Guatemala, 18 de diciembre de 2018 A la Administración de: Sistemas de Transportes Guatemaltecos, S.A. Ciudad de Guatem
Views 293 Downloads 5 File size 742KB
Guatemala, 18 de diciembre de 2018
A la Administración de: Sistemas de Transportes Guatemaltecos, S.A. Ciudad de Guatemala
Estimados señores:
Agradecemos la oportunidad que se nos brinda para conversar sobre la solicitud de su empresa, SISTRAGUA, S.A. y sobre lo que ustedes esperan de la firma como auditores independientes de la Compañía.
Nos complace presentarles nuestro plan de auditoría informática, basado en nuestro entendimiento del negocio, sus expectativas y análisis de los riesgos claves a nivel de Software y Hardware; así también, presentar un resumen de nuestro enfoque de auditoría, informes y programación del trabajo.
El comentar nuestro plan con ustedes garantiza que los miembros de nuestro equipo de trabajo estén al tanto de sus expectativas, que estemos de acuerdo sobre nuestras mutuas necesidades y lo que se espera de nosotros para suministrar un servicio de superior calidad. El enfoque del trabajo refleja nuestro interés respecto a cubrir los riesgos que afectan a la compañía.
Atentamente,
Roxana García Socia G2 & ASOCIADOS AUDITORES
PLAN DE AUDITORIA INFORMATICA
1.1. ORIGEN DE LA AUDITORIA:
La presente Auditoria se realiza en cumplimiento a la solicitud del Consejo General de Socios de la empresa de Sistemas de Transporte Guatemalteco, S.A. (SISTRAGUA, S.A.) Aprobada mediante Resolución de Contraloría N° 235- 2002CG del 15 de Diciembre del 2018.
1.2. OBJETIVOS Y ALCANCE
1.2.1. OBJETIVO GENERAL Revisar y Evaluar los controles, sistemas, procedimientos de informática; de los equipos de cómputo, su utilización, eficiencia y seguridad, de la organización que participan en el procesamiento de la información, a fin de que por medio del señalamiento de cursos alternativos se logre una utilización más eficiente y segura de la información que servirá para una adecuada toma de decisiones.
1.2.2. OBJETIVOS ESPECIFICOS
Evaluar el diseño y prueba de los sistemas del área de Informática Determinar la veracidad de la información del área de Informática
Evaluar los procedimientos de control de operación, analizar su estandarización y evaluar el cumplimiento de los mismos.
Evaluar
la
forma
como
se
administran
los
dispositivos
de
almacenamiento básico del área de Informática.
Evaluar el control que se tiene sobre el mantenimiento y las fallas de los equipos de cómputo.
Verificar
las
disposiciones
y
reglamentos
que
coadyuven
mantenimiento del orden dentro del departamento de cómputo.
Asegurar la protección y veracidad de la información.
al
1.3. ANTECEDENTES
Organización: SISTRAGUA, S.A.
Giro de la Empresa: Sector Turístico.
Observaciones: Empresa líder a nivel Centroamericano en el sector turístico receptivo desde el año 1990, ubicada en la ciudad de Guatemala en la 19 avenida 16-70 zona 10.
Estructura organizativa del departamento de informática a auditar: 2 Ingenieros en sistemas y telecomunicaciones. 1 Supervisor 1 Secretaria
Entorno de operación: Registro y control de la información de toda la institución.
Entorno de trabajo: Diagnostico, análisis, administración de redes, administración de material informático, actualización y mantenimiento general del equipo de cómputo.
Aplicaciones informáticas:
Creación de bases de datos
Creación de ficheros
Altas de servicios de internet
Administración de página web oficial
Administración de los servidores
Diagnóstico de flujo de información.
1.4. ENFOQUE A UTILIZAR
Nuestra estrategia de auditoría inicia con el entendimiento de sus estrategias y objetivos de negocio. Por medio de discusiones con la alta administración, entendemos sus objetivos y riesgos. Luego de esto, nos enfocamos en el control de la función informática, la especulación sobre el manejo de la información indexada en los servidores de la institución. La presente acción de control, se realiza de acuerdo con los lineamientos a evaluar y los métodos, procedimientos y técnicas estadísticas e informáticas amparadas por las Normas Internacionales de Auditoria (NIA); habiéndose aplicado procedimientos de Auditoria que se consideraron necesarios de acuerdo a las circunstancias.
1.5. PERSONAL A CARGO DEL AREA A EXAMINAR
Nombre
Cargo
Periodo de Gestión
Correo
Del
Al
José Ángel Rodríguez Supervisor
01.01.18
30.12.18
[email protected]
Jorge Luis Guzmán
Ingeniero
01.01.18
30.12.18
[email protected]
Amílcar Rene López
Ingeniero
01.01.18
30.12.18
[email protected]
Jennifer García Soto
Secretaria
01.01.18
30.12.18
[email protected]
1.6. CRONOGRAMA DE TRABAJO
PROGRAMA DE AUDITORIA EMPRESA: SISTRAGUA, S.A. FASE I ACTIVIDAD
HORAS ENCARGADO
VISITA PRELIMINAR *
Solicitud de manuales y documentación
*
Elaboración de los cuestionarios
*
8 Hrs.
Recopilación de la información organizacional: estructura
orgánica,
recursos
humanos,
presupuestos. FASE II DESARROLLO DE LA AUDITORIA *
Aplicación del cuestionario al personal
*
Entrevistas a líderes y usuarios más relevantes
*
Análisis de las clases de acceso, control, seguridad contabilidad y respaldo. Evaluación
de
la
departamentos, *
estructura puestos,
orgánica: funciones,
autoridades y responsabilidades.
32 Hrs.
Evaluación de los sistemas: relevamiento de *
Hardware y Software, evaluación del diseño lógico y de desarrollo Evaluación del proceso de datos y de los equipos de cómputo: seguridad de los datos,
*
control de operación, seguridad, seguridad física y procedimientos de respaldo.
FASE III REVISIÓN Y PRE-INFORME *
Revisión de los papeles de trabajo
*
Determinación del diagnóstico e implicancias.
*
Elaboración de Carta de Gerencia.
*
Elaboración de borrador.
16 Hrs.
FASE IV INFORME *
Elaboración y presentación del informe
4 Hrs.
DIAGRAMA DE GANTT
Planificación de Auditoria de Sistemas Plan de Trabajo de la Auditoria del Sistema de la Empresa xxxxxxx
Periodo:
DURACIÓN DEL INICIO DEL PLAN INICIO REAL DURACIÓN REAL PLAN
ACTIVIDAD
Elaboración de los cuestionarios Recopilación de la Información Aplicación de Cuestionarios Entrevista a Lideres y Usuarios Analísis de las Claves de Usuario Evaluación de la Estructura Evaluación de los Recursos Evaluación de los Sistemas Evaluación de Procesos Evaluación de Papeles Determinación del Diagnostico Elaboración de la Carta Elaboración y Presentación
2
2
3
0
4
6
9
0
10
5
14
0
15
3
17
0
18
7
24
0
25
6
30
0
31
10
41
0
41
12
51
0
20
10
28
6
16
9
24
7
31
14
46
0
50
3
52
0
54
7
60
0
PORCENTAJE COMPLETADO
1
Duración del plan Inicio real
% Completado Real (fuera del plan) % Completado (fuera del plan)
PERIODOS 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60
25% 100% 35% 10% 85% 85% 50% 60% 75% 100% 60% 0% 50%
1.7. DOCUMENTOS A SOLICITAR
Recursos Materiales y Técnicos: Solicitar documentos sobre los equipos, número de ellos, localización y características. Estudios de viabilidad. Cantidad de equipos, localización y las características Fechas de instalación de los equipos y planes de instalación. Contratos vigentes de compra, renta y servicio de mantenimiento. Contratos de seguros. Convenios que se tienen con otras instalaciones. Configuración de los equipos y capacidades actuales y máximas. Ubicación general de los equipos. Políticas de operación.
Políticas de uso de los equipos.
1.8. EJECUCION DE LA REVISION ESTRATEGICA
1.8.1. CONOCIMIENTO INICIAL DE LA ENTIDAD La empresa cuenta con un servidor que provee a 11 computadoras del programa SERVRES con el cual se realiza la operación principal de la entidad. Descripción general de los sistemas instalados y de los que estén por instalarse que contengan volúmenes de información
1.8.2. AUTORIDADES DEL AREA INFORMATICA Nombre
Cargo
José Ángel Rodríguez
Supervisor
Jorge Luis Guzmán
Ingeniero
Amílcar Rene López
Ingeniero
1.8.3. PRINCIPALES FUNCIONES
PROFESION
FUNCIONES Y CONOCIMINETOS
2 Ingenieros en
Con experiencia en el mantenimiento de bases de
Sistemas
datos y mantenimiento de equipo de cómputo. Conocimiento de productos compatibles Experto organizador y coordinador.
1 Supervisor
Especialista en el análisis de flujos de información, con experiencia en ramas distintas.
1.8.4. ORGANIGRAMA
1.10. MARCO LEGAL APLICABLE
La base normativa empleada está compuesta por las Normas Internacionales de Auditoría (NIA´S) 1001 “Sistemas de Microcomputadoras”, 1002 “Sistemas de Microcomputadoras en Línea”, 1003 “Sistemas de Bases de Datos”, 1008 “Evaluación de Riesgos y Control Interno”.
1.11. SISTEMAS Y CONTROLES IDENTIFICADOS
RECURSOS INFORMATICOS EXISTENTES Servidores (Windows 2000 Server)
1
Computadoras (Windows 10)
11
Impresoras
8
Escáner
4
1.12 OBJETIVOS:
El área de cómputo e informática orgánicamente depende del departamento de operaciones quien el que alimenta la base datos, asumiendo la responsabilidad de dirigir los procesos técnicos de informática.
1.12.1. ANALISIS FODA
Fortalezas Disponibilidad de recursos económicos. Personal Directivo y técnico con amplia experiencia (recursos humanos) Capacidad de Convocatoria(Difusión)
Oportunidades Búsqueda de reducción de costos, aprovechando la aparición de nuevas tecnologías. Buen servicio y trato. Tendencias Tecnológicas generan un amplio campo de acción Predisposición y voluntad de los nuevos directivos para cambio Tecnológico
Debilidades Falta de planes y Programas Informáticos. Poca identificación del personal con la institución Inestabilidad laboral del personal Escasa capacidad de retención y voluntad del personal No existe programas de capacitación y actualización al personal La oficina del Área de computo e informática muy r educido Personal técnico Calificado insuficiente en el área a de computo
Amenazas Rotación permanente del personal imposibilitando continuidad a los objetivos propuestos. Estandarizar y Uniformizar información relevante referente a los gobiernos locales.
2.1 METODOLOGIA:
En esta auditoría se utilizará el método Checklist (lista de chequeo), el cual nos ayudará a reunir los datos para cumplir con nuestros objetivos anteriormente mencionados. Este método está basado en riesgos contra control y costo. Este método constará con una serie de preguntas para posteriormente verificar y evaluar la situación del departamento auditado.
En nuestro caso particular se ha dividido la lista de control en los siguientes apartados: Conocimiento del Hardware
Conocimiento del sistema: -
Inventario
-
Software
-
Pruebas
-
Planes de contingencia
2.2. JUSTIFICACION
Aumento considerable e injustificado del presupuesto
Desconocimiento en el nivel directivo de la situación informática de la empresa
Falta total o parcial de seguridades lógicas y físicas que garanticen la integridad del personal, equipos e información.
Descubrimiento de fraudes efectuados con el computador
Falta de una planificación informática
Organización que no funciona correctamente, falta de políticas, objetivos, normas, metodología, asignación de tareas y adecuada administración del Recurso Humano
Descontento general de los usuarios por incumplimiento de plazos y mala calidad de los resultados
Falta de documentación o documentación incompleta de sistemas que revela la dificultad de efectuar el mantenimiento de los sistemas en producción
2.3. MOTIVO O NECESIDAD DE UNA AUDITORIA INOFRMATICA:
2.3.1. Síntomas de descoordinación y desorganización:
No coinciden los objetivos del área de Informática y de la propia Institución.
Los estándares de productividad se desvían sensiblemente de los promedios conseguidos habitualmente. Puede ocurrir con algún cambio masivo de personal, o en una reestructuración fallida de alguna área o en la modificación de alguna Norma importante
Los estándares de productividad se desvían sensiblemente de los promedios conseguidos habitualmente. Puede ocurrir con algún cambio masivo de personal, o en una reestructuración fallida de alguna área o en la modificación de alguna Norma importante
2.3.2. Síntomas de mala imagen e insatisfacción de los usuarios:
No se atienden las peticiones de cambios de los usuarios. Ejemplos: cambios de software en los terminales de usuario, resfriamiento de paneles, variación de los ficheros que deben ponerse diariamente a su disposición, etc.
No se reparan las averías de hardware ni se resuelven incidencias en plazos razonables. El usuario percibe que está abandonado y desatendido permanentemente.
No se cumplen en todos los casos los plazos de entrega de resultados periódicos. Pequeñas desviaciones pueden causar importantes desajustes en la actividad del usuario, en especial en los resultados de Aplicaciones críticas y sensibles.
2.3.3. Síntomas de debilidades económico-financieras:
Incremento desmesurado de costes. Necesidad de justificación de Inversiones Informáticas (la empresa no está absolutamente convencida de tal necesidad y decide contrastar opiniones).
Desviaciones Presupuestarias significativas. Costes y plazos de nuevos proyectos (deben auditarse simultáneamente a Desarrollo de Proyectos y al órgano que realizó la petición).
2.3.4. Síntomas de Inseguridad: Evaluación de nivel de riesgos
Seguridad Lógica
Seguridad Física