• Author / Uploaded
• marcos

Citation preview

UNIVERSIDAD TECNOLÓGICA DE CANCÚN AUDITORÍA DE SISTEMAS DE T.I

“PLAN DE AUDITORÍA”

12/11/2019 MARCOS ANTONIO PALOMINO CRUZ Marcos Antonio Palomino Cruz (Programador Analista)

Contenido Plan de auditoría ................................................................................................................................. 2 Origen de la auditoría ...................................................................................................................... 2 Presentación de la empresa ............................................................................................................ 2 Objetivos de la auditoría .................................................................................................................. 3 Objetivo General.............................................................................................................................. 4 Objetivos Específicos ...................................................................................................................... 4 Alcance de la Auditoría ................................................................................................................... 4 Actividades de la empresa .............................................................................................................. 5 Protagonistas y roles ....................................................................................................................... 5 Organigrama.................................................................................................................................... 6 Descripción del área de T.I ............................................................................................................. 7 Definición del problema ................................................................................................................... 7 Análisis FODA ................................................................................................................................. 8 Normativa aplicativa ........................................................................................................................ 9 Identificación de áreas críticas y significativas .............................................................................. 10 Puntos de atención ........................................................................................................................ 10 Herramientas y técnicas ................................................................................................................ 11 Recursos materiales y personal de auditoria ................................................................................ 12 Funcionarios del área .................................................................................................................... 13 Presupuesto de tiempo / plan de trabajo ........................................................................................ 0 Diagrama de Gantt ...................................................................................................................... 0 Periodos y duración de actividades ............................................................................................. 1 Actividades y auditores ............................................................................................................... 2 Presupuesto .................................................................................................................................... 3 Notificación de la empresa .............................................................................................................. 0 Ejecución de Auditoría ........................................................................................................................ 1 Reunión de apertura ........................................................................................................................ 1 Cuestionario de entrevistas ............................................................................................................. 0 Check List ........................................................................................................................................ 0 Identificación de estructura de tecnología y uso ............................................................................. 2 Evidencias ....................................................................................................................................... 4 Reporte de análisis de riesgos detectados ......................................................................................... 0 Conclusiones ....................................................................................................................................... 0 Bibliografía........................................................................................................................................... 1

Plan de auditoría Origen de la auditoría La empresa DRUGSTORE, S.A. DE C.V, atiende pedidos mediante tres mecanismos diferentes, directamente con la droguería, por vía telefónica a unidad con respuesta automática y por vía telefónica a través de un operador que recibe pedidos y los registra de manera manual. La empresa actualmente recibe varias quejas de sus clientes, quienes no son informados correctamente de la existencia o inexistencia de productos y aún del no cumplimiento de los pedidos. La empresa les ofrece un contrato a sus clientes donde se compromete a proveerle adecuadamente los medicamentos solicitados en cada una de las entregas diarias que tiene previstas, pero debido a que no existen los controles y procedimientos adecuados, la empresa DRUGSTORE no provee la información ni los pedidos de manera correcta. Por eso la empresa requiere de una auditoria para que se puedan establecer los controles, políticas y procedimientos aplicables que administren más adecuadamente el negocio. Presentación de la empresa MAPC S.A DE C.V es una empresa mexicana de Auditores, especializada en Gestión de Riesgos, Seguridad y Auditoría de Sistemas de Información, con un enfoque proactivo y preventivo, orientado a la prevención y reducción de riesgos críticos y la implantación de la cultura de autocontrol. De esta manera ayuda a modernizar el Control Interno y la Auditoría de los Servicios y Productos de las empresas.

MISIÓN La prestación de servicios profesionales especializados y suministro de herramientas de productividad y soporte administrativo en los campos de Gestión de Riesgos Empresariales, Control Interno de Tecnología de Información (TI), Seguridad Informática, Auditorías Basadas en Riesgos de Tecnología de Información, procesos de negocio, servicios automatizados y Auditoría a Sistemas de Gestión (calidad, ambiental, seguridad de la información). VISIÓN Nuestra visión es posicionarnos a nivel Nacional entre las primeras empresas prestadoras de Servicios especializados de Auditoría de Sistemas, Auditoría de Procesos, Control Interno, Gestión de Riesgos y Seguridad de la Información, y obtener reconocimiento internacional en la prestación de estos servicios profesionales, con capacidad permanente de adaptación a los cambios y el uso de técnicas y herramientas de auditoría asistidas por computador de categoría mundial y desarrollos propios.

Objetivos de la auditoría Llevar a cabo la evaluación de normas, controles, técnicas y procedimientos que se tienen establecidos en la empresa para lograr confiabilidad, oportunidad, seguridad y confidencialidad de la información que se procesa a través de los sistemas de información con los que la empresa cuenta actualmente.

Objetivo General Brindar recomendaciones a la alta gerencia para mejorar o lograr un adecuado control interno en ambientes de tecnología informática con el fin de lograr mayor eficiencia operacional y administrativa. Objetivos Específicos 1. Participación en el desarrollo de nuevos sistemas: 

Evaluación de controles.



Cumplimiento de la metodología.

2. Evaluación de la seguridad en el área informática. 3. Evaluación de suficiencia en los planes de contingencia. 

Respaldos, prever qué va a pasar si se presentan fallas.

4. Opinión de la utilización de los recursos informáticos. 

Resguardo y protección de activos.

5. Control de modificación a las aplicaciones existentes. 

Fraudes.



Control a las modificaciones de los programas.

Alcance de la Auditoría 

La auditoría abarcará solamente el área de tecnología e informática de la empresa.



Se examinará detalladamente los registros ingresados al sistema, brindando mayor integridad, confidencialidad y confiabilidad de la información.



Se comprobará si la empresa posee un sistema para la comprobación y reparación de errores y si este los enmendada de manera eficiente.

Actividades de la empresa DRUGSTORE, S.A. DE C.V, droguería ubicada en la Capital Federal y el Gran Buenos Aires. Empresa que se dedica a proveer productos farmacéuticos a clientes con pequeñas, medianas y grandes empresas que se dedican a la venta de estos productos farmacéuticos. Sus actividades son las siguientes: 

Adquisición de Medicamentos e Insumos.



Almacenamiento de Fármacos.



Control de inventarios.



Dispensación de productos farmacéuticos.

Protagonistas y roles Empresa DRUGSTORE S.A DE C.V: La empresa que contrata los servicios de la empresa auditora, la cual presenta algunas deficiencias en su sistema de facturación, lo que pretende lograr la empresa es tener una retroalimentación para mejorar en sus procesos del área de TI.

Departamento de T.I: Es el departamento específico que será auditado. Ya que son los encargados que tienen el control y acceso de la información.

Clientes: Los clientes de la empresa son los que realizan las quejas, la misma droguería en cuestión ofrece un mecanismo de contacto para cada cliente respectivamente de su clasificación. Se clasifican en: clientes importantes, Clientes de mediana envergadura, Clientes de menor nivel.

Empresa MAPC S.A DE C.V: Es la empresa que llevará a cabo el proceso de auditoría con el fin de revisar los procesos de la droguería, a la cual se harán comentarios y una retroalimentación con respecto a los resultados de la auditoria.

Organigrama

Dirección de general de T.I

Coordinador de desarrollo de sosftware

Coordinador de soporte Técnico

AnalistaProgramador

Admistrador de redes y servidores

Descripción del área de T.I La empresa DRUGSTORE S.A DE C.V cuenta con el departamento de Tecnologías de la Información que está conformada por: 

Dirección general de informática: Encargado de que el departamento de informática funcione sin contratiempos y eficientemente.



Coordinador de desarrollo de software: Planificar, organizar, Dirigir y Controlar, el proceso de desarrollo de todos los sistemas de la empresa. Supervisar y revisar la elaboración de proyectos de organización, métodos y procedimientos, organigramas estructurales, funcionales y de niveles jerárquicos.



Coordinador de soporte técnico: Responsable de coordinar el soporte técnico que se brinda a cada uno de los usuarios de la red informática de la Institución así como la administración de la telefonía instalada en el edificio principal.



Analista programador: Asegurar la continuidad operativa de los servicios y aplicaciones soportadas, manteniendo los niveles de seguridad establecidos y la disponibilidad de los sistemas de información, atender los requerimientos de programas de mantención, desarrollo de software y/o soluciones tecnológicas, acorde a las funciones encomendadas.



Administrador de redes y servidores: Responsable de la operación y mantenimiento de un servidor o de una red de la oficina.

Definición del problema En la empresa DRUGSTORE S.A DE C.V presenta el problema de que no está cumpliendo con lo establecido en el contrato ya que la información no es presentada de manera correcta hacia los clientes. La información de la existencia de los productos y aun del no cumplimiento de los pedidos.

Análisis FODA

Normativa aplicativa La norma que se aplica para la siguiente auditoria es la ISO 27001, que se basa en la preservación de su confidencialidad, integridad y disponibilidad de la información, así como la de los sistemas aplicados para su tratamiento. La siguiente norma es aplicable para esta auditoria ya que la información no se está monitoreando de manera correcta. La información debe ser: 

Confiable: la información no se pone a disposición ni se revela a individuos, entidades o procesos no autorizados.



Integra: mantenimiento de la exactitud y completitud de la información y sus métodos de proceso.



Disponible: que permita el acceso y utilización de la información y los sistemas de tratamiento de la misma por parte de los individuos o procesos autorizados cuando lo requieran.

La norma ISO 9001 es un estándar internacional que se enfoca en la satisfacción del cliente, la facultad de proporcionar productos y/o servicios que cumplan con los requerimientos internos y externos de la empresa de manera eficaz para lograr controlar y mejorar su rendimiento, conducirlos hacia la eficiencia y excelencia de tus productos, así como lograr la optimización del servicio al cliente. Todo esto teniendo como estandarte los 7 principios de la calidad: 

Enfoque al cliente.



Liderazgo.



Compromiso de las personas.



Enfoque a procesos.



Mejora.



Toma de decisiones basadas en evidencias.



Gestión de las relaciones

Identificación de áreas críticas y significativas Las áreas a revisar son las siguientes: 

Departamento de Tecnologías de la Información.



Departamento de Operaciones

Puntos de atención 

Departamento de T.I: o Conocer los sistemas internos para el registro de entradas y salidas de los productos farmacéuticos. o Verificar que existan manuales del funcionamiento del sistema. o Verificar que el departamento manipule y respalde de manera correcta la información.



Departamento de Operaciones: o Verificar si el personal de operaciones maneja de manera correcta los sistemas de la empresa.

Herramientas y técnicas Herramientas 

Cuestionarios.



Entrevistas.



Documentación Check-List.

Técnicas



Verificación Ocular: o Observación: Esta técnica ayudará a ver de manera presencial cada proceso y el estado del punto que se auditará. o Rastreo: Esta técnica va a consistir en seguir cada proceso de punto a punto cada proceso.



Verificación verbal: o Indagación: Se obtendrá la información de manera verbal a través de conversaciones.



Verificación física: o Inspección: Examen físico y ocular de activos, documentos, valores con el fin de demostrar su existencia y autenticidad.



Verificación documental o Comprobación: Examinar la evidencia que apoya una transacción u operación. o Computación. Verificar la exactitud matemática de las operaciones.

Recursos materiales y personal de auditoria

PERSONAL AUDITOR Nombres y Apellidos

Categoría

Tareas Asignadas

Marcos Antonio Palomino Cruz

Jefe de grupo auditor

Jesús Francisco Rosas Moguel Miguel Martínez Chulin Chibamba González Diego

Auditor de software

Responsable de administrar y dirigir a los miembros del grupo, además de cumplir con los criterios y estándares establecidos por el nivel directivo para la ejecución del trabajo. Desarrollar el plan para llevar a cabo la auditoría. Verificar que los sistemas software con los que cuenta la empresa cumplan con la evaluación asignada.

Auditor de hardware

Verificar que los equipos de cómputo con los que cuenta la empresa cumplan con la evaluación asignada.

Auditor de operaciones

Encargado de realizar las entrevistas a los empleados.

Auditor de seguridad de la red

Se encargará de verificar la seguridad de la red.

Ricardo Herrera García

RECURSOS MATERIALES RECURSO Laptops Impresiones Pasaje de personal

DESCRIPCIÓN Laptop Lenovo ideapad 110 Impresiones de formatos Pasaje/gasolina del personal TOTAL

PRECIO UNITARIO $10,800

CANTIDAD

SUBTOTAL

4

$43,200

$1

150

$150

$80 por persona y por dia

25

$2000

$45,350

Funcionarios del área Para esta auditoría se realizará la entrevista a personas específicas que tienen un rol importante en los procedimientos del manejo de información de la empresa DRUGSTORE S.A DE C.V •

Director general de T.I: Se entrevistará al director del departamento de T.I

porque es el encargado principal del área y quien permitirá el acceso a la información al personal auditor, de igual manera porque es la persona que nos puede explicar con mayor certeza la manera en que opera el departamento. •

Coordinador de desarrollo de software: Persona ideal que nos puede

brindar información sobre los procesos y requerimientos con el que desarrollan los sistemas, como los estándares de calidad, buenas prácticas, metodologías y lenguajes de programación que utiliza el área. •

Coordinador de soporte técnico: Ayudará en brindar información sobre los

estándares de calidad que utiliza para la adquisición y configuración de los equipos de cómputo y de red con la que la empresa cuenta para operar de manera correcta. •

Gerente de operaciones: Persona que está encargada de supervisar las

operaciones principales que realiza la empresa como la compra y venta de los productos farmacéuticos. Entrevistarlo será lo correcto ya que puede brindar información de cómo realizan los procedimientos entrada de datos con las tecnologías que el departamento de T.I. les brinda. De esta manera se puede obtener información para identificar procesos que necesitan un cambio y que se puede facilitar con el uso correcto de las tecnologías.

Presupuesto de tiempo / plan de trabajo Diagrama de Gantt

Periodos y duración de actividades

Actividades y auditores

Presupuesto

PRESUPUESTO DE RECURSOS RECURSOS HUMANOS RECURSOS HUMANOS

FUCIÓN

SALARIO POR DIA

DIAS

TOTAL

Marcos Palomino

Jefe de Auditoría

$

600.00

20

$

12,000.00

Ricardo Herrera

Auditor de seguridad T.I

$

500.00

12

$

6,000.00

Miguel Martínez

Auditor de Hardware

$

500.00

14

$

7,000.00

Jesús Rosas

Auditor de Software

$

500.00

15

$

7,500.00

Diego Chibamba

Auditor de Operaciones

$

450.00

10

$

4,500.00

TOTAL

$

37,000.00

RECURSOS MATERIALES RECURSO

DESCRIPCIÓN

PRECIO UNITARIO

LAPTOPS

Laptop Lenovo ideapad 110

$

10,800.00

IMPRESIONES

Impresión de formatos

$

PASAJE PERSONAL

Pasaje/Gasolina

$

CANTIDAD

SUBTOTAL

4

$

43,200.00

1.00

150

$

150.00

100.00

25

$

2,500.00

TOTAL

$

45,850.00

$

82,850.00

TOTAL PRESUPUESTO

Notificación de la empresa Asunto: Auditoría del departamento de Sistemas Cancún, Quintana Roo a 13 de noviembre de 2019

Lic. Jose Alejandro Carrillo Garcia DIRECTOR GENERAL DRUGSTORE S.A DE C.V

PRESENTE Por medio del presente reciba un cordial saludo y aprovecho para hacer de su conocimiento que el 15 de Noviembre del presente año, se realizará una auditoria al área de Tecnologías de la Información de su respetable empresa. La auditoría será llevada a cabo por los auditores Diego Alejandro Chibamba González, Ricardo Felipe Herrera García, Miguel Ángel Martínez Chulin, Jesús Francisco Rosas Moguel y su servidor Marcos Antonio Palomino Cruz. Esto con el fin de evaluar la estructura y niveles de calidad con la que la empresa opera. Sin más por el momento, quedamos a sus órdenes y le agradecemos el tiempo y su atención prestada.

ATENTAMENTE

Marcos Palomino Marcos Antonio Palomino Cruz Auditor de MAPC

Ejecución de Auditoría Reunión de apertura La empresa MAPC se reunió con el Ing. Alex Loria Interán, quien nos recibió y concedió la entrevista, nos guió para dar el recorrido por toda el área de T.I.

DATOS GENERALES No. reunión: Fecha:

01 15/Noviembre/2019

Lugar:

Instalaciones de DRUGSTORE S.A DE C.V

Hora inicio:

12:00 pm

Hora fin: Asunto

2:00 pm Conocer el lugar

Objetivo reunión:

Recorrido para conocer el departamento. Analizar los puntos claves de lo que se va a evaluar durante el proceso de la auditoría. PERSONAL QUE ASISTIÓ

Nombre Alex Loria Interán

Marcos Palomino Cruz

Ricardo Herrera Garcia

Firma

Alex Loria Marcos Palomino

Ricardo Herrera

Cuestionario de entrevistas

Check List

Identificación de estructura de tecnología y uso Sistema de facturación: Este sistema es provisto por la droguería a sus clientes con el fin de realizar los pedidos de los productos y para revisar la existencia de los mismos.

Dispositivos de telefonía: Son usados para dar seguimiento de los pedidos de los clientes de mediana envergadura.

Equipos de cómputo: Son utilizados en área de TI para el desarrollo y mantenimiento de aplicaciones, así como para la gestión de sus bases de datos.

SITE: Donde están instalados los dispositivos de comunicaciones.

Evidencias Hoja No. 1 de 1 Auditoría Número: 1 Observación Número: 1 Monto de la irregularidad: $0

CÉDULA DE OBSERVACIONES Fecha: EMPRESA: AUTOCAR CANCÚN S.A DE C.V

AÑO: 2019

AREÁ AUDITADA: Departamento de T.I,

EJECUTOR: Marcos Antonio Palomino Cruz

OBSERVACIÓN

RECOMENDACIONES

TÍTULO DE LA OBSERVACIÓN ACCESIBILIDAD DE INFROMACIÓN

CORRECTIVA Optimizar las consultas a las base de datos. Otra opción seíra rehacer los procedimientos almacenados y solo obtener la información concreta ya que debido a una mala estructura de consultas, no se muestra la información de manera correcta.

Descripción de la irregularidad La empresa tiene varias consultas pesadas por lo mismo hace que la información no se muestre de manera correcta. Las base de datos tienen consultas demasiadas extensas y traen información innecesaria. Causa

PREVENTIVA Evitar consultas pesadas, revisar manuals de consultas optimizadas.

El administrador de base datos no depura las consultas Efecto

Fecha Compromiso ________22-Dic-2019____________

Debido a una mala optimización de las consultas a las base de datos no trae la información concreta y el gestor de base de datos tarda en ejecutar esas consultas. Nombre, cargo y firma [Representante y/o Responsable(s) de solventar. Fundamento Legal ISO/IEC 25012/ UNE-ISOIEC 27001

Alex Loria Interán

Alex Loria Andrea Garcia

Coordinador de Soporte Técnico y Desarrollo de Sistemas Representante(s) de la empresa: Auditor: Francisco Rosas Moguel,

Francisco Rosas

15-Nov-19

Juan Carlos Valueta Medina Gerente general de Administrativos

Juan Valueta

Reporte de análisis de riesgos detectados

Riesgos Mala gestión de información

Documentación y manuales

Descripción La empresa tiene una base de datos sobrecargada por consultas no realizadas correctamente, se debe optimizar para que el gestor de base de datos funcione correctamente. La empresa tiene varios software que no estan documentados y no tienen manuales de usuario por lo tanto evita que los usuarios finales conozcan bien los procedimientos que se deben realizer en los sistemas.

Posible solución

Nivel de riesgo

Optimizar las consultas de datos. ALTO

Desarrollar manuales de los sistemas que no lo tienen, para evitar que los usuarios se confundan en algun proceso.

ALTO

Conclusiones

Bibliografía [1] M. Rouse, «Techtarget,» Techtarget, [En línea]. Available: https://searchconvergedinfrastructure.techtarget.com/definition/Nutanix-Inc. [Último acceso: 19 11 2019]. [2] [En línea]. Available: http://itmqualityauditors.blogspot.com/2011/10/blog-post_1728.html. [3] [En línea]. Available: https://www.monografias.com/docs/Cartas-de-Presentación-delinforme-final-de-F3W8ASGFC8G2Y. [4] [En línea]. Available: https://www.montsepenarroya.com/como-hacer-un-resumen-ejecutivopara-un-plan-de-empresa/. [5] [En línea]. Available: https://www.montsepenarroya.com/wpcontent/uploads/2010/06/Ejemplo-resumen-ejecutivo.pdf. [6] [En línea]. Available: http://www.ambientebogota.gov.co/c/document_library/get_file?uuid=04ab3ff3-3cef-4d6796a3-afa22b5053df&groupId=10157.