Planeacion De Auditoria De Sistemas Informaticos

SANCHEZ PINEDA Y COMPAÑIACONTABILIDAD, AUDITORIA Y ASESORIA CONTABLE, FINANCIERA Y

FISCALAhuachapán, El Salvador.

UNIVERSIDAD PANAMERICANA

REGIONAL AHUACHAPAN

MATERIA:

AUDITORIA DE SISTEMAS

CATEDRATICO:

LICDO. EDGARDO ENRIQUE CASTILLO.

TEMA:

PLANEACION DE AUDITORIA DE SISTEMAS INFORMATICOS

PRESENTADO POR:

JUDITH ESTER ALVAREZ PINEDA.

ROXANA JANETH CACERES ALTUVE.

VIDAL OVED CRUZ MULATILLO.

DANILO ERNESTO HERRERA SINTIGO.

LESBIA SORAIDA SANCHEZ OSORIO.

AHUACHAPAN, 6 DE JUNIO DE 2009



INDICENo. Actividad pág.

1 Planeación de la Auditoría de Sistemas Informáticos …………………….. 3

2 Objetivos………………………………………………………………….. 4

3 Estudio y Evaluación del Control Interno………………………………… 5

4 Gestión Administrativa…………………………………………………… 5

5 Gestión Informática………………………………………………………. 5

6 Métodos aplicables para su documentación………………………………. 7

7 Planeación detallada………………………………………………………. 7

8 Cuestionario de control interno…………………………………………… 11

9 Planilla de decisiones preliminares……………………………………….. 15

10 Programa de auditoría…………………………………………………… 23

11 Recursos a utilizar en la auditoría……………………………………….. 29

12 Presupuestos para la auditoría…………………………………………… 30

13 Cronograma de actividades………………………………………………. 31

14 Peso porcentual de cada área a evaluar…………………………………… 32

15 Referencias de auditoría………………………………………………….. 33

16 Marcas de auditoría………………………………………………………. 34

17 Metodología y procedimientos…………………………………………… 35

18 Métodos de prueba……………………………………………………….. 36

19 Situaciones alternas………………………………………………………. 37

20 Asignacion de recursos y sistemas computacionales para la auditoría…… 38



PLANEACION DE LA AUDITORIA DE SISTEMAS INFORMATICOS

EMPRESA : HILOSA S.A DE C.V.

N.I.T. : 0614 – 220599 – 001 - 6

N.R.C. : 7916 - 0

PERIODO AUDITADO : DEL 1 DE ENERO AL 31 DE DICIEMBRE DE 2009.

DIRECCION : TERCERA CALLE OTE No.3-4 AHUACHAPAN

TELEFONO : 2443-1888



OBJETIVOS

OBJETIVOS GENERALES

Evaluar el funcionamiento y seguridad de los sistemas informáticos de la empresa, así como realizar un estudio suficiente de las operaciones del mismo que permita generar un respaldo en la emision del informe a la auditoria practicada.

OBJETIVOS ESPECIFICOS

Evaluar si la persona encargada del mantenimiento y programación del sistema informatico de la empresa cumple con el perfil del puesto.

Identificar las áreas críticas, con respecto a la seguridad del equipo del área de informática.

Diseñar los procedimientos a efectuar en el desarrollo de la auditoría del área de informática.

Establecer el alcance en cuanto a los procedimientos, de tal manera que conduzcan a la formulacion del informe de la auditoria de sistemas.



ESTUDIO Y EVALUACIÓN DEL CONTROL INTERNO

Esta fase constituye el inicio de la planeación, aunque sea preparada con anterioridad; sus resultados son los que generan la verdadera orientación de las subsiguientes fases del proceso, sin ser excluyentes, se deben considerar los siguientes aspectos:

GESTION ADMINISTRATIVA:

1- Conocer y analizar las operaciones a las cuales se dedica el negocio y la forma en que está estructurado tanto desde del punto de vista organizacional y administrativo, así como el organigrama, número y distribución de empleados, sistema interno de autorizaciones, firmas, formularios utilizados, secuencia de operaciones y otros aspectos similares que se realizan con la utilización del sistema informático.

2- Verificar si se ha diseñado un manual de organización y funciones a ser aplicado a los y por los usuarios del área de informática.

3- Verificar si las contrataciones del personal del área de informática se han realizado con base a los criterios establecidos en el manual de funciones y cumplen el perfil del puesto.

4- Verificar si la administración provee oportunamente los recursos necesarios para la adquisición del software actualizado para la protección de los sistemas informáticos.

5- Verificar si la administración promueve la capacitación y adiestramiento constante del personal del área de informática.

6- Verificar si la administración ha establecido políticas claras con respecto a la adjudicación de claves de acceso a las bases de datos.

7- Verificar que las instalaciones donde labora el personal del área de informática estén adecuadas a las necesidades y no representen peligro para los empleados.

GESTION INFORMATICA:

1) Examinar la información preliminar correspondiente al área de informática, la cual puede ser:

a) Interna: conocer los procesos que se realizan dentro de la empresa para los cuales es utilizado el equipo informático.Se verificará si se lleva un control de las operaciones realizadas y si queda un registro de los



usuarios del área de informática y los horarios en los cuales, han utilizado el equipo del centro. También se solicitará información correspondiente a si se ha realizado en otras ocasiones auditorías al sistema informático.

b) Externa: Conocimiento e identificación de los usuarios del área de informática, así como de los proveedores de materiales y accesorios y otros clientes.

2) Conocimiento de las instalaciones físicas del negocio, materiales, mobiliario, inmuebles, equipos, inventarios y otros que tienen relación al área de informática y la ubicación de sucursales, en caso de que también utilicen dicho sistema.

3) Verificar si los programas utilizados dentro de la entidad han sido diseñados específicamente para la empresa y hasta que punto estos programas son operativos y satisfacen las necesidades de la entidad.

4) Naturaleza y tratamiento de las operaciones realizadas por medio de los sistemas informáticos.

5) Cualquier otro punto de conocimiento general, que contribuya a orientar adecuadamente la auditoria de sistemas informáticos.

6) Verificar si todo el equipo o hardware se encuentra debidamente inventariado y se ha elaborado la respectiva tarjeta de depreciación del mismo, a fin de que en el momento en que se vuelvan obsoletos se puedan dar de baja.

7) Verificar por medio de pruebas si los sistemas funcionan correctamente, para ello será necesario contratar a un perito programador, para que efectue las pruebas correspondientes.

8) Verificar si el software tiene las licencias correspondientes.

9) Verificar quienes están autorizados para realizar modificaciones a los sistemas informáticos y quien autoriza cada una de estas modificaciones.

10) En el caso de que haya alguien de nivel superior que autorice los cambios y modificaciones a los sistemas informáticos, verificar si existe algún documento escrito por medio del cual se autoricen dichas modificaciones o si las ordenes se efectuan solamente de manera verbal.

11) En el caso de que exista el registo de las solicitudes de cambios mencionados en el punto anterior, realizar pruebas en el sistema para verificar que se hayan realizado correctamente y que respondan a la solicitud de la gerencia o de quien lo haya autorizado.

12) Verificar quien es el responsable de autorizar los niveles de jerarquía y niveles de acceso a utilizar dentro del sistema y si existe algún registro escrito por medio del cual se hayan emitido dichas autorizaciones.



13) Verificar si en la entidad se han establecido políticas con respecto a la creación de respaldos de la información más importante, cuyo daño pudiera afectar el funcionamiento general de la entidad en el caso de darse situaciones anómalas dentro del sistema informático.

14) Verificar si existen procedimientos y políticas en cuanto a la seguridad y protección del personal que trabaja como usuario de los sistemas informáticos de la entidad.

15) Verificar si las claves no permiten el acceso de los usuarios a niveles superiores, a los cuales no deberían acceder.

METODOS APLICABLES PARA SU DOCUMENTACION:

A) DESCRIPTIVO

La documentación utilizada durante la auditoría, será en primer lugar de tipo descriptiva o sea basada en la narración verbal de los procedimientos, la cuales son conocidas como cédulas narrativas.

B) CUESTIONARIO

En segundo lugar, los procedimientos se documentarán a través de la preelaboración de preguntas, contestadas personalmente por los líderes de la empresa o por el personal encargado de los sistemas informáticos y por algunos usuarios dentro de la empresa que tenga relación con el mismo..

PLANEACION DETALLADA

Cuyo lema se basa en la individualización técnica de los procedimientos a ejecutar así como las consideraciones y los objetivos a corto plazo que se espera producir en cada uno; comprende los siguientes apartados:

1) Objetivos: Al obtener una clara comprensión del negocio, se fijan las metas tanto a corto plazo como la general que se espera alcanzar al ejecutar la auditoría; se establece el eje sobre el cual deben girar todos los procedimientos y fases de que consta para llevarse a cabo de forma eficaz y efectiva.

2) Rubros a Examinar: Consiste en descomponer las partes integrantes del Sistema Informático, en secciones manejables, facilitando con ello el análisis integral y exhaustivo, con el propósito de obtener resultados correctos y claros en cada uno de sus niveles operativos del sistema informático.

a. Primera descomposición: Hardware, software, personal, instalaciones eléctricas, seguridad.



b. Segunda descomposición o detalle: Computadores, periféricos, software de uso general, software de uso específico, personal del área de informática, usuarios del sistema informático, red eléctrica, seguridad física de los sitemas informáticos, seguridad lógica del sistema, seguridad del personal, seguridad de la información y las bases de datos, seguridad en el acceso y uso del software, seguridad en la operación del harware, seguridad en las telecomunicaciones.

c. Tercera descomposición: Las áreas de mayor riesgo, son descompuestas en sus subdivisiones más significativas, por lo cual se debe validar el funcionamiento de ellos mediante un examen operativo y el respectivo cumplimiento de las políticas institucionales en cuanto a su uso y aplicación.

d. Cuarta descomposición: Esta última se refiere al examen propio de cada una de las áreas específicas, con el fin de asegurar el buen funcionamiento de cada uno de los componentes del sistema informático, estos casos requerirán su validación.

3) Comparaciones: Se establecerán comparaciones sobre el actual funcionamiento de los sistemas informáticos y las especificaciones de sobre como deberían funcionar, para establecer si se les está dando el uso adecuado y si se está obteniendo los máximos resultados de la aplicación de dichos sistemas.

4) Generación de detalles periódicos: Algunas áreas serán analizadas por períodos, con el fin de verificar su desarrollo a través del tiempo, en cambio, habrá otros que por su naturaleza, se pueden analizar en un momento fijo y que pueden generalizarse a diversos períodos, para ello, en el caso de que se encuentre situaciones en las cuales sea necesaria la actuación inmediata, se generarán reportes intermedios hacia la gerencia, con el fin de que sean buscados los correctivos correspondientes de manera inmediata.

5) Examen documental: se consolida como la base de la auditoría y el enlace entre la investigación y la emisión de una opinión e informe, la inspección de los documentos anexos a cada operación del sistema informático, cuando por la naturaleza de las mismas exista un documento que ampare las operaciones.

6) Margen de Importancia: Dentro de este apartado, se deben analizar y señalar aquellos conceptos cuyo impacto de su inclusión, exclusión o revelación textual pueda modificar la opinión sobre ellas. Ello requiere de parte del auditor, la capacidad de generar opiniones similares a la suya, entre los usuarios de los sistemas informáticos.

7) Riesgos: Toda auditoría se encuentra impregnada por la posibilidad de que los aspectos a evaluar contengan errores o irregularidades de importancia no detectados, cuyo conocimiento haga cambiar la opinión sobre ellos. (entiéndase como error, la ocurrencia u omisión de datos originados en circunstancias no voluntarias por parte de los encargados del funcionamiento de los sistemas informáticos; y las irregularidades, son las circunstancias voluntarias por parte del mismo). Estos riesgos se clasifican de la siguiente manera:



a. Riesgo Inherente: Asociado con la generación de estimaciones sobre la existencia de hechos, lo anterior es de criterio potencial por parte del auditor, y pueden ser identificados como “eventos presuntos”, su análisis parte de la naturaleza del negocio, naturaleza de los sistemas de control de información, de los mismos sistemas informáticos y otros.

b. Riesgo de Control: Este se disminuye a medida que se eleva la confianza en los métodos de control interno adoptados, y se define como la posibilidad de que el control interno no detecte o evite oportunamente errores o irregularidades de importancia.

c. Riesgo de Detección: Vinculado directamente con la función de auditoría, y se conoce como la mayor o menor capacidad de efectividad de los procedimientos de la misma para descubrir errores o irregularidades que en condiciones normales deberían ser visualizadas.

8) Elaboración de cuestionario de control interno: Para conocer el funcionamiento del departamento de informática dentro de la entidad, se diseñará un cuestionario de control interno, en el cual se harán en su mayoría preguntas cerradas, con en propósito de conocer las actividades a las cuales se dedica la institución, quienes las efectúan, en que momento se realizan los procesos y por quienes se realizan, con el fin de detectar posibles fallas y con base en ello, detectar la clase de riesgo que presenten cada una de las operaciones y procedimientos. Dichos datos servirán en su conjunto para la realización de la correspondiente planilla de decisiones preliminares y el programa de auditoría.

9) Planilla de decisiones peliminares: En este documento, luego de obtener los resultados del cuestionario de control interno, se establecerá el tipo de riesgo (alto, medio o bajo) que tiene cada una de las operaciones que se realizan a través de los sistemas informáticos, y con base en ellos se podrá establecer la profundidad con la que se examinarán cada uno de los rubros que componen dicha área.

10) Elaboración del programa de auditoría: Con posterioridad al conocimiento general del negocio y a la evaluación del control interno adoptado, se dejará constancia documental de los pasos a seguir en las diferentes áreas involucradas, las tareas programadas, quedan plasmadas en una guía de procedimientos, cuya mayor especificación, facilita su ejecución y comprobación de la misma. Dentro de ellos se hace mención a los pasos, enfoques, oportunidades, volúmenes de muestra, y cualquier otra circunstancia que detalle el trabajo a efectuar. Es importante mencionar que este no se caracterizará por su naturaleza inflexible, por encontrarse sujeto a ampliaciones o reducciones necesarias, originadas en conclusiones parciales, nuevos eventos o diversas situaciones que pudiesen desviar los objetivos propios



de la investigación.

11) Verificación de generalidades concernientes a los documentos emitidos.

12) Análisis y validación de los documentos anexados que soportan las adquisiciones de bienes y servicios a utilizarse por los diversos usuarios del sistema informático.

13) Conocimiento sobre controles de inventarios o la ausencia de los mismos con respecto a los bienes del área de informática.

14) Verificación documental y física de las adquisiciones de bienes del área de informática.

15) Elaboración de cédulas narrativas por los procedimientos alternos efectuados cuya documentación no se refiere a papeles de cálculo, anexos proporcionados por el contribuyente o por terceros.

16) Documentación adecuada de hallazgos.

17) Rendimiento de informes parciales o previos, ante la detección de errores cuyo impacto sea relevante, con firma y fecha de recibidos, como constancia de divulgación oportuna.

18) Adición de notas oportunas sobre la atención u omisión de las observaciones a que se refiere el apartado anterior.

19) Preparación del informe final de auditoría, con copia para los encargados del sistema de informático del negocio.

Nota: Toda la metodología y procedimientos detallados, no inhiben de sostener reuniones periódicas o eventuales con la administración, a efectos de discutir, ampliar o sugerir sobre la forma de operar y aspectos que de manera inmediata sea necesario corregir, asimismo cualquier consulta o requerimiento se efectuará de forma escrita como constancia de realizado.



CUESTIONARIO DE CONTROL INTERNO

PREGUNTAS SI NO N/A

ASPECTOS RELACIONADOS AL ÁREA DE INFORMÁTICA.

1. Existe dentro de la empresa un área de informática?

SI LA RESPUESTA FUE SI:2. Ante quien rinden cuentas de su gestión?

3. Se ha nombrado un gerente para esta área?

4. Está identificada dicha área dentro del organigrama general de la empresa?

5. Se tiene un organigrama específico de dicha área?

6. Hay un manual de organización y funciones aplicables a dicha área?

7. Están delimitadas las funciones de cada integrante del área de informática?

8. Cada empleado del área de informática conoce la persona ante la que tiene que rendir cuentas de su labor?

9. Los gerentes y otros funcionarios de nivel superior pueden dar órdenes directas a cualquier empleado del área de informática?

10. Cada empleado del área de informática es especialista en aspectos distintos de programación?

ASPECTOS RELACIONADOS AL HARDWARE



11. En alguna ocasión se ha extraviado alguna laptop o algún proyector de cañón propiedad de la empresa?

12. En alguna ocasión se ha extraviado algún periférico (bocinas, audífonos, teclado, mouse, teclado numérico, etc.) de una computadora?

13. Si hay vigilante, ¿Revisa éste que los empleados no lleven artículos que no son de su propiedad?

14. En alguna ocasión le han quemado discos o guardado información en los equipos de la entidad?

15. Cada componente de su computadora y periféricos tiene la numeración respectiva del inventario?

ASPECTOS RELACIONADOS AL SOFTWARE

16. Se utilizan programas como el Office de Microsoft u otros programas para los que la empresa haya comprado las licencias correspondientes?

17. Los empleados pueden utilizar el equipo informático de la entidad para elaborar documentos o diseños para uso personal?

18. Hay una persona nombrada como responsable de resguardar el software comprado por la empresa?

19. Para el resguardo de los diversos discos de programas, se tiene un archivadero adecuado?

20. El software comprado por la entidad le facilita su trabajo?

21. Los programas antes mencionados son justo lo que necesita para sus actividades laborales?

22. Existen programas diseñados y elaborados por el área de informática, con los procedimientos específicos para las actividades que la entidad desarrolla?

23. Los programas fueron creados bajo estricta normas de seguridad para evitar que puedan ser revendidos a otras empresas que se dediquen a la misma actividad económica?

24. Los diversos softwares se guardan en un lugar libre de



humedad o con calor excesivo?

25. Los programas creados por los empleados del área de informática son funcionales y responden a las necesidades de la organización?

ASPECTOS RELACIONADOS AL PERSONAL (Será conveniente que algunas preguntas sean resueltas por los

empleados del área de informática)

26. Cuántos años tiene de laborar para la empresa?____________

27. Se siente satisfecho de laborar para la empresa?

28. En el último año, ha renunciado algún empleado de este departamento?

29. Cuáles considera que fueron las razones de la renuncia?__________________________________________

30. Se permite que el personal lleve trabajo y accesorios a su casa?

31. Han recibido capacitaciones en el último año?

32. Las capacitaciones recibidas, a que aspectos han sido enfocadas?_________________________________________

33. Los usuarios de los diferentes departamentos manejan con eficiencia los programas utilizados.

34. Se ha capacitado en su momento a los usuarios de los sistemas informáticos?

35. En alguna ocasión ha visto que algún empleado de la empresa esté haciendo algun trabajo muy personal en el equipo provisto por la empresa y en horas laborales?

INSTALACIONES ELECTRICAS

36. Cada cuanto, personal idóneo revisa las instalaciones



eléctricas?_________________________________________

37. En el último año se han revisado todas las instalaciones eléctricas?

38. En alguna ocasión se ha generado algún corto circuito dentro de las instalaciones?

39. Los tomas en los que conectan los equipos están polarizados?

40. Tiene la empresa contratado un electricista?

ASPECTOS RELACIONADOS A LA SEGURIDAD

41. Considera usted que hay demasiada humedad o excesivo calor, lo cual pueda deteriorar los computadores?

42. En alguna ocasión usted ha estado trabajando en una aplicación y de pronto cuando la está ejecutando se ha cambiado y le ha generado una cosa diferente a lo que esperaba?

43. En alguna ocasión un empleado se ha enfermado y le ha dicho el médico que es resultado del uso de algún aparato eléctrico?

44. Tiene la empresa en algún lugar diferente al negocio, copias de seguridad de los software y documentación importante que al darse un siniestro pueda afectar a la organización?

45. Le han dado clave para ingresar al sistema?

46. La clave que ha recibido le da acceso a documentos y archivos con base en la autoridad que tiene dentro de la empresa?

47. Alguna vez su equipo no ha funcionado y al verificar algún accesorio ha estado desconectado?

48. El acceso a internet es para todos los empleados?

49. Alguna vez por casualidad ha abierto algún documento que solo debió ser abierto por funcionarios de nivel superior?

50. Alguna vez al insertar su contraseña el sistema le ha dado



mensaje de error y aun cuando lo escribe correctamente, el mensaje se ha repetido?

Nombre:___________________________________________________________

Cargo:_____________________________________________________________

SANCHEZ PINEDA Y COMPAÑIACONTABILIDAD, AUDITORIA Y ASESORIA CONTABLE, FINANCIERA Y FISCAL

Ahuachapán, El Salvador.

PLANILLA DE DECISIONES PRELIMINARES

SANCHEZ PINEDA & COMPAÑIA.

NOMBRE DEL CLIENTE: HILOSA S.A. DE C.V.

PERÍODO A AUDITAR : DEL 1 DE ENERO AL 31 DE DICIEMBRE DE 2009

RUBRO AREA FACTORES DE RIESGO

EVALUACION DE RIESGOS PROCEDIMIENTOS SEGÚN

FACTORES DE RIESGOALCANCE DE LOS PROCEDIMIENTOS

INHERENTE CONTROL

DETECCIÓN

HARDWARE

COMPUTADORES

Que haya extravío.

Revisar que el hardware que se encuentra inventariado como adqusiciones de la entidad, se encuentre en el lugar correspondiente.

Se revisará el 100% de los bienes inventariados como parte del hardware.

Que se esté utilizando con los fines para los cuales fue adquirido.

Verificar que los diversos componentes del hardware, estén siendo aprovechados almáximo y se estén utilizando como corresponde.

PERIFERICOS

Que haya extravío de los accesorios y periféricos.

Solicitar el registro de los periféricos comprados y agregados a cada uno de los computadores y el lugar en que deben estar y verificar que estén donde corresponden.

Se verificará el 100% de los periféricos.

Que se estén utilizando con los fines para los cuales fue adquirido.

Se verificará que los componentes y periféricos sean utilizados con los fines para los cuales fueron solicitados y no para obtener beneficios personales.



RUBRO AREA FACTORES DE RIESGO EVALUACION DE RIESGOS PROCEDIMIENTO SEGÚN FACTORES DE RIESGO

ALCANCE DE LOS PROCEDIMIENTOS

INHERENTE CONTROL DETECCIÓN

SOFTWARE

SOFTWARE DE USO GENERAL

Que exista software comprado por la entidad.

Que el software haya sido utilizado para beneficios personales por algún usuario o se le haya sacado copias piratas del mismo para fines particulares.

Que el software adquirido por la entidad esté resguardado en un lugar libre de humedad o de mucho calor para evitar que se deteriore y se convierta en inservible.

Que el software funcione correctamente y responda a las necesidades institucionales.

Revisar los documentos que muestran el inventario del software de la entidad y verificar que las licencias estén bajo la custodia de una persona con la autoridad para resguardarlos.

Se verificará si hay algún procedimiento de control institucional que impida que las personas lleven artículos de la entidad a sus casas.

Revisar las condiciones del lugar en que se encuentra resguardado el software

Se contratará un perito, el cual realizará pruebas al software, con el propósito de verificar si está funcionando correctamentey si su instalación cumple con las condiciones de la empresa fabricante.

Se confirmará que el 100% de las licencias, se encuentren en poder de la persona responsable.

Solamente se harán las preguntas pertinentes y un día se verificará si a la salida el vigilante revisa los artículos que los empleados llevan en sus bolsos. La verificación se hrá por una sola vez y con la autorización de una persona de la alta gerencia.

Se hará una prueba selectiva a un 10% de los programas, verificando que sea uno de los que más se utilizan en la entidad.



RUBRO AREA FACTORES DE RIESGO EVALUACIÓN DE RIESGOSPROCEDIMIENTOS SEGÚN FACTORES DE RIESGO

ALCANCE DE LOS PROCEDIMIENTOS


SOFTWARE DE USO ESPECIFICO

Que exista software diseñado por los empleados del área de informática de la entidad.

Que el software haya sido utilizado para beneficios personales por algún usuario o se le haya sacado copias piratas del mismo para fines particulares.

Que el software diseñado por la entidad esté resguardado en un lugar libre de humedad o de mucho calor para evitar que se deteriore y se convierta en inservible.

Que el software funcione correctamente y responda a las necesidades institucionales.

Revisar los documentos que muestran el inventario del software diseñado por los encargados del área de informática y verificar que el software esté bajo la custodia de una persona con la autoridad para resguardarlos.

Se verificará si hay algún procedimiento de control institucional que impida que las personas lleven artículos de la entidad a sus casas.

Revisar las condiciones del lugar en que se encuentra resguardado el software

Se contratará un perito, el cual realizará pruebas al software, con el propósito de verificar si está funcionando correctamente y si su utilidad responde a las necesidades específicas de la institución.

Se confirmará que el 100% de los softwares diseñados por los empleados de la entidad, se encuentren en poder de la persona responsable.

Solamente se harán las preguntas pertinentes y un día se verificará si a la salida el vigilante revisa los artículos que los empleados llevan en sus bolsos. La verificación se hará por una sola vez y con la autorización de una persona de la alta gerencia.

Se hará una prueba selectiva a un 10% de los programas, verificando que sea uno de los que más se utilizan en la entidad.



RUBRO AREA FACTORES DE RIESGO EVALUACION DE RIESGOSPROCEDIMIENTOS SEGÚN FACTORES DE RIESGO

ALCANDE DE LOS PROCEDIMIENTOS


PERSONAL

PERSONAL DEL AREA DE INFORMATICA

Que los empleados del área de informática no estén lo suficientemente comprometidos con la entidad.

Que los empleados del área de informática vendan el software a otras organizaciones aun cuando su diseño fue pagado con recursos de la entidad.

Que los empleados del área de informática no estén recibiendo las capacitaciones necesarias con el propósito de actualizarlos y se vayan quedando desactualizados frente a la competencia.

Se colocarán en el cuestionario de control interno algunas preguntas con el propósito de establecer si los empleados del área de informática se sienten satisfechos con el trato dentro de la entidad y su grado de lealtad a la misma.

Se verificará si los empleados del área de informática llevan bienes de la sociedad a sus casas.

Se verificarán los registros que la empresa tiene sobre las respectivas capacitaciones recibidas por los empleados del área de informática.

Solamente se hará el cuestionario y se pasará a los empleados pues la lealtad no es una variable difícil de medir en términos cuantitativos.

Se verificará si a la salida el vigilante revisa los artículos que los empleados llevan en sus bolsos.

La revisión se hará por una sola vez y se verificará si en las capacitaciones se ha incluido a todo el personal del área.



USUARIOS DEL SISTEMA INFORMATICO

Que los usuarios de la entidad no puedan utilizar con efectividad los diversos softwares que la entidad tenga en uso.

Que los usuarios del sistema informático de la entidad, estén utilizando los recursos de la misma para sus usos personales, o abusen del uso del internet.

Se verificará si los usuarios han recibido el adiestramiento necesario en el uso del software y si al inicio recibieron la inducción correspondiente.

Se verificará si los empleados de la entidad utilicen el software y hardware para los fines establecidos por la entidad y siguiendo las políticas de la misma.

Se consultará a los usuarios por medio del cuestionario de control interno.

Se verificará en por lo menos 5 computadores si existen archivos basura o que no sean de uso de la entidad.

INSTALACIONES ELÉCTRICAS

RED ELÉCTRICA

Que los tomas eléctricos no estén debidamente polarizados.

Que las instalaciones eléctricas ya no estén en óptimas condiciones de uso o ya sean obsoletas.

Verificar que los tomas a los cuales se encuentra conectado el equipo informático estén debidamente polarizados con el fin de evitar sobrecargas eléctricas.

Se verificará con la ayuda de un electricista que las instalaciones eléctricas cumplan con las condiciones mínimas de funcionamiento y que todavía no sean obsoletas.

Se aplicará al 100% de los tomas.

Se aplicará a un 15% de las instalaciones a las que está conectado el equipo del sistema informático de la entidad.



RUBRO AREA FACTORES DE RIESGORIESGOS

PROCEDIMIENTOS SEGÚN FACTORES DE

RIESGO

ALCANCE DE LOS PROCEDIMIENTOSINHERENTE CONTROL

DETECCIÓN

SEGURIDAD

SEGURIDAD FISICA DE LOS SISTEMAS INFORMATICOS

Que los componentes de los sistemas informáticos estén ubicados en oficinas que no cumplen con las condiciones mínimas ambientales.

Verificar que los equipos no estén ubicados muy cerca de espacios húmedos o que el calor sea mucho.

Se efectuará al 100% de los computadores.

SEGURIDAD LOGICA DEL SISTEMA

Que los procesos realizados por el sistema, estén dando datos erróneos y por ser automatizados, la empresa se esté confiando de ellos.

Se pedirá al perito en programación que aplique algunos datos al sistema, los cuales también se realizarán de manera manual para ver que estos den resultados iguales, y de no serlos, se sugerirán los posibles correctivos.

Se realizará el procedimiento en 5 ocasiones y en programas diferentes de mayor uso.

SEGURIDAD DEL PERSONAL

Que por la ubicación de los equipos del área de informática, los empleados vayan a padecer de enfermedades, como un efecto colateral de su uso.

Se verificará que la ubicación de las máquinas no esté tan cercana a las personas y que tengan sus respectivos protectores de pantalla para minimizar el daño a los ojos.

Se revisará el 100% de los equipos.





RIESGO


DETECCIÓN

SEGURIDAD

SEGURIDAD DE LA INFORMACION Y LAS BASES DE DATOS

Que en caso de un siniestro, se pierda toda la información de la empresa y se destruyan las bases de datos.

Verificar si la empresa tiene fuera de su local un área o local de seguridad para archivar discos y otros documentos de respaldo.

Se consultará con la gerencia.

SEGURIDAD EN EL ACCESO Y USO DEL SOFTWARE

Que empleados o usuarios puedan accesar a espacios del sistema para los cuales no cuenten con la respectiva autorización o no hayan recibido los password o claves de acceso para ello.

Se verificará que tan seguro es el sistema solicitando al programador que intente violar la seguridad del sistema, claro está que con la debida autorización y presencia de un administrador o representante de la administración.Al finalizar se dejará constancia por escrito del proceso desarrollado.

Se hará en una sola ocasión y trtando de accesar a un archivo utilizado por usuarios de nivel inferior.





RIESGO


DETECCIÓN

SEGURIDAD

SEGURIDAD EN LA OPERACIÓN DEL HARDWARE

Que el equipo esté mal conectado y en algún momento pueda originarse en él un corto circuito u otro siniestro.

Se verificará que los equipos estén correctamente conectados y que sean funcionales.

Se aplicará al 100% de los equipos.

SEGURIDAD EN LAS TELECOMUNICACIONES

Que el internet se esté utilizando para fines personales de los usuarios.

Se verificará si las máquinas se encuentran en red, si todas tienen acceso a internet y si se puede monitorear en algún momento lo que están haciendo los usuarios

Se harán los procedimientos a un 5% de las máquinas.



PROGRAMA DE AUDITORIAAUDITORIA DE ESTADOS FINANCIEROS.

NOMBRE DEL CLIENTE: HILOSA S.A. de C.V. NOMBRE COMERCIAL: HILOSA S.A. de C.V.ACTIVIDAD PRINCIPAL: Fabricación y comercialización de telas.PERIODO AUDITADO: Del 1 de enero al 31 de diciembre de 2009.

PROCEDIMIENTO HECHO POR REF.PT’s

FOLIO

HARDWARE:

COMPUTADORES:

1. Realizar cédulas narrativas en las cuales se exprese si el inventario de los hardwares que adquirió la entidad, se encuentre en el lugar correspondiente.

2. Plasmar en cédulas narrativas si los diversos componentes del hardware, están siendo aprovechados al máximo y si se están utilizando como corresponde.

PERIFERICOS:

1. Efectuar cédulas narrativas en las que se constate si se han efectuado los registros de los periféricos comprados y agregados a cada uno de los computadores y el lugar en que deben estar y verificar que estén donde corresponden.



2. Plasmar en cédulas narrativas si los componentes y periféricos están siendo utilizados con los fines para los cuales fueron solicitados y no para obtener beneficios personales.

PROCEDIMIENTOHECHO

PORREF.PT’S

FOLIO

SOFTWARE:

SOFTWARE DE USOS GENERALES:

1. Realizar cédulas narrativas en las cuales se exprese si los documentos muestran el inventario del software de la entidad y verificar si las licencias están bajo la custodia de una persona con la autoridad para resguardarlos.

2. Plasmar en cédulas narrativas si hay algún procedimiento de control institucional que impida que las personas lleven artículos de la entidad a sus casas.

3. Efectuar cédulas narrativas en las que se exprese si las condiciones del lugar en que se encuentra resguardado el software es el adecuado.

4. Plasmar en cédulas narrativas si se contratará con un perito, para que realice las pruebas al software, con el propósito de verificar si está funcionando correctamente y si su instalación cumple con las condiciones de la empresa fabricante.


Ahuachapán, El Salvador.SOFTWARE DE USO ESPECIFICO:

1. Efectuar cédulas narrativas que expresen si los documentos que muestran el inventario del software diseñado por los encargados del área de informática y verificar que el software esté bajo la custodia de una persona con la autoridad para resguardarlos.

2. Realizar cédulas narrativas sobre si hay algún procedimiento de control institucional que impida que las personas lleven artículos de la entidad a sus casas.

3. Plasmar en cédulas narrativas si las condiciones del lugar en que se encuentra resguardado el software es el adecuado.

4. Expresar en cédulas narrativas si se contratará con un perito, para que realice las pruebas al software, con el propósito de verificar si está funcionando correctamente y si su utilidad responde a las necesidades específicas de la institución.

PERSONAL:

PERSONAL DEL AREA DE INFORMATICA:

1. Efectuar cédulas narrativas que expresen si los empleados del área de informática se sienten satisfechos con el trato dentro de la entidad y su grado de lealtad a la misma.

2. Plasmar en cédulas narrativas si los empleados del área de informática llevan bienes de la sociedad a sus casas.

3. Realizar cédulas narrativas sobre los registros que la empresa tiene sobre las


Ahuachapán, El Salvador.respectivas capacitaciones recibidas por los empleados del área de informática

4. Realizar cédulas narrativas sobre si hay algún procedimiento de control institucional que impida que las personas lleven artículos de la entidad a sus casas.

USUARIOS DEL SISTEMA INFORMATICO:

1. Efectuar cédulas narrativas que expresen si los usuarios han recibido el adiestramiento necesario en el uso del software y si al inicio recibieron la inducción correspondiente.

2. Plasmar en cédulas narrativas si los empleados de la entidad utilicen el software y hardware para los fines establecidos por la entidad y siguiendo las políticas de la misma.

INSTALACIONES ELÉCTRICAS :

RED ELÉCTRICA:

1. Efectuar cédulas narrativas sobre si los tomas a los cuales se encuentra conectado el equipo informático están debidamente polarizados con el fin de evitar sobrecargas eléctricas.

2. Plasmar en cédulas narrativas si se contará con la ayuda de un electricista para que verifique si las instalaciones eléctricas cumplen con las condiciones mínimas de funcionamiento y que todavía no sean obsoletas.



SEGURIDAD:

SEGURIDAD FISICA DE LOS SISTEMAS INFORMATICOS:

1. Realizar cedulas narrativas acerca de los equipos que están ubicados muy cerca de lugares húmedos para tomar las debidas precauciones, y que el calor sea mucho.

SEGURIDAD LOGICA DEL SISTEMA

1. Se llevara acabo una cedula narrativa y se le pedirá al perito en programación que aplique algunos datos del sistema los cuales también se realizarán los cuales también se realizarán de manera manual para ver que estos den resultados iguales, y de no serlo se sugerirán las posibles correcciones.

SEGURIDAD DEL PERSONAL.

1. De acuerdo a la verificación de la ubicación de las máquinas que no esté tan cercana a las personas y que tengan sus respectivos protectores de pantalla para minimizar el daño a los ojos se realizara una cedula narrativa de lo observado.

SEGURIDAD DE LA INFORMACION Y LAS BASES DE DATOS

1. Efectuar una cedula narrativa con la verificación si la empresa tiene fuera de su local un área o local de seguridad para archivar discos y otros documentos de respaldo para su determinación.

SEGURIDAD EN EL ACCESO Y USO DEL SOFTWARE



1. Realizar una cedula narrativa con respecto a la verificación de que tan seguro es el sistema solicitando al programador que intente violar la seguridad del sistema, claro está que con la debida autorización y presencia de un administrador o representante de la administración. Para poder concluir la revisión y llevar acaba la culminación de ello.

SEGURIDAD EN LA OPERACIÓN DEL HARDWARE

1. Efectuar una cedula narrativa sobre si los equipos están correctamente conectados y que sean funcionales.

SEGURIDAD EN LAS TELECOMUNICACIONES

1. Plasmar en una cedula narrativa si las máquinas se encuentran en red, si todas tienen acceso a internet y si se puede monitorear en algún momento lo que están haciendo los usuarios.

AUDITOR: LICDA. LESBIA SORAIDA SANCHEZ OSORIO

AUTORIZACIÓN No.: ----2876----

REPRESENTANTE LEGAL.



RECURSOS A UTILIZAR EN LA AUDITORIA

HUMANOSAuditorAuditores auxiliaresProgramador analistaEspecialista en redes informáticas

MATERIALESFoldersPapel BondCombustiblesLapicerosComputadoras

TIEMPOSe espera realizar la auditoría al sistema conformado de 40 computadoras conectadas en red en un tiempo probable de 10 días.

FINANCIEROS

Efectivo por $ 1,762.00



PRESUPUESTO PARA LA AUDITORIA

No. RECURSO

VALOR POR HORA

VALOR TOTAL

VALOR TOTAL RUBRO

HUMANOS

1 Auditor (30 horas hombre) $ 10.00 $ 300.00

2Auditores Auxiliares (2 personas) $ 7.00 $ 700.00

3 Programador analista $ 6.25 $ 250.00 4 Especialista en redes $ 6.25 $ 250.00 5 Electricista $ 5.00 $ 100.00

TOTAL RUBRO $ 1,600.00

MATERIALES

1 Folders $ 5.00 $ 5.00 2 Papel bond $ 5.00 $ 5.00 3 Combustibles $ 50.00 $ 50.00 4 Lapiceros $ 2.00 $ 2.00 5 Computadoras $ 100.00 $ 100.00

TOTAL RUBRO $ 162.00

TOTAL GENERAL $ 1,762.00



CRONOGRAMA DE ACTIVIDADES

No. ACTIVIDAD O TAREADIA

1DIA

2DIA

3DIA

4DIA

5DIA

6DIA

7DIA

8DIA

9DIA 10

1 Realización de Visita preliminar 2 Elaboración de Plan de Auditoría 3 Elaboración de Cuestionario de Control interno 4 Visita para contestar el cuestionario de control interno 5 Análisis del cuestionario y elaboración de Planilla de Decisiones Preliminares 6 Ejecución de las actividades presentadas en el Programa de Auditoría 7 Revisión de sistema de redes 8 Revisión de la funcionalidad de los sistemas por el Programador 9 Revisión de funcionalidad del sistema eléctrico por el electricista

10 Presentación del informe de Auditoría



PESO PORCENTUAL DE CADA AREA A EVALUAR

No.

AREA A EVALUAR PESO O PONDERACIÓN

1 Computadores 5%2 Periféricos 5%3 Software de uso general 5%4 Software de uso específico 10%5 Personal del área de informática 10%6 Usuarios del sistema informático 5%7 Red eléctrica 10%8 Seguridad física de los sitemas informáticos 5%9 Seguridad lógica del sistema 10%10 Seguridad del personal 5%11 Seguridad de la información y las bases de datos 10%12 Seguridad en el acceso y uso del software 10%13 Seguridad en la operación del harware 5%14 Seguridad en las telecomunicaciones 5%

TOTAL 100%



“REFERENCIAS DE AUDITORÍA”

REFERENCIAS DE AUDITORÍA DESCRIPCIÓN DE LA MARCA

A

B

C

D

E

F

G

H

I

J

K

L

M

N

Computadores

Periféricos

Software de uso general

Software de uso específico

Personal del área de informática

Usuarios del sistema informático

Red eléctrica

Seguridad física de los sistemas informáticos

Seguridad lógica del sistema

Seguridad del personal

Seguridad de la información y las bases de datos

Seguridad en el acceso y uso del software

Seguridad en la operación del hardware

Seguridad en las telecomunicaciones



“MARCAS DE AUDITORÍA”

MARCAS DE AUDITORÍA DESCRIPCIÓN DE LA MARCA

€

₤

∫

∆

¥

ℓ

£

₣

√

Obtenido del inventario de la empresa

Obtenido de la Gerencia

Obtenido de otros documentos

Obtenido de terceros

Obtenido de empleados del área de informática

Cotejado con el inventario

Verificado por el auditor

Revisado por el especialista en redes

Verificado por el programador

Verificado por el electricista



METODOLOGÍA Y PROCEDIMIENTOS

1. El Primer día, el Auditor Senior y los Auditores Junior de la sociedad, visitarán al cliente, en el lugar donde se realizará la auditoría, para identificar la magnitud de los procedimientos a desarrollar y tener un acercamiento con los funcionarios y empleados de la empresa.

2. El segundo día, se llevará a cabo la elaboración de la Planeación de la Auditoría, para identificar las posibles áreas que representen riesgo dentro de la organización y que afecten al sistema informático. Además se elaborará el cuestionario de Control Interno, con el cual se buscará recabar información, que nos ayudará a identificar el tipo de riesgo que presente cada componente o área a evaluar.

3. El tercer día en la jornada matutina, se visitará el lugar de trabajo con el propósito de solicitar a los funcionarios, empleados del área de informática y usuarios del sistema, que respondan el cuestionario de control interno. La visita será por los Auditores Junior.

4. El día cuatro, con los resultados obtenidos, los auditores elaborarán la planilla de decisiones preliminares, evaluando el tipo de riesgo que presenta cada área y definiendo algunos procedimientos que será necesario realizar.

5. Desde el quinto hasta el noveno día de realización de la auditoría, los auditores y peritos contratados, visitarán el centro de trabajo para realizar los procedimientos de auditoría necesarios, con el fin de obtener la evidencia suficiente y competente que sirva para la elaboración del informe de auditoría.

6. El noveno y décimo día, se analizarán los datos, y se elaborará el informe de auditoría que será presentado a la administración de HILOSA S.A. DE C.V.



MÉTODOS DE PRUEBA

Se solicitará a los auditores junior que desarrollen los procedimientos expresados en el plan de auditoría.

En ellos se verificará que los peritos contratados para las diferentes áreas pongan a prueba los sistemas de la organización, insertando claves falsas, para ver como reacciona el sistema.A continuación se solicitará que un empleado autorizado de un nivel inferior, inserte su clave y luego el experto en inforática tratará de accesar a documentos que solo se deberían ver por funcionarios de nivel superior.Por lo tanto lo que se verificará es la seguridad que ofrezca el sistema.

Se harán pruebas, por otro lado en lo concerniente a las instalaciones eléctricas, con el fin de verificar que estén en buen estado y se tratará de provocar fallas al sistema eléctrico, para verificar su vulnerabilidad.

En cuanto a las redes, se tratará desde una máquina, accesar a otras que no se debiera tener acceso con el fin de verificar su vulnerabilidad.



SITUACIONES ALTERNAS

En el caso de que todos los equipos estén constantemente ocupados, se buscará la forma de que se autorice, con la presencia de un funcionario o empleado de confianza, que algunos procedimientos se puedan realizar fuera de la jornada laboral, con el propósito de no entorpecer las labores cotidianas.

En el caso de no haber vigilante, que pueda revisar los bienes de los empleados, se verificará si existe alguna forma alterna de asegurar que los empleados no retiren los bienes de la empresa.

En el caso de que al momento de la auditoría no se encuentren los funcionarios que nos hayan contratado, se les pedirá que nombren a una persona, de preferencia del área de informática para que, dé fe del trabajo que se está realizando y se mantenga la transparencia.



ASIGNACION DE RECURSOS Y SISTEMAS COMPUTACIONALES PARA LA AUDITORÍA

Las laptop de nuestra empresa, serán asignadas a los dos auditores, senior de nuestra empresa para que puedan en ellas realizar los respectivos procedimientos de auditoría y la anotación de los aspectos importantes, así como el registro de la evidencia en su orden. También servirá para el análisis de los resultados y la elaboración del informe de auditoría.

El combustible será para el vehículo propiedad de la firma de auditoría al cual se le echarán $ 5.00 de combustible por día. Cantidad que alcanza para el movimiento.

La papelería será utilizada para la elaboración y resguardo de los papeles de trabajo y estarán en manos del auditor senior Judith Ester Alvarez Pineda, quien será responsable de su custodia.

Planeacion De Auditoria De Sistemas Informaticos

Education

Transcript of Planeacion De Auditoria De Sistemas Informaticos