UNIVERSIDAD DE SAN CARLOS DE GUATEMALA FACULTAD DE CIENCIAS ECONMICAS REA PROFESIONAL

AUDITORA EN SISTEMAS Empresa: ADOC DE GUATEMALA S.A. rea Auditada: Departamento de sistemas.

PLAN DE AUDITORA DE SISTEMA

ADOC DE GUATEMALA S.A.

UNIVERSIDAD DE SAN CARLOS DE GUATEMALA FACULTAD DE CIENCIAS ECONMICAS REA PROFESIONAL

Guatemala, febrero 2012

Seores ADOC DE GUATEMALA S.A,. ZONA 11 CAPITAL Ciudad Guatemala.

Estimado Licenciado Alejandro Villeda:

De conformidad con la conversacin sostenida con su persona respecto a evaluar el sistema de informtica para su Prestigiosa Empresa ADOC DE GUATEMALA, S.A. es un gusto presentarle nuestra propuesta de servicios profesionales para la realizacin de la misma.

Cordialmente.

LUIS FERNANDO COJN MORALES COORDINADOR

UNIVERSIDAD DE SAN CARLOS DE GUATEMALA FACULTAD DE CIENCIAS ECONMICAS REA PROFESIONAL

IDENTIFICACIN DEL ORIGEN DE LA AUDITORA

En el presente trabajo

se aplicarn mtodos, tcnicas y procedimientos de

auditora en base a Normas de Auditora Generalmente Aceptadas, para llevar a cabo la auditora en sistemas computacionales en la empresa ADOC DE GUATEMALA, S.A. ubicada en zona 11, capital Ciudad de Guatemala, el trabajo de campo se efectuar con el propsito de monitorear y evaluar lo inherente a los sistemas de la entidad.

Este tipo de auditora se realiza con el objetivo de evaluar y medir los sistemas, proponiendo medidas para mejorar el rendimiento del equipo para obtener resultados eficientes y oportunos.

Podemos mencionar que surge la necesidad de realizar dicho trabajo a solicitud del Grupo No. 15 de estudiantes del saln 111 que cursan el noveno semestre de la carrera De Contadura Pblica y Auditora de la Facultad de Ciencias Econmicas de la Universidad de San Carlos De Guatemala, en la empresa antes mencionada con el objetivo principal de contribuir con dicha entidad a un mejor desarrollo y desempeo en las funciones de sus colaboradores y del mejor aprovechamiento de los recursos de la empresa.

Para iniciar el trabajo se planea realizar una visita preliminar con su representante a nivel de Informtica en la entidad, as poder familiarizarse con el personal, instalaciones y equipo con el que se cuenta en ella, evaluar las posibilidades de monitorear si existan riesgos potenciales para la proteccin y resguardo del equipo de comput, as como la documentacin y registros de operaciones que ejecuten.

UNIVERSIDAD DE SAN CARLOS DE GUATEMALA FACULTAD DE CIENCIAS ECONMICAS REA PROFESIONAL

VISITA PRELIMINAR

Con el objetivo de tener un acercamiento inicial con el personal de la Empresa ADOC DE GUATEMALA S.A. se realiz la visita preliminar a las 8 horas con 30 minutos aproximadamente del da 13 febrero del 2014, as observar como se

encuentra distribuido el equipo de cmputo y la instalacin del mismo, tambin para conocer las instalaciones que ocupa la empresa, el personal con que cuenta la entidad, para el desempeo de sus actividades. En dicha visita como parte de nuestro trabajo se pudo observar lo siguiente:

Instalaciones, equipo y conexiones: Segn la observacin realizada se pudo hacer el recuento del equipo de cmputo siendo este de 8 computadoras, 1 Servidor local y una plataforma externa, distribuidas as: 4 laptops personales y 4 laptops con su respectivo monitor externo como medida de seguridad para apoyar en la agilizacin de las revisiones de las revisin de los reportes mensuales de la circulacin en la plataforma. El servidor local tiene la proteccin de un UPS para cuando se corta la energa. Para el mantenimiento, soporte tcnico y servicios varios a dicho equipo, la empresa contrata los servicios de una persona externa encargada del mismo a la cual se le llama va telefnica cuando existe alguna eventualidad. El uso y mantenimiento de la plataforma es de carcter externo en la casa matriz que se encuentra fuera de nuestro pas (Venezuela)

Entrevista con el personal: Segn el colaborador responsable del rea de Tcnica de Informtica de la empresa, se encuentran en una etapa de reestructuracin y adecuacin de funciones por una nueva adquisicin de equipo dentro de la plataforma de trfico de mensajes, el cual tiene mejor

UNIVERSIDAD DE SAN CARLOS DE GUATEMALA FACULTAD DE CIENCIAS ECONMICAS REA PROFESIONAL

cobertura y estabilidad, por lo que el tiempo para entablar conversaciones con el resto del personal no fue posible en estos momentos, siendo el quien nos atendi, a la vez nos mostr las instalaciones de la empresa, dicho inmueble cuenta con 5 oficinas las cuales se utilizan para la realizacin de las tareas que corresponde a cada empleado de la misma, tambin tiene un rea de cafetera y otra rea de recepcin. Hablamos brevemente con la Gerente del rea de Finanzas quien mostr inters en ayudarnos para llevar a cabo el trabajo de Auditora, ella manifest su buena disposicin y el inters en que se efectu en la empresa un trabajo de esta naturaleza ya que est consciente de la importancia del mismo, a la vez nos manifestaron de la necesidad en la empresa de un Manual de Polticas y Procedimientos Administrativos dentro del cual se pueda cubrir el rea de Informtica, el cual nos piden apoyo para la realizacin del mismo.

Evaluacin de las medidas de seguridad: Al momento de ingresar a la empresa se observo que la localidad es pequea, no cuentan con guardia de seguridad para la vigilancia del inmueble, pero cuentan con sistema de seguridad en acceso el cual nicamente se controla por la recepcionista, quien es el filtro para el ingreso de las visitas a los colaboradores de la empresa, as tambin lleva el control de acceso a las instalaciones, adicionalmente no existe un lugar para resguardar las computadoras porttiles, esto en vista que la mayora del personal las utiliza todo el tiempo, trasladndolas consigo para cubrir las emergencias o trabajar cuando es necesario fuera del horario normal de oficina.

UNIVERSIDAD DE SAN CARLOS DE GUATEMALA FACULTAD DE CIENCIAS ECONMICAS REA PROFESIONAL

Posibles obstculos en la evaluacin del rea: Por no contar la empresa con un encargado del rea de informtica, la persona encargada del

mantenimiento y soporte del equipo de cmputo es ajena a la empresa, quien asiste en cualquier eventualidad o tarea de mantenimiento que se le requiera.

Contacto preliminar con funcionarios y empleados (reaccin al trabajo de auditoria): El personal con el cual se pudo tener un breve

acercamiento se mostr atento y colaborador, la reaccin que se observ fue optimista y de aceptacin al trabajo de los auditores.

UNIVERSIDAD DE SAN CARLOS DE GUATEMALA FACULTAD DE CIENCIAS ECONMICAS REA PROFESIONAL

PUNTOS A EVALUAR EN EL DEPARTAMENTO DE SISTEMAS DEL ARE DE INFORMTICA DE LA EMPRESA ADOC DE GUATEMALA S.A. a) Verificar la proteccin y respaldo de archivos e informacin. b) Evaluacin de los sistemas, equipos, instalaciones y componentes.

UNIVERSIDAD DE SAN CARLOS DE GUATEMALA FACULTAD DE CIENCIAS ECONMICAS REA PROFESIONAL

OBJETIVOS DE LA AUDITORA En el presente trabajo se evaluarn dos aspectos importantes para la realizacin de la auditora, los mtodos de Monitorear y Evaluar dentro de los sistemas, los cuales son distintos pero por estar ligados a los recursos tecnolgicos de la empresa los cuales son la fuente principal de nuestro estudio, guardan una estrecha relacin entre si, se pretende que con la evaluacin de los puntos ya determinados podamos dar una opinin oportuna, confiable y eficaz a los administradores de la entidad en la cual se har el trabajo de campo. En el presente se plantean objetivos para cada uno de los puntos a evaluar de la siguiente manera:

a) LA PROTECCION Y RESPALDO DE ARCHIVOS E INFORMACION.

OBJETIVO GENERAL Establecer el grado de seguridad y control interno sobre una adecuada salvaguarda y custodia de informacin de la entidad, as como verificar el correcto almacenamiento de la misma en medios magnticos y fsicos como medidas de respaldo, adems de verificar los controles establecidos en la entidad y sugerir posibles cambios e implementacin de controles nuevos en el caso que no cuenten con ellos, tomando la base de definicin y recoleccin de datos que se puedan monitorear y generar reportes con acciones correctivas.

10

UNIVERSIDAD DE SAN CARLOS DE GUATEMALA FACULTAD DE CIENCIAS ECONMICAS REA PROFESIONAL

OBJETIVOS ESPECFICOS:

Determinar que los procedimientos de proteccin del equipo de cmputo de la empresa sean los adecuados y cumplan con los requerimientos mnimos del control interno para el resguardo de la informacin, adems de verificar las polticas de vigilancia y acceso a las instalaciones y la proteccin de la Informacin ya almacenada en medios magnticos as como el espacio fsico con el que se cuenta para el resguardo de la misma.

Evaluar las polticas contra siniestros, contingencias, robos, perdida o dao del equipo de computo que pueda provocar perdidas irreparables a la informacin ya procesada.

Evaluar el dao que puede ocasionarle al equipo y a la informacin almacenada en el mismo las condiciones naturales del entorno, tales como polvo, lluvia, humedad y otro tipo de condiciones climticas tales como el calor o fri.

Revisar el grado de riesgo de la informacin con las condiciones del inmueble tales como conexiones elctricas en mal estado, tambin posibles interrupciones en el fluido elctrico y que se cuente con el equipo adecuado para suministrar energa en caso de verse afectado el sistema de fluido elctrico.

Verificar si existen manuales o instrucciones para el resguardo y recuperacin de informacin, monitorear la informacin que ya se encuentre o no almacenada en medios magnticos o espacios fsicos establecidos para el efecto.

11

UNIVERSIDAD DE SAN CARLOS DE GUATEMALA FACULTAD DE CIENCIAS ECONMICAS REA PROFESIONAL

Verificar las conexiones a redes, filtros de informacin y proteccin de informacin contra virus informticos y la actualizacin de las versiones de los mismos y las licencias correspondientes, que cumplan con los requerimientos de las Leyes Regulatorios del pas.

b) EVALUACION DE LOS SISTEMAS, EQUIPOS, INSTALACIONES Y COMPONENTES

OBJETIVO GENERAL: Determinar el nmero de programas o software con el que cuenta, en la empresa, as como el nmero de equipos, sus caractersticas y especificaciones particulares, adems de verificar las conexiones de redes, cableado y otros equipos auxiliares con los que cuente la entidad para la realizacin de sus actividades y as poder proponer herramientas para monitorear y aumentar la eficiencia operativa de los colaboradores de la empresa.

OBJETIVOS ESPECFICOS:

Verificar que la empresa cuente con un programa de capacitacin para colaboradores, enfocado a un buen manejo y al mejor aprovechamiento de los recursos tecnolgicos, asi como un mtodo de verificacin de la captacin del mismo.

Revisar que los equipos no cuenten con programas de poca utilidad o que no ayuden a un mejor aprovechamiento de los recursos con que se cuenta en la entidad.

12

UNIVERSIDAD DE SAN CARLOS DE GUATEMALA FACULTA DE CIENCIAS ECONMICAS REA PROFESIONAL

Revisar que en las REDES operativas de informtica no existan posibilidades de dao, si estn a la Intemperie o el espacio fsico por donde corren las mismas no es el adecuado y que esto repercuta en un posible fallo en conjunto de todo el equipo de la empresa.

Evaluar si existen polticas o manuales de uso o autorizacin de instalacin de programas, por parte de los usuarios del equipo de cmputo de la entidad y cuales son los permitidos a instalar.

Verificar la correcta utilizacin del equipo de cmputo, que est siendo usado nicamente para el giro normal del negocio y si existen normas de autorizacin para realizar trabajos por parte de los usuarios y que esto no est afectando con el rendimiento del personal, crear sistemas de monitoreo sobre estos recursos.

Revisar que sistemas perifricos usan dentro de la entidad, as como que otros componentes electrnicos usan para la realizacin de sus labores tales como impresoras, scanner, cmaras digitales, etc.

13

UNIVERSIDAD DE SAN CARLOS DE GUATEMALA FACULTAD DE CIENCIAS ECONMICAS REA PROFESIONAL

PROGRAMA DE AUDITORA

DD MM

AA

HOJA

Programa de auditora sobre la proteccin y respaldo de archivos e informacin.

EMPRESA: AUDITOR:

ADOC DE GUATEMALA S.A.

PERIODO: AREA AUDITADA: SISTEMAS COMPUTACIONALES

ACTIVIDADES
OBJETIVO GENERAL Establecer el grado de

AUDITOR

TIEMPO INVERTIDO/HORAS

REFERENCIA P.T

seguridad y control interno sobre salvaguarda una adecuada de

y custodia

informacin de la entidad, as como verificar el correcto

almacenamiento de la misma en medios como magnticos medidas y de

fsicos

respaldo adems de verificar los controles establecidos en la entidad y sugerir posibles cambios e implementacin de controles nuevos si no

cuentan con ellos. INICIO DE LA AUDITORA 1) Determinar que los

procedimientos de proteccin

14

UNIVERSIDAD DE SAN CARLOS DE GUATEMALA FACULTAD DE CIENCIAS ECONMICAS REA PROFESIONAL

del equipo de comput de la empresa sean los adecuados y se cumpla con los

requerimientos mnimos para el resguardo de la informacin, adems de verificar las

polticas de vigilancia y acceso a las instalaciones y la

proteccin de la informacin ya almacenada en medios magnticos as como el

espacio fsico con el que se cuenta para el resguardo de la misma. 2) Evaluar las polticas contra siniestros, contingencias,

robos, prdida o dao del equipo de cmputo que pueda provocar perdidas irreparables a la informacin ya procesada. 3) Evaluar el dao que puede ocasionarle al equipo y a la informacin almacenada en el mismo las condiciones

naturales del entorno, tales como polvo, lluvia, humedad y otro tipo de condiciones

climticas. 4) Revisar el grado de riesgo de la informacin con las condiciones del inmueble tales como conexiones elctricas en mal estado, tambin posibles interrupciones en el fluido

elctrico y que se cuente con

15

UNIVERSIDAD DE SAN CARLOS DE GUATEMALA FACULTAD DE CIENCIAS ECONMICAS REA PROFESIONAL

el

equipo

adecuado

para

suministrar energa en caso de verse afectado el sistema. 5) Verificar si existen

manuales o instrucciones para el resguardo y recuperacin de informacin que ya se encuentre o no almacenada en medios magnticos o

espacios fsicos establecidos para el efecto. 6) Verificar las conexiones a redes, filtros de informacin y proteccin de informacin

contra virus informticos y la actualizacin de las versiones de los mismos y las licencias correspondientes.

16

UNIVERSIDAD DE SAN CARLOS DE GUATEMALA FACULTAD DE CIENCIAS ECONMICAS REA PROFESIONAL

FECHA

PROGRAMA DE AUDITORA

DD MM 03 03

AA 2012

HOJA

Evaluacin de los sistemas, equipos, instalaciones y componentes.

EMPRESA: AUDITOR: ADOC DE GUATEMALA. S.A. PERIODO: AREA AUDITADA: SISTEMAS COMPUTACIONALES

ACTIVIDADES
OBJETIVO GENERAL: Determinar el nmero de

AUDITOR

TIEMPO INVERTIDO/HORAS

REFERENCIA P.T

programas o software con el que cuenta la empresa, as

como el nmero de equipos, sus caractersticas y

especificaciones particulares, adems conexiones cableado y de verificar de otros las redes, equipos

auxiliares con los que cuente la entidad para la realizacin de sus actividades y as poder proponer herramientas para aumentar la eficiencia

operativa de los colaboradores de la empresa. INICIO DE LA AUDITORA 1) Verificar que la empresa

cuente un con programa de capacitacin colaboradores enfocado a un para

17

UNIVERSIDAD DE SAN CARLOS DE GUATEMALA FACULTAD DE CIENCIAS ECONMICAS REA PROFESIONAL

buen

manejo

al de

mejor los

aprovechamiento recursos tecnolgicos.

2) Revisar que los equipos no se encuentren con programas de poca utilidad o que no ayuden a un de mejor los

aprovechamiento

recursos con que se cuenta en la entidad. 3) Revisar que en las REDES operativas de informtica no existan posibilidades de dao, si estn a la intemperie o el espacio fsico por donde

corren las mismas no es el adecuado y que esto

repercuta en un posible fallo en conjunto de todo el equipo de la empresa. 4) Evaluar si existen polticas o manuales de uso o

autorizacin de instalacin de programas por parte de los usuarios cmputo del de la equipo entidad de y

cuales con los permitidos a instalar. 5) Verificar del que la correcta de

utilizacin cmputo,

equipo est

siendo

utilizado nicamente para el giro normal del negocio y si existen autorizacin normas para de realizar

18

UNIVERSIDAD DE SAN CARLOS DE GUATEMALA FACULTAD DE CIENCIAS ECONMICAS REA PROFESIONAL

trabajos

por

parte

de

los

usuarios y que esto no est afectando personal. 6) Revisar que sistemas la eficiencia del

perifricos usan dentro de la entidad, as como qu otros componentes electrnicos

usan para la realizacin de sus labores tales como

impresoras, scanner, cmaras digitales, etc.

19

UNIVERSIDAD DE SAN CARLOS DE GUATEMALA FACULTAD DE CIENCIAS ECONMICAS REA PROFESIONAL

FECHA

GUAS DE AUDITORA

DD MM

AA

HOJA

Gua de auditora sobre la proteccin y respaldo de archivos e informacin.

EMPRESA: ADOC DE GUATEMALA S.A. AUDITOR: PERIODO: AREA AUDITADA: SISTEMAS COMPUTACIONALES

REF

ACTIVIDAD EVALUADA

PROCEDIMIENTO DE AUDITORA

HERRAMIENTAS A UTILIZAR

OBSERVACIONES

Solicitar la asignacin de una terminal para acceder a la Seguridad en el MO-01 acceso de usuarios de la red informacin

Experimentar la seguridad del sistema.

El sistema no debe permitir el acceso.

Obtener respaldo del sistema Efectuar comprobaciones en el sistema y base de datos. Documentar accesos y cambios que se ejecuten. Pruebas de soporte con documentacin. y movimientos previos a la prueba.

Observacin oculta. Entrar al sistema y dar de alta a Efectuar pruebas al distintos accesos, Examinar la sin tener MO-02 seguridad de los autorizacin niveles de acceso de los usuarios Solicitar a uno de los usuarios, que Pruebas ingreso a un nivel que no le documentales. Revisar Seguridad. de datos. sistema y las bases

No debe permitir el sistema acceder.

Documentar los accesos y cambios que se realicen al sistema

Obtencin de respaldo previo del sistema, as como del os movimientos a considerar.

20

UNIVERSIDAD DE SAN CARLOS DE GUATEMALA FACULTAD DE CIENCIAS ECONMICAS REA PROFESIONAL

corresponda, para verificar si el sistema acepta la operacin

Reiniciar el sistema, e ingresar sin contrasea, utilizando las teclas de F5 o F8. Observacin Oculta de los participantes en la realizacin del Tratar de entrar al sistema alterando Examinar la MO-03 confiabilidad del a administracin de las contraseas la contrasea, hasta 3 veces, para ver como responde el sistema. Experimentar la seguridad de los sistemas. Ingresar al sistema con disco de arranque, y tratar de ingresar sin contrasea o utilizad ola tecla ESC. Revisin documental Documentar los accesos y cambios que se efecten. Pruebas de base de datos y del sistema. Obtencin de respaldo previo del sistema y de los movimientos previos a la prueba. En ningn momento debed e

trabajo de Auditora. permitir el sistema acceder.

21

UNIVERSIDAD DE SAN CARLOS DE GUATEMALA FACULTDAD DE CIENCIAS ECONMICAS REA PROFESIONAL

FECHA

GUA DE AUDITORA

DD MM

AA

HOJA

Gua de

Auditora sobre la

Evaluacin de los sistemas, equipos,

instalaciones y componentes.
EMPRESA: ADOC DE GUATEMALA, S.A. AUDITOR: PERIODO: AREA AUDITADA:

REF

ACTIVIDAD EVALUADA

PROCEDIMIENTO DE AUDITORA

HERRAMIENTAS A UTILIZAR

OBSERVACIONES

Revisin de las incidencias de tres meses, un semestre y ao, anteriores, para evaluar la Observacin Examinar el registro histrico de las MO-06 incidencias de seguridad de acceso documental al sistema de red. Efectuar cuestionarios al Cuestionarios y personal entrevistas. involucrado, y obtener opiniones del a situacin dada en esas incidencias. magnitud o participativa impacto del mismo. Revisin

22

UNIVERSIDAD DE SAN CARLOS DE GUATEMALA FACULTAD DE CIENCIAS ECONMICAS REA PROFESIONAL

CRONOGRAMA DE ACTIVIDADES

AUDITORA EN SISTEMAS

Empresa: ADOC DE GUATEMALA, S.A. Auditor:

rea Auditada: Sistemas Computacionales DIAS

No. ActividadResponsable 1Elaborar plan de Auditora Integrantes grupo No. 15 2Aprobar plan de Auditora Marvin Perez
Preparar instrumentos de

13

14

15

17

18

19

20

21

3revisinAuditor No. 3 4Iniciar preparativos

Cobrar y distribuir viticos 5y pasajesSupervisor

Auditor No.2

6Iniciar Auditora 7Auditar la forma de 8Auditar los criterios para

asignar tareasSupervisor

Auditores del No. 2 al 7

recepcin de documentos Auditor No. 8

Auditor No. 99Auditar la forma de reportar los errores detectados en la captura 10Auditar la proteccin de Auxiliar No. 9 documentos fuente 11Auditar la supervisin del personalMarvin Perez 12Presentar el borrador del informeSecretaria y Supervisor

UNIVERSIDAD DE SAN CARLOS DE GUATEMALA FACULTAD DE CIENCIAS ECONMICAS REA PROFESIONAL

PROCEDIMIENTOS DE AUDITORA Y TCNICAS A APLICAR 1. Evaluar por medio de cuestionarios, que se cumplan los controles necesarios para dejar constancia del alza, baja, traslado y custodia del equipo de cmputo de la constructora.

2. Revisar por medio de la entrevista con el Tcnico del departamento los criterios tomados para asignar las tareas dentro del departamento.

3. Revisar por medio de cuestionarios la forma de reportar que se encuentra en mal estado o no.

4. Examinar por medio de la observacin la proteccin y mantenimiento del equipo de cmputo de la empresa.

5. Evaluar por medio de la entrevista y observacin sobre la supervisin del personal y aprovechamiento de los recursos.

6. Evaluar las instalaciones y estado en que se encuentra el equipo de cmputo de la empresa.

7. Realizar

una

toma

fsica

del equipo de cmputo.

UNIVERSIDAD DE SAN CARLOS DE GUATEMALA FACULTAD DE CIENCIAS ECONMICAS REA PROFESIONAL

Clculo de los recursos y personas necesarias para la Auditora Sern necesarios seis auditores para la realizacin de nuestra auditora, quienes estarn distribuidos tanto en el trabajo de planeacin, ejecucin, elaboracin y revisin del informe final. Se necesitar una computadora para cada uno de ellos la cual servir para la elaboracin de los papeles de trabajo que sean de importancia relevante. Los recursos econmicos necesarios estarn limitados al transporte necesario para llegar a las instalaciones, alimentacin, hojas de papel, tinta, lpices, energa elctrica y cualquier otro material necesario para la realizacin de la auditoria.