA
HERRAMIENTAS A UTILIZAR
OBSERVACIONES
Solicitar la asignacin de una terminal para acceder a la Seguridad en el MO-01 acceso de usuarios de la red informacin
Obtener respaldo del sistema Efectuar comprobaciones en el sistema y base de datos. Documentar accesos y cambios que se ejecuten. Pruebas de soporte con documentacin. y movimientos previos a la prueba.
Observacin oculta. Entrar al sistema y dar de alta a Efectuar pruebas al distintos accesos, Examinar la sin tener MO-02 seguridad de los autorizacin niveles de acceso de los usuarios Solicitar a uno de los usuarios, que Pruebas ingreso a un nivel que no le documentales. Revisar Seguridad. de datos. sistema y las bases
20
Reiniciar el sistema, e ingresar sin contrasea, utilizando las teclas de F5 o F8. Observacin Oculta de los participantes en la realizacin del Tratar de entrar al sistema alterando Examinar la MO-03 confiabilidad del a administracin de las contraseas la contrasea, hasta 3 veces, para ver como responde el sistema. Experimentar la seguridad de los sistemas. Ingresar al sistema con disco de arranque, y tratar de ingresar sin contrasea o utilizad ola tecla ESC. Revisin documental Documentar los accesos y cambios que se efecten. Pruebas de base de datos y del sistema. Obtencin de respaldo previo del sistema y de los movimientos previos a la prueba. En ningn momento debed e
21
FECHA
GUA DE AUDITORA
DD MM
AA
HOJA
Gua de
Auditora sobre la
instalaciones y componentes.
EMPRESA: ADOC DE GUATEMALA, S.A. AUDITOR: PERIODO: AREA AUDITADA:
REF
ACTIVIDAD EVALUADA
PROCEDIMIENTO DE AUDITORA
HERRAMIENTAS A UTILIZAR
OBSERVACIONES
Revisin de las incidencias de tres meses, un semestre y ao, anteriores, para evaluar la Observacin Examinar el registro histrico de las MO-06 incidencias de seguridad de acceso documental al sistema de red. Efectuar cuestionarios al Cuestionarios y personal entrevistas. involucrado, y obtener opiniones del a situacin dada en esas incidencias. magnitud o participativa impacto del mismo. Revisin
22
CRONOGRAMA DE ACTIVIDADES
AUDITORA EN SISTEMAS
No. ActividadResponsable 1Elaborar plan de Auditora Integrantes grupo No. 15 2Aprobar plan de Auditora Marvin Perez
Preparar instrumentos de
13
14
15
17
18
19
20
21
Auditor No.2
Auditor No. 99Auditar la forma de reportar los errores detectados en la captura 10Auditar la proteccin de Auxiliar No. 9 documentos fuente 11Auditar la supervisin del personalMarvin Perez 12Presentar el borrador del informeSecretaria y Supervisor
PROCEDIMIENTOS DE AUDITORA Y TCNICAS A APLICAR 1. Evaluar por medio de cuestionarios, que se cumplan los controles necesarios para dejar constancia del alza, baja, traslado y custodia del equipo de cmputo de la constructora.
2. Revisar por medio de la entrevista con el Tcnico del departamento los criterios tomados para asignar las tareas dentro del departamento.
3. Revisar por medio de cuestionarios la forma de reportar que se encuentra en mal estado o no.
4. Examinar por medio de la observacin la proteccin y mantenimiento del equipo de cmputo de la empresa.
5. Evaluar por medio de la entrevista y observacin sobre la supervisin del personal y aprovechamiento de los recursos.
7. Realizar
una
toma
fsica
Clculo de los recursos y personas necesarias para la Auditora Sern necesarios seis auditores para la realizacin de nuestra auditora, quienes estarn distribuidos tanto en el trabajo de planeacin, ejecucin, elaboracin y revisin del informe final. Se necesitar una computadora para cada uno de ellos la cual servir para la elaboracin de los papeles de trabajo que sean de importancia relevante. Los recursos econmicos necesarios estarn limitados al transporte necesario para llegar a las instalaciones, alimentacin, hojas de papel, tinta, lpices, energa elctrica y cualquier otro material necesario para la realizacin de la auditoria.