Universidad Peruana Los Andes

Facultad de Ingeniería
Escuela Profesional de Ingeniería de Sistemas y Computacion

PASOS DE UNA AUDITORÍA

ELABORAR EL PLAN DE AUDITORÍA DE
SISTEMAS
Examen Objetivos Inicio Término
*Comprobar el adecuado cálculo 16.01.2004 15.02.2004
CUENTAS CORRIENTES de los intereses.
PERÍODO A EXAMINAR: *Evaluar la calidad, integridad y confi-
01.01.2001/15.01.2004 dencialidad de la información manejada
por el sistema.
*Evaluar la adecuación de los reportes
emitidos a las necesidades de los
usuarios.
*Evaluarlos controles sobre la calidad de
los procesos (cuadres, revisiones).

Recursos - Actividades - Precedencias

 ELEVAR AL AUDITOR ELEVAR AL
GENERAL
DIRECTORIO

PARA SU EVALUACIÓN Y
PRIORIZACIÓN DE
ACTIVIDADES.
PARA SU APROBACIÓN
FINAL.
 ELABORAR LA CARTA DE
DESIGNACION DE COMISIÓN
MEMORÁNDUM
INTERNO Dirigido al:
Jefe de la comision
DESIGNACIÓN DE COMISIÓN DE AUDITORÍA
Para: Ing. Magret Angulo Niño
Ref. : Examen Especial - Sistema de Seguridad para
Aplicaciones en Línea Acción de Control.

De acuerdo con el Plan de Auditor ía Corporativa para el presente año,

ha sido Ud. designado como Jefe de Comisión del Examen Especial de
la referencia, debiendo por lo tanto planear, coordinar y superv isar el
mismo.

Para el citado examen , usted for mulará el plan de Auditor ía respectivo

y lo someterá a la aprobación de esta Jefatura en la primera reunión de
coordinación.
Referencia
Es conveniente indicarle que como Jefe de Comisión, debe ejercer una
adecuada y eficiente supervisión del equipo de Auditoria a su cargo Nombre del Exámen
(Comisión), así como presentar a consideración de su supervisor, los
infor mes preliminares de las observaciones que se vayan detectando en
el transcurso del examen.

Finalmente le recomendamos que el trabajo indicado debe ejecutar se

estr ictamente dentro de los plazos fijados para inicio y tér mino del
mismo y tomando en cuenta fundamentalmente los objetivos
establecidos en el anexo a este documento.

Atentamente,

_____________________ ____________________________
AUDITOR GENERAL JEFE AUDITORÍA SISTEMAS
 ELABORAR LA CARTA DE
DESIGNACION DE COMISIÓN
 ELABORAR LA CARTA DE
DESIGNACION DE COMISIÓN

Evaluar la
concepción y
diseño del sistema.
 ELABORAR LA CARTA DE
DESIGNACION DE COMISIÓN

Los archivos a ser

evaluados de la
aplicación son de
01/01/2001 a
31/10/2003.
 ELABORAR LA CARTA DE
DESIGNACION DE COMISIÓN

Ing. Magret Angulo Niño.

Ing. Elizabeth Ampuero Uribe
Ing. Rose Cáceres Fernández
 ELABORAR LA CARTA DE
DESIGNACION DE COMISIÓN

TIEMPO PROYECTADO
Fecha de Inicio:
01/10/2003
 Programación : 05 días
 Trabajo de Campo: 21días
 Redacción Informe Preliminar: 05 días


Fecha de inicio del Examen : 01- 10 - 2003
Fecha de Termino del Examen: 31-10 - 2003 Fecha de Fin:
 Fecha de entrega al Supervisor del Informe:



17-12-2003
Preliminar y Papeles de Trabajo: 10-03-
Fechas de Coordinación con el Supervisor
31/10/2003
:
 ELABORAR EL
ELABORAR LA CARTA
PRE-PLAN DE TRABAJO
DE PRESENTACIÓN
MEMORÁNDUM
INTERNO

Nº 20031970
Fecha: 18 de Octubre 2003
De : Auditoría Corporativa
A : División de Sistemas
Att. : Fernando Arenas
Ref. : Exam en Especial - Sistema de Seguridad para Aplicaciones
en Línea Acción de Control.

Nos es grato presentar a usted a la Comisión de Auditoría Corporativa

conformada por los señores:
Jefe de Comisión: Ing. Magret Angulo Niño.
Integrantes:
Ing. Elizabeth Ampuero Uribe
Ing. Rose Cáceres Fernández
Ing. Georgia Ortiz Hú

Quienes bajo la supervisión de Ing. Magret Angulo Niño efectuarán el Examen

Especial de la referencia.

Por tal motivo, agradeceremos a Ud. se sirva hacer de conocimien to de todo el

personal a su cargo el desarrollo del citado Examen. Con la fin alidad que brinden
a la Comisión las facilidades necesarias para el cumplimiento de su cometido.

Asimismo, cumplimos con informarle que durante el Examen Especial se hará de

su conocimiento y/o de los funcionarios o empleados responsables, las
observaciones que se formulen, a efectos que se adopten las acciones correctivas
que se requieren y/o alcancen las absoluciones que se soliciten.
Atentamente,

FredyRengifo
______________________ ___________________________
AUDITOR GENERAL JEFE AUDITORÍA SISTEMAS
 ELABORAR LA CARTA
DE PRESENTACIÓN
Dirigida:
MEMORÁNDUM

al jefe del area INTERNO

Nº 20031970
usuaria De : Auditoría Corporativa
Fecha: 18 de Octubre 2003

A : División de Sistemas
Att. : Fernando Arenas
Ref. : Exam en Especial - Sistema de Seguridad para Aplicaciones
en Línea Acción de Control.

Nos es grato presentar a usted a la Comisión de Auditoría Corporativa

conformada por los señores:
Jefe de Comisión: Ing. Magret Angulo Niño.
Integrantes:
Ing. Elizabeth Ampuero Uribe
Ing. Rose Cáceres Fernández
Ing. Georgia Ortiz Hú

Quienes bajo la supervisión de Ing. Magret Angulo Niño efectuarán el Examen

Especial de la referencia.

Por tal motivo, agradeceremos a Ud. se sirva hacer de conocimien to de todo el

personal a su cargo el desarrollo del citado Examen. Con la fin alidad que brinden
a la Comisión las facilidades necesarias para el cumplimiento de su cometido.

Asimismo, cumplimos con informarle que durante el Examen Especial se hará de

Firmas del: su conocimiento y/o de los funcionarios o empleados responsables, las
observaciones que se formulen, a efectos que se adopten las acciones correctivas
que se requieren y/o alcancen las absoluciones que se soliciten.
Auditor general Atentamente,

FredyRengifo
Jefe de auditoria de ______________________
AUDITOR GENERAL
___________________________
JEFE AUDITORÍA SISTEMAS

Sistemas
 ELABORAR EL PLAN DE TRABAJO
OFICIAL
PLAN DE TRABAJO
SISTEMA DE SEGURIDAD PARA APLICACIONES EN LÍNEA

Objetivo I
Evaluar la confidencialidad de la información manejada por la aplicación y almacenada en
sus archivos magnéticos.

1.1 Determinar la existencia de un log de accesos al sistema.

 Verificar por cuanto tiempo se conserva.
 Verificar si se registra en el log la clave secreta de los usuarios que accesan el
sistema.
 Verificar la existencia de información respecto a intento de ingresos al sistema
(incluso los que no resultaron satisfactorios).
 Verificar al se registra al terminal que accesa el sistema.
 Determinar que acciones se realizan en base al Log.

Técnicas
Técnicas Herramientas
Herramientas SW
SW

EFECTUAR EL TRABAJO DE CAMPO

 ELABORAR EL INFORME PRELIMINAR
TÍTULO
“DEFICIENTE CONTROL DE LAS LICENCIAS DEL SOFTWARE
INSTALADO” Título de la
observación
CONDICIÓN
La revision y anáisis de la informació proporcionada por la Oficina de
Sistemas, evidencia lo siguiente:
•El servidor de desarrollo carece de un software instalado contra virus.
•Supuestamente los documentos proporcionados, establecen que tienen
101 computadoras, con sus respectivas licencias, sin embargo no lo han
podido demostrar.

CRITERIO
Según el decreto legislativo 822 de INDECOPI, aprobado por Resolució
Nro. 0121-1998/ODA-INDECOPI, que establece que toda reproduccion o
utilizacion de software sin tener la licencia correspondiente otorgada por el
titular de derecho de autor o su representante, se considera ilíita y pasible
de sancion administrativa y/o judicial.

CAUSA
Irresponsabilidad por parte de los encargados de la adquisicion del
software, quienes en su afan por efectuar compras a mas bajo costo
obtienen software ilegal.

EFECTO
La situacion descrita podria originar reparos y/o multas determinadas por los
organismos reguladores competentes.

RECOMENDACIÓN
Disponer que los encargados de la gestion informatica realicen y culminen
el inventario de todas las licencias correspondientes, efectuando los
pedidos respectivo en coordinacion con logística, a efectos de regularizar en
el mas corto plazo, las licencias del uso del software que no se encuentren
sustentadas. Por otro lado, se debe instalar el software antivirus en el
servidor de desarrollo.
 ELABORAR EL INFORME PRELIMINAR
TÍTULO
“DEFICIENTE CONTROL DE LAS LICENCIAS DEL SOFTWARE
INSTALADO”
CONDICIÓN
Condición
La revision y anáisis de la informació proporcionada por la Oficina de
Sistemas, evidencia lo siguiente: “LO QUE ES”
•El servidor de desarrollo carece de un software instalado contra virus.
•Supuestamente los documentos proporcionados, establecen que tienen
101 computadoras, con sus respectivas licencias, sin embargo no lo han
podido demostrar.

CRITERIO
Según el decreto legislativo 822 de INDECOPI, aprobado por Resolució
Nro. 0121-1998/ODA-INDECOPI, que establece que toda reproduccion o
utilizacion de software sin tener la licencia correspondiente otorgada por el
titular de derecho de autor o su representante, se considera ilíita y pasible
de sancion administrativa y/o judicial.

CAUSA
Irresponsabilidad por parte de los encargados de la adquisicion del
software, quienes en su afan por efectuar compras a mas bajo costo
obtienen software ilegal.

EFECTO
La situacion descrita podria originar reparos y/o multas determinadas por los
organismos reguladores competentes.

RECOMENDACIÓN
Disponer que los encargados de la gestion informatica realicen y culminen
el inventario de todas las licencias correspondientes, efectuando los
pedidos respectivo en coordinacion con logística, a efectos de regularizar en
el mas corto plazo, las licencias del uso del software que no se encuentren
sustentadas. Por otro lado, se debe instalar el software antivirus en el
servidor de desarrollo.
 ELABORAR EL INFORME PRELIMINAR
TÍTULO
“DEFICIENTE CONTROL DE LAS LICENCIAS DEL SOFTWARE
INSTALADO”
CONDICIÓN
La revision y anáisis de la informació proporcionada por la Oficina de
Sistemas, evidencia lo siguiente: Criterio
•El servidor de desarrollo carece de un software instalado contra virus.
•Supuestamente los documentos proporcionados, establecen que tienen
101 computadoras, con sus respectivas licencias, sin embargo no lo han
“LO QUE
podido demostrar.
DEBERÍA SER”
CRITERIO
Según el decreto legislativo 822 de INDECOPI, aprobado por Resolució
Nro. 0121-1998/ODA-INDECOPI, que establece que toda reproduccion o
utilizacion de software sin tener la licencia correspondiente otorgada por el
titular de derecho de autor o su representante, se considera ilíita y pasible
de sancion administrativa y/o judicial.

CAUSA
Irresponsabilidad por parte de los encargados de la adquisicion del
software, quienes en su afan por efectuar compras a mas bajo costo
obtienen software ilegal.

EFECTO
La situacion descrita podria originar reparos y/o multas determinadas por los
organismos reguladores competentes.

RECOMENDACIÓN
Disponer que los encargados de la gestion informatica realicen y culminen
el inventario de todas las licencias correspondientes, efectuando los
pedidos respectivo en coordinacion con logística, a efectos de regularizar en
el mas corto plazo, las licencias del uso del software que no se encuentren
sustentadas. Por otro lado, se debe instalar el software antivirus en el
servidor de desarrollo.
 ELABORAR EL INFORME PRELIMINAR
TÍTULO
“DEFICIENTE CONTROL DE LAS LICENCIAS DEL SOFTWARE
INSTALADO”
CONDICIÓN
La revision y anáisis de la informació proporcionada por la Oficina de
Sistemas, evidencia lo siguiente:
•El servidor de desarrollo carece de un software instalado contra virus.
•Supuestamente los documentos proporcionados, establecen que tienen
101 computadoras, con sus respectivas licencias, sin embargo no lo han
podido demostrar.

Causa
CRITERIO
Según el decreto legislativo 822 de INDECOPI, aprobado por Resolució
Nro. 0121-1998/ODA-INDECOPI, que establece que toda reproduccion o
utilizacion de software sin tener la licencia correspondiente otorgada por el
titular de derecho de autor o su representante, se considera ilíita y pasible
de sancion administrativa y/o judicial.
“POR QUÉ”
CAUSA
Irresponsabilidad por parte de los encargados de la adquisicion del
software, quienes en su afan por efectuar compras a mas bajo costo
obtienen software ilegal.

EFECTO
La situacion descrita podria originar reparos y/o multas determinadas por los
organismos reguladores competentes.

RECOMENDACIÓN
Disponer que los encargados de la gestion informatica realicen y culminen
el inventario de todas las licencias correspondientes, efectuando los
pedidos respectivo en coordinacion con logística, a efectos de regularizar en
el mas corto plazo, las licencias del uso del software que no se encuentren
sustentadas. Por otro lado, se debe instalar el software antivirus en el
servidor de desarrollo.
 ELABORAR EL INFORME PRELIMINAR
TÍTULO
“DEFICIENTE CONTROL DE LAS LICENCIAS DEL SOFTWARE
INSTALADO”
CONDICIÓN
La revision y anáisis de la informació proporcionada por la Oficina de
Sistemas, evidencia lo siguiente:
•El servidor de desarrollo carece de un software instalado contra virus.
•Supuestamente los documentos proporcionados, establecen que tienen
101 computadoras, con sus respectivas licencias, sin embargo no lo han
podido demostrar.

CRITERIO
Según el decreto legislativo 822 de INDECOPI, aprobado por Resolució
Nro. 0121-1998/ODA-INDECOPI, que establece que toda reproduccion o
utilizacion de software sin tener la licencia correspondiente otorgada por el
titular de derecho de autor o su representante, se considera ilíita y pasible
de sancion administrativa y/o judicial.

CAUSA
Efecto
Irresponsabilidad por parte de los encargados de la adquisicion del
software, quienes en su afan por efectuar compras a mas bajo costo CONSECUENCIAS
obtienen software ilegal.

DE LA CONDICIÓN
EFECTO
La situacion descrita podria originar reparos y/o multas determinadas por los
organismos reguladores competentes.

RECOMENDACIÓN
Disponer que los encargados de la gestion informatica realicen y culminen
el inventario de todas las licencias correspondientes, efectuando los
pedidos respectivo en coordinacion con logística, a efectos de regularizar en
el mas corto plazo, las licencias del uso del software que no se encuentren
sustentadas. Por otro lado, se debe instalar el software antivirus en el
servidor de desarrollo.
 ELABORAR EL INFORME PRELIMINAR
TÍTULO
“DEFICIENTE CONTROL DE LAS LICENCIAS DEL SOFTWARE
INSTALADO”
CONDICIÓN
La revision y anáisis de la informació proporcionada por la Oficina de
Sistemas, evidencia lo siguiente:
•El servidor de desarrollo carece de un software instalado contra virus.
•Supuestamente los documentos proporcionados, establecen que tienen
101 computadoras, con sus respectivas licencias, sin embargo no lo han
podido demostrar.

CRITERIO
Según el decreto legislativo 822 de INDECOPI, aprobado por Resolució
Nro. 0121-1998/ODA-INDECOPI, que establece que toda reproduccion o
utilizacion de software sin tener la licencia correspondiente otorgada por el
titular de derecho de autor o su representante, se considera ilíita y pasible
de sancion administrativa y/o judicial.

CAUSA
Irresponsabilidad por parte de los encargados de la adquisicion del
software, quienes en su afan por efectuar compras a mas bajo costo

Recomendaciones
obtienen software ilegal.

EFECTO
La situacion descrita podria originar reparos y/o multas determinadas por los
organismos reguladores competentes. PRÁCTICAS, ÚTILES
RECOMENDACIÓN Y COSTEABLES
Disponer que los encargados de la gestion informatica realicen y culminen
el inventario de todas las licencias correspondientes, efectuando los
pedidos respectivo en coordinacion con logística, a efectos de regularizar en
el mas corto plazo, las licencias del uso del software que no se encuentren
sustentadas. Por otro lado, se debe instalar el software antivirus en el
servidor de desarrollo.
 REALIZAR LAS
ENTREVISTAS DE
FINALIZACIÓN

ESPERAR RESPUESTA
DE USUARIO
ELABORAR EL INFORME ACCIONES ADOPTADAS
PRELIMINAR OFICIAL
 ELABORAR EL EFECTUAR EL
SEGUIMIENTO
INFORME FINAL

FIN