UNIVERSIDAD DE CARTAGENA

AUDITORIA INFORMATICAREVISIN DE CONTROLES GENERALES Y SEGURIDAD DEL CISAUDITORES:

MILENA PATERNINA GONZLEZLEONI BENITEZ HERNANDEZ

DOCENTE:CRISTO PANTOJA ALGARIN

CONTADOR PUBLICO

UNIVERSIDAD DE CARTAGENA

CONTADURIA PBLICA DIURNA

VIII SEMESTRE

JUNIO 2 DE 2015TABLA DE CONTENIDO

1. Taller de auditora.2. Nuestra firma de auditores.3. Misin, Visin y Valores corporativos

4. Organigrama general.

5. Empresa a auditar.6. Informe de auditora.6.1 Introduccin.6.2 Objetivo general.

6.3 Objetivos especficos.

6.4 Objetivos de las pruebas de cumplimiento.6.5 Objetivos de las pruebas sustantivas.6.6 Pruebas, alcance y oportunidad.

6.7 Revisin y evaluacin del Control Interno.6.8 Alcance de la auditora.

6.9 Planeacin.

6.10 Procedimientos.6.11 Calificacin de riesgos por rea y total.

6.12 Diagnostico.

6.13 Conclusin.6.14 Recomendaciones.

6.15 Personal.6.16 Recursos.6.17 Cronograma.6.18 Presupuesto.6.19 Papeles de Trabajo.

7. Informe final.1. TALLER DE AUDITORIAHoja de condiciones y requisitos.1.Objetivo

Hacer una auditora de Revisin de controles generales y seguridad del CIS del sistema de informacin computarizado de la entidad (preferiblemente, una empresa donde labore alguno de los integrantes), para lo cual pueden conformar equipos de hasta tres (3) auditores, todos los cuales deben ser estudiantes matriculados en la asignatura Auditora Informtica.2.Requerimientos

a) El equipo de trabajo debe simular la integracin de una firma de auditores e indicar los cargos de cada uno de sus miembros.

b) Deben hacer un programa de auditora especfico para cada ente/sistema auditado.

c) Para la revisin y evaluacin de los controles y la seguridad, pueden hacer uso de las tcnicas de auditora que consideren necesarias.

d) Deben efectuar las pruebas y aplicar los procedimientos que permitan alcanzar los objetivos de la auditora.

e) Es indispensable aplicar las normas de auditora generalmente aceptadas en todas y cada una de las etapas del trabajo.

3.Puntos a evaluar

a) Presentacin y organizacin, segn normas sobre presentacin de trabajos escritos.b) Programa de auditora y respuestas al cuestionario suministrado. Deben responder todas las preguntas; y en caso de preguntas que no sean aplicables deben indicar por qu no aplican, de lo contrario dichas preguntas no se consideran respondidas.c) Papeles de trabajo.

d) Calificacin de riesgos por rea y total (tema de investigacin).

e) Informe de auditora, el cual debe incluir: Alcances.

Diagnstico.

Conclusiones y/u opinin. Recomendaciones.

Al informe de auditora deben adjuntar todos los soportes que permitan revisar y evaluar el trabajo realizado, incluyendo esta hoja.2. NUESTRA FIRMA DE AUDITORES

NOMBRE: M y B Asociados.Funcionarios:

Milena Paternina Gonzlez

Leoni Bentez Hernndez

3. MISION Y VISINMISIONSomos una organizacin que apuesta a la capacitacin continuada de sus funcionarios. Ponemosalserviciode personasnaturalesy jurdicasnuestrosconocimientosenauditorayconsultoradenegocios, entodossuscamposde aplicacin, proveemos servicios personalizados de auditora, contabilidad y consultora a empresas.

Prestamosasesoraydamosacompaamiento conindependenciamental yticaprofesional, buscamosmaximizarel valor delasempresasdenuestrosclientesy denuestraFirma dedicada a satisfacer las necesidades de nuestros clientes, apoyndolos en la bsqueda de sus ventajas diferenciales y xito empresarial, y agregado valor, para su beneficio.Contamos conrecursohumanoexpertoendiferentesreasde laadministracinqueaplicalasmejores prcticasbuscandosiempregenerarvalor agregadoanuestrosclientes.

VISION

Para elao2017,seruna firma lder a nivel nacional en proveer atencin personalizada de servicios de Auditoria, contabilidad y consultora a empresas. Ser el soporte principal de las decisiones empresariales de nuestros clientes. Respaldadas en las ms alta calidad tcnica de nuestros profesional que ejecutan su trabajo con tica profesional, a fin de contribuir al logro de los objetivos a corto, mediano y largo plazo, y de esta forma contribuir al desarrollo econmico y humano de las empresas y el pas. NUESTROS VALORES Confianza. Honestidad.

Objetividad. Integridad. Confidencialidad. Cumplimiento y compromiso con cliente.

4. ORGANIGRAMA GENERAL.

5. EMPRESA A AUDITAR

NOMBRE: Hotel Regatta Cartagena.DIRECCIN: Cra 1 N 5-82, Bocagrande, 130015 Cartagena de Indias, Colombia.6. INFORME DE AUDITORA

6.1. INTRODUCCION

Debido a los enormes cambios sufridos por el mercado en los ltimos aos con la incorporacin de tecnologas informticas que facilitarn la administracin de los datos, con el fin de ofrecer mejoras en la toma de decisiones gerenciales, en la actualidad todas las empresas, incluso las Pymes, requieren de la implementacin de un sistema de informacin que colabore con los procesos de gestiones empresariales.

Con el fin de mejorar la productividad y el rendimiento de una organizacin competitiva, es fundamental evaluar las tcnicas actuales y la tecnologa disponible para desarrollar sistemas que brinden eficiencia y eficacia de la gestin de la informacin relevante. La implementacin de sistemas de informacin en una compaa, brindan la posibilidad de obtener grandes ventajas, incrementar la capacidad de organizacin de la empresa, y tornar de esta manera los procesos a una verdadera competitividad.

Para ello, es necesario un sistema eficaz que ofrezca mltiples posibilidades, un sistema eficiente que mantenga la integridad de la informacin, permitiendo acceder a los datos relevantes de manera frecuente, oportuna y que aporte con el desarrollo de los objetivos de la entidad.

La naturaleza especializada de la auditoria de los sistemas de informacin y las habilidades necesarias para llevar a cabo este tipo de auditoras, requieren el desarrollo y la promulgacin de Normas Generales para la auditoria de los Sistemas de Informacin.

La auditora de los sistemas de informacin se define como cualquier auditoria que abarca la revisin y evaluacin de todos los aspectos (o de cualquier porcin de ellos) de los sistemas automticos de procesamiento de la informacin, incluidos los procedimientos no automticos relacionados con ellos y las interfaces correspondientes.

La Informtica es la gestin integral de la empresa, y por eso las normas y estndares informticos deben estar, sometidos a la empresa debido a su importancia en el funcionamiento de una empresa, Debe comprender la evaluacin de los equipos de cmputo en conjuncin con un sistema evaluando entradas, procedimientos, controles, archivos, seguridad y obtencin de informacin en cuanto a procedimientos en especfico ya que proporciona los controles necesarios para que los sistemas sean confiables y con un buen nivel de seguridad, este nivel se enfoca la proteccin a la integridad del ente econmico, los recursos tecnolgicos, las operaciones, la informacin y dems resultados del procesamiento de datos, contra errores, daos fortuitos o provocados y desastres naturales.

6.2. OBJETIVO PRINCIPALLa firma de auditores M y B Asociados, pretende durante desarrollo de su operacin dentro de la empresa, evaluar y/o revisar las estructuras de control que sustentan los componentes del rea informtica del Hotel Regatta Cartagena, al igual que los controles internos en torno a la incorporacin y uso de nuevas tecnologas de informacin en el hotel para satisfacer los requerimientos tecnolgicos presentes y futuros en forma integral. Las actividades se realizarn en trminos de examinar las principales caractersticas que sustentan su organizacin y sus controles internos asociados al rea informtica de la empresa mediante la verificacin de la existencia, calidad y aplicacin de polticas, normas y procedimientos especficos asociados.

6.3. OBJETIVOS ESPECIFICOS

Para llevar a cabo el cumplimiento del objetivo general de la auditoria, la firma de auditores M y B Asociados, se ha propuesto una serie de objetivos especficos. Dichos objetivos sern expuestos a continuacin:

Evaluar la seguridad de la informacin del hotel, tanto de documentacin fsica como el resguardo informtico de informacin relevante, es decir, de los medios magnticos.

Verificar la confiabilidad de la seguridad fsica, controles para accesibilidad e identificacin del personal en reas restringidas para algn personal.

Evaluar la eficiencia y eficacia de la asistencia tcnica recibida por parte de entidades externas.

Verificar el cumplimiento de las normas, polticas y procedimientos vigentes en el rea de informtica.

Revisar la existencia de procedimientos para prevenir la utilizacin de software contaminado.

Verificar el cumplimiento de las funciones que estn especificadas en la empresa de acuerdo a la estructura jerrquica del rea de informtica.6.4. OBJETIVOS DE LAS PRUEBAS DE CUMPLIMIENTOSu objetivo principal es determinar y comprobar la efectividad del sistema del control interno que el hotel haya implementado, por lo tanto en el momento de analizar las pruebas escogidas se debe verificar si los procedimientos son los adecuados, si se estn ejecutando y si se estn ejecutando se est realizando de la manera correcta.

1. Determinar si el departamento de sistemas tiene un plan de trabajo establecido y si este es adecuado y aplicado.

2. Verificar si hay personas autorizadas para realizar modificaciones a los sistemas informticos, y si estos cumplen con los requerimientos y conocimientos para realizar las respectivas modificaciones.

3. Comprobar si el software instalado son utilizados conforme a las polticas del departamento de sistemas.

4. Comprobar si se realiza un contrato en el momento de adquirir o arrendar un activo informtico y/o suministro.

5. Comprobar que los procedimientos de seguridad establecido por la empresa se aplique adecuadamente.6. Determinar si las polticas establecidas por la empresa para los controles de acceso al rea informtica son adecuados.

7. Comprobar si mantiene limpia y ordenada el rea de procesamiento de datos.

8. Determinar si los procedimientos de aseo y mantenimiento establecidos por la entidad son los adecuados.

9. Determinar si las medidas de aseo y mantenimiento se aplican de la manera ms adecuada de acuerdo a las polticas de la empresa.

10. Comprobar si las polticas que existen para asegurarse de remover inmediatamente empleados despedidos y/o retirados son las ms convenientes para el ente.

11. Verificar si en la organizacin existe un programa educativo continuo respecto a las medidas de seguridad.

12. Determinar si hay computadores de respaldo disponibles y donde estn ubicados cada uno de estos.

13. Comprobar si se ha desarrollado un plan de implantacin del sistema respaldo del ente.

14. Cumplimiento de objetivos en la planeacin 15. Verificar los controles y procedimientos16. Revisar cambios a programas y sistemas17. Revisar el sistema para identificar controles18. Determinar los datos o archivos crticos de apoyo se guardan en las dependencias de las empresas, dentro de una ubicacin a prueba de fuego

19. Verificar si la instalacin de respaldo ha sido aprobada por el personal de seguridad de la empresa y si en esta existe capacidad suficiente para procesar las aplicaciones crticas.

20. Verificar si el plan de implantacin que se desarroll dentro de la organizacin se revisa y prueba con regularidad.

21. Comprobar si los datos o archivos crticos de apoyo se guardan en Lejos de las dependencias, en una ubicacin a prueba de fuego.El propsito es reunir evidencia suficiente para analizar si el control interno funciona efectivamente y si est logrando sus objetivos por lo que generalmente se refiere a la inspeccin de documentos.

6.5. OBJETIVOS DE LAS PRUEBAS SUSTANTIVAS

1. Conocer e identificar la razn social de la entidad, su estructura organizacional y administrativa.

2. Conocer los cargos existentes en el Departamento de Sistemas, sus respectivas funciones y nombre de los funcionarios de dicho departamento.

3. Verificar si se tiene conocimiento de las caractersticas de los equipos de computacin tales como: tamao, cantidad y marca.

4. Determinar si se conocen las caractersticas de cada centro de procesamiento de datos como son: unidad central de procesos (CPU), capacidad de memoria instalada, capacidad de almacenamiento en disco, perifricos, sistema operacionales en disco, entre otros

5. Determinar si el software instalado son utilizados.

6. Verificar si el software utilizado tienen las licencias correspondientes y si estos satisfacen las necesidades de la entidad y si se exige identificacin.

7. Comprobar si el acceso al centro de computacin est restringido solo a personas autorizadas y adems si se utilizan llaves, cerraduras de cdigos, lectores de carnet u otros dispositivos de seguridad para controlar el acceso.

8. Determinar si las terminales estn localizadas en reas seguras y si incluyen dispositivos de cierre para prevenir el acceso a las mismas por usuarios no autorizados.

9. Verificar si el acceso a los archivos de datos y a los programas de aplicacin estn restringidos.

10. Verificar si el personal de seguridad esta adiestrado y cuenta con la capacidad de reaccionar ante cualquier amenaza.

11. Comprobar si hay polticas establecidas para impedir que empleados despedidos representen amenazas para el centro de computacin.

12. determinar si los empleados que tienen acceso al computador, son requeridos para firmar peridicamente reportes de seguridad, indicando que su trabajo es de propiedad de la empresa, que ellos mantienen informacin confidencial de la compaa.13. Determinar si hay computadores de respaldo disponibles y donde estn ubicados cada uno de estos.

14. Comprobar si se ha desarrollado un plan de implantacin del sistema respaldo del ente.

15. Determinar los datos o archivos crticos de apoyo se guardan en las dependencias de las empresas, dentro de una ubicacin a prueba de fuego.

16. Revisar las transacciones realizadas y de archivos.17. Realizar procedimientos de revisin analtica.18. Analizar errores en el software. 6.6. REVISIN Y EVALUACIN DEL CONTROL INTERNOEl estudio y evaluacin del control interno se efecta con el objeto de cumplir con la norma de ejecucin del trabajo que requiere que: "El auditor debe efectuar un estudio y evaluacin adecuado del control interno existente, que te sirva de base para determinar el grado de confianza que va a depositar en l y le permita determinar la naturaleza, extensin y oportunidad que va a dar a los procedimientos de auditora".El objetivo es controlar que todas las actividades relacionadas a todos los sistemas de informacin automatizados se realicen cumpliendo las normas, estndares, procedimientos y disposiciones legales establecidas interna y externamente.

Esta fase constituye el inicio de la planeacin, aunque sea preparada con anterioridad; sus resultados son los que generan la verdadera orientacin de las subsiguientes fases del proceso, sin ser excluyentes, se deben considerar los siguientes aspectos:

Administrativos:

Conocer a que se dedica la entidad objeto de la auditoria, conocer y analizar las operaciones a las cuales se dedica el negocio, como se encuentra estructurada en el organigrama; tambin conocer quines son los administradores de las diferentes reas, el sistema interno de autorizaciones, firmas, formularios utilizados, cul es el proceso de las operaciones y otros aspectos que estn relacionados con la utilizacin del sistema informtico.

Verificar si existe un manual de procedimiento de funcionamiento para los usuarios que utilizan los sistemas informticos en el desempeo de sus labores.

Verificar que el personal que ha sido contratado para el rea de sistemas cumpla con los requerimientos del cargo y con los manuales y estatutos de la entidad.

Verificar si la administracin capacita constantemente al personal del rea de sistemas.

Verificar que las instalaciones estn debidamente adecuadas para que los empleados no corran peligro.

El presente examen se realizara de conformidad con las normas de auditoria generalmente aceptadas. Practicndose los siguientes procedimientos:

ANLISIS Y ESTUDIO DEL REA INFORMTICA: Entorno Software general, programas y aplicaciones.

Entorno Hardware, equipos y accesorios.

Anlisis FODA; Fortalezas, Oportunidades, Debilidades y Amenazas.

ANLISIS DE LA DOCUMENTACIN PROPORCIONADA: Polticas, Manuales y Procedimientos. Inventarios y listado de registros de los equipos.ENTREVISTAS Y CUESTIONARIO CONCERTADOS: A miembros del personal laboral del departamento de sistemas.REQUERIMIENTOS DE INFORMACIN: Informacin general del servicio de sistemas. Descripcin del hardware Sistemas de seguridad

6.7. TCNICAS DE AUDITORA PARA LA OBTENCIN DE EVIDENCIAS.

DESCRIPTIVOLa documentacin utilizada durante la auditora, ser en primer lugar de tipo descriptiva o sea basada en la narracin verbal de los procedimientos, la cuales son conocidas como cdulas narrativas.CUESTIONARIOEn segundo lugar, los procedimientos se documentarn a travs de la pre elaboracin de preguntas, contestadas personalmente por los lderes de la empresa o por el personal encargado de los sistemas informticos y por algunos usuarios dentro de la empresa que tenga relacin con el mismo.

6.8. ALCANCE DE LA AUDITORIA

La firma de auditores M y B Asociados, ha decidido que la presente auditora comprender el presente periodo 2015 y se realizar en el rea de informtica del Hotel Regatta Cartagena con sujecin a las Normas de Auditora Generalmente Aceptadas y dems disposiciones aplicables.

ANLISIS Y ESTUDIO DELREA INFORMTICA

Entorno Software general: programas y aplicaciones.

Entorno Hardware: equiposy accesorios.

Anlisis FODA: Fortalezas, Oportunidades, Debilidadesy Amenazas.

ANLISIS DE LA DOCUMENTACINPROPORCIONADA

Por el responsable delos equipos de cmputo

Polticas,manualesy procedimientos.

Inventarios y listado de registros de los equipos.

REQUERIMIENTOS DE INFORMACIN

Informacin general del serviciode Sistemas.

Descripcindelhardware.

Sistemasdeseguridad.

Aplicaciones.

ACLARACIONESPREVIAS SOBRE EL ALCANCE DE LA AUDITORA

La auditora realizada, ha sido enfocada aun anlisis interno.DURACION DE LA AUDITORIA: La firma ha informado a la empresa que el tiempo de duracin de la auditoria ser de 36 das, iniciando el da 15 de Abril de 2015, finalizando el da 20 de Mayo del mismo ao.

PERSONAL INVOLUCRADO: El equipo de trabajo escogido por la firma, para la preparacin y ejecucin de la auditoria consta de 2 auditores:

Leoni Bentez Hernndez AUDITOR RESPONSABLE.

Milena Paternina Gonzlez AUDITOR ASISTENTE.

ENTREGA DEL INFORME FINAL: La entrega de dicho informe se ha acordado que es el da 2 de Junio de 2015.

6.9. PLANEACIN

OBJETIVOS: Al obtener una clara comprensin de la entidad, se fijan las metas tanto a corto plazo como la general que se espera alcanzar al ejecutar la auditora; se establece el eje sobre el cual deben girar todos los procedimientos y fases de que consta para llevarse a cabo de forma eficaz y efectiva.

RUBROS A EXAMINAR: Consiste en descomponer las partes integrantes del Sistema Informtico, en secciones manejables, facilitando con ello el anlisis integral y exhaustivo, con el propsito de obtener resultados correctos y claros en cada uno de sus niveles operativos del sistema informtico.

PRIMERA DESCOMPOSICIN: Hardware, software, personal, instalaciones elctricas, seguridad.

SEGUNDA DESCOMPOSICIN O DETALLE: Computadores, perifricos, software de uso general, software de uso especfico, personal del rea de informtica, usuarios del sistema informtico, red elctrica, seguridad fsica de los sistemas informticos, seguridad lgica del sistema, seguridad del personal, seguridad de la informacin y las bases de datos, seguridad en el acceso y uso del software, seguridad en la operacin del hardware, seguridad en las telecomunicaciones.

TERCERA DESCOMPOSICIN: Las reas de mayor riesgo, son descompuestas en sus subdivisiones ms significativas, por lo cual se debe validar el funcionamiento de ellos mediante un examen operativo y el respectivo cumplimiento de las polticas institucionales en cuanto a su uso y aplicacin.

CUARTA DESCOMPOSICIN: Esta ltima se refiere al examen propio de cada una de las reas especficas, con el fin de asegurar el buen funcionamiento de cada uno de los componentes del sistema informtico, estos casos requerirn su validacin.

COMPARACIONES: Se establecern comparaciones sobre el actual funcionamiento de los sistemas informticos y las especificaciones de sobre cmo deberan funcionar, para establecer si se les est dando el uso adecuado y si se est obteniendo los mximos resultados de la aplicacin de dichos sistemas.

EXAMEN DOCUMENTAL: se consolida como la base de la auditora y el enlace entre la investigacin y la emisin de una opinin e informe, la inspeccin de los documentos anexos a cada operacin del sistema informtico, cuando por la naturaleza de las mismas exista un documento que ampare las operaciones.

MARGEN DE IMPORTANCIA: Dentro de este apartado, se deben analizar y sealar aquellos conceptos cuyo impacto de su inclusin, exclusin o revelacin textual pueda modificar la opinin sobre ellas. Ello requiere de parte del auditor, la capacidad de generar opiniones similares a la suya, entre los usuarios de los sistemas informticos.

RIESGOS: Toda auditora se encuentra impregnada por la posibilidad de que los aspectos a evaluar contengan errores o irregularidades de importancia no detectados, cuyo conocimiento haga cambiar la opinin sobre ellos. (Entindase como error, la ocurrencia u omisin de datos originados en circunstancias no voluntarias por parte de los encargados del funcionamiento de los sistemas informticos; y las irregularidades, son las circunstancias voluntarias por parte del mismo). Estos riesgos se clasifican de la siguiente manera:

RIESGO INHERENTE: Asociado con la generacin de estimaciones sobre la existencia de hechos, lo anterior es de criterio potencial por parte del auditor, y pueden ser identificados como eventos presuntos, su anlisis parte de la naturaleza del negocio, naturaleza de los sistemas de control de informacin, de los mismos sistemas informticos y otros.

RIESGO DE CONTROL: Este se disminuye a medida que se eleva la confianza en los mtodos de control interno adoptados, y se define como la posibilidad de que el control interno no detecte o evite oportunamente errores o irregularidades de importancia.

RIESGO DE DETECCIN: Vinculado directamente con la funcin de auditora, y se conoce como la mayor o menor capacidad de efectividad de los procedimientos de la misma para descubrir errores o irregularidades que en condiciones normales deberan ser visualizadas.

ELABORACIN DE CUESTIONARIO DE CONTROL INTERNO: Para conocer el funcionamiento del departamento de informtica dentro de la entidad, se disear un cuestionario de control interno, en el cual se harn en su mayora preguntas cerradas, con el propsito de conocer las actividades a las cuales se dedica la institucin, quienes las efectan, en qu momento se realizan los procesos y por quienes se realizan, con el fin de detectar posibles fallas y con base en ello, detectar la clase de riesgo que presenten cada una de las operaciones y procedimientos. Dichos datos servirn en su conjunto para la realizacin de la correspondiente planilla de decisiones preliminares y el programa de auditora.

6.10. PROCEDIMIENTOS

Enrealidad, no existen procedimientos especficos para la auditora, ms bien, el auditor toma y adapta las tcnicas, procedimientos y herramientas tradicionales del anlisis de sistemas de informacin.

Al utilizar estas herramientas en la auditora, lo que hace es sacar el mejor provecho de ellas para adecuarlas a las necesidades especficas de evaluacin requeridas en el ambiente de sistemas.

Estos mtodos no solo se utilizan en la evaluacin del rea de informtica, sino tambin en la evaluacin de cualquier rea ajena al ambiente de sistemas. Es por ello que el auditor debe saber cmo utilizarlas.

Inventario de software: Los procedimientos de auditora de software deben comenzar con un inventario de todo el software asignado a una organizacin con un gestor asignado de datos en el control de la gestin del software. El software debe mantenerse en un rea centralizada segura con los controles ambientales adecuados. Si una organizacin no tiene un rea centralizada para todos los programas de software, la auditora revelar la discrepancia.

Interrogacin de activos: es un procedimiento de auditora que inspecciona fsicamente los equipos para el software OEM original y las licencias. Los programas de auditora de software se pueden insertar en cualquier sistema informtico para comprobar el nmero de registro del software mediante la comparacin de las claves principales en el registro que almacena el nmero de licencia del software que se examina. Los procedimientos de auditora de software afirman que si el software no coincide con la clave de la licencia, el software debe ser investigado y eliminado.Problemas de licencia: revisar los contratos de licencia para ver si las licencias son actuales y adecuadas para apoyar las operaciones comerciales.

Software de utilidad: Los procedimientos de auditora se dirigen a las herramientas adecuadas de utilidad para eliminar el software, la creacin de cortafuegos a travs del firmware para detener los ataques de intrusos externos y la pericia del personal para implementar y mantener un programa de seguridad de software.

Y utilizando un conjunto de tcnicas tales como:

Entrevistas: recopilacin de informacin que se realiza en forma directa, cara a cara y a travs de algn medio de captura de datos.

Observacin: mtodos de observacin que permiten recolectar directamente la informacin necesaria sobre el comportamiento del sistema, del rea de sistemas, de las funciones, actividades y operaciones del equipo procesador o de cualquier otro hecho, accin o fenmeno del mbito de sistemas.

Muestreo: seleccionar sistemticamente elementos representativos de una poblacin. Cuando estos elementos seleccionados son examinados de cerca, se supone que el anlisis revelar informacin til acerca de la poblacin como un todo.

EFECTUAR VISITA A TERRENO:

1. Conocer la organizacin y el servicio computacional.

2. Verificar dotacin de recursos humanos asignados al rea de informtica.

3. Conocer plataforma y configuracin del sistema.

4. Polticas de Software y hardware.

5. Sistemas de respaldo de datos.

NORMAS Y ENTIDADES REGULATORIAS:

1. Solicitar normas internas que se ajusten a la normativa legal y regulatoria en materia tecnolgica e informtica.

ANALISIS DE LA INFORMACIN RECOPILADA:

1. Evaluar aplicabilidad de polticas informticas acorde a la estrategia del negocio.

2. Evaluar el control interno del rea informtica.

3. Evaluar conocimiento y aplicacin del plan de contingencia.

4. Comprobar existencia y funcionamiento de unidad de respaldo energtico.

5. Verificar existencia de controles preventivos, detectivos y correctivos en el rea informtica.

6. Evaluar sistemas de comunicaciones remotos (redes, internet, etc.

7. Evaluar el grado de satisfaccin de los usuarios respecto a los servicios computacionales del rea informtica.

DETALLE A CONSIDERAR EN LA REVISIN:

1. Existencia de reas restringidas

2. Sistemas detectores de humo, incendios y cambios de temperatura

3. Revisin de piso y cielo

4. Ubicacin y distribucin de cables y conexiones.

5. Ubicacin y distribucin de servidores, computadores personales, impresoras.

6. Bitcora de procesos

7. Sistema de control de versiones de programas.

8. Procedimiento y mecanismo de respaldos magnticos.

9. Soporte tcnico y mantencin de equipos.

10. Entrenamiento y capacitacin del personal en situaciones de siniestros

11. Luces de emergencia

12. verificar cumplimiento de normativa interna respecto al rea informtica.

13. Licencia de software

14. Software antivirus.6.11. CALIFICACIN DE RIESGOS POR REA Y TOTAL. Bajo Riesgo= 1 6 (verde) Medio Riesgo= 8 9 (amarillo) Alto Riesgo= 12 16 (rojo)

RIESGO TOTAL: El riesgo es alto, ya que la entidad es muy grande y a pesar que se toman medidas, muchas veces no son suficientes.

6.12. DIAGNOSTICOEl sistema de informacin del hotel es integrado, se trabaja conjuntamente en todo el hotel, este sistema cumple con todos los requisitos de seguridad necesarios para su buen funcionamiento, la informacin se encuentra protegida, ya que el software de seguridad est bien administrado, el diagnostico es bueno.6.13. CONCLUSINA modo de conclusin, podemos decir que es un sistema excelente para el hotel, se encuentra en perfecto funcionamiento y cumple con todos los requerimientos del CIS, sin embargo, por se est una entidad con tanto personal y muy grande, tiene riesgos que los administrativos o los jefes de seguridad muchas veces no pueden controlar, por lo que se hace necesario tomar medidas para evitar dichos riesgos en el futuro.6.14. RECOMENDACIONESLa recomendacin sera aumentar el personal de vigilancia, las cmaras ocultas, reforzar la seguridad del sistema de informacin, hacer cambios permanentes de contraseas para el acceso a los CIS, adoptar cobertura de seguridad para CIS, es decir, tomar medidas fuertes para la seguridad de la informacin que se le proporciona al personal.6.15. PERSONAL:PERSONALCARGO

AUDITOR RESPONSABLELEONI BENITEZ HERNNDEZ

AUDITOR ASISTENTEMILENA PATERNINA GONZLEZ

6.16. RECURSOS:DESCRIPCION CANTIDAD

Lpices8

Papelera1 resma

Computador2

6.17. CRONOGRAMA DE TRABAJO

SEMANAS

ACTIVIDADES

12345

Planificacin general para determinar los elementos del Programa de Auditorax

Planeacin especfica para determinar los procedimientos especficos de auditorax

Realizacin de los respectivos cuestionarios para aplicarlos en las encuestas y entrevistas X

Breve recorrido por las instalacionesX

Realizacin de entrevista y encuestaX

Levantamiento y anlisis de informacin recopiladaX

Aplicacin de otros procedimientos de auditoriax

Recopilar papeles de trabajoX

Elaboracin de propuesta de informeX

Revisin y correccin de papeles de trabajoX

Correccin y Entrega de Informe finalX

6.18. PRESUPUESTO

ACTIVIDADES Y OTROS COSTESTOTAL

1.Actividades

1.1Actividad 1$20.000

1.2Actividad 2$20.000

1.3Actividad 3

$20.000

Subtotal$60.000

2.Inversiones

2.1Papelera$55.000

2.2Lpices$5.000

2.3Materiales

$10.000

Subtotal$70.000

3.Funcionamiento

3.1Gastos de personal

3.1.1Transporte$50.000

3.1.2Refrigerios$20.000

Subtotal$70.000

TOTAL$200.000

6.19. PAPELES DE TRABAJO CUESTIONARIO DE CONTROL INTERNOCUESTIONARIO DE CONTROL INTERNO

ASPECTOS RELACIONADOS AL REA DE INFORMTICA.

SINON/A

Existe dentro de la empresa un rea de informtica?

SI LA RESPUESTA FUE SI:

Ante quin rinden cuentas de su gestin? SISTEMAS

Se ha nombrado un gerente para esta rea?

Est identificada dicha rea dentro del organigrama general de la empresa?

Se tiene un organigrama especfico de dicha rea?

Hay un manual de organizacin y funciones aplicables a dicha rea?

Estn delimitadas las funciones de cada integrante del rea de informtica?

Cada empleado del rea de informtica conoce la persona ante la que tiene que rendir cuentas de su labor?

Los gerentes y otros funcionarios de nivel superior pueden dar rdenes directas a cualquier empleado del rea de informtica?

Cada empleado del rea de informtica es especialista en aspectos distintos de programacin?

ASPECTOS RELACIONADOS AL HARDWARE

En alguna ocasin se ha extraviado alguna laptop o algn proyector de can propiedad de la empresa?

En alguna ocasin se ha extraviado algn perifrico (bocinas, audfonos, teclado, mouse, teclado numrico, etc.) de una computadora?

Si hay vigilante, Revisa ste que los empleados no lleven artculos que no son de su propiedad?

En alguna ocasin le han quemado discos o guardado informacin en los equipos de la entidad?

Cada componente de su computadora y perifricos tiene la numeracin respectiva del inventario?

ASPECTOS RELACIONADOS AL SOFTWARE

Se utilizan programas como el Office de Microsoft u otros programas para los que la empresa haya comprado las licencias correspondientes?

Los empleados pueden utilizar el equipo informtico de la entidad para elaborar documentos o diseos para uso personal?

Hay una persona nombrada como responsable de resguardar el software comprado por la empresa?

Para el resguardo de los diversos discos de programas, se tiene un archivadero adecuado?

El software comprado por la entidad le facilita su trabajo?

Los programas antes mencionados son justo lo que necesita para sus actividades laborales?

Existen programas diseados y elaborados por el rea de informtica, con los procedimientos especficos para las actividades que la entidad desarrolla?

Los programas fueron creados bajo estricta normas de seguridad para evitar que puedan ser revendidos a otras empresas que se dediquen a la misma actividad econmica?

Los diversos softwares se guardan en un lugar libre de humedad o con calor excesivo?

Los programas creados por los empleados del rea de informtica son funcionales y responden a las necesidades de la organizacin?

ASPECTOS RELACIONADOS AL PERSONAL

(Ser conveniente que algunas preguntas sean resueltas por los empleados del rea de informtica)

Cuntos aos tiene laborando para la empresa?

Se siente satisfecho de laborar para la empresa?

En el ltimo ao, ha renunciado algn empleado de este departamento?

Cules considera que fueron las razones de la renuncia?__________________________________________

Se permite que el personal lleve trabajo y accesorios a su casa?

Han recibido capacitaciones en el ltimo ao?

Las capacitaciones recibidas, a que aspectos han sido enfocadas?

Se ha capacitado en su momento a los usuarios de los sistemas informticos?

En alguna ocasin ha visto que algn empleado de la empresa est haciendo algn trabajo muy personal en el equipo provisto por la empresa y en horas laborales?

INSTALACIONES ELECTRICAS

Cada cuanto, personal idneo revisa las instalaciones elctricas?__________________

En el ltimo ao se han revisado todas las instalaciones elctricas?

En alguna ocasin se ha generado algn corto circuito dentro de las instalaciones?

Las tomas en los que conectan los equipos estn polarizados?

Tiene la empresa contratado un electricista?

ASPECTOS RELACIONADOS A LA SEGURIDAD

Considera usted que hay demasiada humedad o excesivo calor, lo cual pueda deteriorar los computadores?

En alguna ocasin usted ha estado trabajando en una aplicacin y de pronto cuando la est ejecutando se ha cambiado y le ha generado una cosa diferente a lo que esperaba?

En alguna ocasin un empleado se ha enfermado y le ha dicho el mdico que es resultado del uso de algn aparato elctrico?

Tiene la empresa en algn lugar diferente al negocio, copias de seguridad de los software y documentacin importante que al darse un siniestro pueda afectar a la organizacin?

Le han dado clave para ingresar al sistema?

La clave que ha recibido le da acceso a documentos y archivos con base en la autoridad que tiene dentro de la empresa?

Alguna vez su equipo no ha funcionado y al verificar algn accesorio ha estado desconectado?

El acceso a internet es para todos los empleados?

Alguna vez por casualidad ha abierto algn documento que solo debi ser abierto por funcionarios de nivel superior?

Alguna vez al insertar su contrasea el sistema le ha dado mensaje de error y aun cuando lo escribe correctamente, el mensaje se ha repetido?

CUESTIONARIO DE AUDITORIA - REVISION DE CONTROLES GENERALES

CUESTIONARIO SUMARIO

RIESGO DE AUDITORIA I:

La estructura de la organizacin y los procedimientos de operacin del CIS pueden no resultar en un ambiente de procesamiento de datos que conduzca a la preparacin de informacin financiera-contable confiable.

OBJETIVO DE CONTROL

Comprobar que CIS puede ser organizado y operado de manera que restrinja a los empleados del departamento para ejecutar funciones incompatibles.

II.A.Existe una apropiada segregacin de funciones en las funciones de procesamiento de datos? R/ Si.

II.B.Existen adecuadas polticas de personal para la funcin CIS?

R/ Si.

II.C.Existen procedimientos adecuados para asegurar que los requerimientos de procesamiento de datos futuros pueden ser cubiertos? *

R/ Si.

III.A.Existen procedimientos establecidos para minimizar el riesgo de que procesos y programas no autorizados sean ejecutados?

R/ No.III.B. Existen procedimientos adecuados para asegurar el uso correcto de archivos en cintas, discos y/o cualquier otro medio de almacenamiento de archivos?R/ Si.

III.C.Es apropiada para las instalaciones la supervisin del personal de operacin del computador?

R/ No.

III.D.Existen adecuados controles para asegurar que los errores de los sistemas (lgicos y fsicos) son detectados, reportados y corregidos en un tiempo razonable? R/ Si.

III.E.Existe un adecuado control del software del sistema?R/ Si.

IV.C Existe un control adecuado sobre el acceso a las salas de computadores y al centro de datos? R/ Si.IV.D.Se toman adecuadas medidas para prevenir daos fsicos a los equipos de computacin?

R/ Si.

IV.E.Existe un adecuado control sobre el acceso fsico a las cintas, discos, otros medios de almacenamiento y documentos negociables? R/ Si.

IV.F. Existe una adecuada cobertura de seguros para las funciones CIS? R/ No.

V.A.Existen controles adecuados para permitir satisfactoriamente el reinicio y la recuperacin del software del sistema y los sistemas de aplicacin?

R/ Si.

V.B.Son adecuadas las tcnicas de planeacin para prever la continuacin del procesamiento en la eventualidad de una contingencia? R/ No.

RIESGO DE AUDITORIA II:

Los programadores pueden realizar cambios incorrectos o no autorizados al software de aplicacin, los cuales disminuirn la confiabilidad de la informacin financiera procesada a travs del sistema.

OBJETIVO DE CONTROL

Cerciorarse de que los procedimientos han sido establecidos para que a los programadores de la aplicacin se les prohiba efectuar cambios no autorizados a los programas.

VI.A.Existen controles adecuados para la programacin, prueba, implantacin y aprobacin de nuevos sistemas de aplicacin y modificaciones a los sistemas existentes?

R/ Si.

VI.B.Existen procedimientos adecuados sobre la transferencia y la ejecucin de los programas en el medio de produccin?

R/ No.RIESGO DE AUDITORIA III:

Personas no autorizadas (empleados y/o extraos) pueden tener acceso a los archivos de datos o a programas de aplicaciones usados para procesar transacciones, habilitndolos a realizar cambios no autorizados a los datos o programas.

OBJETIVO DE CONTROL

Verificar que el acceso al sistema se encuentra restringido a personas autorizadas.

IV.A.Existen polticas y procedimientos apropiados y una organizacin para administrar efectivamente la seguridad de los datos?

R/ Si.

IV.B.Estn los archivos de datos y programas adecuadamente protegidos?

R/ Si.

ENTIDAD / CENTRO DE CMPUTO:

I.INFORMACION GENERAL:

A. FORMULARIO SOBRE INFORMACION DE LA INSTALACION

ENTORNODEHARDWARE

Servidor

Las caractersticas de hardware del servidor son de una calidad superior a la de losdemscomputadoresusadosporelpersonalcorrespondiente,porloqueeldesempeo del equipo que hace de servidor esptimo. Larecomendacinesaumentar lacapacidad,mejorarlas caractersticasde memoria y lavelocidad del procesador en el equipo de Rayos X, ya para evitar posibles fallas al momento de administrar la gran cantidad de informacin que se genera en esedepartamento.

Programas yutilitarios

Acontinuacinsemuestranalgunasobservacionesrespectoaprogramas necesarios que deberan ser optimizados para agilizar los procesos yevitar prdidas de tiempo:

UTILITARIOSIMPORTANTESESTADOOBSERVACIONES

Office 2007: Word, Excel, Project.Bueno.Mantenimientofrecuente.

Internet.Bueno.Se debe evitar la descarga de archivos pesados.

Antivirus.Bueno.Actualizado.

B.PRESUPUESTO ANUAL DEL PROCESAMIENTO DE DATOS:

Presupuesto total: $149.900.000

Distribucin del presupuesto (si es apropiado):

Personal: $42.000.000Software: $14.000.000

CPU's: $ 21.600.000Software del sistema: $700.00

Almacenamiento

Masivo: $6.000.000Comunicacin de datos: $40.000.000

Terminales: $8.000.000Otros: $______________

Computadores

Personales: $15.600.000Aplicaciones: $2.000.000

C. FORMULARIO SOBRE INFORMACION DE LAS APLICACIONES

Obtenga la informacin requerida para todas las aplicaciones que generen datos significativos en los estados financieros. Office (powerpoint, word, excel). Pdf. Antivirus. Software (zeus). Sistema operativo (windows 7).D. SERVICIOS EXTERNOS DE SISTEMAS (SERVICE):

Complete cuando se utilicen o proporcionen servicios de o para otras componas.

Proveedor/ sistema de:

usuario

aplicacin

D.1 Tiempo compartido

___________________

___________________

___________________

D.2 Procesamiento en batch___________________

___________________

D.3 RJE (Remote Job Entry)___________________

___________________

___________________

D.4 Entrada de datos

___________________

___________________

___________________

D.5 Otros servicios ___________________

___________________

___________________

R/ No aplica porque la empresa no contrata servicios externos.II.CONTROLES ADMINISTRATIVOS Y DE GERENCIA:

II.A.Existe una apropiada segregacin de funciones en la funcin de procesamiento de datos?

R/ Si. Cada usuario en cada departamento tiene funciones delimitadas de acuerdo a su cargo y en cada departamento cada usuario maneja su propia clave de acceso con el fin de registrar bajo dicho usuario los movimientos que se generen en el da.1. Existe una apropiada segregacin de funciones entre las siguientes tareas: programacin/anlisis, operacin, control de entradas y salidas, disipacin de datos y biblioteca?

R/ Si. Cada usuario en cada departamento, ya sea programacin o anlisis, operacin, control de entradas y salidas, procesamiento de datos y mantenimiento, tienen funciones delimitadas de acuerdo a su cargo y en cada departamento cada usuario maneja su propia clave de acceso, hacindolo responsable de todo lo que haga.

2. Qu restricciones y controles existen para la puesta en marcha y operacin del computador por analistas/programadores, inclusive durante la etapa de pruebas?

R/ Como es un prototipo se van a seleccionar cierto nmero de personas, para probar el software y se almacenaran un nmero de datos para ver cmo funciona el software.3. Describa los procedimientos para entrenamiento cruzado y rotacin peridica de tareas del personal.

R/ Una persona que toma un cargo puede tomar otro cargo, este sirve para capacitar al personal.4. Qu impide al personal de CIS iniciar y/o autorizar transacciones?

R/ El software tiene que pasar con una etapa de madures, cuando las cosas marchen bien y los errores ya no existan, se puede hacer una migracin, es una etapa de prueba, puede durar aos, esto es lo que se lo impide.II. B.Existen adecuadas polticas de personal para la funcin CIS?

R/ SI.

1. Qu tipo de comprobaciones se efectan sobre las referencias de todo nuevo empleado?

Datos personales (edad, residencia, permiso de conducir, movilidad geogrfica, etc).

Formacin (titulacin requerida, idiomas, informtica, etc).

Experiencia (especificar aos de experiencia, conocimientos, reas profesionales, etc).

Caractersticas: fuerte orientacin hacia las metas, constancia y persistencia, destrezas interpersonales, administracin del tiempo, visualizacin de la meta, discreta, confiable, fuerte sentido de pertenencia por su trabajo, adaptacin, resistencia, inteligencia emocional, capacidad de comunicacin, usa las nuevas tecnologas, esta al da con la informacin de su carrera, industria y mercado, alimentan y enriquecen su mente y sus habilidades.2. Los empleados que tienen acceso al computador, son requeridos para firmar peridicamente un reporte de seguridad, indicando que su trabajo es de propiedad de la empresa, que ellos mantienen informacin confidencial de la compaa, etc.R/ Todo empleado que ingrese a la empresa debe tener una buena confiabilidad porque la empresa debe tener sus datos bajo seguridad y es necesaria tal confiabilidad.3. Todos los empleados que realizan procesamiento de datos toman vacaciones continuas al menos una vez al ao? Las actividades de la persona ausente son ejecutadas por otro empleado durante este tiempo?

R/ Si. Las actividades son ejecutadas por otro empleado de total confianza y con suficiente experiencia para tomar el cargo.4. Existen procedimientos escritos y seguidos para:

Emisin y entrega de llaves y escarapelas (ejemplo, tarjetas llave, combinaciones de cerraduras, etc.).

Retiro y/o cambio de llaves y escarapelas en caso de terminacin de contratos de trabajo o traslados de personal.

Determinacin de quien tiene acceso al centro de cmputo

R/ Por escrito no, a cada quien se le dicen sus funciones de manera verbal.5. Qu polticas existen para asegurarse de remover inmediatamente empleados despedidos y/o retirados?

Se cambian las claves. Se integra personal calificado para desempear la funcin del servidor que se ah retirado del hotel.Cuando un usuario se retira definitivamente del hotel o cambia de puesto, el jefe inmediato debe reportarlo al departamento de informtica utilizando el formulario de altas, bajas y cambios con 2 das de anticipacin, para que se eliminen o cambien sus niveles de acceso y seguridad o para realizar backup de archivos.6. Son apropiadas las medidas de seguridad tomadas despus de que los contratos de trabajo son terminados, tales como cambio de passwords para terminales en lneas, combinaciones de puertas, nmeros telefnicos, u otras?

R/ Si.

II.C. Existen procedimientos adecuados para asegurar que requerimientos de procesamiento de datos futuros pueden ser cubiertos?

R/ Si. Se guarda la informacin en un soporte removible ya sea dvd, cds, usb, disco duro externo, en fsico y en el software. Tambin se programa una copia de seguridad directamente. Instalar unservidor(para ms de 5 pc) permite disminuir el riesgo de prdida de archivos. El servidor cuenta con un lector de banda magntica que se encarga de copiar y proteger informacin todos los das. 1. La planeacin a largo plazo identifica las necesidades futuras de procesamiento de datos y los proyectos de negocios estratgicos?

R/Si.

2. Describa el tipo de planeacin de capacidad para asegurar suficiente poder de proceso.

R/ Proteger la informacin es proteger el funcionamiento adecuado de la empresa, sobre todo en casos de fallo informtico. As mismo, la proteccin de la informacin permite evitar prdidas financieras provocadas por la desaparicin de archivos, bases de datos, balances financieros, etc. Las copias de seguridad son automticas y estn encriptados. Se proporciona a los colaboradores las claves de acceso a los archivos almacenados en el servidor Se protege el software y los equipos con contraseas, usando contraseas seguras. Se limita el acceso de los usuarios. Mantener los datos libres de modificaciones no autorizadas. Se tiene una copia de seguridad de los datos. Permanentes actualizaciones. Los software de seguridad son indispensables. Cifrar informacin en el pc y usb. Los planes de seguridad deberan ser desarrollados con miembros del equipo de asesora jurdica o alguna forma de consultora general. El uso de firewalls y programas antivirus. Navegacin segura.Una vez creado un plan de accin, este debe ser aceptado e implementado activamente. Cualquier aspecto del plan que sea cuestionado durante la implementacin activa lo ms seguro es que resulte en un tiempo de respuesta pobre y tiempo fuera de servicio en el evento de una violacin. Aqu es donde los ejercicios prcticos son invalorables. La implementacin del plan debera ser acordada entre todas las partes relacionadas y ejecutada con seguridad, a menos que se llame la atencin con respecto a algo antes de que el plan sea colocado en produccin.3. Histricamente el CIS ha sido provisto con suficientes recursos financieros para desempear apropiadamente sus funciones?

R/Si.

4.Si la acumulacin de aplicaciones es considerada significativa (por la empresa o por nosotros), que se est haciendo para resolver el problema?

R/ No aplica, no hay acumulacin de aplicaciones, porque es un sistema integrado.III.CONTROLES DE OPERACION:

III.A Existen procedimientos establecidos para minimizar el riesgo de que procesos y programas no autorizados sean ejecutados?

R/ Si.

1. Qu tipo de informacin est disponible para asistir a la administracin del CIS en determinar que ste o el personal estn operando apropiadamente (Ej: Logs de consola, job accounting, reportes SMF System Management Facility (OS/360), T.O.S.

Reportes de ocupacin. Informe de gerencia (muestra informacin detallada de los ingresos del hotel). Forcat (informe que muestra la proyeccin de ocupacin, tarifa promedio, porcentaje de ocupacin) Auditoras internas (muestra el resumen de venta y las formas de pago). los estados financieros, flujos de efectivo. movimiento de banco diario.2. Describa las revisiones que efecta la administracin sobre los reportes que determinan qu problemas operativos o de procesamiento han ocurrido.

R/ Mediante un formato de novedades que elabora el auditor nocturno, en la revisin del movimiento operativo la administracin toma las decisiones de los casos que se presenten.3. Cmo son supervisados los operadores de computadores para verificar la adhesin a los procedimientos operativos?

R/ Adems de la auditora interna constante que se le realiza a los procesos, se cuenta con cmaras de seguridad que supervisan a los operadores de computadores.

4. Se realizan comparaciones entre la programacin de trabajos y el LOG del sistema y cmo son conciliadas las diferencias?

R/ Mantenimiento debe cronograma de trabajo tener un, se maneja un presupuesto, al final del periodo la informacin contable debe estar igual o por debajo al presupuesto. (Que no se pasen los rubros pres).5. Qu tcnicas son usadas para asegurar que todos los procesos son apropiadamente programados y ejecutados?

R/ A cada personal se le asignan funciones, las cuales son su responsabilidad cumplir, cada persona est debidamente capacitada para realizar el trabajo asignado.III.B. Existen procedimientos adecuados para asegurar el uso correcto de archivos en cinta, discos y/o cualquier otro medio de almacenamiento?

R/ Si. Cada persona, dependiendo de cul sea su trabajo a realizar, debe guardar la informacin en un medio para asegurar la informacin que se le haya asignado, ya sea dvd, cds, usb, disco duro externo, en fsico, en el software y en el programa una copia de seguridad directamente. 1. Los labels o etiquetas externas contienen nicamente la informacin necesaria para el procesamiento respectivo (Ej: si ellos contienen nombres de archivos o descripciones del contenido, ellos pueden ayudar a personal no autorizado a localizar cintas/discos especficos)?

R/ No, cada personal cuenta con una contrasea que le permite nicamente contar con su informacin suministrada y ser responsable de ella. 2. Es suficiente la informacin contenida en los labels internos de encabezado que asegure el procesamiento correcto (Ej: los labels de encabezado generalmente contienen el nombre del archivo, nmero del volumen, fecha de creacin y fecha de expiracin)?

R/ Si.

3. Los programas de aplicacin y/o los sistemas de operacin chequean que los archivos de cinta o disco utilizados son los correctos (Ej: chequeo de labels internos)?

R/ Si.

4. Describa los procedimientos que prohben a los operadores pasar por alto chequeos del sistema operativo o programas de aplicacin sobre labels internos. Si no hay prohibiciones, qu controles son efectivamente llevados para detectar estas omisiones?

R/ cada operador es responsable de su funcin, primero hay que tener en cuenta que label representa una etiqueta para un elemento en una interfaz de usuario. Este puede estar asociado con un control ya sea mediante la utilizacin del atributopor, o ubicando el control dentro del elementolabel. Tal control es llamado "el control etiquetado" del elementolabel, por lo tanto este hace los controles. Para que el usuario no pase por alto esto se toman las siguientes medidas de control: Se describen los criterios y polticas que se deben considerar en la ejecucin del procedimiento. En un formato se debe describir la actividad detalladamente con sus requisitos, controles y documentos. Se debe describir el nombre y rol del encargado de realizar la actividad. El responsable de cada proceso debe identificar los documentos de origen externo que apliquen a los procesos de la entidad y decidir, si se trata de documentos legales y/o documentos que ofrecen orientacin para la aplicacin de la normatividad, con el fin de actualizar el programa. Se revisa que el documento cumpla con los aspectos formales establecidos en el presente documento. Se asigna el cdigo, nmero de versin y fecha de acuerdo con las directrices establecidas. Se elabora acto administrativo para aprobar el documento.III.C. Es la supervisin del personal de operacin del computador apropiada para las instalaciones?

R/ No.

1. Describa las responsabilidades de supervisin y reportes en vigencia para todos los turnos del CIS. Existe un programa para la operacin del centro de datos? Hay un supervisor del procesamiento de datos todo el tiempo?

R/ Si.

TIPO DE DOCUMENTOELABORACINREVISINAPROBACIN

PROCEDIMIENTOS. GESTOR DE CADA PROCESO Y/O SERVIDORES PBLICOS ASIGNADOS POR EL RESPONSABLE DEL PROCESO.REPRESENTANTE DE LA DIRECCIN PARA EL CISRESPONSABLE DEL PROCESO.

RESERVAS.

MAPA DE RIESGOS.

FORMATOS.

GUAS.

PROGRAMAS.

PLANES

2. Describa los procedimientos para el cambio de turno.

R/ En la entrega de turno se dejan los pendientes del da, ms las novedades que hayan ocurrido y se entrega todo.Ejemplo: el recepcionista tiene una bitacora, ste es un libro o una hoja en el sistema, donde se reportan las novedades del da.Procedimiento del area de recepcion

recepcin el procedimiento se inicia en el momento que llega a recepcin el personal para iniciar turno detrabajo, y se llevan a cabo las siguientes acciones.

recepcionista que toma el turno revisa la bitcora, sealando las acciones que tiene que realizar en su turno, como es entregar paquetes a clientes o al personal del hotel, etc. Si tiene dudas le pregunta al personal que le entrega para disiparlas.

recepcionista que toma el turno recibe la caja, (fondo), revisando que monto este completo, firmando de recibido en bitcora y el dinero lo regresa a la caja.

recepcionista que toma el turno revisa en el sistema la ocupacin del hotel, verificando que coincidan con las llaves y registros.

Recepcionista que toma el turno revisa las salidas hay para ese da, para preparar los egresos. (checkout).

Recepcionista que toma el turno revisa cuantas entradas de huspedes se tienen programadas para ese da y preparar ingresos. (check in).

Recepcionista que toma el turno registra su clave de acceso al sistema de cmputo y toma su turno en recepcin. 3. Existen procedimientos adecuados para asegurar que el equipo y el software de sistemas estn seguros en das y horas no hbiles?

R/No.

4. Describa el tipo de documentacin que posee el operador para realizar el trabajo. Determine si provee informacin suficiente y necesaria para operar el computador.

R/ Registro hotelero, al momento de hacer el cheq in (esto se lo elaboran junto con la documentacin que le piden al husped). III.D. Existen adecuados controles para asegurar que los errores de los sistemas (lgicos y fsicos) son detectados, reportados y corregidos en un tiempo razonable?

R/ Si. Se realizan auditorias permanentes.

1. Los controles existentes aseguran que los errores del equipo y/o del software de los sistemas han sido detectados, reportados y corregidos en un tiempo razonable (Ej: revisin de los logs de consola, job accounting reports, etc.)?

R/Si.

2. Se han presentado problemas de equipo y/o del software del sistema significativo durante el ao corriente? Si es as, describa brevemente e indique si fueron resueltos.

R/ No.

3. La cantidad de cadas del sistema es razonable? Cul es el promedio de cadas del sistema por ao?

R/ Las cadas son razonables, generalmente pasa cuando hay bajones elctricos o sobre saturacin de informacin, se cae alrededor de 5 veces al ao. III.E. Existe un adecuado control del software del sistema?

R/Si.

1. Describa los procedimientos completos de la funcin de administracin y control del software del sistema.

R/ el rea de administracin tiene como funcin: Establecer y documentar las responsabilidades de la organizacin en cuanto a seguridad de informacin. Mantener la poltica y estndares de seguridad de informacin de la organizacin. Identificar objetivos de seguridad y estndares del banco (prevencin de virus, uso de herramientas de monitoreo, etc.) Definir metodologas y procesos relacionados a la seguridad de informacin. Comunicar aspectos bsicos de seguridad de informacin a los empleados del banco. Esto incluye un programa de concientizacin para comunicar aspectos bsicos de seguridad de informacin y de las polticas del banco. Desarrollar controles para las tecnologas que utiliza la organizacin. Esto incluye el monitoreo de vulnerabilidades documentadas por los proveedores. Monitorear el cumplimiento de la poltica de seguridad del banco. Controlar e investigar incidentes de seguridad o violaciones de seguridad. Realizar una evaluacin peridica de vulnerabilidades de los sistemas que conforman la red de datos del banco. Evaluar aspectos de seguridad de productos de tecnologa, sistemas o aplicaciones utilizados en el banco. Asistir a las gerencias de divisin en la evaluacin de seguridad de las iniciativas del hotel. Coordinacin de todas las funciones relacionadas a seguridad, como seguridad fsica, seguridad de personal y seguridad de informacin almacenada en medios no electrnicos. Desarrollar y administrar el presupuesto de seguridad de informacin. Reportar peridicamente a la gerencia de administracin y operaciones. Controlar aspectos de seguridad en el intercambio de informacin con entidades externas. Monitorear la aplicacin de los controles de seguridad fsica de los principales activos de informacin.Es el responsable de la administracin diaria de la seguridad en los sistemas tiene las siguientes responsabilidades: Administrar accesos a nivel de red (sistema operativo). Administrar accesos a nivel de bases de datos. Administrar los accesos a archivos fsicos de informacin almacenada en medios magnticos (diskettes, cintas), pticos (cds) o impresa. Implementar controles definidos para los sistemas de informacin, incluyendo investigacin e implementacin de actualizaciones de seguridad de los sistemas (service packs, fixes, etc.) En coordinacin con el rea de seguridad informtica. Desarrollar procedimientos de autorizacin y autenticacin. Monitorear el cumplimiento de la poltica y procedimientos de seguridad en los activos de informacin que custodia. Investigar brechas e incidentes de seguridad. Entrenar a los empleados en aspectos de seguridad de informacin en nuevas tecnologas o sistemas implantados bajo su custodia. Asistir y administrar los procedimientos de backup, recuperacin y plan de continuidad de sistemas.2. Cmo es la autorizacin, modificacin, prueba y documentacin de la ejecucin de modificaciones recomendadas por proveedores?

R/ Una vez se tiene la recomendacin, el representante de la direccin para el cis, examina las pruebas y la documentacin proporcionada y define si es preciso ejecutar la modificacin, si se procede a la modificacin, se debe llenar el siguiente cuadro para su debido control.TEM DEL CAMBIOCAMBIO REALIZADOMOTIVO DEL CAMBIOFECHA DEL CAMBIONOMBRE DE QUIEN MODIFICA

3. Cuando el cliente modifica sustancialmente el software del sistema, describa los procedimientos establecidos para aprobar y probar los cambios apropiadamente. Adems, determine la razonabilidad del cliente para modificar el sistema operativo.

R/ El personal operativo del CIS hace la solicitud al rea de sistemas.Este modifica los post y contra.Pide autorizacin a la gerencia.Si la dan la autorizacin se hace el cambio y se toma un tiempo de prueba hasta ponerlo en funcionamiento.El husped generalmente solicita estos cambios cuando tiene inconvenientes con el sistema, ya sea en el momento de entrar a la plataforma a hacer las reservas, o cualquier sea la circunstancia.4. Los "utilities", los que permiten habilitar programas, archivos de datos, y/o el sistema operativo, permiten ser cambiados sin dejar huella de auditora disponible? Cmo es controlado su uso? Liste los utilitarios y establezca su objetivo y uso (Ejm: Sort - Clasificacin)

R/ SI. Se debe tener un solo responsable, se le da un usuario a cada operador, slo una persona puede hacer modificaciones.5. Describa los controles (Ej: registro de uso, passwords, etc.) que podran restringir el uso de otro software utilitario del sistema (Ej: DITTO, IEBGENER) que podran afectar adversamente los procesos o accesos no autorizados.

R/ Cada operador tiene un tipo de informacin diferente, cada uno posee una clave diferente para acceder a esa informacin, los administrativos pueden ver todo y las secretarias, por ejemplo, slo una parte de esa informacin.IV. SEGURIDAD DEL PROCESAMIENTO DE DATOS:

IV.A. Existen polticas y procedimientos apropiados y una organizacin para administrar efectivamente la seguridad de los datos?

R/ Si.

1. Describa la estructura de la funcin de seguridad de datos (organizacin, alcance y responsabilidades, relaciones de personal e informes).

R/ El rea organizacional encargada de la administracin de seguridad de informacin debe soportar los objetivos de seguridad de informacin del banco. Dentro de sus responsabilidades se encuentran la gestin del plan de seguridad de informacin as como la coordinacin de esfuerzos entre el personal de sistemas y los empleados de las reas de negocios, siendo stos ltimos los responsables de la informacin que utilizan. Asimismo, es responsable de promover la seguridad de informacin a lo largo de la organizacin con el fin de incluirla en el planeamiento y ejecucin de los objetivos del negocio.Es importante mencionar que las responsabilidades referentes a la seguridad de informacin son distribuidas dentro de toda la organizacin y no son de entera responsabilidad del rea de seguridad informtica, en ese sentido existen roles adicionales que recaen en los propietarios de la informacin, los custodios de informacin y el rea de auditora interna. Los propietarios de la informacin deben verificar la integridad de su informacin y velar por que se mantenga la disponibilidad y confidencialidad de la misma.Los custodios de informacin tienen la responsabilidad de monitorear el cumplimiento de las actividades encargadas y el rea de auditora interna debe monitorear el cumplimiento de la poltica de seguridad y el cumplimiento adecuado de los procesos definidos para mantener la seguridad de informacin.2. Se ha establecido una poltica formal de seguridad para la proteccin de los recursos de datos y responsabilidades de seguridad del usuario? Describa brevemente la poltica.

R/ Si. Orientan las decisiones que se toman en relacin con la seguridad, se requiere la disposicin de todos los miembros de la empresa para lograr una visin conjunta de lo que se considera importante. Establecen las expectativas del hotel en relacin con la seguridad y especifican la autoridad responsable de aplicar los correctivos o sanciones. La politica prohibe suministrar informacin a terceros, involucrar informacin personal, realizar actividades que no hacen parte de la empresa, a continuacin tenemos algunas politicas: Realizar respaldo de la informacin cada da, semana o mes. No hacer clic en enlaces de mensajes no solicitados. No visitar sitios de web de contenido ilcito. No utilizar la misma contrasea en diferentes paginas web. No realizar descargas ilegales. No trasferir a terceros informacin confidencial.3. Han sido identificados los usuarios dueos de los datos y los responsables de su custodia? Describa como estn clasificadas las fuentes de los datos.

R/ No.

4. Todas las fuentes de datos estn protegidas por defecto o nicamente por requisitos explcitos?

R/ Por defecto.

Describa el esquema de proteccin general.

El procedimiento es establecido con el fin de establecer controles para la identificacin y control de los documentos, con el fin de disponer de la informacin de manera adecuada, evitando el uso de documentos obsoletos, contribuyendo al mejoramiento continuo de los procesos y procedimientos. 5. Describa el ambiente de conocimientos y el entrenamiento de los usuarios que efectan el procesamiento de datos.

R/ Personal calificado y capacitado.IV.B. Estn los archivos de datos y programas adecuadamente protegidos?

R/Si.

1. Describa las medidas de seguridad, incluyendo software especfico utilizado para prevenir el acceso no autorizado a los archivos de datos.

R/

Requerimientos mnimos para configuracin de la seguridad de los sistemas que abarca el alcance de la poltica. Definicin de violaciones y sanciones por no cumplir con las polticas. Responsabilidades de los usuarios con respecto a la informacin a la que tiene acceso.

2. Si se utiliza un software de seguridad especifico, quienes son los responsables de su mantenimiento?

R/ Administracin y equipo de desarrollo.

3. Qu procedimientos son seguidos para reportar violaciones e intentos de acceso no autorizados?

R/ se reporta a la gerencia para que se abra una investigacin dependiendo del area, si ya se tiene al responsable se le hace un llamado de atencin.4 Describa los mtodos de seguridad implantados como ayudas de desarrollo de programas ON LINE (Ej: TSO, ROSCOE, ICCF, VM/CMS, etc.).

R/ No aplica. 5. Describa los mecanismos de seguridad implantados para los sistemas ON LINE (Ej: uso de CICS, TASKMARKER, etc.).

R/ No aplica. 6. Indique todo el software de sistemas y de aplicaciones que no estn cubiertos por los mecanismos de seguridad.

R/ No aplica porque todo est cubierto.

7. Describa cmo son utilizados algunos mecanismos de control y seguridad adicionales disponibles en el software del sistema.

R/ Se manejan cmaras de seguridad.Se maneja un sistema de seguridad aleatoria.IV.C. Existe un control adecuado sobre el acceso a las salas de computador y/o al centro de datos?

R/ Si.

1. Describa los planes de seguridad general existentes sobre las reas CIS. (Ej: sobre las reas de programadores, operadores y dems usuarios)

R/

Ningn usuario podr ingresar a los servidores, solamente en el caso que se tengan carpetas compartidas.

Cuando un usuario se retira definitivamente de la institucin o cambia de puesto, el jefe inmediato debe reportarlo al departamento de informtica utilizando el formulario de altas, bajas y cambios con 2 das de anticipacin, para que se eliminen o cambien sus niveles de acceso y seguridad o para realizar backup de archivos.

Por seguridad queda establecido en el departamento de informtica, que cada mes ser renombrado el usuario y contrasea de la cuenta del administrador del sistema, teniendo conocimiento de este cambio solamente el jefe del departamento de informtica y el administrador del sistema, las claves de acceso sern resguardadas en un lugar seguro.

El departamento de informtica no es responsable del contenido de informacin de las actualizaciones, ofrecer apoyo tcnico cuando lo requieran.

2. El acceso a las salas de computadores est restringido adecuadamente, solo ingresa el personal necesario para su operacin y otros empleados autorizados? Los empleados autorizados realmente necesitan el acceso o ste debera ser ms limitado?

R/ Hay salas de computacin disponible para los huspedes, pero estos computadores no poseen informacin confidencial.Para ingresar a las bases de datos, cada empleado posee una contrasea que le permite ingresar a la informacin que sea autorizada para ste.Para ingresar a la sala de informtica, el acceso es restringido. 3. Describa el uso de mecanismos (Ej: cerraduras de puertas, tarjetas llave, circuito cerrado de televisin, etc.) para controlar la seguridad del procesamiento de datos.

R/ En el hotel hay alarmas en las reas de acceso restringido, las llaves de las puertas las tiene la ama de llaves y los empleados autorizados, dependiendo de su responsabilidad, hay cmaras de seguridad que vigilan el hotel.4. Describa los procedimientos especiales para permitir el acceso restringido, cuando es requerido, de personal a las sala de computadores (Ej: visitantes, personal de mantenimiento, etc.).

R/ Se le da un pase para entrar y se le suministra una contrasea temporal.

IV.D. Se toman medidas adecuadas para prevenir daos fsicos al equipo de computacin?

R/ Si.

1. Las reas de computadores estn protegidas por alguno de los siguientes medios, y se realizan chequeos peridicamente?

PROTEGIDOPROBADO

a.

Sistema de alarma contra incendios?X

b.Sensores de humo/calor?

X

c.Extintores de fuego? X

d.Sistema SPRINKLER (carga seca o hmeda)?X

e.Sistema extintor qumico seco o Halon?

X

f. Control de temperatura, humedad (Ej: HVAC-Heating, ventilacin y acondicionador de aire)?

X

g.Sistema de alarma contra intrusos?

X

h.Unidades de potencia soporte (UPS)?X

i. Condicionador de lnea para suprimir picos de corriente?X

j. Detector de agua?X

k.Paredes resistentes al calor?

X

l. Ventanas/puertas contra fuego?X

m.Piso falso?

X

2. El personal de procesamiento de datos est capacitado para actuar en caso de presentarse un incendio? Se realizan simulacros?

R/Si. No.

3. Inspectores de incendios o compaas aseguradoras realizan revisiones locales? Cundo fue la ltima vez que se realiz una inspeccin?

R/Si, diciembre 20 2014.

IV.E. Existe un adecuado control sobre el acceso fsico a las cintas, discos, otros medios magnticos y documentos negociables?

R/Si.

1. Existe una librera separada de cintas, discos, CD, DVD. Si es as:

a. Esta se encuentra en el centro de procesamiento de datos? Si no es ah, dnde est localizada?

R/Si.

b. Cmo se controla el acceso?R/El acceso es restringido.

c. Existen dispositivos adecuados de deteccin y/proteccin de incendios en la librera?

R/Si.

2. Describa la naturaleza de la funcin de libreras.

R/Almacenar informacin.

3. Describa el almacenamiento y control de los documentos negociables custodiados en el centro de datos (Ej: cheques en blanco, certificados, etc.).

R/ Estos documentos son custodiados por el departamento de contabilidad.IV.F. Existe una adecuada cobertura de seguros para la funcin CIS?

R/ NO.

1. Describa el tipo de cobertura de seguros para cada uno de los siguientes:

a. Prdida de equipos de CIS (Ej: cintas, discos, drives, CPU'S, impresoras, etc.).

b. Costo de reconstruccin de los datos y de reprogramacin.

c. Interrupcin de las operaciones del negocio.

d. Fraudes.

e. Errores y omisiones.

R/ NO SE ADOPTA COBERTURA DE SEGURIDAD PARA CIS.

V.PLAN DE RECUPERACION Y PREVENCION ANTE DESASTRES:

V.A. Existen controles adecuados para permitir satisfactoriamente el reinicio y la recuperacin del software del sistema y los sistemas de aplicacin?

R/ Se tienen programaciones del rea de sistema en cuanto a back up, esto se hace cada dos da para que no se pierda informacin relevante.1. Indique la extensin y calidad de los procedimientos utilizados para recuperar sistemas ON-LINE y BATCH despus de haberse presentado fallas en el software y/o en el hardware.

R/ No aplica, no se hace nada on line, esto se hace bajo una empresa certificada, para evitar programas de espionaje.

2. Si se procesan sistemas ON-LINE, las tcnicas de reconstruccin son adecuadas (Ej: vaciado de archivos, imgenes antes y despus, cintas peridicas y LOGs de transacciones)?

R/ No aplica, no se hace nada on line, esto se hace bajo una empresa certificada, para evitar programas de espionaje. 3. Si se utiliza software de bases de datos, se han desarrollado procedimientos especficos de reinicio/recuperacin para minimizar las interrupciones y asegurar la integridad de los archivos?

R/ No.

V.B. Son adecuadas las tcnicas de planeacin para prever la continuacin del procesamiento en la eventualidad de contingencias?

R/ Si.1. Existe un adecuado plan de recuperacin ante siniestros escrito y actualizado?

R/ Si.

2. El plan ante siniestros incluye procedimientos formales para el uso de utilitarios de BACK-UP?

R/ Si.

3. Cmo toma el plan en consideracin los diferentes argumentos requeridos para la recuperacin ante desastres (Ej: prdida de 24 horas, prdida total, etc.)?.

R/ Plizas.

4. Describa la extensin de las pruebas del plan? Cundo fue la prueba exitosa ms reciente?

R/ Se hacen simulacros.5. Los usuarios revisan y/o participan en las pruebas de recuperacin?

R/ Si.

6. Se tienen suficientes copias de los programas, archivos y documentacin almacenados en un edificio externo a las instalaciones como para que el CIS pueda continuar con la operacin?

R/ No, las copias que se tienen adicional a las instalaciones, se encuentran en la nube.

7. Existe alguna clase de chequeo peridico del material almacenado externamente para asegurar que es la ltima versin/copia y que todo lo que debe ser almacenado existe?

R/Si. Aqu se hace una auditora de chequeo retrospectivo y prospectivo.8. Describa los procesos que la compaa utiliza para definir las aplicaciones crticas y los intervalos de tiempo asociados requeridos para la reconstruccin y proceso.

R/ Se utiliza pert para determinar las rutas criticas y sirven para procesos tambin.9. Existen procedimientos documentados que describan las acciones a tomar por el usuario en caso de prdida de la aplicacin (Ej: Procedimientos alternativos, retencin de documentos de entrada, etc.)?

R/ Si.

VI.CONTROLES SOBRE EL DESARROLLO Y MODIFICACION DE APLICACIONES:

VI.A. Existen controles adecuados para la programacin, prueba, implantacin y aprobacin de nuevos sistemas de aplicacin y modificaciones a los sistemas existentes?

R/ Si.

1. Describa los procedimientos para la requisicin de nuevos sistemas o modificaciones a los existentes.

R/Existen sistemas en los ciclos de vida, los cuales son modelos: modelos en cascada, espiral, xp, prototipado, los cuales verifican la programacin, etc. Los procedimientos serian poco a poco, primero implantando el sistema a unos pocos, en conectar la base de datos con el nuevo sistema y luego hacerlo efectivo a todo el personal.2. Cul es el procedimiento para definir prioridades a las solicitudes?

R/ Se toman las que tengan mayor relevancia en el hotel y que necesiten atencin inmediata.3. Existen ambientes separados para el desarrollo y produccin (Ej: por medio de mquinas separadas o estructuras de almacenamiento lgico protegidas por separado)?

R/ Si.

4. Los procedimientos de prueba estn escritos formalmente? Si existen, son seguidos adecuadamente?

R/ Si. Si.

5. Describa brevemente el alcance y la extensin de las pruebas de programas y los procedimientos de implantacin.R/ primero se hace un prototipo dependiendo del ciclo de vida del software y este prototipo se instala en algunas computadoras de usuarios para ver las fallas que puede generar dicha aplicacin, esto es tiempo de prueba, Luego de las correcciones se instalan a los dems computadores y poco a poco se va ingresando informacin cuando le software est en la etapa de madurez.

6. Son adecuados los datos de prueba utilizados para probar el sistema?

R/SI.

7. Los procedimientos son tales que los archivos de produccin activos no son utilizados durante las pruebas de programas nuevos o modificados?R/

8. Las pruebas son diseadas de tal forma que se prueban los programas individualmente y las interrelaciones con otros? R/ Si. Las aplicaciones las aprueban por mdulos (individualmente).

9. Describa cmo son revisados los resultados de las pruebas por la direccin CIS y por los usuarios.R/ No aplica, porque no se revisa nada.

10. Existen corridas en paralelo y/o pruebas de aceptacin adecuadas antes de que los nuevos sistemas entren a produccin?R/ SI.

11. El usuario especifica formalmente la aceptacin de los procedimientos de prueba? Describa.

R/ NO.12. Se realiza un apropiado entrenamiento del personal (usuarios y de procesamiento de datos) antes de la implantacin de los sistemas nuevos o modificados?

R/ SI.

VI.B. Existen procedimientos adecuados sobre la transferencia y la ejecucin de los programas en el medio de produccin?

R/ No.

1. Describa los procedimientos por medio de los cuales los programas nuevos o modificados son catalogados para uso de produccin.

R/ Automatiza las operaciones del hotel.

2. Describa los procedimientos sobre los cambios temporales en las libreras de produccin (Ej: JCL OVERRIDES, PROGRAM OVERLAYS, etc.). Cunto tiempo transcurre antes de que estos cambios sean removidos? Con qu frecuencia se revisan estos cambios?

R/ No aplica, no hay libreras.

3. Qu protecciones existen sobre los programas mientras stos estn bajo modalidad de prueba, y aquellos que estn esperando un estado de prueba para entrar a produccin?

R/ Tener un fireware.4. Describa los procedimientos utilizados para ejecutar cambios de emergencia o correccin de errores a programas.

R/ El manual de correccin se encuentra en el manual.

5. Describa los procedimientos para corregir cambios incorrectos.

R/ Los errores se llevan en una documentacin, esa documentacin se revisa y se hacen las correcciones.

6. Describa los procedimientos para pasar bases de datos y archivos de datos a modo de produccin. R/ Se debe pasar la informacin poco a poco para sistematizarlo, luego se integra al rea de produccin.

6. Describa la documentacin existente sobre los cambios a programas.R/ Se debe tener en cuenta la documentacin del programa anterior, ya que por medio de esta es que se pueden mirar los contenidos de las bases de datos y hacer modificaciones o cambiarlos.

VII.FUENTES DE INFORMACION:

NOMBRECARGO

Sergio ArboledaJefe de sistemas y seguridad.

Camila PaezAsistente de sistemas.

Dionisio SaenzTecnico en mantenimiento.

CEDULAS

HOTEL REGATTA CARTAGENAP.T.A 1

ORGANIGRAMA DE LA EMPRESAHecho porLBFecha: 23/04/2015

Al 1 de mayo 2015Revisado porMPFecha: 1/05/2015

HOTEL REGATTA CARTAGENAP.T.A-2

ORGANIGRAMA DE LA EMPRESAHecho porLBFecha: 23/04/2015

Al 1 de mayo 2015Revisado porMPFecha: 1/05/2015

HOTEL REGATTA CARTAGENAP.T.A-3

ORGANIGRAMA DE LA EMPRESAHecho porLBFecha: 23/04/2015

Al 1 de mayo 2015Revisado porMPFecha: 1/05/2015

RELACION DE CARGOCANTIDADFUNCIONARIO

RECEPCIN 1Efrain Perez

RECEPCIN1Cristian Diaz

RECEPCIN 1William Diaz

CONTABILIDAD1Catalina Pua

CONTABILIDAD1Rosa Jimenez

CONTABILIDAD1LiserLiver

GERENCIA1MileneGarcia

SECRETARIA1Estrella Gimenez

FINACIERA1Kelly Cantillo

ALMACEN1Pedro Pajaro

BODEGA1Kevin Martinez

HOTEL REGATTA CARTAGENAP.T.D-1

ORGANIGRAMA DE LA EMPRESAHecho porLBFecha: 23/04/2015

Al 1 de mayo 2015Revisado porMPFecha: 1/05/2015

INVENTARIO EQUIPOS INFORMATICOSINVENTARIO EQUIPOS INFORMATICOS

ArticulosDepartamentoCantidad Vr. Unitario Vr. Total

DELL OPTIPLEX 210L INTEL CELERON 2.8 GHZ, RAM 1 GBAma de Llaves1 $ 700.000 $ 700.000

PORTATIL LENOVO G40-30 80YFAsistente de Eventos1 $ 600.000 $ 600.000

DELL OPTIPLEX 210L INTEL CELERON 2.8 GHZ, RAM 1 GB, MONITOR ACERAuxiliar Contable1 $ 700.000 $ 700.000

ALL IN ONE LENOVO C460Auxiliar Contable1 $ 1.300.000 $ 1.300.000

PC - CLON BOARD ASROCK AMD ATHLON MONITO 19"Auxiliar de Compras1 $ 700.000 $ 700.000

PORTATIL DELL VOSTRO 1320 INTEL CELERON 2.2, 2 GB RAMBAR1 $ 700.000 $ 700.000

ALL IN ONE COMPAQ PRESARIO CQ1 3006LABusiness Center1 $ 800.000 $ 800.000

PC CLON AMD SEMPRON 2.1 GHZ, RAM 1 GB, DD 160 GB MONITOR COMPAQ 19"Cocina1 $ 600.000 $ 600.000

PC CLON PENTIUM 4.3.2 GHZ, RAM 1GB MD, DD 160 GB MONITOR HACERCompras1 $ 600.000 $ 600.000

PC - BOARD INTEL 945 DOREL DUO DE 2.4 GHZ - 2GB MEM - MONITOR ACERContabilidad1 $ 700.000 $ 700.000

PC - BOARD INTEL 945 CORE DUO DE 2.4 GHZ - 2GB MEM - MONITOR ACERCostos1 $ 700.000 $ 700.000

PORTATIL SONY WAIO MINI PGC-31311UDireccion Comercial1 $ 700.000 $ 700.000

PORTATIL DELL INSPIRON N4010Eventos1 $ 800.000 $ 800.000

PORTATIL LENOVO G40-30 80YFGerencia Hisnardo1 $ 600.000 $ 600.000

PORTATIL ASUS ULTRA SLIM CORE I7Gerencia Mario1 $ 2.000.000 $ 2.000.000

PORTATIL COMPAQ C700 RAM: 2GB, INTEL CELERON 2.0 GHZJefe de Recepcion1 $ 700.000 $ 700.000

ALL IN ONE DELL INSPIRON ONE 2020Jefe de Reservas1 $ 1.200.000 $ 1.200.000

PC - HP PRO 3400Jefe de Sistemas1 $ 800.000 $ 800.000

PC - BOARD MSI AMD PENOM X2, 2GB RAM MONITOR ACER 17"Mantenimiento1 $ 700.000 $ 700.000

PORTATIL DELL VOSTRO 1320 INTEL CELERON 2.2, 2 GB RAMMinibar (Service Bar)1 $ 700.000 $ 700.000

ALL IN ONE HP OMNI 120 1026LARecepcion1 $ 1.300.000 $ 1.300.000

ALL IN ONE LENOVO C205Recepcion1 $ 800.000 $ 800.000

PORTATIL LENOVO G40-30 80YFRecursos Humanos1 $ 600.000 $ 600.000

PORTATIL COMPAQ C700 RAM: 2GB, INTEL CELERON 2.0 GHZReservas1 $ 700.000 $ 700.000

PORTATIL SAMSUNG NP300E4Z CORE I3Reservas1 $ 900.000 $ 900.000

PC OLIVETTI MOLTO TOUCH 185 INTEL ATON 1.6 GHZ, RAM 1 GB, DD 160 GBRestaurante1 $ 600.000 $ 600.000

SERVIDOR IBM SYSTEM X3200Sistemas1 $ 1.500.000 $ 1.500.000

PORTATIL SAMSUNG NP300E4Z CORE I3Sistemas1 $ 900.000 $ 900.000

PORTATIL SAMSUNG CORE I5Sub Gerencia1 $ 1.000.000 $ 1.000.000

IMPRESORA HP DESKJET F4480Reservas1 $ 130.000 $ 130.000

IMPRESORA HP DESKJET 3050Gerencia1 $ 130.000 $ 130.000

IMPRESORA HP DESKJET f4880Contabilidad1 $ 130.000 $ 130.000

IMPRESORA HP LASERJET M1530Recursos Humanos1 $ 800.000 $ 800.000

IMPRESORA HP LASERJET M2727Ama de Llaves1 $ 1.200.000 $ 1.200.000

IMPRESORA HP LASERJET PRO 400Reservas y Contabilidad2 $ 700.000 $ 1.400.000

IMPRESORA KYOCERA KM 2810Recepcion1 $ 2.000.000 $ 2.000.000

IMPRESORAS BIXOLON SAMSUNGRecepcion1 $ 500.000 $ 500.000

UPS DE 600 WTTodas las Areas16 $ 100.000 $ 1.600.000

UPS 1200 WSistemas1 $ 250.000 $ 250.000

IMPRESORA LX 300+Auxiliar Contable1 $ 300.000 $ 300.000

TELEFONO PANASONIC KX - T7030Recepcion1 $ 330.000 $ 330.000

SWICTH DLINK 16 PUERTOSRecepcion1 $ 200.000 $ 200.000

SWICTH 8 PUERTOSContabilidad1 $ 150.000 $ 150.000

AP INALAMBRICOS BLANCOS MARCA GENERICAPiso 2, 4, 5, 6, 7, 9, 11, 177 $ 225.000 $ 1.575.000

ROUTER LINKSYS CISCO WRT120 NEventos1 $ 115.000 $ 115.000

IMPRESORA HP LASERJET P1101WCompras1 $ 230.000 $ 230.000

IMPRESORA EPSON TMU 220 DRestaurante y Bar2 $ 600.000 $ 1.200.000

CAMARA TIPO DOMO 36 LEDSPisos y Areas44 $ 70.000 $ 3.080.000

CAMARAS TIPO BALAEntrada, port y piscinas4 $ 160.000 $ 640.000

DVR CCTV X 16 CAMARAS C/U CON CONTROLES Y MOUSESistemas3 $ 900.000 $ 2.700.000

MONITOR DELL 15 PULGADASSistemas2 $ 150.000 $ 300.000

SWITCH HP 24 PUERTOSSistemas2 $ 300.000 $ 600.000

SWITCH TREDNET 24 PUERTOSSistemas1 $ 195.000 $ 195.000

GENERADOR DE TONO TELEFONICOSistemas1 $ 150.000 $ 150.000

PONCHADORA RJ45-RJ11Sistemas1 $ 50.000 $ 50.000

PONCHADORA TELEFONICA DE IMPACTOSistemas1 $ 70.000 $ 70.000

DISCO DURO USB 1TBSistemas1 $ 190.000 $ 190.000

DISCO DURO USB 500 GBSistemas1 $ 130.000 $ 130.000

PLANTA TELFONICA TD 500 PANASONIC ANALOGASistemas1 $ 35.000.000 $ 35.000.000

VIDEO BEAM EPSON POWER LITE L14+Eventos2 $ 1.500.000 $ 3.000.000

AMPLIFICADOR DE SONIDO PORTABLE (CONSOLA, 2 CABINAS, TRIPODES, 1 MICROFONO)Eventos1 $ 1.500.000 $ 1.500.000

AMPLIFICADOR DE MUSICA AMBIENTALBar1 $ 400.000 $ 400.000

PARLANTES DE TECHOBar4 $ 45.000 $ 180.000

PARLANTES IMPERMEABLES (COLUMNAS)Piscinas2 $ 140.000 $ 280.000

Total $ 85.305.000

ANALISIS DOFADEBILIDADES

Hay demasiada informacin.

El hotel es muy grande.FORTALEZAS

El hotel cuenta con personal suficiente para atender sus necesidades.

El hotel cuenta con un excelente sistema de control.

OPORTUNIDADES

Se tiene un software que le permite satisfacer sus necesidades.

El personal est dispuesto a cumplir con las polticas de control y seguridad del CIS.

AMENAZAS

Se puede perder la informacin.

Prdida de control.

EL DICTAMEN PRELIMINAR

M y B Asociados.

DICTAMENNombre de la Entidad:Hotel Regatta Cartagena.

AUDITORIADEUNABASEDEDATOS

A los accionistas del Hotel Regatta Cart