Post on 11-Jul-2015
AUDITORIA DE SISTEMAS
PLANEACION DE AUDITORIA DE
SISTEMAS INFORMATICOS
•José Manuel Salamanca Coppa 08-31807
•Jorge Arocutipa Chura 08-31798
•Percy Poma Alberto 08-31816
•Cristian Jesús Mamani Mamani 08-31790
UNIVERSIDAD NACIONAL JORGE BASADRE GROHMANNFacultad de Ciencias Jurídicas y Empresariales
E.A.P. Ciencias Contables y Financieras
• EMPRESA : HILOSA S.A DE C.V.
• SOCIEDAD ENCARGADA : RTS113 S.A.C.
• PERIODO AUDITADO : DEL 1 DE ENERO AL 31 DE DICIEMBRE DE 2011.
• DIRECCION : AV.TACNA S/N
• TELEFONO : 2443-1888
NGAS S 1“Estatuto de Auditoría”
Es una carta decompromiso quecomunica elpropósito, laresponsabilidad ylas limitaciones de laauditoría asignada.
PERSONAL ENCARGADO ESPECIALIDAD
Jose Manuel Salamanca Coppa Auditor especialista
Cristian Mamani Mamani Ing. De Sistemas
Jorge Arocutipa Chura Asistente de Auditor
Percy Poma Alberto Asistente de Ing. De Sistemas
NORMAS PERSONALES
El auditor deberá poseer preparación técnica y capacidad profesional adecuada.Deberá observar diligencia profesional en la ejecución del trabajo y en laelaboración del informe.Deberá adoptar una actitud independiente.
PERSONAL DE AUDITORÍA
La comisión de auditoria ha sido designada de la siguiente manera:
NOMBRES Y APELLIDOS CATEGORIA INICIALES
CPC. JOSE MANUEL SALAMANCA COPPA Auditor especialista JMSC
ING. SIS. CRISTIAN MAMANI MAMANI Ing. De Sistemas CMM
CPC. JORGE AROCUTIPA CHURA Asistente de Auditor JACH
ING. SIS. PERCY POMA ALBERTO Asistente de Ing. De Sistemas
PPA
AUDITORÍA DE SISTEMAS AL ÁREA DE SISTEMAS INFORMATICOS A LA EMPRESA HILOSA S.A.
NGAS N 2“Independencia”
El Auditor de Sistema deInformación tiene que serindependiente en actitud yapariencia.
NGAS N 3“Ética y Estándares
Profesionales”
El auditor de SI tiene que cumplircon el Código de Ética Profesionalde ISACA
NGAS N 4“Competencia Profesional”
Tener las destrezas y losconocimientos para realizar latarea de auditoría.
AUDITORÍA DE SISTEMAS AL ÁREA DE SISTEMAS INFORMATICOS A LA EMPRESA HILOSA S.A.
MEMORÁNDUM DE PLANIFICACIÓN
1. ORIGEN DEL EXAMEN
La presente Auditoría de Sistemas se realiza en cumplimiento a lasacciones programadas para el periodo 2011 por La Empresa AuditoraRts113 S.A.C. el cual fue aprobado por las normas pertinentes.
LA AUDITORIA DE SISTEMAS INFORMATICOSEMPRESA HILOSA S.A .
NORMA(S) Y GUÍA DE AUDITORÍA DE SI S5 – Planeación y G15 - Planeación
OBJETIVOS
OBJETIVOS GENERALES
El mismo que permitirá generar unrespaldo en la emisión del informe a laauditoria practicada
Evaluar el funcionamiento y seguridadde los sistemas informáticos de laempresa
Realizar un estudio suficiente de lasoperaciones del área informática de laempresa
NORMA(S), GUÍA DE AUDITORÍA DE SI YMARCO REFERENCIAL DEL COBIT
S5 – Planeación, S11 – Gobernabilidad de TI S15 - Controles de TI, G15– Planeación, G16 – Efectos de terceros en los controles de TI de unaorganización y Marco Referencial del COBIT, Objetivos de Control.
PROCEDIMIENTO(S) Y TÉCNICAS(S) Objetivos de controles y objetivos de auditoríaProcedimiento de auditoría: Revisión de la documentación de sistemase identificación de controles existentes.
NGAS N 5“Planeacion”
El auditor de SI debe desarrollar ydocumentar un plan de auditoría quedetalle la naturaleza y los objetivos dela auditoría, los plazos y alcance, asícomo los recursos requeridos
OBJETIVOSESPECIFICOS
•Evaluar si la persona encargada del mantenimiento yprogramación del sistema informático de la empresa cumplecon el perfil del puesto.
•Identificar las áreas críticas, con respecto a la seguridad delequipo del área de informática.
•Diseñar los procedimientos a efectuar en el desarrollo de laauditoría del área de informática.
•Establecer el alcance en cuanto a los procedimientos, de talmanera que conduzcan a la formulación del informe de laauditoria de sistemas.
OBJETIVOS
NORMA(S), GUÍA DE AUDITORÍA DE SI YMARCO REFERENCIAL DEL COBIT
S5 – Planeación, S11 – Gobernabilidad de TI S15 - Controles de TI, G15– Planeación, G16 – Efectos de terceros en los controles de TI de unaorganización y Marco Referencial del COBIT, Objetivos de Control.
PROCEDIMIENTO(S) Y TÉCNICAS(S) Objetivos de controles y objetivos de auditoríaProcedimiento de auditoría: Revisión de la documentación de sistemase identificación de controles existentes.
NGAS N 5“Planeacion
”
El auditor de SI debedesarrollar ydocumentar un plan deauditoría que detalle lanaturaleza y losobjetivos de laauditoría, los plazos yalcance, así como losrecursos requeridos
ESTUDIO Y EVALUACIÓN DEL CONTROL INTERNO( AREAS CRITICAS)
Esta fase constituye el inicio de la planeación, aunque sea preparada con anterioridad; susresultados son los que generan la verdadera orientación de las subsiguientes fases delproceso, sin ser excluyentes, se deben considerar los siguientes aspectos:
GESTION ADMINISTRATIVA
Conocer y analizar las operaciones a las cuales se dedicael negocio y la forma en que está estructurado tantodesde del punto de vista organizacional y administrativo
Verificar si se ha diseñado un manual de organización yfunciones a ser aplicado a los y por los usuarios del áreade informática
Verificar si las contrataciones del personal del área deinformática se han realizado con base a los criteriosestablecidos en el manual de funciones y cumplen elperfil del puesto
NORMA(S) Y GUÍA DE AUDITORÍA DE
SI
S5 - Planeación, S11-Uso de la evaluación de riesgos en la
planeación de la auditoría y G - 13
PROCEDIMIENTO(S) Y TÉCNICAS(S) Riesgo y materialidad de auditoría
Técnicas de evaluación de riesgos
Procedimiento de auditoría: Revisión de la documentación de
sistemas e identificación de controles existentes.
NGAS N 10
“Gobernabilidad de TI”
Establecer y proporcionar asesoría enlas áreas de gobernabilidad de TI queel auditor de SI debe tener en cuentadurante el proceso de auditoría.El auditor de SI debe utilizar unenfoque basado en riesgos paraevaluar la función de SI.
GESTION INFORMATICA
Examinar la información preliminar correspondiente al área de informática.
Conocimiento de las instalaciones físicas del negocio, materiales, mobiliario, inmuebles, equipos, inventarios y otros que tienen relación al área de informática y la ubicación de sucursales, en caso de que también utilicen dicho sistema.
Verificar si los programas utilizados dentro de la entidad han sido diseñados específicamente para la empresa y hasta que punto estos programas son operativos y satisfacen las necesidades de la entidad.
Naturaleza y tratamiento de las operaciones realizadas por medio de los sistemas informáticos.
NORMA(S) Y GUÍA DE AUDITORÍA DE
SI
S5 - Planeación, S11-Uso de la evaluación de riesgos en la
planeación de la auditoría y G - 13
PROCEDIMIENTO(S) Y TÉCNICAS(S) Riesgo y materialidad de auditoría
Técnicas de evaluación de riesgos
Procedimiento de auditoría: Revisión de la documentación de
sistemas e identificación de controles existentes.
NGAS N 10
“Gobernabilidad de TI”
Establecer y proporcionar asesoría en las áreas degobernabilidad de TI que el auditor de SI debe tener encuenta durante el proceso de auditoría.El auditor de SI debe utilizar un enfoque basado en riesgospara evaluar la función de SI.
CARGOS Y NOMBRES DEL PERSONAL ENCARGADO
CARGO NOMBRES Y APELLIDOS
GERENTE GENERAL LIC. RODRIGO AYLLON LOPEZ
JEFE DEL AREA DE INFORMATICA ING. NESTOR PARI
REPRESENTANTE DEL PERSONAL DEL
AREA DE INFORMATICAING. CARLOS TELLEZ
JEFE DEL AREA DE CONTABILIDAD CPC. LINO MANUEL ACERO MAMANI
LA AUDITORIA DE SISTEMAS INFORMATICOSEMPRESA HILOSA S.A .
NGAS N 15
“Controles” El auditor debe asistir a la gerencia proporcionando
consejos con respecto al diseño y la mejora de controles
de TI.
METODOS APLICABLES PARA SU DOCUMENTACION
A) DESCRIPTIVO
La documentación utilizada durante la auditoría, será enprimer lugar de tipo descriptiva o sea basada en lanarración verbal de los procedimientos, la cuales sonconocidas como cédulas narrativas
B) CUESTIONARIO
En segundo lugar, los procedimientos se documentarána través de la reelaboración de preguntas, contestadaspersonalmente por los líderes de la empresa o por elpersonal encargado de los sistemas informáticos y poralgunos usuarios dentro de la empresa que tengarelación con el mismo
NGAS N 6“REALIZACIÓN DE
LABORES DE AUDITORÍA”
Evidencia—Durante el transcurso de la auditoría, el auditor de SI debeobtener evidencia suficiente, confiable y pertinente para alcanzar losobjetivos de auditoría. Los hallazgos y conclusiones de la auditoríadeberán ser soportados mediante un apropiado análisis e interpretaciónde dicha evidencia
CUESTIONARIO DE CONTROL INTERNO
PREGUNTAS SI NO N/A
ASPECTOS RELACIONADOS AL ÁREA DE INFORMÁTICA.
Existe dentro de la empresa un área de informática?
SI LA RESPUESTA FUE SI:1. Ante quien rinden cuentas de su gestión?2. Se ha nombrado un gerente para esta área?3. Está identificada dicha área dentro del organigrama
general de la empresa?4. Se tiene un organigrama específico de dicha área?5. Hay un manual de organización y funciones aplicables a
dicha área?6. Están delimitadas las funciones de cada integrante del
área de informática?7. Cada empleado del área de informática conoce la
persona ante la que tiene que rendir cuentas de su labor
NGAS N 6“REALIZACIÓN DE
LABORES DE AUDITORÍA”
Evidencia—Durante el transcurso dela auditoría, el auditor de SI debeobtener evidencia suficiente,confiable y pertinente para alcanzarlos objetivos de auditoría. Loshallazgos y conclusiones de laauditoría deberán ser soportadosmediante un apropiado análisis einterpretación de dicha evidencia
CUESTIONARIO DE CONTROL INTERNO
PREGUNTAS SI NO N/A
ASPECTOS RELACIONADOS AL ÁREA DE INFORMÁTICA.
Existe dentro de la empresa un área de informática?
SI LA RESPUESTA FUE SI:1. Ante quien rinden cuentas de su gestión?2. Se ha nombrado un gerente para esta área?3. Está identificada dicha área dentro del organigrama
general de la empresa?4. Se tiene un organigrama específico de dicha área?5. Hay un manual de organización y funciones aplicables a
dicha área?6. Están delimitadas las funciones de cada integrante del
área de informática?7. Cada empleado del área de informática conoce la
persona ante la que tiene que rendir cuentas de su labor
NGAS N 9“IRREGULARIDADES Y ACCIONES ILEGALES
”
El auditor de SI debe mantener unaactitud de escepticismo profesionaldurante la auditoría, reconociendola posibilidadde que podrían existirdeclaraciones materialmenteincorrectas debido airregularidades y acciones ilegales,independientemente de su propiaevaluación del riesgo deirregularidades y acciones ilegales.
PREGUNTAS SI NO N/A
ASPECTOS RELACIONADOS AL HARDWARE
1. En alguna ocasión se ha extraviado alguna laptop oalgún proyector de cañón propiedad de la empresa?
2. En alguna ocasión se ha extraviado algún periférico(bocinas, audífonos, teclado, mouse, teclado numérico,etc.) de una computadora?
3. Si hay vigilante, ¿Revisa éste que los empleados nolleven artículos que no son de su propiedad?
4. En alguna ocasión le han quemado discos o guardadoinformación en los equipos de la entidad?
5. Cada componente de su computadora y periféricos tienela numeración respectiva del inventario?
CUESTIONARIO DE CONTROL INTERNO
NGAS N 9“IRREGULARIDADES Y ACCIONES ILEGALES
”
El auditor de SI debe mantener unaactitud de escepticismo profesionaldurante la auditoría, reconociendola posibilidadde que podrían existirdeclaraciones materialmenteincorrectas debido airregularidades y acciones ilegales,independientemente de su propiaevaluación del riesgo deirregularidades y acciones ilegales.
PREGUNTAS SI NO N/A
ASPECTOS RELACIONADOS AL SOFTWARE
1. Se utilizan programas como el Office de Microsoft u otrosprogramas para los que la empresa haya comprado laslicencias correspondientes?
2. Los empleados pueden utilizar el equipo informático de laentidad para elaborar documentos o diseños para usopersonal?
3. Hay una persona nombrada como responsable deresguardar el software comprado por la empresa?
4. Para el resguardo de los diversos discos de programas, setiene un archivadero adecuado?
5. El software comprado por la entidad le facilita su trabajo?6. Los programas antes mencionados son justo lo que
necesita para sus actividades laborales?7. Existen programas diseñados y elaborados por el área de
informática, con los procedimientos específicos para lasactividades que la entidad desarrolla?
CUESTIONARIO DE CONTROL INTERNO
NGAS N 9“IRREGULARIDADES Y ACCIONES ILEGALES
”
El auditor de SI debe mantener unaactitud de escepticismo profesionaldurante la auditoría, reconociendola posibilidadde que podrían existirdeclaraciones materialmenteincorrectas debido airregularidades y acciones ilegales,independientemente de su propiaevaluación del riesgo deirregularidades y acciones ilegales.
CRONOGRAMA DE ACTIVIDADES
No
.ACTIVIDAD O TAREA
DI
A 1
DIA
2
DI
A 3
DIA
4
DI
A 5
DIA
6
DIA
7
DIA
8
DIA
9
DIA
10
1 Realización de Visita preliminar
2 Elaboración de Plan de Auditoría
3 Elaboración de Cuestionario de Control interno
4 Visita para contestar el cuestionario de control interno
5Análisis del cuestionario y elaboración de Planilla de
Decisiones Preliminares
6Ejecución de las actividades presentadas en el Programa de
Auditoría
7 Revisión de sistema de redes
8Revisión de la funcionalidad de los sistemas por el
Programador
9Revisión de funcionalidad del sistema eléctrico por el
electricista
10 Presentación del informe de Auditoría
El auditor donde resulteapropiado, considerara el usodel trabajo de otros expertospara realizar la auditoría.
NGAS N 13“Uso del trabajo de
otros expertos”
El auditor de SI debe evaluar, revisar y calificar el trabajo de otros expertos como parte de la auditoría y concluirel grado de utilidad y la fiabilidad del trabajo del experto
CRONOGRAMA DE ACTIVIDADES
No
.ACTIVIDAD O TAREA
DI
A 1
DIA
2
DI
A 3
DIA
4
DI
A 5
DIA
6
DIA
7
DIA
8
DIA
9
DIA
10
1 Realización de Visita preliminar
2 Elaboración de Plan de Auditoría
3 Elaboración de Cuestionario de Control interno
4 Visita para contestar el cuestionario de control interno
5Análisis del cuestionario y elaboración de Planilla de
Decisiones Preliminares
6Ejecución de las actividades presentadas en el Programa de
Auditoría
7 Revisión de sistema de redes
8Revisión de la funcionalidad de los sistemas por el
Programador
9Revisión de funcionalidad del sistema eléctrico por el
electricista
10 Presentación del informe de Auditoría
NGAS N 6
“Ejecución de la
Auditoría”
El auditor de SI
debe ser
supervisado,
encontrar evidencia
suficiente y
elaborar
documentación que
sustente sus
labores.
CRONOGRAMA DE ACTIVIDADES
No
.ACTIVIDAD O TAREA
DI
A 1
DIA
2
DI
A 3
DIA
4
DI
A 5
DIA
6
DIA
7
DIA
8
DIA
9
DIA
10
1 Realización de Visita preliminar
2 Elaboración de Plan de Auditoría
3 Elaboración de Cuestionario de Control interno
4 Visita para contestar el cuestionario de control interno
5Análisis del cuestionario y elaboración de Planilla de
Decisiones Preliminares
6Ejecución de las actividades presentadas en el Programa de
Auditoría
7 Revisión de sistema de redes
8Revisión de la funcionalidad de los sistemas por el
Programador
9Revisión de funcionalidad del sistema eléctrico por el
electricista
10 Presentación del informe de Auditoría
NGAS N 7“Reporte”
El auditor de SI debesuministrar un informe alfinalizar la auditoría
ProcedimientosReferencia
P/TFecha Hecho por
Objetivo :
Evaluar el funcionamiento y seguridad de los sistemas informáticos de laempresaRealizar un estudio suficiente de las operaciones del área informática de laempresa
Procedimientos:
1. Solicite los documentos normativos que regulan el área de informáticade la empresa LA EMPRESA HILOSA S.A
2. Evaluar todo lo relacionado con la infraestructura como: paredes pisos,techo e instalaciones eléctricas, su correspondiente mantenimiento yremodelaciones de la misma.
3. Evaluar la distribución del equipo, es adecuado el equipo de cómputopara el desarrollo de las práctica, es suficiente la cantidad de equipo decómputo, se están dejando de realizar actividades por falta de equipode cómputo y recursos tecnológicos; otros, mantenimiento y seguridadpara proteger el mobiliario,
4. Verifique y realice un estudio sobre la capacidad operativa del personaly aclarar si estos puestos vienen siendo ocupados por personalespecializado en el área.
5. Revisar el licenciamiento y facturación del software, su actualización,servicios de mantenimiento, así como la instalación innecesaria deprogramas, además si carecen de programas para la realización dealguna práctica
Del 01 al 10
de enero
Del 01 al 02
de enero
Del 02 al 03
enero
Del 03 al 04
de enero
Del 04 al 07
de enero
Del 07-10
de enero
CMM
JACH
PPA
JACH
JMSC
JMSC
PROGRAMA DE AUDITORIA DE LA EMPRESA HILOSA S.A.C.
ProcedimientosReferencia
P/TFecha Hecho por
Objetivo :
Evaluar el funcionamiento y seguridad de los sistemas informáticos de laempresaRealizar un estudio suficiente de las operaciones del área informática de laempresa
Procedimientos:
1. Solicite los documentos normativos que regulan el área de informáticade la empresa LA EMPRESA HILOSA S.A
2. Evaluar todo lo relacionado con la infraestructura como: paredes pisos,techo e instalaciones eléctricas, su correspondiente mantenimiento yremodelaciones de la misma.
3. Evaluar la distribución del equipo, es adecuado el equipo de cómputopara el desarrollo de las práctica, es suficiente la cantidad de equipo decómputo, se están dejando de realizar actividades por falta de equipode cómputo y recursos tecnológicos; otros, mantenimiento y seguridadpara proteger el mobiliario,
4. Verifique y realice un estudio sobre la capacidad operativa del personaly aclarar si estos puestos vienen siendo ocupados por personalespecializado en el área.
5. Revisar el licenciamiento y facturación del software, su actualización,servicios de mantenimiento, así como la instalación innecesaria deprogramas, además si carecen de programas para la realización dealguna práctica
Del 01 al 10
de enero
Del 01 al 02
de enero
Del 02 al 03
enero
Del 03 al 04
de enero
Del 04 al 07
de enero
Del 07-10
de enero
CMM
JACH
PPA
JACH
JMSC
JMSC
PROGRAMA DE AUDITORIA DE LA EMPRESA HILOSA S.A.C.
NGAS N 5“Planeacion”
El auditor de SI debe desarrollar un programa y/o plan de auditoría detallando la naturaleza, los plazos y el alcance de losprocedimientos requeridos para completar la auditoría.
METODOLOGÍA Y PROCEDIMIENTOS
1.El Primer día, el Auditor Sénior y los Auditores Junior de la sociedad, visitarán al cliente, en ellugar donde se realizará la auditoría, para identificar la magnitud de los procedimientos adesarrollar y tener un acercamiento con los funcionarios y empleados de la empresa.
2.El segundo día, se llevará a cabo la elaboración de la Planeación de la Auditoría, para identificarlas posibles áreas que representen riesgo dentro de la organización y que afecten al sistemainformático. Además se elaborará el cuestionario de Control Interno, con el cual se buscarárecabar información, que nos ayudará a identificar el tipo de riesgo que presente cadacomponente o área a evaluar.
3.El tercer día en la jornada matutina, se visitará el lugar de trabajo con el propósito de solicitar alos funcionarios, empleados del área de informática y usuarios del sistema, que respondan elcuestionario de control interno. La visita será por los Auditores Junior.
4.El día cuatro, con los resultados obtenidos, los auditores elaborarán la planilla de decisionespreliminares, evaluando el tipo de riesgo que presenta cada área y definiendo algunosprocedimientos que será necesario realizar.
03 El auditor de SI debe cumplir con el Código de Ética Profesional de ISACA al realizar tareas de auditoría.04 El auditor de SI debe ejercer el debido cuidado profesional, lo cual incluye cumplir con los estándares profesionales de
auditoría aplicables al realizar tareas de auditoría.
NGAS S 3“NORMA DE AUDITORÍA DE SI ÉTICA Y NORMAS PROFESIONALES
MÉTODOS DE PRUEBA
Se solicitará a los auditores junior que desarrollen los procedimientos expresados en el plan de auditoría.
En ellos se verificará que los peritos contratados para las diferentes áreas pongan a prueba los sistemas de la organización, insertando claves falsas, para ver como reacciona el sistema.
A continuación se solicitará que un empleado autorizado de un nivel inferior, inserte su clave y luego el experto en informática tratará de accesar a documentos que solo se deberían ver por funcionarios de nivel superior.
Por lo tanto lo que se verificará es la seguridad que ofrezca el sistema.
Se harán pruebas, por otro lado en lo concerniente a las instalaciones eléctricas, con el fin de verificar que estén en buen estado y se tratará de provocar fallas al sistema eléctrico, para verificar su vulnerabilidad.
En cuanto a las redes, se tratará desde una máquina, accesar a otras que no se debiera tener acceso con el fin de verificar su vulnerabilidad.
03 El auditor de SI debe cumplir con el Código de Ética Profesional de ISACA al realizar tareas de auditoría.04 El auditor de SI debe ejercer el debido cuidado profesional, lo cual incluye cumplir con los estándares profesionales de
auditoría aplicables al realizar tareas de auditoría.
NGAS S 3“NORMA DE AUDITORÍA DE SI ÉTICA Y NORMAS PROFESIONALES
CONCLUSIONES
La auditoria de sistemas informáticos tiene como base principal lasNGAS, que son consideradas como requisitos básicos para realizar lalabor del auditor de sistemas
El Auditor junto a su equipo de trabajo deberán tener ampliainformación sobre sistemas informáticos, los mismos que garanticenun desempeño mas eficiente en su labor
La auditoria de sistemas de información al momento de evaluar lossistemas informáticos de la empresa no solo debe hacerlo a la partedel software y hardware si no también a los procedimientos deingreso de dichos componentes