planeacion de auditoria

AUDITORIA DE SISTEMAS

PLANEACION DE AUDITORIA DE

SISTEMAS INFORMATICOS

•José Manuel Salamanca Coppa 08-31807

•Jorge Arocutipa Chura 08-31798

•Percy Poma Alberto 08-31816

•Cristian Jesús Mamani Mamani 08-31790

UNIVERSIDAD NACIONAL JORGE BASADRE GROHMANNFacultad de Ciencias Jurídicas y Empresariales

E.A.P. Ciencias Contables y Financieras

• EMPRESA : HILOSA S.A DE C.V.

• SOCIEDAD ENCARGADA : RTS113 S.A.C.

• PERIODO AUDITADO : DEL 1 DE ENERO AL 31 DE DICIEMBRE DE 2011.

• DIRECCION : AV.TACNA S/N

• TELEFONO : 2443-1888

NGAS S 1“Estatuto de Auditoría”

Es una carta decompromiso quecomunica elpropósito, laresponsabilidad ylas limitaciones de laauditoría asignada.

PERSONAL ENCARGADO ESPECIALIDAD

Jose Manuel Salamanca Coppa Auditor especialista

Cristian Mamani Mamani Ing. De Sistemas

Jorge Arocutipa Chura Asistente de Auditor

Percy Poma Alberto Asistente de Ing. De Sistemas

NORMAS PERSONALES

El auditor deberá poseer preparación técnica y capacidad profesional adecuada.Deberá observar diligencia profesional en la ejecución del trabajo y en laelaboración del informe.Deberá adoptar una actitud independiente.

PERSONAL DE AUDITORÍA

La comisión de auditoria ha sido designada de la siguiente manera:

NOMBRES Y APELLIDOS CATEGORIA INICIALES

CPC. JOSE MANUEL SALAMANCA COPPA Auditor especialista JMSC

ING. SIS. CRISTIAN MAMANI MAMANI Ing. De Sistemas CMM

CPC. JORGE AROCUTIPA CHURA Asistente de Auditor JACH

ING. SIS. PERCY POMA ALBERTO Asistente de Ing. De Sistemas

PPA

AUDITORÍA DE SISTEMAS AL ÁREA DE SISTEMAS INFORMATICOS A LA EMPRESA HILOSA S.A.

NGAS N 2“Independencia”

El Auditor de Sistema deInformación tiene que serindependiente en actitud yapariencia.

NGAS N 3“Ética y Estándares

Profesionales”

El auditor de SI tiene que cumplircon el Código de Ética Profesionalde ISACA

NGAS N 4“Competencia Profesional”

Tener las destrezas y losconocimientos para realizar latarea de auditoría.

AUDITORÍA DE SISTEMAS AL ÁREA DE SISTEMAS INFORMATICOS A LA EMPRESA HILOSA S.A.

MEMORÁNDUM DE PLANIFICACIÓN

1. ORIGEN DEL EXAMEN

La presente Auditoría de Sistemas se realiza en cumplimiento a lasacciones programadas para el periodo 2011 por La Empresa AuditoraRts113 S.A.C. el cual fue aprobado por las normas pertinentes.

LA AUDITORIA DE SISTEMAS INFORMATICOSEMPRESA HILOSA S.A .

NORMA(S) Y GUÍA DE AUDITORÍA DE SI S5 – Planeación y G15 - Planeación

OBJETIVOS

OBJETIVOS GENERALES

El mismo que permitirá generar unrespaldo en la emisión del informe a laauditoria practicada

Evaluar el funcionamiento y seguridadde los sistemas informáticos de laempresa

Realizar un estudio suficiente de lasoperaciones del área informática de laempresa

NORMA(S), GUÍA DE AUDITORÍA DE SI YMARCO REFERENCIAL DEL COBIT

S5 – Planeación, S11 – Gobernabilidad de TI S15 - Controles de TI, G15– Planeación, G16 – Efectos de terceros en los controles de TI de unaorganización y Marco Referencial del COBIT, Objetivos de Control.

PROCEDIMIENTO(S) Y TÉCNICAS(S) Objetivos de controles y objetivos de auditoríaProcedimiento de auditoría: Revisión de la documentación de sistemase identificación de controles existentes.

NGAS N 5“Planeacion”

El auditor de SI debe desarrollar ydocumentar un plan de auditoría quedetalle la naturaleza y los objetivos dela auditoría, los plazos y alcance, asícomo los recursos requeridos

OBJETIVOSESPECIFICOS

•Evaluar si la persona encargada del mantenimiento yprogramación del sistema informático de la empresa cumplecon el perfil del puesto.

•Identificar las áreas críticas, con respecto a la seguridad delequipo del área de informática.

•Diseñar los procedimientos a efectuar en el desarrollo de laauditoría del área de informática.

•Establecer el alcance en cuanto a los procedimientos, de talmanera que conduzcan a la formulación del informe de laauditoria de sistemas.

OBJETIVOS

NORMA(S), GUÍA DE AUDITORÍA DE SI YMARCO REFERENCIAL DEL COBIT

S5 – Planeación, S11 – Gobernabilidad de TI S15 - Controles de TI, G15– Planeación, G16 – Efectos de terceros en los controles de TI de unaorganización y Marco Referencial del COBIT, Objetivos de Control.

PROCEDIMIENTO(S) Y TÉCNICAS(S) Objetivos de controles y objetivos de auditoríaProcedimiento de auditoría: Revisión de la documentación de sistemase identificación de controles existentes.

NGAS N 5“Planeacion

”

El auditor de SI debedesarrollar ydocumentar un plan deauditoría que detalle lanaturaleza y losobjetivos de laauditoría, los plazos yalcance, así como losrecursos requeridos

ESTUDIO Y EVALUACIÓN DEL CONTROL INTERNO( AREAS CRITICAS)

Esta fase constituye el inicio de la planeación, aunque sea preparada con anterioridad; susresultados son los que generan la verdadera orientación de las subsiguientes fases delproceso, sin ser excluyentes, se deben considerar los siguientes aspectos:

GESTION ADMINISTRATIVA

Conocer y analizar las operaciones a las cuales se dedicael negocio y la forma en que está estructurado tantodesde del punto de vista organizacional y administrativo

Verificar si se ha diseñado un manual de organización yfunciones a ser aplicado a los y por los usuarios del áreade informática

Verificar si las contrataciones del personal del área deinformática se han realizado con base a los criteriosestablecidos en el manual de funciones y cumplen elperfil del puesto

NORMA(S) Y GUÍA DE AUDITORÍA DE

SI

S5 - Planeación, S11-Uso de la evaluación de riesgos en la

planeación de la auditoría y G - 13

PROCEDIMIENTO(S) Y TÉCNICAS(S) Riesgo y materialidad de auditoría

Técnicas de evaluación de riesgos

Procedimiento de auditoría: Revisión de la documentación de

sistemas e identificación de controles existentes.

NGAS N 10

“Gobernabilidad de TI”

Establecer y proporcionar asesoría enlas áreas de gobernabilidad de TI queel auditor de SI debe tener en cuentadurante el proceso de auditoría.El auditor de SI debe utilizar unenfoque basado en riesgos paraevaluar la función de SI.

GESTION INFORMATICA

Examinar la información preliminar correspondiente al área de informática.

Conocimiento de las instalaciones físicas del negocio, materiales, mobiliario, inmuebles, equipos, inventarios y otros que tienen relación al área de informática y la ubicación de sucursales, en caso de que también utilicen dicho sistema.

Verificar si los programas utilizados dentro de la entidad han sido diseñados específicamente para la empresa y hasta que punto estos programas son operativos y satisfacen las necesidades de la entidad.

Naturaleza y tratamiento de las operaciones realizadas por medio de los sistemas informáticos.

NORMA(S) Y GUÍA DE AUDITORÍA DE

SI

S5 - Planeación, S11-Uso de la evaluación de riesgos en la

planeación de la auditoría y G - 13

PROCEDIMIENTO(S) Y TÉCNICAS(S) Riesgo y materialidad de auditoría

Técnicas de evaluación de riesgos

Procedimiento de auditoría: Revisión de la documentación de

sistemas e identificación de controles existentes.

NGAS N 10

“Gobernabilidad de TI”

Establecer y proporcionar asesoría en las áreas degobernabilidad de TI que el auditor de SI debe tener encuenta durante el proceso de auditoría.El auditor de SI debe utilizar un enfoque basado en riesgospara evaluar la función de SI.

CARGOS Y NOMBRES DEL PERSONAL ENCARGADO

CARGO NOMBRES Y APELLIDOS

GERENTE GENERAL LIC. RODRIGO AYLLON LOPEZ

JEFE DEL AREA DE INFORMATICA ING. NESTOR PARI

REPRESENTANTE DEL PERSONAL DEL

AREA DE INFORMATICAING. CARLOS TELLEZ

JEFE DEL AREA DE CONTABILIDAD CPC. LINO MANUEL ACERO MAMANI

LA AUDITORIA DE SISTEMAS INFORMATICOSEMPRESA HILOSA S.A .

NGAS N 15

“Controles” El auditor debe asistir a la gerencia proporcionando

consejos con respecto al diseño y la mejora de controles

de TI.

METODOS APLICABLES PARA SU DOCUMENTACION

A) DESCRIPTIVO

La documentación utilizada durante la auditoría, será enprimer lugar de tipo descriptiva o sea basada en lanarración verbal de los procedimientos, la cuales sonconocidas como cédulas narrativas

B) CUESTIONARIO

En segundo lugar, los procedimientos se documentarána través de la reelaboración de preguntas, contestadaspersonalmente por los líderes de la empresa o por elpersonal encargado de los sistemas informáticos y poralgunos usuarios dentro de la empresa que tengarelación con el mismo

NGAS N 6“REALIZACIÓN DE

LABORES DE AUDITORÍA”

Evidencia—Durante el transcurso de la auditoría, el auditor de SI debeobtener evidencia suficiente, confiable y pertinente para alcanzar losobjetivos de auditoría. Los hallazgos y conclusiones de la auditoríadeberán ser soportados mediante un apropiado análisis e interpretaciónde dicha evidencia

CUESTIONARIO DE CONTROL INTERNO

PREGUNTAS SI NO N/A

ASPECTOS RELACIONADOS AL ÁREA DE INFORMÁTICA.

Existe dentro de la empresa un área de informática?

SI LA RESPUESTA FUE SI:1. Ante quien rinden cuentas de su gestión?2. Se ha nombrado un gerente para esta área?3. Está identificada dicha área dentro del organigrama

general de la empresa?4. Se tiene un organigrama específico de dicha área?5. Hay un manual de organización y funciones aplicables a

dicha área?6. Están delimitadas las funciones de cada integrante del

área de informática?7. Cada empleado del área de informática conoce la

persona ante la que tiene que rendir cuentas de su labor

NGAS N 6“REALIZACIÓN DE

LABORES DE AUDITORÍA”

Evidencia—Durante el transcurso dela auditoría, el auditor de SI debeobtener evidencia suficiente,confiable y pertinente para alcanzarlos objetivos de auditoría. Loshallazgos y conclusiones de laauditoría deberán ser soportadosmediante un apropiado análisis einterpretación de dicha evidencia


PREGUNTAS SI NO N/A

ASPECTOS RELACIONADOS AL ÁREA DE INFORMÁTICA.

Existe dentro de la empresa un área de informática?

SI LA RESPUESTA FUE SI:1. Ante quien rinden cuentas de su gestión?2. Se ha nombrado un gerente para esta área?3. Está identificada dicha área dentro del organigrama

general de la empresa?4. Se tiene un organigrama específico de dicha área?5. Hay un manual de organización y funciones aplicables a

dicha área?6. Están delimitadas las funciones de cada integrante del

área de informática?7. Cada empleado del área de informática conoce la

persona ante la que tiene que rendir cuentas de su labor

NGAS N 9“IRREGULARIDADES Y ACCIONES ILEGALES

”

El auditor de SI debe mantener unaactitud de escepticismo profesionaldurante la auditoría, reconociendola posibilidadde que podrían existirdeclaraciones materialmenteincorrectas debido airregularidades y acciones ilegales,independientemente de su propiaevaluación del riesgo deirregularidades y acciones ilegales.

PREGUNTAS SI NO N/A

ASPECTOS RELACIONADOS AL HARDWARE

1. En alguna ocasión se ha extraviado alguna laptop oalgún proyector de cañón propiedad de la empresa?

2. En alguna ocasión se ha extraviado algún periférico(bocinas, audífonos, teclado, mouse, teclado numérico,etc.) de una computadora?

3. Si hay vigilante, ¿Revisa éste que los empleados nolleven artículos que no son de su propiedad?

4. En alguna ocasión le han quemado discos o guardadoinformación en los equipos de la entidad?

5. Cada componente de su computadora y periféricos tienela numeración respectiva del inventario?



”


PREGUNTAS SI NO N/A

ASPECTOS RELACIONADOS AL SOFTWARE

1. Se utilizan programas como el Office de Microsoft u otrosprogramas para los que la empresa haya comprado laslicencias correspondientes?

2. Los empleados pueden utilizar el equipo informático de laentidad para elaborar documentos o diseños para usopersonal?

3. Hay una persona nombrada como responsable deresguardar el software comprado por la empresa?

4. Para el resguardo de los diversos discos de programas, setiene un archivadero adecuado?

5. El software comprado por la entidad le facilita su trabajo?6. Los programas antes mencionados son justo lo que

necesita para sus actividades laborales?7. Existen programas diseñados y elaborados por el área de

informática, con los procedimientos específicos para lasactividades que la entidad desarrolla?



”


CRONOGRAMA DE ACTIVIDADES

No

.ACTIVIDAD O TAREA

DI

A 1

DIA

2

DI

A 3

DIA

4

DI

A 5

DIA

6

DIA

7

DIA

8

DIA

9

DIA

10

1 Realización de Visita preliminar

2 Elaboración de Plan de Auditoría

3 Elaboración de Cuestionario de Control interno

4 Visita para contestar el cuestionario de control interno

5Análisis del cuestionario y elaboración de Planilla de

Decisiones Preliminares

6Ejecución de las actividades presentadas en el Programa de

Auditoría

7 Revisión de sistema de redes

8Revisión de la funcionalidad de los sistemas por el

Programador

9Revisión de funcionalidad del sistema eléctrico por el

electricista

10 Presentación del informe de Auditoría

El auditor donde resulteapropiado, considerara el usodel trabajo de otros expertospara realizar la auditoría.

NGAS N 13“Uso del trabajo de

otros expertos”

El auditor de SI debe evaluar, revisar y calificar el trabajo de otros expertos como parte de la auditoría y concluirel grado de utilidad y la fiabilidad del trabajo del experto


No

.ACTIVIDAD O TAREA

DI

A 1

DIA

2

DI

A 3

DIA

4

DI

A 5

DIA

6

DIA

7

DIA

8

DIA

9

DIA

10








Auditoría



Programador


electricista


NGAS N 6

“Ejecución de la

Auditoría”

El auditor de SI

debe ser

supervisado,

encontrar evidencia

suficiente y

elaborar

documentación que

sustente sus

labores.


No

.ACTIVIDAD O TAREA

DI

A 1

DIA

2

DI

A 3

DIA

4

DI

A 5

DIA

6

DIA

7

DIA

8

DIA

9

DIA

10








Auditoría



Programador


electricista


NGAS N 7“Reporte”

El auditor de SI debesuministrar un informe alfinalizar la auditoría

ProcedimientosReferencia

P/TFecha Hecho por

Objetivo :

Evaluar el funcionamiento y seguridad de los sistemas informáticos de laempresaRealizar un estudio suficiente de las operaciones del área informática de laempresa

Procedimientos:

1. Solicite los documentos normativos que regulan el área de informáticade la empresa LA EMPRESA HILOSA S.A

2. Evaluar todo lo relacionado con la infraestructura como: paredes pisos,techo e instalaciones eléctricas, su correspondiente mantenimiento yremodelaciones de la misma.

3. Evaluar la distribución del equipo, es adecuado el equipo de cómputopara el desarrollo de las práctica, es suficiente la cantidad de equipo decómputo, se están dejando de realizar actividades por falta de equipode cómputo y recursos tecnológicos; otros, mantenimiento y seguridadpara proteger el mobiliario,

4. Verifique y realice un estudio sobre la capacidad operativa del personaly aclarar si estos puestos vienen siendo ocupados por personalespecializado en el área.

5. Revisar el licenciamiento y facturación del software, su actualización,servicios de mantenimiento, así como la instalación innecesaria deprogramas, además si carecen de programas para la realización dealguna práctica

Del 01 al 10

de enero

Del 01 al 02

de enero

Del 02 al 03

enero

Del 03 al 04

de enero

Del 04 al 07

de enero

Del 07-10

de enero

CMM

JACH

PPA

JACH

JMSC

JMSC

PROGRAMA DE AUDITORIA DE LA EMPRESA HILOSA S.A.C.

ProcedimientosReferencia

P/TFecha Hecho por

Objetivo :

Evaluar el funcionamiento y seguridad de los sistemas informáticos de laempresaRealizar un estudio suficiente de las operaciones del área informática de laempresa

Procedimientos:

1. Solicite los documentos normativos que regulan el área de informáticade la empresa LA EMPRESA HILOSA S.A

2. Evaluar todo lo relacionado con la infraestructura como: paredes pisos,techo e instalaciones eléctricas, su correspondiente mantenimiento yremodelaciones de la misma.

3. Evaluar la distribución del equipo, es adecuado el equipo de cómputopara el desarrollo de las práctica, es suficiente la cantidad de equipo decómputo, se están dejando de realizar actividades por falta de equipode cómputo y recursos tecnológicos; otros, mantenimiento y seguridadpara proteger el mobiliario,

4. Verifique y realice un estudio sobre la capacidad operativa del personaly aclarar si estos puestos vienen siendo ocupados por personalespecializado en el área.

5. Revisar el licenciamiento y facturación del software, su actualización,servicios de mantenimiento, así como la instalación innecesaria deprogramas, además si carecen de programas para la realización dealguna práctica

Del 01 al 10

de enero

Del 01 al 02

de enero

Del 02 al 03

enero

Del 03 al 04

de enero

Del 04 al 07

de enero

Del 07-10

de enero

CMM

JACH

PPA

JACH

JMSC

JMSC

PROGRAMA DE AUDITORIA DE LA EMPRESA HILOSA S.A.C.

NGAS N 5“Planeacion”

El auditor de SI debe desarrollar un programa y/o plan de auditoría detallando la naturaleza, los plazos y el alcance de losprocedimientos requeridos para completar la auditoría.

METODOLOGÍA Y PROCEDIMIENTOS

1.El Primer día, el Auditor Sénior y los Auditores Junior de la sociedad, visitarán al cliente, en ellugar donde se realizará la auditoría, para identificar la magnitud de los procedimientos adesarrollar y tener un acercamiento con los funcionarios y empleados de la empresa.

2.El segundo día, se llevará a cabo la elaboración de la Planeación de la Auditoría, para identificarlas posibles áreas que representen riesgo dentro de la organización y que afecten al sistemainformático. Además se elaborará el cuestionario de Control Interno, con el cual se buscarárecabar información, que nos ayudará a identificar el tipo de riesgo que presente cadacomponente o área a evaluar.

3.El tercer día en la jornada matutina, se visitará el lugar de trabajo con el propósito de solicitar alos funcionarios, empleados del área de informática y usuarios del sistema, que respondan elcuestionario de control interno. La visita será por los Auditores Junior.

4.El día cuatro, con los resultados obtenidos, los auditores elaborarán la planilla de decisionespreliminares, evaluando el tipo de riesgo que presenta cada área y definiendo algunosprocedimientos que será necesario realizar.

03 El auditor de SI debe cumplir con el Código de Ética Profesional de ISACA al realizar tareas de auditoría.04 El auditor de SI debe ejercer el debido cuidado profesional, lo cual incluye cumplir con los estándares profesionales de

auditoría aplicables al realizar tareas de auditoría.

NGAS S 3“NORMA DE AUDITORÍA DE SI ÉTICA Y NORMAS PROFESIONALES

MÉTODOS DE PRUEBA

Se solicitará a los auditores junior que desarrollen los procedimientos expresados en el plan de auditoría.

En ellos se verificará que los peritos contratados para las diferentes áreas pongan a prueba los sistemas de la organización, insertando claves falsas, para ver como reacciona el sistema.

A continuación se solicitará que un empleado autorizado de un nivel inferior, inserte su clave y luego el experto en informática tratará de accesar a documentos que solo se deberían ver por funcionarios de nivel superior.

Por lo tanto lo que se verificará es la seguridad que ofrezca el sistema.

Se harán pruebas, por otro lado en lo concerniente a las instalaciones eléctricas, con el fin de verificar que estén en buen estado y se tratará de provocar fallas al sistema eléctrico, para verificar su vulnerabilidad.

En cuanto a las redes, se tratará desde una máquina, accesar a otras que no se debiera tener acceso con el fin de verificar su vulnerabilidad.

03 El auditor de SI debe cumplir con el Código de Ética Profesional de ISACA al realizar tareas de auditoría.04 El auditor de SI debe ejercer el debido cuidado profesional, lo cual incluye cumplir con los estándares profesionales de

auditoría aplicables al realizar tareas de auditoría.

NGAS S 3“NORMA DE AUDITORÍA DE SI ÉTICA Y NORMAS PROFESIONALES

CONCLUSIONES

La auditoria de sistemas informáticos tiene como base principal lasNGAS, que son consideradas como requisitos básicos para realizar lalabor del auditor de sistemas

El Auditor junto a su equipo de trabajo deberán tener ampliainformación sobre sistemas informáticos, los mismos que garanticenun desempeño mas eficiente en su labor

La auditoria de sistemas de información al momento de evaluar lossistemas informáticos de la empresa no solo debe hacerlo a la partedel software y hardware si no también a los procedimientos deingreso de dichos componentes

planeacion de auditoria

Documents

ngas s

sistemas informticos

documentacin de sistemas

gua de auditora

rea de sistemas informaticos

auditora asignada

tarea de auditora

empresa auditora rts113