Planeacion De Auditoria De Sistemas Informaticos

SANCHEZ PINEDA Y COMPAÑIA
CONTABILIDAD, AUDITORIA Y ASESORIA CONTABL E, FINANCIER A Y FISCAL
Ahuachapán , El Salvador.
UNIVERSIDAD PANAMERICANA
REGIONAL AHUACHAPAN

MATERIA:
AUDITORIA DE SISTEMAS

CATEDRATICO:
LICDO. EDGARDO ENRIQUE CASTILLO.

TEMA:
PLANEACION DE AUDITORIA DE SISTEMAS INFORMATICOS

PRESENTADO POR:
JUDITH ESTER ALVAREZ PINEDA.
ROXANA JANETH CACERES ALTUVE.
VIDAL OVED CRUZ MULATILLO.
DANILO ERNESTO HERRERA SINTIGO.
LESBIA SORAIDA SANCHEZ OSORIO.

AHUACHAPAN, 6 DE JUNIO DE 2009
INDICE
No. Actividad pág.

1 Planeación de la Auditoría de Sistemas Informáticos …………………….. 3

2 Objetivos………………………………………………………………….. 4

3 Estudio y Evaluación del Control Interno………………………………… 5

4 Gestión Administrativa…………………………………………………… 5

5 Gestión Informática………………………………………………………. 5

6 Métodos aplicables para su documentación………………………………. 7

7 Planeación detallada………………………………………………………. 7

8 Cuestionario de control interno…………………………………………… 11

9 Planilla de decisiones preliminares……………………………………….. 15

10 Programa de auditoría…………………………………………………… 23

11 Recursos a utilizar en la auditoría……………………………………….. 29

12 Presupuestos para la auditoría…………………………………………… 30

13 Cronograma de actividades………………………………………………. 31

14 Peso porcentual de cada área a evaluar…………………………………… 32

15 Referencias de auditoría………………………………………………….. 33

16 Marcas de auditoría………………………………………………………. 34

17 Metodología y procedimientos…………………………………………… 35

18 Métodos de prueba……………………………………………………….. 36

19 Situaciones alternas………………………………………………………. 37

20 Asignacion de recursos y sistemas computacionales para la auditoría…… 38

PLANEACION DE LA AUDITORIA DE SISTEMAS INFORMATICOS

EMPRESA : HILOSA S.A DE C.V.

N.I.T. : 0614 – 220599 – 001 - 6

N.R.C. : 7916 - 0

PERIODO AUDITADO : DEL 1 DE ENERO AL 31 DE DICIEMBRE DE 2009.

DIRECCION : TERCERA CALLE OTE No.3-4 AHUACHAPAN

TELEFONO : 2443-1888

OBJETIVOS

OBJETIVOS GENERALES

 Evaluar el funcionamiento y seguridad de los sistemas informáticos de la empresa, así como
realizar un estudio suficiente de las operaciones del mismo que permita generar un respaldo en la
emision del informe a la auditoria practicada.

OBJETIVOS ESPECIFICOS

 Evaluar si la persona encargada del mantenimiento y programación del sistema informatico de la
empresa cumple con el perfil del puesto.

 Identificar las áreas críticas, con respecto a la seguridad del equipo del área de informática.

 Diseñar los procedimientos a efectuar en el desarrollo de la auditoría del área de informática.

 Establecer el alcance en cuanto a los procedimientos, de tal manera que conduzcan a la
formulacion del informe de la auditoria de sistemas.

ESTUDIO Y EVALUACIÓN DEL CONTROL INTERNO

Esta fase constituye el inicio de la planeación, aunque sea preparada con anterioridad; sus resultados
son los que generan la verdadera orientación de las subsiguientes fases del proceso, sin ser
excluyentes, se deben considerar los siguientes aspectos:

GESTION ADMINISTRATIVA:

1- Conocer y analizar las operaciones a las cuales se dedica el negocio y la forma en que está
estructurado tanto desde del punto de vista organizacional y administrativo, así como el
organigrama, número y distribución de empleados, sistema interno de autorizaciones, firmas,
formularios utilizados, secuencia de operaciones y otros aspectos similares que se realizan con la
utilización del sistema informático.

2- Verificar si se ha diseñado un manual de organización y funciones a ser aplicado a los y por los
usuarios del área de informática.

3- Verificar si las contrataciones del personal del área de informática se han realizado con base a los
criterios establecidos en el manual de funciones y cumplen el perfil del puesto.

4- Verificar si la administración provee oportunamente los recursos necesarios para la adquisición
del software actualizado para la protección de los sistemas informáticos.

5- Verificar si la administración promueve la capacitación y adiestramiento constante del personal
del área de informática.

6- Verificar si la administración ha establecido políticas claras con respecto a la adjudicación de
claves de acceso a las bases de datos.

7- Verificar que las instalaciones donde labora el personal del área de informática estén adecuadas a
las necesidades y no representen peligro para los empleados.

GESTION INFORMATICA:

1) Examinar la información preliminar correspondiente al área de informática, la cual puede ser:

a) Interna: conocer los procesos que se realizan dentro de la empresa para los cuales es utilizado
el equipo informático.
Se verificará si se lleva un control de las operaciones realizadas y si queda un registro de los
usuarios del área de informática y los horarios en los cuales, han utilizado el equipo del
centro. También se solicitará información correspondiente a si se ha realizado en otras
ocasiones auditorías al sistema informático.

b) Externa: Conocimiento e identificación de los usuarios del área de informática, así como de
los proveedores de materiales y accesorios y otros clientes.

2) Conocimiento de las instalaciones físicas del negocio, materiales, mobiliario, inmuebles, equipos,
inventarios y otros que tienen relación al área de informática y la ubicación de sucursales, en caso de
que también utilicen dicho sistema.

3) Verificar si los programas utilizados dentro de la entidad han sido diseñados específicamente para

la empresa y hasta que punto estos programas son operativos y satisfacen las necesidades de la
entidad.

4) Naturaleza y tratamiento de las operaciones realizadas por medio de los sistemas informáticos.

5) Cualquier otro punto de conocimiento general, que contribuya a orientar adecuadamente la
auditoria de sistemas informáticos.

6) Verificar si todo el equipo o hardware se encuentra debidamente inventariado y se ha elaborado la
respectiva tarjeta de depreciación del mismo, a fin de que en el momento en que se vuelvan obsoletos
se puedan dar de baja.

7) Verificar por medio de pruebas si los sistemas funcionan correctamente, para ello será necesario
contratar a un perito programador, para que efectue las pruebas correspondientes.

8) Verificar si el software tiene las licencias correspondientes.

9) Verificar quienes están autorizados para realizar modificaciones a los sistemas informáticos y
quien autoriza cada una de estas modificaciones.

10) En el caso de que haya alguien de nivel superior que autorice los cambios y modificaciones a los
sistemas informáticos, verificar si existe algún documento escrito por medio del cual se autoricen
dichas modificaciones o si las ordenes se efectuan solamente de manera verbal.

11) En el caso de que exista el registo de las solicitudes de cambios mencionados en el punto anterior,
realizar pruebas en el sistema para verificar que se hayan realizado correctamente y que respondan a
la solicitud de la gerencia o de quien lo haya autorizado.

12) Verificar quien es el responsable de autorizar los niveles de jerarquía y niveles de acceso a utilizar
dentro del sistema y si existe algún registro escrito por medio del cual se hayan emitido dichas
autorizaciones.

13) Verificar si en la entidad se han establecido políticas con respecto a la creación de respaldos de la
información más importante, cuyo daño pudiera afectar el funcionamiento general de la entidad en el
caso de darse situaciones anómalas dentro del sistema informático.

14) Verificar si existen procedimientos y políticas en cuanto a la seguridad y protección del personal
que trabaja como usuario de los sistemas informáticos de la entidad.

15) Verificar si las claves no permiten el acceso de los usuarios a niveles superiores, a los cuales no
deberían acceder.

METODOS APLICABLES PARA SU DOCUMENTACION:

A) DESCRIPTIVO

La documentación utilizada durante la auditoría, será en primer lugar de tipo descriptiva o sea basada
en la narración verbal de los procedimientos, la cuales son conocidas como cédulas narrativas.


B) CUESTIONARIO

En segundo lugar, los procedimientos se documentarán a través de la preelaboración de preguntas,
contestadas personalmente por los líderes de la empresa o por el personal encargado de los sistemas
informáticos y por algunos usuarios dentro de la empresa que tenga relación con el mismo..

PLANEACION DETALLADA

Cuyo lema se basa en la individualización técnica de los procedimientos a ejecutar así como las
consideraciones y los objetivos a corto plazo que se espera producir en cada uno; comprende los
siguientes apartados:

1) Objetivos: Al obtener una clara comprensión del negocio, se fijan las metas tanto a corto
plazo como la general que se espera alcanzar al ejecutar la auditoría; se establece el eje sobre
el cual deben girar todos los procedimientos y fases de que consta para llevarse a cabo de
forma eficaz y efectiva.

2) Rubros a Examinar: Consiste en descomponer las partes integrantes del Sistema
Informático, en secciones manejables, facilitando con ello el análisis integral y exhaustivo,
con el propósito de obtener resultados correctos y claros en cada uno de sus niveles
operativos del sistema informático.

a. Primera descomposición: Hardware, software, personal, instalaciones eléctricas,
seguridad.

b. Segunda descomposición o detalle: Computadores, periféricos, software de uso
general, software de uso específico, personal del área de informática, usuarios del
sistema informático, red eléctrica, seguridad física de los sitemas informáticos,
seguridad lógica del sistema, seguridad del personal, seguridad de la información y
las bases de datos, seguridad en el acceso y uso del software, seguridad en la
operación del harware, seguridad en las telecomunicaciones.

c. Tercera descomposición: Las áreas de mayor riesgo, son descompuestas en sus
subdivisiones más significativas, por lo cual se debe validar el funcionamiento de
ellos mediante un examen operativo y el respectivo cumplimiento de las políticas
institucionales en cuanto a su uso y aplicación.

d. Cuarta descomposición: Esta última se refiere al examen propio de cada una de las
áreas específicas, con el fin de asegurar el buen funcionamiento de cada uno de los
componentes del sistema informático, estos casos requerirán su validación.

3) Comparaciones: Se establecerán comparaciones sobre el actual funcionamiento de los
sistemas informáticos y las especificaciones de sobre como deberían funcionar, para

establecer si se les está dando el uso adecuado y si se está obteniendo los máximos
resultados de la aplicación de dichos sistemas.

4) Generación de detalles periódicos: Algunas áreas serán analizadas por períodos, con el fin de
verificar su desarrollo a través del tiempo, en cambio, habrá otros que por su naturaleza, se
pueden analizar en un momento fijo y que pueden generalizarse a diversos períodos, para
ello, en el caso de que se encuentre situaciones en las cuales sea necesaria la actuación
inmediata, se generarán reportes intermedios hacia la gerencia, con el fin de que sean
buscados los correctivos correspondientes de manera inmediata.

5) Examen documental: se consolida como la base de la auditoría y el enlace entre la
investigación y la emisión de una opinión e informe, la inspección de los documentos
anexos a cada operación del sistema informático, cuando por la naturaleza de las mismas
exista un documento que ampare las operaciones.

6) Margen de Importancia: Dentro de este apartado, se deben analizar y señalar aquellos
conceptos cuyo impacto de su inclusión, exclusión o revelación textual pueda modificar la
opinión sobre ellas. Ello requiere de parte del auditor, la capacidad de generar opiniones
similares a la suya, entre los usuarios de los sistemas informáticos.

7) Riesgos: Toda auditoría se encuentra impregnada por la posibilidad de que los aspectos a
evaluar contengan errores o irregularidades de importancia no detectados, cuyo
conocimiento haga cambiar la opinión sobre ellos. (entiéndase como error, la ocurrencia u
omisión de datos originados en circunstancias no voluntarias por parte de los encargados del
funcionamiento de los sistemas informáticos; y las irregularidades, son las circunstancias
voluntarias por parte del mismo). Estos riesgos se clasifican de la siguiente manera:

a. Riesgo Inherente: Asociado con la generación de estimaciones sobre la existencia de
hechos, lo anterior es de criterio potencial por parte del auditor, y pueden ser
identificados como “eventos presuntos”, su análisis parte de la naturaleza del
negocio, naturaleza de los sistemas de control de información, de los mismos
sistemas informáticos y otros.

b. Riesgo de Control: Este se disminuye a medida que se eleva la confianza en los
métodos de control interno adoptados, y se define como la posibilidad de que el
control interno no detecte o evite oportunamente errores o irregularidades de
importancia.

c. Riesgo de Detección: Vinculado directamente con la función de auditoría, y se
conoce como la mayor o menor capacidad de efectividad de los procedimientos de la
misma para descubrir errores o irregularidades que en condiciones normales deberían
ser visualizadas.

8) Elaboración de cuestionario de control interno: Para conocer el funcionamiento del
departamento de informática dentro de la entidad, se diseñará un cuestionario de control

interno, en el cual se harán en su mayoría preguntas cerradas, con en propósito de conocer
las actividades a las cuales se dedica la institución, quienes las efectúan, en que momento se
realizan los procesos y por quienes se realizan, con el fin de detectar posibles fallas y con
base en ello, detectar la clase de riesgo que presenten cada una de las operaciones y
procedimientos. Dichos datos servirán en su conjunto para la realización de la
correspondiente planilla de decisiones preliminares y el programa de auditoría.

9) Planilla de decisiones peliminares: En este documento, luego de obtener los resultados del
cuestionario de control interno, se establecerá el tipo de riesgo (alto, medio o bajo) que tiene
cada una de las operaciones que se realizan a través de los sistemas informáticos, y con base
en ellos se podrá establecer la profundidad con la que se examinarán cada uno de los rubros
que componen dicha área.

10) Elaboración del programa de auditoría: Con posterioridad al conocimiento general del
negocio y a la evaluación del control interno adoptado, se dejará constancia documental de
los pasos a seguir en las diferentes áreas involucradas, las tareas programadas, quedan
plasmadas en una guía de procedimientos, cuya mayor especificación, facilita su ejecución y
comprobación de la misma. Dentro de ellos se hace mención a los pasos, enfoques,
oportunidades, volúmenes de muestra, y cualquier otra circunstancia que detalle el trabajo a
efectuar. Es importante mencionar que este no se caracterizará por su naturaleza inflexible,
por encontrarse sujeto a ampliaciones o reducciones necesarias, originadas en conclusiones
parciales, nuevos eventos o diversas situaciones que pudiesen desviar los objetivos propios
de la investigación.

11) Verificación de generalidades concernientes a los documentos emitidos.

12) Análisis y validación de los documentos anexados que soportan las adquisiciones de bienes
y servicios a utilizarse por los diversos usuarios del sistema informático.

13) Conocimiento sobre controles de inventarios o la ausencia de los mismos con respecto a los
bienes del área de informática.

14) Verificación documental y física de las adquisiciones de bienes del área de informática.

15) Elaboración de cédulas narrativas por los procedimientos alternos efectuados cuya
documentación no se refiere a papeles de cálculo, anexos proporcionados por el
contribuyente o por terceros.

16) Documentación adecuada de hallazgos.

17) Rendimiento de informes parciales o previos, ante la detección de errores cuyo impacto sea
relevante, con firma y fecha de recibidos, como constancia de divulgación oportuna.

18) Adición de notas oportunas sobre la atención u omisión de las observaciones a que se refiere
el apartado anterior.

19) Preparación del informe final de auditoría, con copia para los encargados del sistema de

informático del negocio.

Nota: Toda la metodología y procedimientos detallados, no inhiben de sostener reuniones periódicas
o eventuales con la administración, a efectos de discutir, ampliar o sugerir sobre la forma de operar y
aspectos que de manera inmediata sea necesario corregir, asimismo cualquier consulta o
requerimiento se efectuará de forma escrita como constancia de realizado.

CUESTIONARIO DE CONTROL INTERNO

PREGUNTAS SI NO N/A

ASPECTOS RELACIONADOS AL ÁREA DE
INFORMÁTICA.

1. Existe dentro de la empresa un área de informática?

SI LA RESPUESTA FUE SI:
2. Ante quien rinden cuentas de su gestión?

3. Se ha nombrado un gerente para esta área?

4. Está identificada dicha área dentro del organigrama general de
la empresa?

5. Se tiene un organigrama específico de dicha área?

6. Hay un manual de organización y funciones aplicables a dicha
área?


7. Están delimitadas las funciones de cada integrante del área de
informática?

8. Cada empleado del área de informática conoce la persona ante
la que tiene que rendir cuentas de su labor?

9. Los gerentes y otros funcionarios de nivel superior pueden
dar órdenes directas a cualquier empleado del área de
informática?

10. Cada empleado del área de informática es especialista en
aspectos distintos de programación?

ASPECTOS RELACIONADOS AL HARDWARE

11. En alguna ocasión se ha extraviado alguna laptop o algún
proyector de cañón propiedad de la empresa?

12. En alguna ocasión se ha extraviado algún periférico (bocinas,
audífonos, teclado, mouse, teclado numérico, etc.) de una
computadora?

13. Si hay vigilante, ¿Revisa éste que los empleados no lleven
artículos que no son de su propiedad?

14. En alguna ocasión le han quemado discos o guardado
información en los equipos de la entidad?

15. Cada componente de su computadora y periféricos tiene la
numeración respectiva del inventario?

ASPECTOS RELACIONADOS AL SOFTWARE

16. Se utilizan programas como el Office de Microsoft u otros
programas para los que la empresa haya comprado las
licencias correspondientes?

17. Los empleados pueden utilizar el equipo informático de la
entidad para elaborar documentos o diseños para uso
personal?

18. Hay una persona nombrada como responsable de resguardar el
software comprado por la empresa?

19. Para el resguardo de los diversos discos de programas, se
tiene un archivadero adecuado?

20. El software comprado por la entidad le facilita su trabajo?


21. Los programas antes mencionados son justo lo que necesita
para sus actividades laborales?

22. Existen programas diseñados y elaborados por el área de
informática, con los procedimientos específicos para las
actividades que la entidad desarrolla?

23. Los programas fueron creados bajo estricta normas de
seguridad para evitar que puedan ser revendidos a otras
empresas que se dediquen a la misma actividad económica?

24. Los diversos softwares se guardan en un lugar libre de
humedad o con calor excesivo?

25. Los programas creados por los empleados del área de
informática son funcionales y responden a las necesidades de
la organización?

ASPECTOS RELACIONADOS AL PERSONAL
(Será conveniente que algunas preguntas sean resueltas por los
empleados del área de informática)

26. Cuántos años tiene de laborar para la empresa?____________

27. Se siente satisfecho de laborar para la empresa?

28. En el último año, ha renunciado algún empleado de este
departamento?

29. Cuáles considera que fueron las razones de la renuncia?
__________________________________________

30. Se permite que el personal lleve trabajo y accesorios a su
casa?

31. Han recibido capacitaciones en el último año?

32. Las capacitaciones recibidas, a que aspectos han sido
enfocadas?_________________________________________

33. Los usuarios de los diferentes departamentos manejan con
eficiencia los programas utilizados.

34. Se ha capacitado en su momento a los usuarios de los
sistemas informáticos?

35. En alguna ocasión ha visto que algún empleado de la empresa
esté haciendo algun trabajo muy personal en el equipo
provisto por la empresa y en horas laborales?

INSTALACIONES ELECTRICAS

36. Cada cuanto, personal idóneo revisa las instalaciones
eléctricas?_________________________________________

37. En el último año se han revisado todas las instalaciones
eléctricas?

38. En alguna ocasión se ha generado algún corto circuito dentro
de las instalaciones?

39. Los tomas en los que conectan los equipos están polarizados?

40. Tiene la empresa contratado un electricista?

ASPECTOS RELACIONADOS A LA SEGURIDAD

41. Considera usted que hay demasiada humedad o excesivo
calor, lo cual pueda deteriorar los computadores?

42. En alguna ocasión usted ha estado trabajando en una
aplicación y de pronto cuando la está ejecutando se ha
cambiado y le ha generado una cosa diferente a lo que
esperaba?

43. En alguna ocasión un empleado se ha enfermado y le ha dicho
el médico que es resultado del uso de algún aparato eléctrico?

44. Tiene la empresa en algún lugar diferente al negocio, copias
de seguridad de los software y documentación importante que
al darse un siniestro pueda afectar a la organización?

45. Le han dado clave para ingresar al sistema?

46. La clave que ha recibido le da acceso a documentos y
archivos con base en la autoridad que tiene dentro de la
empresa?

47. Alguna vez su equipo no ha funcionado y al verificar algún
accesorio ha estado desconectado?


48. El acceso a internet es para todos los empleados?

49. Alguna vez por casualidad ha abierto algún documento que
solo debió ser abierto por funcionarios de nivel superior?

50. Alguna vez al insertar su contraseña el sistema le ha dado
mensaje de error y aun cuando lo escribe correctamente, el
mensaje se ha repetido?

Nombre:___________________________________________________________

Cargo:_____________________________________________________________


PLANILLA DE DECISIONES PRELIMINARES
SANCHEZ PINEDA & COMPAÑIA.
NOMBRE DEL CLIENTE: HILOSA S.A. DE C.V.

PERÍODO A AUDITAR : DEL 1 DE ENERO AL 31 DE DICIEMBRE DE 2009

EVALUACION DE RIESGOS
INHERENT DETECCIÓ PROCEDIMIENTOS SEGÚN ALCANCE DE LOS
RUBRO AREA FACTORES DE RIESGO E CONTROL N FACTORES DE RIESGO PROCEDIMIENTOS

HARDWAR COMPUTAD
E ORES Que haya extravío.
Revisar que el hardware que se Se revisará el 100% de los bienes
encuentra inventariado como inventariados como parte del
adqusiciones de la entidad, se encuentre hardware.
en el lugar correspondiente.

Que se esté utilizando con los
fines para los cuales fue
adquirido. Verificar que los diversos componentes
del hardware, estén siendo aprovechados
almáximo y se estén utilizando como
corresponde.
Solicitar el registro de los periféricos
PERIFERICO Que haya extravío de los comprados y agregados a cada uno de
S accesorios y periféricos. los computadores y el lugar en que Se verificará el 100% de los
deben estar y verificar que estén donde periféricos.
corresponden.

Que se estén utilizando con los Se verificará que los componentes y
fines para los cuales fue periféricos sean utilizados con los fines
adquirido. para los cuales fueron solicitados y no
para obtener beneficios personales.


RUBRO AREA FACTORES DE RIESGO EVALUACION DE RIESGOS PROCEDIMIENTO SEGÚN ALCANCE DE LOS
FACTORES DE RIESGO PROCEDIMIENTOS
INHERENTE CONTROL DETECCIÓN

SOFTWAR SOFTWARE Que exista software comprado por Revisar los documentos que Se confirmará que el
E DE USO la entidad. muestran el inventario del 100% de las licencias,
GENERAL software de la entidad y se encuentren en poder
verificar que las licencias estén de la persona
bajo la custodia de una persona responsable.
con la autoridad para
resguardarlos.

Que el software haya sido
utilizado para beneficios Se verificará si hay algún Solamente se harán las
personales por algún usuario o se procedimiento de control preguntas pertinentes y
le haya sacado copias piratas del institucional que impida que las un día se verificará si a
mismo para fines particulares. personas lleven artículos de la la salida el vigilante
entidad a sus casas. revisa los artículos que
los empleados llevan en
sus bolsos.

Que el software adquirido por la
entidad esté resguardado en un Revisar las condiciones del La verificación se hrá
lugar libre de humedad o de lugar en que se encuentra por una sola vez y con la
mucho calor para evitar que se resguardado el software autorización de una
deteriore y se convierta en persona de la alta
inservible. gerencia.

Que el software funcione Se contratará un perito, el cual Se hará una prueba
correctamente y responda a las realizará pruebas al software, selectiva a un 10% de
necesidades institucionales. con el propósito de verificar si los programas,
está funcionando verificando que sea uno
correctamentey si su de los que más se
instalación cumple con las utilizan en la entidad.
condiciones de la empresa
fabricante.


RUBRO AREA FACTORES DE RIESGO EVALUACIÓN DE RIESGOS
PROCEDIMIENTOS ALCANCE DE LOS
SEGÚN FACTORES DE PROCEDIMIENTOS
INHERENTE CONTROL DETECCIÓN RIESGO

SOFTWARE Que exista software diseñado por Revisar los documentos que Se confirmará que el
DE USO los empleados del área de muestran el inventario del 100% de los softwares
ESPECIFICO informática de la entidad. software diseñado por los diseñados por los
encargados del área de empleados de la entidad,
informática y verificar que el se encuentren en poder
software esté bajo la custodia de la persona
de una persona con la autoridad responsable.
para resguardarlos.

Que el software haya sido Se verificará si hay algún Solamente se harán las
utilizado para beneficios procedimiento de control preguntas pertinentes y
personales por algún usuario o se institucional que impida que las un día se verificará si a
le haya sacado copias piratas del personas lleven artículos de la la salida el vigilante
mismo para fines particulares. entidad a sus casas. revisa los artículos que
los empleados llevan en
sus bolsos.

Que el software diseñado por la Revisar las condiciones del La verificación se hará
entidad esté resguardado en un lugar en que se encuentra por una sola vez y con la
lugar libre de humedad o de resguardado el software autorización de una
mucho calor para evitar que se persona de la alta
deteriore y se convierta en gerencia.
inservible.

Se contratará un perito, el cual Se hará una prueba
Que el software funcione realizará pruebas al software, selectiva a un 10% de
correctamente y responda a las con el propósito de verificar si los programas,
necesidades institucionales. está funcionando correctamente verificando que sea uno
y si su utilidad responde a las de los que más se
necesidades específicas de la utilizan en la entidad.
institución.


RUBRO AREA FACTORES DE RIESGO EVALUACION DE RIESGOS
PROCEDIMIENTOS ALCANDE DE LOS
SEGÚN FACTORES DE PROCEDIMIENTOS
INHERENTE CONTROL DETECCIÓN RIESGO

PERSONA PERSONAL Que los empleados del área de Se colocarán en el cuestionario Solamente se hará el
L DEL AREA informática no estén lo de control interno algunas cuestionario y se pasará
DE suficientemente comprometidos preguntas con el propósito de a los empleados pues la
INFORMATI con la entidad. establecer si los empleados del lealtad no es una
CA área de informática se sienten variable difícil de medir
satisfechos con el trato dentro en términos
de la entidad y su grado de cuantitativos.
lealtad a la misma.

Que los empleados del área de Se verificará si los empleados
informática vendan el software a del área de informática llevan Se verificará si a la
otras organizaciones aun cuando bienes de la sociedad a sus salida el vigilante revisa
su diseño fue pagado con recursos casas. los artículos que los
de la entidad. empleados llevan en sus
bolsos.

Que los empleados del área de Se verificarán los registros que
informática no estén recibiendo las la empresa tiene sobre las La revisión se hará por
capacitaciones necesarias con el respectivas capacitaciones una sola vez y se
propósito de actualizarlos y se recibidas por los empleados del verificará si en las
vayan quedando desactualizados área de informática. capacitaciones se ha
frente a la competencia. incluido a todo el
personal del área.


USUARIOS Que los usuarios de la entidad no Se verificará si los usuarios han Se consultará a los
DEL puedan utilizar con efectividad los recibido el adiestramiento usuarios por medio del
SISTEMA diversos softwares que la entidad necesario en el uso del software cuestionario de control
INFORMATI tenga en uso. y si al inicio recibieron la interno.
CO inducción correspondiente.

Que los usuarios del sistema Se verificará si los empleados Se verificará en por lo
informático de la entidad, estén de la entidad utilicen el menos 5 computadores
utilizando los recursos de la software y hardware para los si existen archivos
misma para sus usos personales, o fines establecidos por la basura o que no sean de
abusen del uso del internet. entidad y siguiendo las uso de la entidad.
políticas de la misma.

INSTALA RED Que los tomas eléctricos no estén Verificar que los tomas a los Se aplicará al 100% de
CIONES ELÉCTRICA debidamente polarizados. cuales se encuentra conectado los tomas.
ELÉCTRIC el equipo informático estén
AS debidamente polarizados con el
fin de evitar sobrecargas
eléctricas.

Que las instalaciones eléctricas ya Se verificará con la ayuda de Se aplicará a un 15% de
no estén en óptimas condiciones un electricista que las las instalaciones a las
de uso o ya sean obsoletas. instalaciones eléctricas que está conectado el
cumplan con las condiciones equipo del sistema
mínimas de funcionamiento y informático de la
que todavía no sean obsoletas. entidad.


RIESGOS
RUBRO AREA FACTORES DE RIESGO DETECCIÓN PROCEDIMIENTOS ALCANCE DE LOS
INHERENTE CONTROL SEGÚN FACTORES DE PROCEDIMIENTOS
RIESGO

SEGURID SEGURIDAD Que los componentes de los Verificar que los equipos no Se efectuará al 100% de
AD FISICA DE sistemas informáticos estén estén ubicados muy cerca de los computadores.
LOS ubicados en oficinas que no espacios húmedos o que el
SISTEMAS cumplen con las condiciones calor sea mucho.
INFORMATI mínimas ambientales.
COS

SEGURIDAD Que los procesos realizados por el Se pedirá al perito en Se realizará el
LOGICA sistema, estén dando datos programación que aplique procedimiento en 5
DEL erróneos y por ser automatizados, algunos datos al sistema, los ocasiones y en
SISTEMA la empresa se esté confiando de cuales también se realizarán de programas diferentes de
ellos. manera manual para ver que mayor uso.
estos den resultados iguales, y
de no serlos, se sugerirán los
posibles correctivos.

SEGURIDAD Que por la ubicación de los Se verificará que la ubicación Se revisará el 100% de
DEL equipos del área de informática, de las máquinas no esté tan los equipos.
PERSONAL los empleados vayan a padecer de cercana a las personas y que
enfermedades, como un efecto tengan sus respectivos
colateral de su uso. protectores de pantalla para
minimizar el daño a los ojos.


RIESGOS
RIESGO

SEGURID SEGURIDAD Que en caso de un siniestro, se Verificar si la empresa tiene Se consultará con la
AD DE LA pierda toda la información de la fuera de su local un área o local gerencia.
INFORMACI empresa y se destruyan las bases de seguridad para archivar
ON Y LAS de datos. discos y otros documentos de
BASES DE respaldo.
DATOS

SEGURIDAD Que empleados o usuarios puedan Se verificará que tan seguro es Se hará en una sola
EN EL accesar a espacios del sistema para el sistema solicitando al ocasión y trtando de
ACCESO Y los cuales no cuenten con la programador que intente violar accesar a un archivo
USO DEL respectiva autorización o no hayan la seguridad del sistema, claro utilizado por usuarios de
SOFTWARE recibido los password o claves de está que con la debida nivel inferior.
acceso para ello. autorización y presencia de un
administrador o representante
de la administración.
Al finalizar se dejará
constancia por escrito del
proceso desarrollado.


RIESGOS
RIESGO

SEGURID SEGURIDAD Que el equipo esté mal conectado Se verificará que los equipos Se aplicará al 100% de
AD EN LA y en algún momento pueda estén correctamente conectados los equipos.
OPERACIÓN originarse en él un corto circuito u y que sean funcionales.
DEL otro siniestro.
HARDWARE

SEGURIDAD Que el internet se esté utilizando Se verificará si las máquinas se Se harán los
EN LAS para fines personales de los encuentran en red, si todas procedimientos a un 5%
TELECOMU usuarios. tienen acceso a internet y si se de las máquinas.
NICACIONE puede monitorear en algún
S momento lo que están haciendo
los usuarios

PROGRAMA DE AUDITORIA

AUDITORIA DE ESTADOS FINANCIEROS.
NOMBRE DEL CLIENTE: HILOSA S.A. de C.V.
NOMBRE COMERCIAL: HILOSA S.A. de C.V.
ACTIVIDAD PRINCIPAL: Fabricación y comercialización de telas.
PERIODO AUDITADO: Del 1 de enero al 31 de diciembre de 2009.

PROCEDIMIENTO HECHO POR REF. FOLIO
PT’s
HARDWARE:

COMPUTADORES:

1. Realizar cédulas narrativas en las cuales se exprese si el inventario de los hardwares
que adquirió la entidad, se encuentre en el lugar correspondiente.

2. Plasmar en cédulas narrativas si los diversos componentes del hardware, están siendo
aprovechados al máximo y si se están utilizando como corresponde.

PERIFERICOS:

1. Efectuar cédulas narrativas en las que se constate si se han efectuado los registros de
los periféricos comprados y agregados a cada uno de los computadores y el lugar en
que deben estar y verificar que estén donde corresponden.

2. Plasmar en cédulas narrativas si los componentes y periféricos están siendo utilizados
con los fines para los cuales fueron solicitados y no para obtener beneficios personales.


PROCEDIMIENTO
HECHO REF. FOLIO
POR PT’S

SOFTWARE:

SOFTWARE DE USOS GENERALES:

1. Realizar cédulas narrativas en las cuales se exprese si los documentos muestran el
inventario del software de la entidad y verificar si las licencias están bajo la custodia
de una persona con la autoridad para resguardarlos.

2. Plasmar en cédulas narrativas si hay algún procedimiento de control institucional que
impida que las personas lleven artículos de la entidad a sus casas.

3. Efectuar cédulas narrativas en las que se exprese si las condiciones del lugar en que se
encuentra resguardado el software es el adecuado.

4. Plasmar en cédulas narrativas si se contratará con un perito, para que realice las
pruebas al software, con el propósito de verificar si está funcionando correctamente y
si su instalación cumple con las condiciones de la empresa fabricante.

SOFTWARE DE USO ESPECIFICO:

1. Efectuar cédulas narrativas que expresen si los documentos que muestran el inventario
del software diseñado por los encargados del área de informática y verificar que el
software esté bajo la custodia de una persona con la autoridad para resguardarlos.


2. Realizar cédulas narrativas sobre si hay algún procedimiento de control institucional
que impida que las personas lleven artículos de la entidad a sus casas.

3. Plasmar en cédulas narrativas si las condiciones del lugar en que se encuentra
resguardado el software es el adecuado.

4. Expresar en cédulas narrativas si se contratará con un perito, para que realice las
pruebas al software, con el propósito de verificar si está funcionando correctamente y
si su utilidad responde a las necesidades específicas de la institución.

PERSONAL:
PERSONAL DEL AREA DE INFORMATICA:

1. Efectuar cédulas narrativas que expresen si los empleados del área de informática se
sienten satisfechos con el trato dentro de la entidad y su grado de lealtad a la misma.

2. Plasmar en cédulas narrativas si los empleados del área de informática llevan bienes
de la sociedad a sus casas.

3. Realizar cédulas narrativas sobre los registros que la empresa tiene sobre las
respectivas capacitaciones recibidas por los empleados del área de informática

4. Realizar cédulas narrativas sobre si hay algún procedimiento de control institucional
que impida que las personas lleven artículos de la entidad a sus casas.

USUARIOS DEL SISTEMA INFORMATICO:

1. Efectuar cédulas narrativas que expresen si los usuarios han recibido el adiestramiento
necesario en el uso del software y si al inicio recibieron la inducción correspondiente.

2. Plasmar en cédulas narrativas si los empleados de la entidad utilicen el software y
hardware para los fines establecidos por la entidad y siguiendo las políticas de la
misma.

INSTALACIONES ELÉCTRICAS:
RED ELÉCTRICA:

1. Efectuar cédulas narrativas sobre si los tomas a los cuales se encuentra conectado el
equipo informático están debidamente polarizados con el fin de evitar sobrecargas
eléctricas.

2. Plasmar en cédulas narrativas si se contará con la ayuda de un electricista para que
verifique si las instalaciones eléctricas cumplen con las condiciones mínimas de
funcionamiento y que todavía no sean obsoletas.

SEGURIDAD:
SEGURIDAD FISICA DE LOS SISTEMAS INFORMATICOS:

1. Realizar cedulas narrativas acerca de los equipos que están ubicados muy cerca de
lugares húmedos para tomar las debidas precauciones, y que el calor sea mucho.


SEGURIDAD LOGICA DEL SISTEMA

1. Se llevara acabo una cedula narrativa y se le pedirá al perito en programación que
aplique algunos datos del sistema los cuales también se realizarán los cuales también
se realizarán de manera manual para ver que estos den resultados iguales, y de no serlo
se sugerirán las posibles correcciones.

SEGURIDAD DEL PERSONAL.

1. De acuerdo a la verificación de la ubicación de las máquinas que no esté tan cercana a
las personas y que tengan sus respectivos protectores de pantalla para minimizar el
daño a los ojos se realizara una cedula narrativa de lo observado.

SEGURIDAD DE LA INFORMACION Y LAS BASES DE DATOS

1. Efectuar una cedula narrativa con la verificación si la empresa tiene fuera de su local
un área o local de seguridad para archivar discos y otros documentos de respaldo para su
determinación.

SEGURIDAD EN EL ACCESO Y USO DEL SOFTWARE

1. Realizar una cedula narrativa con respecto a la verificación de que tan seguro es el
sistema solicitando al programador que intente violar la seguridad del sistema, claro
está que con la debida autorización y presencia de un administrador o representante de
la administración. Para poder concluir la revisión y llevar acaba la culminación de
ello.

SEGURIDAD EN LA OPERACIÓN DEL HARDWARE


1. Efectuar una cedula narrativa sobre si los equipos están correctamente conectados y
que sean funcionales.

SEGURIDAD EN LAS TELECOMUNICACIONES

1. Plasmar en una cedula narrativa si las máquinas se encuentran en red, si todas tienen
acceso a internet y si se puede monitorear en algún momento lo que están haciendo los
usuarios.

AUDITOR: LICDA. LESBIA SORAIDA SANCHEZ OSORIO

AUTORIZACIÓN No.: ----2876----

REPRESENTANTE LEGAL.


RECURSOS A UTILIZAR EN LA AUDITORIA

HUMANOS
Auditor
Auditores auxiliares
Programador analista
Especialista en redes informáticas

MATERIALES
Folders
Papel Bond
Combustibles
Lapiceros
Computadoras

TIEMPO
Se espera realizar la auditoría al sistema conformado de 40 computadoras conectadas en red en
un tiempo probable de 10 días.

FINANCIEROS

Efectivo por $ 1,762.00

PRESUPUESTO PARA LA AUDITORIA


VALOR
VALOR POR VALOR
TOTAL
HORA TOTAL
No. RECURSO RUBRO
HUMANOS
1 Auditor (30 horas hombre) $ 10.00 $ 300.00
Auditores Auxiliares (2
2 personas) $ 7.00 $ 700.00
3 Programador analista $ 6.25 $ 250.00
4 Especialista en redes $ 6.25 $ 250.00
5 Electricista $ 5.00 $ 100.00
TOTAL RUBRO $ 1,600.00
MATERIALES
1 Folders $ 5.00 $ 5.00
2 Papel bond $ 5.00 $ 5.00
3 Combustibles $ 50.00 $ 50.00
4 Lapiceros $ 2.00 $ 2.00
5 Computadoras $ 100.00 $ 100.00
TOTAL RUBRO $ 162.00
TOTAL GENERAL $ 1,762.00


CRONOGRAMA DE ACTIVIDADES

DIA DIA DIA DIA DIA DIA DIA DIA DIA DIA
No. ACTIVIDAD O TAREA
1 2 3 4 5 6 7 8 9 10
1 Realización de Visita preliminar
2 Elaboración de Plan de Auditoría
3 Elaboración de Cuestionario de Control interno
4 Visita para contestar el cuestionario de control interno
5 Análisis del cuestionario y elaboración de Planilla de Decisiones Preliminares
6 Ejecución de las actividades presentadas en el Programa de Auditoría
7 Revisión de sistema de redes
8 Revisión de la funcionalidad de los sistemas por el Programador
9 Revisión de funcionalidad del sistema eléctrico por el electricista
10 Presentación del informe de Auditoría


PESO PORCENTUAL DE CADA AREA A EVALUAR

No AREA A EVALUAR PESO O PONDERACIÓN
.
1 Computadores 5%
2 Periféricos 5%
3 Software de uso general 5%
4 Software de uso específico 10%
5 Personal del área de informática 10%
6 Usuarios del sistema informático 5%
7 Red eléctrica 10%
8 Seguridad física de los sitemas informáticos 5%
9 Seguridad lógica del sistema 10%
10 Seguridad del personal 5%
11 Seguridad de la información y las bases de datos 10%
12 Seguridad en el acceso y uso del software 10%
13 Seguridad en la operación del harware 5%
14 Seguridad en las telecomunicaciones 5%
TOTAL 100%

“REFERENCIAS DE AUDITORÍA”


REFERENCIAS DE AUDITORÍA DESCRIPCIÓN DE LA MARCA

A Computadores

B Periféricos

C Software de uso general

D Software de uso específico

E Personal del área de informática

F Usuarios del sistema informático

G Red eléctrica

H Seguridad física de los sistemas informáticos

I Seguridad lógica del sistema

J Seguridad del personal

K Seguridad de la información y las bases de datos

L Seguridad en el acceso y uso del software

M Seguridad en la operación del hardware

N Seguridad en las telecomunicaciones


“MARCAS DE AUDITORÍA”

MARCAS DE AUDITORÍA DESCRIPCIÓN DE LA MARCA

€ Obtenido del inventario de la empresa

Obtenido de la Gerencia
₤
Obtenido de otros documentos
∫
Obtenido de terceros
∆
Obtenido de empleados del área de informática
¥
Cotejado con el inventario
ℓ Verificado por el auditor

£ Revisado por el especialista en redes

₣ Verificado por el programador

Verificado por el electricista
√

METODOLOGÍA Y PROCEDIMIENTOS

1. El Primer día, el Auditor Senior y los Auditores Junior de la sociedad, visitarán al
cliente, en el lugar donde se realizará la auditoría, para identificar la magnitud de los
procedimientos a desarrollar y tener un acercamiento con los funcionarios y empleados
de la empresa.

2. El segundo día, se llevará a cabo la elaboración de la Planeación de la Auditoría, para
identificar las posibles áreas que representen riesgo dentro de la organización y que
afecten al sistema informático. Además se elaborará el cuestionario de Control Interno,
con el cual se buscará recabar información, que nos ayudará a identificar el tipo de riesgo
que presente cada componente o área a evaluar.

3. El tercer día en la jornada matutina, se visitará el lugar de trabajo con el propósito de
solicitar a los funcionarios, empleados del área de informática y usuarios del sistema, que
respondan el cuestionario de control interno. La visita será por los Auditores Junior.

4. El día cuatro, con los resultados obtenidos, los auditores elaborarán la planilla de
decisiones preliminares, evaluando el tipo de riesgo que presenta cada área y definiendo
algunos procedimientos que será necesario realizar.

5. Desde el quinto hasta el noveno día de realización de la auditoría, los auditores y peritos
contratados, visitarán el centro de trabajo para realizar los procedimientos de auditoría
necesarios, con el fin de obtener la evidencia suficiente y competente que sirva para la
elaboración del informe de auditoría.

6. El noveno y décimo día, se analizarán los datos, y se elaborará el informe de auditoría
que será presentado a la administración de HILOSA S.A. DE C.V.

MÉTODOS DE PRUEBA

Se solicitará a los auditores junior que desarrollen los procedimientos expresados en el plan de
auditoría.

En ellos se verificará que los peritos contratados para las diferentes áreas pongan a prueba los
sistemas de la organización, insertando claves falsas, para ver como reacciona el sistema.
A continuación se solicitará que un empleado autorizado de un nivel inferior, inserte su clave y
luego el experto en inforática tratará de accesar a documentos que solo se deberían ver por
funcionarios de nivel superior.
Por lo tanto lo que se verificará es la seguridad que ofrezca el sistema.

Se harán pruebas, por otro lado en lo concerniente a las instalaciones eléctricas, con el fin de
verificar que estén en buen estado y se tratará de provocar fallas al sistema eléctrico, para
verificar su vulnerabilidad.

En cuanto a las redes, se tratará desde una máquina, accesar a otras que no se debiera tener
acceso con el fin de verificar su vulnerabilidad.

SITUACIONES ALTERNAS

En el caso de que todos los equipos estén constantemente ocupados, se buscará la forma de que
se autorice, con la presencia de un funcionario o empleado de confianza, que algunos
procedimientos se puedan realizar fuera de la jornada laboral, con el propósito de no entorpecer
las labores cotidianas.


En el caso de no haber vigilante, que pueda revisar los bienes de los empleados, se verificará si
existe alguna forma alterna de asegurar que los empleados no retiren los bienes de la empresa.

En el caso de que al momento de la auditoría no se encuentren los funcionarios que nos hayan
contratado, se les pedirá que nombren a una persona, de preferencia del área de informática para
que, dé fe del trabajo que se está realizando y se mantenga la transparencia.

ASIGNACION DE RECURSOS Y SISTEMAS COMPUTACIONALES PARA LA
AUDITORÍA

Las laptop de nuestra empresa, serán asignadas a los dos auditores, senior de nuestra empresa
para que puedan en ellas realizar los respectivos procedimientos de auditoría y la anotación de
los aspectos importantes, así como el registro de la evidencia en su orden. También servirá para
el análisis de los resultados y la elaboración del informe de auditoría.

El combustible será para el vehículo propiedad de la firma de auditoría al cual se le echarán $
5.00 de combustible por día. Cantidad que alcanza para el movimiento.


La papelería será utilizada para la elaboración y resguardo de los papeles de trabajo y estarán en
manos del auditor senior Judith Ester Alvarez Pineda, quien será responsable de su custodia.

Planeacion De Auditoria De Sistemas Informaticos

Recomendados

Recomendados

Mais conteúdo relacionado

Mais procurados

Mais procurados (20)

Semelhante a Planeacion De Auditoria De Sistemas Informaticos

Semelhante a Planeacion De Auditoria De Sistemas Informaticos (20)

Mais de Vidal Oved

Mais de Vidal Oved (20)

Último

Último (20)

Planeacion De Auditoria De Sistemas Informaticos