• Author / Uploaded
• Raul Guerra

Citation preview

Guatemala, 18 de diciembre de 2018

A la Administración de: Sistemas de Transportes Guatemaltecos, S.A. Ciudad de Guatemala

Estimados señores:

Agradecemos la oportunidad que se nos brinda para conversar sobre la solicitud de su empresa, SISTRAGUA, S.A. y sobre lo que ustedes esperan de la firma como auditores independientes de la Compañía.

Nos complace presentarles nuestro plan de auditoría informática, basado en nuestro entendimiento del negocio, sus expectativas y análisis de los riesgos claves a nivel de Software y Hardware; así también, presentar un resumen de nuestro enfoque de auditoría, informes y programación del trabajo.

El comentar nuestro plan con ustedes garantiza que los miembros de nuestro equipo de trabajo estén al tanto de sus expectativas, que estemos de acuerdo sobre nuestras mutuas necesidades y lo que se espera de nosotros para suministrar un servicio de superior calidad. El enfoque del trabajo refleja nuestro interés respecto a cubrir los riesgos que afectan a la compañía.

Atentamente,

Roxana García Socia G2 & ASOCIADOS AUDITORES

PLAN DE AUDITORIA INFORMATICA

1.1. ORIGEN DE LA AUDITORIA:

La presente Auditoria se realiza en cumplimiento a la solicitud del Consejo General de Socios de la empresa de Sistemas de Transporte Guatemalteco, S.A. (SISTRAGUA, S.A.) Aprobada mediante Resolución de Contraloría N° 235- 2002CG del 15 de Diciembre del 2018.

1.2. OBJETIVOS Y ALCANCE

1.2.1. OBJETIVO GENERAL Revisar y Evaluar los controles, sistemas, procedimientos de informática; de los equipos de cómputo, su utilización, eficiencia y seguridad, de la organización que participan en el procesamiento de la información, a fin de que por medio del señalamiento de cursos alternativos se logre una utilización más eficiente y segura de la información que servirá para una adecuada toma de decisiones.

1.2.2. OBJETIVOS ESPECIFICOS 

Evaluar el diseño y prueba de los sistemas del área de Informática Determinar la veracidad de la información del área de Informática



Evaluar los procedimientos de control de operación, analizar su estandarización y evaluar el cumplimiento de los mismos.



Evaluar

la

forma

como

se

administran

los

dispositivos

de

almacenamiento básico del área de Informática. 

Evaluar el control que se tiene sobre el mantenimiento y las fallas de los equipos de cómputo.



Verificar

las

disposiciones

y

reglamentos

que

coadyuven

mantenimiento del orden dentro del departamento de cómputo. 

Asegurar la protección y veracidad de la información.

al

1.3. ANTECEDENTES

Organización: SISTRAGUA, S.A.

Giro de la Empresa: Sector Turístico.

Observaciones: Empresa líder a nivel Centroamericano en el sector turístico receptivo desde el año 1990, ubicada en la ciudad de Guatemala en la 19 avenida 16-70 zona 10.

Estructura organizativa del departamento de informática a auditar:  2 Ingenieros en sistemas y telecomunicaciones.  1 Supervisor  1 Secretaria

Entorno de operación: Registro y control de la información de toda la institución.

Entorno de trabajo: Diagnostico, análisis, administración de redes, administración de material informático, actualización y mantenimiento general del equipo de cómputo.

Aplicaciones informáticas: 

Creación de bases de datos



Creación de ficheros



Altas de servicios de internet



Administración de página web oficial



Administración de los servidores



Diagnóstico de flujo de información.

1.4. ENFOQUE A UTILIZAR

Nuestra estrategia de auditoría inicia con el entendimiento de sus estrategias y objetivos de negocio. Por medio de discusiones con la alta administración, entendemos sus objetivos y riesgos. Luego de esto, nos enfocamos en el control de la función informática, la especulación sobre el manejo de la información indexada en los servidores de la institución. La presente acción de control, se realiza de acuerdo con los lineamientos a evaluar y los métodos, procedimientos y técnicas estadísticas e informáticas amparadas por las Normas Internacionales de Auditoria (NIA); habiéndose aplicado procedimientos de Auditoria que se consideraron necesarios de acuerdo a las circunstancias.

1.5. PERSONAL A CARGO DEL AREA A EXAMINAR

Nombre

Cargo

Periodo de Gestión

Correo

Del

Al

José Ángel Rodríguez Supervisor

01.01.18

30.12.18

[email protected]

Jorge Luis Guzmán

Ingeniero

01.01.18

30.12.18

[email protected]

Amílcar Rene López

Ingeniero

01.01.18

30.12.18

[email protected]

Jennifer García Soto

Secretaria

01.01.18

30.12.18

[email protected]

1.6. CRONOGRAMA DE TRABAJO

PROGRAMA DE AUDITORIA EMPRESA: SISTRAGUA, S.A. FASE I ACTIVIDAD

HORAS ENCARGADO

VISITA PRELIMINAR *

Solicitud de manuales y documentación

*

Elaboración de los cuestionarios

*

8 Hrs.

Recopilación de la información organizacional: estructura

orgánica,

recursos

humanos,

presupuestos. FASE II DESARROLLO DE LA AUDITORIA *

Aplicación del cuestionario al personal

*

Entrevistas a líderes y usuarios más relevantes

*

Análisis de las clases de acceso, control, seguridad contabilidad y respaldo. Evaluación

de

la

departamentos, *

estructura puestos,

orgánica: funciones,

autoridades y responsabilidades.

32 Hrs.

Evaluación de los sistemas: relevamiento de *

Hardware y Software, evaluación del diseño lógico y de desarrollo Evaluación del proceso de datos y de los equipos de cómputo: seguridad de los datos,

*

control de operación, seguridad, seguridad física y procedimientos de respaldo.

FASE III REVISIÓN Y PRE-INFORME *

Revisión de los papeles de trabajo

*

Determinación del diagnóstico e implicancias.

*

Elaboración de Carta de Gerencia.

*

Elaboración de borrador.

16 Hrs.

FASE IV INFORME *

Elaboración y presentación del informe

4 Hrs.

DIAGRAMA DE GANTT

Planificación de Auditoria de Sistemas Plan de Trabajo de la Auditoria del Sistema de la Empresa xxxxxxx

Periodo:

DURACIÓN DEL INICIO DEL PLAN INICIO REAL DURACIÓN REAL PLAN

ACTIVIDAD

Elaboración de los cuestionarios Recopilación de la Información Aplicación de Cuestionarios Entrevista a Lideres y Usuarios Analísis de las Claves de Usuario Evaluación de la Estructura Evaluación de los Recursos Evaluación de los Sistemas Evaluación de Procesos Evaluación de Papeles Determinación del Diagnostico Elaboración de la Carta Elaboración y Presentación

2

2

3

0

4

6

9

0

10

5

14

0

15

3

17

0

18

7

24

0

25

6

30

0

31

10

41

0

41

12

51

0

20

10

28

6

16

9

24

7

31

14

46

0

50

3

52

0

54

7

60

0

PORCENTAJE COMPLETADO

1

Duración del plan Inicio real

% Completado Real (fuera del plan) % Completado (fuera del plan)

PERIODOS 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60

25% 100% 35% 10% 85% 85% 50% 60% 75% 100% 60% 0% 50%

1.7. DOCUMENTOS A SOLICITAR

Recursos Materiales y Técnicos: Solicitar documentos sobre los equipos, número de ellos, localización y características.  Estudios de viabilidad.  Cantidad de equipos, localización y las características Fechas de instalación de los equipos y planes de instalación.  Contratos vigentes de compra, renta y servicio de mantenimiento.  Contratos de seguros.  Convenios que se tienen con otras instalaciones.  Configuración de los equipos y capacidades actuales y máximas.  Ubicación general de los equipos.  Políticas de operación. 

Políticas de uso de los equipos.

1.8. EJECUCION DE LA REVISION ESTRATEGICA

1.8.1. CONOCIMIENTO INICIAL DE LA ENTIDAD La empresa cuenta con un servidor que provee a 11 computadoras del programa SERVRES con el cual se realiza la operación principal de la entidad. Descripción general de los sistemas instalados y de los que estén por instalarse que contengan volúmenes de información

1.8.2. AUTORIDADES DEL AREA INFORMATICA Nombre

Cargo

José Ángel Rodríguez

Supervisor

Jorge Luis Guzmán

Ingeniero

Amílcar Rene López

Ingeniero

1.8.3. PRINCIPALES FUNCIONES

PROFESION

FUNCIONES Y CONOCIMINETOS

2 Ingenieros en

Con experiencia en el mantenimiento de bases de

Sistemas

datos y mantenimiento de equipo de cómputo. Conocimiento de productos compatibles Experto organizador y coordinador.

1 Supervisor

Especialista en el análisis de flujos de información, con experiencia en ramas distintas.

1.8.4. ORGANIGRAMA

1.10. MARCO LEGAL APLICABLE

La base normativa empleada está compuesta por las Normas Internacionales de Auditoría (NIA´S) 1001 “Sistemas de Microcomputadoras”, 1002 “Sistemas de Microcomputadoras en Línea”, 1003 “Sistemas de Bases de Datos”, 1008 “Evaluación de Riesgos y Control Interno”.

1.11. SISTEMAS Y CONTROLES IDENTIFICADOS

RECURSOS INFORMATICOS EXISTENTES Servidores (Windows 2000 Server)

1

Computadoras (Windows 10)

11

Impresoras

8

Escáner

4

1.12 OBJETIVOS:

El área de cómputo e informática orgánicamente depende del departamento de operaciones quien el que alimenta la base datos, asumiendo la responsabilidad de dirigir los procesos técnicos de informática.

1.12.1. ANALISIS FODA

Fortalezas  Disponibilidad de recursos económicos.  Personal Directivo y técnico con amplia experiencia (recursos humanos)  Capacidad de Convocatoria(Difusión)

Oportunidades  Búsqueda de reducción de costos, aprovechando la aparición de nuevas tecnologías.  Buen servicio y trato.  Tendencias Tecnológicas generan un amplio campo de acción  Predisposición y voluntad de los nuevos directivos para cambio Tecnológico

Debilidades  Falta de planes y Programas Informáticos.  Poca identificación del personal con la institución  Inestabilidad laboral del personal  Escasa capacidad de retención y voluntad del personal  No existe programas de capacitación y actualización al personal  La oficina del Área de computo e informática muy r educido  Personal técnico Calificado insuficiente en el área a de computo

Amenazas  Rotación permanente del personal imposibilitando continuidad a los objetivos propuestos.  Estandarizar y Uniformizar información relevante referente a los gobiernos locales.

2.1 METODOLOGIA:

En esta auditoría se utilizará el método Checklist (lista de chequeo), el cual nos ayudará a reunir los datos para cumplir con nuestros objetivos anteriormente mencionados. Este método está basado en riesgos contra control y costo. Este método constará con una serie de preguntas para posteriormente verificar y evaluar la situación del departamento auditado.

En nuestro caso particular se ha dividido la lista de control en los siguientes apartados:  Conocimiento del Hardware 

Conocimiento del sistema: -

Inventario

-

Software

-

Pruebas

-

Planes de contingencia

2.2. JUSTIFICACION 

Aumento considerable e injustificado del presupuesto



Desconocimiento en el nivel directivo de la situación informática de la empresa



Falta total o parcial de seguridades lógicas y físicas que garanticen la integridad del personal, equipos e información.



Descubrimiento de fraudes efectuados con el computador



Falta de una planificación informática



Organización que no funciona correctamente, falta de políticas, objetivos, normas, metodología, asignación de tareas y adecuada administración del Recurso Humano



Descontento general de los usuarios por incumplimiento de plazos y mala calidad de los resultados



Falta de documentación o documentación incompleta de sistemas que revela la dificultad de efectuar el mantenimiento de los sistemas en producción

2.3. MOTIVO O NECESIDAD DE UNA AUDITORIA INOFRMATICA:

2.3.1. Síntomas de descoordinación y desorganización: 

No coinciden los objetivos del área de Informática y de la propia Institución.



Los estándares de productividad se desvían sensiblemente de los promedios conseguidos habitualmente. Puede ocurrir con algún cambio masivo de personal, o en una reestructuración fallida de alguna área o en la modificación de alguna Norma importante



Los estándares de productividad se desvían sensiblemente de los promedios conseguidos habitualmente. Puede ocurrir con algún cambio masivo de personal, o en una reestructuración fallida de alguna área o en la modificación de alguna Norma importante

2.3.2. Síntomas de mala imagen e insatisfacción de los usuarios: 

No se atienden las peticiones de cambios de los usuarios. Ejemplos: cambios de software en los terminales de usuario, resfriamiento de paneles, variación de los ficheros que deben ponerse diariamente a su disposición, etc.



No se reparan las averías de hardware ni se resuelven incidencias en plazos razonables. El usuario percibe que está abandonado y desatendido permanentemente.



No se cumplen en todos los casos los plazos de entrega de resultados periódicos. Pequeñas desviaciones pueden causar importantes desajustes en la actividad del usuario, en especial en los resultados de Aplicaciones críticas y sensibles.

2.3.3. Síntomas de debilidades económico-financieras: 

Incremento desmesurado de costes. Necesidad de justificación de Inversiones Informáticas (la empresa no está absolutamente convencida de tal necesidad y decide contrastar opiniones).



Desviaciones Presupuestarias significativas. Costes y plazos de nuevos proyectos (deben auditarse simultáneamente a Desarrollo de Proyectos y al órgano que realizó la petición).

2.3.4. Síntomas de Inseguridad: Evaluación de nivel de riesgos 

Seguridad Lógica



Seguridad Física