UNIVERSIDAD MARIANO GLVEZ DE GUATEMALA

FACULTAD DE INGENIERA EN SISTEMAS DE INFORMACIN

LICENCIATURA DE INGENIERA EN SISTEMAS DE INFORMACIN Y

CIENCIAS DE LA COMPUTACIN
Catedrtico (a): Claudia Ramrez
Curso: Auditoria de Sistemas

TAREA O PROYECTO

Planeacin de Auditoria

Estudiante: Francisco Salvador Moscoso Rivas Carn No.: 0909 99-6645

Vicente Eugenio Espinoza Salguero

0909-09-9778

Edwin Omar Gmez Velsquez

0909-09-5485

Pgina 1 de 39

Planeacin de la Auditora de Sistemas Informticos ..

Objetivos..

Estudio y Evaluacin del Control Interno

Gestin Administrativa

Gestin Informtica.

Mtodos aplicables para su documentacin.

Planeacin detallada.

Cuestionario de control interno 11

Planilla de decisiones preliminares.. 15

10

Programa de auditora

24

11

Recursos a utilizar en la auditora..

31

12

Presupuestos para la auditora

32

13

Cronograma de actividades. 33

14

Peso porcentual de cada rea a evaluar 34

15

Referencias de auditora.. 35

16

Marcas de auditora. 36

17

Metodologa y procedimientos 37

18

Mtodos de prueba.. 38

19

Situaciones alternas. 38

20

Asignacion de recursos y sistemas computacionales para la auditora 39

Pgina 2 de 39

PLANEACION DE LA AUDITORIA DE SISTEMAS INFORMATICOS

EMPRESA:

Ca. Bananera Guatemalteca Ind. (COBIGUA)

N.I.T.:

5139511

PERIODO AUDITADO:

Del 01 de Enero al 31 de Diciembre 2014.

DIRECCION:

9 Calle 9-25 Puerto Barrios Izabal, Guatemala

TELEFONO:

7933 - 7005

Pgina 3 de 39

OBJETIVOS

OBJETIVOS GENERALES
Evaluar el funcionamiento y seguridad de los sistemas informticos de la empresa, as
como realizar un estudio suficiente de las operaciones del mismo que permita generar
un respaldo en la emision del informe a la auditoria practicada.

OBJETIVOS ESPECIFICOS
Evaluar si la persona encargada del mantenimiento y programacin del sistema
informatico de la empresa cumple con el perfil del puesto.
Identificar las reas crticas, con respecto a la seguridad del equipo del rea de
informtica.
Disear los procedimientos a efectuar en el desarrollo de la
informtica.

auditora del rea de

Establecer el alcance en cuanto a los procedimientos, de tal manera que conduzcan a la

formulacion del informe de la auditoria de sistemas.

Pgina 4 de 39

ESTUDIO Y EVALUACIN DEL CONTROL INTERNO

Esta fase constituye el inicio de la planeacin, aunque sea preparada con anterioridad; sus
resultados son los que generan la verdadera orientacin de las subsiguientes fases del
proceso, se deben considerar los siguientes aspectos:

GESTION ADMINISTRATIVA:
1-

Conocer y analizar las operaciones a las cuales se dedica el negocio y la forma en que
est estructurado tanto desde del punto de vista organizacional y administrativo, as
como el organigrama, nmero y distribucin de empleados, sistema interno de
autorizaciones, firmas, formularios utilizados, secuencia de operaciones y otros aspectos
similares que se realizan con la utilizacin del sistema informtico.

2-

Verificar si se ha diseado un manual de organizacin y funciones a ser aplicado a los y

por los usuarios del rea de informtica.

3-

Verificar si las contrataciones del personal del rea de informtica se han realizado con
base a los criterios establecidos en el manual de funciones y cumplen el perfil del puesto.

4-

Verificar si la administracin provee oportunamente los recursos necesarios para la

adquisicin del software actualizado para la proteccin de los sistemas informticos.

5-

Verificar si la administracin promueve la capacitacin y adiestramiento constante del

personal del rea de informtica.

6-

Verificar si la administracin ha establecido polticas claras con respecto a la

adjudicacin de claves de acceso a las bases de datos.

7-

Verificar que las instalaciones donde labora el personal del rea de informtica estn
adecuadas a las necesidades y no representen peligro para los empleados.

GESTION INFORMATICA:

1) Examinar la informacin preliminar correspondiente al rea de informtica, la cual puede

ser:
a) Interna: conocer los procesos que se realizan dentro de la empresa para los cuales
es utilizado el equipo informtico.

Pgina 5 de 39

Se verificar si se lleva un control de las operaciones realizadas y si queda un

registro de los usuarios del rea de informtica y los horarios en los cuales, han
utilizado el equipo del centro. Tambin se solicitar informacin correspondiente a si se ha
realizado en otras ocasiones auditoras al sistema informtico.

b) Externa: Conocimiento e identificacin de los usuarios del rea de informtica, as como de los
proveedores de materiales y accesorios y otros clientes.
2) Conocimiento de las instalaciones fsicas del negocio, materiales, mobiliario, inmuebles, equipos,
inventarios y otros que tienen relacin al rea de informtica y la ubicacin de sucursales, en caso de
que tambin utilicen dicho sistema.
3) Verificar si los programas utilizados dentro de la entidad han sido diseados especficamente para la
empresa y hasta que punto estos programas son operativos y satisfacen las necesidades de la entidad.
4) Naturaleza y tratamiento de las operaciones realizadas por medio de los sistemas informticos.
5) Cualquier otro punto de conocimiento general, que contribuya a orientar adecuadamente la auditoria
de sistemas informticos.
6) Verificar si todo el equipo o hardware se encuentra debidamente inventariado y se ha elaborado la
respectiva tarjeta de depreciacin del mismo, a fin de que en el momento en que se vuelvan obsoletos
se puedan dar de baja.
7) Verificar por medio de pruebas si los sistemas funcionan correctamente, para ello ser necesario
contratar a un perito programador, para que efectue las pruebas correspondientes.
8) Verificar si el software tiene las licencias correspondientes.
9) Verificar quienes estn autorizados para realizar modificaciones a los sistemas informticos y quien
autoriza cada una de estas modificaciones.
10) En el caso de que haya alguien de nivel superior que autorice los cambios y modificaciones a los
sistemas informticos, verificar si existe algn documento escrito por medio del cual se autoricen
dichas modificaciones o si las ordenes se efectuan solamente de manera verbal.
11) En el caso de que exista el registo de las solicitudes de cambios mencionados en el punto anterior,
realizar pruebas en el sistema para verificar que se hayan realizado correctamente y que respondan a la
solicitud de la gerencia o de quien lo haya autorizado.
12) Verificar quien es el responsable de autorizar los niveles de jerarqua y niveles de acceso a utilizar
dentro del sistema y si existe algn registro escrito por medio del cual se hayan emitido dichas
autorizaciones.

Pgina 6 de 39

13) Verificar si en la entidad se han establecido polticas con respecto a la creacin de respaldos de la
informacin ms importante, cuyo dao pudiera afectar el funcionamiento general de la entidad en el
caso de darse situaciones anmalas dentro del sistema informtico.
14) Verificar si existen procedimientos y polticas en cuanto a la seguridad y proteccin del personal
que trabaja como usuario de los sistemas informticos de la entidad.
15) Verificar si las claves no permiten el acceso de los usuarios a niveles superiores, a los cuales no
deberan acceder.

METODOS APLICABLES PARA SU DOCUMENTACION:

A) DESCRIPTIVO
La documentacin utilizada durante la auditora, ser en primer lugar de tipo descriptiva o sea basada
en la narracin verbal de los procedimientos, la cuales son conocidas como cdulas narrativas.

B) CUESTIONARIO
En segundo lugar, los procedimientos se documentarn a travs de la preelaboracin de preguntas,
contestadas personalmente por los lderes de la empresa o por el personal encargado de los sistemas
informticos y por algunos usuarios dentro de la empresa que tenga relacin con el mismo..

PLANEACION DETALLADA
Cuyo lema se basa en la individualizacin tcnica de los procedimientos a ejecutar as como las
consideraciones y los objetivos a corto plazo que se espera producir en cada uno; comprende los
siguientes apartados:

1)

Objetivos: Al obtener una clara comprensin del negocio, se fijan las metas tanto a corto
plazo como la general que se espera alcanzar al ejecutar la auditora; se establece el eje sobre
el cual deben girar todos los procedimientos y fases de que consta para llevarse a cabo de
forma eficaz y efectiva.

2)

Rubros a Examinar: Consiste en descomponer las partes integrantes del Sistema Informtico,
en secciones manejables, facilitando con ello el anlisis integral y exhaustivo, con el
propsito de obtener resultados correctos y claros en cada uno de sus niveles operativos del
sistema informtico.

Pgina 7 de 39

a. Primera descomposicin: Hardware, software, personal, instalaciones elctricas,

seguridad.
b. Segunda descomposicin o detalle: Computadores, perifricos, software de uso
general, software de uso especfico, personal del rea de informtica, usuarios del
sistema informtico, red elctrica, seguridad fsica de los sitemas informticos,
seguridad lgica del sistema, seguridad del personal, seguridad de la informacin y las
bases de datos, seguridad en el acceso y uso del software, seguridad en la operacin
del harware, seguridad en las telecomunicaciones.
c. Tercera descomposicin: Las reas de mayor riesgo, son descompuestas en sus
subdivisiones ms significativas, por lo cual se debe validar el funcionamiento de ellos
mediante un examen operativo y el respectivo cumplimiento de las polticas
institucionales en cuanto a su uso y aplicacin.
d. Cuarta descomposicin: Esta ltima se refiere al examen propio de cada una de las
reas especficas, con el fin de asegurar el buen funcionamiento de cada uno de los
componentes del sistema informtico, estos casos requerirn su validacin.

3)

Comparaciones: Se establecern comparaciones sobre el actual funcionamiento de los

sistemas informticos y las especificaciones de sobre como deberan funcionar, para
establecer si se les est dando el uso adecuado y si se est obteniendo los mximos resultados
de la aplicacin de dichos sistemas.

4)

Generacin de detalles peridicos: Algunas reas sern analizadas por perodos, con el fin de
verificar su desarrollo a travs del tiempo, en cambio, habr otros que por su naturaleza, se
pueden analizar en un momento fijo y que pueden generalizarse a diversos perodos, para ello,
en el caso de que se encuentre situaciones en las cuales sea necesaria la actuacin inmediata,
se generarn reportes intermedios hacia la gerencia, con el fin de que sean buscados los
correctivos correspondientes de manera inmediata.

5)

Examen documental: se consolida como la base de la auditora y el enlace entre la

investigacin y la emisin de una opinin e informe, la inspeccin de los documentos anexos
a cada operacin del sistema informtico, cuando por la naturaleza de las mismas exista un
documento que ampare las operaciones.

6)

Margen de Importancia: Dentro de este apartado, se deben analizar y sealar aquellos

conceptos cuyo impacto de su inclusin, exclusin o revelacin textual pueda modificar la
opinin sobre ellas. Ello requiere de parte del auditor, la capacidad de generar opiniones
similares a la suya, entre los usuarios de los sistemas informticos.

7)

Riesgos: Toda auditora se encuentra impregnada por la posibilidad de que los aspectos a
evaluar contengan errores o irregularidades de importancia no detectados, cuyo conocimiento
haga cambiar la opinin sobre ellos. (entindase como error, la ocurrencia u omisin de datos
originados en circunstancias no voluntarias por parte de los encargados del funcionamiento de

Pgina 8 de 39

los sistemas informticos; y las irregularidades, son las circunstancias voluntarias por parte
del mismo). Estos riesgos se clasifican de la siguiente manera:

a. Riesgo Inherente: Asociado con la generacin de estimaciones sobre la existencia de

hechos, lo anterior es de criterio potencial por parte del auditor, y pueden ser
identificados como eventos presuntos, su anlisis parte de la naturaleza del negocio,
naturaleza de los sistemas de control de informacin, de los mismos sistemas
informticos y otros.

b. Riesgo de Control: Este se disminuye a medida que se eleva la confianza en los

mtodos de control interno adoptados, y se define como la posibilidad de que el
control interno no detecte o evite oportunamente errores o irregularidades de
importancia.

c. Riesgo de Deteccin: Vinculado directamente con la funcin de auditora, y se conoce

como la mayor o menor capacidad de efectividad de los procedimientos de la misma
para descubrir errores o irregularidades que en condiciones normales deberan ser
visualizadas.
8)

Elaboracin de cuestionario de control interno: Para conocer el funcionamiento del

departamento de informtica dentro de la entidad, se disear un cuestionario de control
interno, en el cual se harn en su mayora preguntas cerradas, con en propsito de conocer las
actividades a las cuales se dedica la institucin, quienes las efectan, en que momento se
realizan los procesos y por quienes se realizan, con el fin de detectar posibles fallas y con base
en ello, detectar la clase de riesgo que presenten cada una de las operaciones y
procedimientos. Dichos datos servirn en su conjunto para la realizacin de la
correspondiente planilla de decisiones preliminares y el programa de auditora.

9)

Planilla de decisiones peliminares: En este documento, luego de obtener los resultados del
cuestionario de control interno, se establecer el tipo de riesgo (alto, medio o bajo) que tiene
cada una de las operaciones que se realizan a travs de los sistemas informticos, y con base
en ellos se podr establecer la profundidad con la que se examinarn cada uno de los rubros
que componen dicha rea.

10) Elaboracin del programa de auditora: Con posterioridad al conocimiento general del
negocio y a la evaluacin del control interno adoptado, se dejar constancia documental de los
pasos a seguir en las diferentes reas involucradas, las tareas programadas, quedan plasmadas
en una gua de procedimientos, cuya mayor especificacin, facilita su ejecucin y
comprobacin de la misma. Dentro de ellos se hace mencin a los pasos, enfoques,
oportunidades, volmenes de muestra, y cualquier otra circunstancia que detalle el trabajo a
efectuar. Es importante mencionar que este no se caracterizar por su naturaleza inflexible,

Pgina 9 de 39

por encontrarse sujeto a ampliaciones o reducciones necesarias, originadas en conclusiones

parciales, nuevos eventos o diversas situaciones que pudiesen desviar los objetivos propios de
la investigacin.

11) Verificacin de generalidades concernientes a los documentos emitidos.

12) Anlisis y validacin de los documentos anexados que soportan las adquisiciones de bienes y
servicios a utilizarse por los diversos usuarios del sistema informtico.
13) Conocimiento sobre controles de inventarios o la ausencia de los mismos con respecto a los
bienes del rea de informtica.
14) Verificacin documental y fsica de las adquisiciones de bienes del rea de informtica.
15) Elaboracin de cdulas narrativas por los procedimientos alternos efectuados cuya
documentacin no se refiere a papeles de clculo, anexos proporcionados por el contribuyente
o por terceros.
16) Documentacin adecuada de hallazgos.
17) Rendimiento de informes parciales o previos, ante la deteccin de errores cuyo impacto sea
relevante, con firma y fecha de recibidos, como constancia de divulgacin oportuna.
18) Adicin de notas oportunas sobre la atencin u omisin de las observaciones a que se refiere
el apartado anterior.
19) Preparacin del informe final de auditora, con copia para los encargados del sistema de
informtico del negocio.

Pgina 10 de 39

CUESTIONARIO DE CONTROL INTERNO

PREGUNTAS

SI

NO

N/A

ASPECTOS RELACIONADOS AL REA DE

INFORMTICA.
1. Existe dentro de la empresa un rea de informtica?
SI LA RESPUESTA FUE SI:
2. Ante quien rinden cuentas de su gestin?
3. Se ha nombrado un gerente para esta rea?
4. Est identificada dicha rea dentro del organigrama general de
la empresa?
5. Se tiene un organigrama especfico de dicha rea?
6. Hay un manual de organizacin y funciones aplicables a dicha
rea?
7. Estn delimitadas las funciones de cada integrante del rea de
informtica?
8. Cada empleado del rea de informtica conoce la persona ante
la que tiene que rendir cuentas de su labor?
9. Los gerentes y otros funcionarios de nivel superior pueden dar
rdenes directas a cualquier empleado del rea de informtica?
10. Cada empleado del rea de informtica es especialista en
aspectos distintos de programacin?
ASPECTOS RELACIONADOS AL HARDWARE
11. En alguna ocasin se ha extraviado alguna laptop o algn
proyector de can propiedad de la empresa?
12. En alguna ocasin se ha extraviado algn perifrico (bocinas,
audfonos, teclado, mouse, teclado numrico, etc.) de una
computadora?
13. Si hay vigilante, Revisa ste que los empleados no lleven
artculos que no son de su propiedad?

Pgina 11 de 39

14. En alguna ocasin le han quemado discos o guardado

informacin en los equipos de la entidad?
15. Cada componente de su computadora y perifricos tiene la
numeracin respectiva del inventario?
ASPECTOS RELACIONADOS AL SOFTWARE
16. Se utilizan programas como el Office de Microsoft u otros
programas para los que la empresa haya comprado las licencias
correspondientes?
17. Los empleados pueden utilizar el equipo informtico de la
entidad para elaborar documentos o diseos para uso personal?
18. Hay una persona nombrada como responsable de resguardar el
software comprado por la empresa?
19. Para el resguardo de los diversos discos de programas, se tiene
un archivadero adecuado?
20. El software comprado por la entidad le facilita su trabajo?
21. Los programas antes mencionados son justo lo que necesita
para sus actividades laborales?
22. Existen programas diseados y elaborados por el rea de
informtica, con los procedimientos especficos para las
actividades que la entidad desarrolla?
23. Los programas fueron creados bajo estricta normas de
seguridad para evitar que puedan ser revendidos a otras
empresas que se dediquen a la misma actividad econmica?
24. Los diversos softwares se guardan en un lugar libre de
humedad o con calor excesivo?
25. Los programas creados por los empleados del rea de
informtica son funcionales y responden a las necesidades de
la organizacin?
ASPECTOS RELACIONADOS AL PERSONAL
(Ser conveniente que algunas preguntas sean resueltas por los
empleados del rea de informtica)
26. Cuntos aos tiene de laborar para la empresa?____________

Pgina 12 de 39

27. Se siente satisfecho de laborar para la empresa?

28. En el ltimo ao, ha renunciado algn empleado de este
departamento?
29. Cules considera que fueron las razones de la
renuncia?__________________________________________
30. Se permite que el personal lleve trabajo y accesorios a su casa?
31. Han recibido capacitaciones en el ltimo ao?
32. Las capacitaciones recibidas, a que aspectos han sido
enfocadas?_________________________________________
33. Los usuarios de los diferentes departamentos manejan con
eficiencia los programas utilizados.
34. Se ha capacitado en su momento a los usuarios de los sistemas
informticos?
35. En alguna ocasin ha visto que algn empleado de la empresa
est haciendo algun trabajo muy personal en el equipo provisto
por la empresa y en horas laborales?
INSTALACIONES ELECTRICAS
36. Cada cuanto, personal idneo revisa las instalaciones
elctricas?_________________________________________
37. En el ltimo ao se han revisado todas las instalaciones
elctricas?
38. En alguna ocasin se ha generado algn corto circuito dentro
de las instalaciones?
39. Los tomas en los que conectan los equipos estn polarizados?
40. Tiene la empresa contratado un electricista?
ASPECTOS RELACIONADOS A LA SEGURIDAD
41. Considera usted que hay demasiada humedad o excesivo calor,
lo cual pueda deteriorar los computadores?

Pgina 13 de 39

42. En alguna ocasin usted ha estado trabajando en una

aplicacin y de pronto cuando la est ejecutando se ha
cambiado y le ha generado una cosa diferente a lo que
esperaba?
43. En alguna ocasin un empleado se ha enfermado y le ha dicho
el mdico que es resultado del uso de algn aparato elctrico?
44. Tiene la empresa en algn lugar diferente al negocio, copias de
seguridad de los software y documentacin importante que al
darse un siniestro pueda afectar a la organizacin?
45. Le han dado clave para ingresar al sistema?
46. La clave que ha recibido le da acceso a documentos y archivos
con base en la autoridad que tiene dentro de la empresa?
47. Alguna vez su equipo no ha funcionado y al verificar algn
accesorio ha estado desconectado?
48. El acceso a internet es para todos los empleados?
49. Alguna vez por casualidad ha abierto algn documento que
solo debi ser abierto por funcionarios de nivel superior?
50. Alguna vez al insertar su contrasea el sistema le ha dado
mensaje de error y aun cuando lo escribe correctamente, el
mensaje se ha repetido?

Nombre:___________________________________________________________
Cargo:_____________________________________________________________

Pgina 14 de 39

PLANILLA DE DECISIONES PRELIMINARES

NOMBRE DEL CLIENTE:

PERODO A AUDITAR :

RUBRO

AREA

HARDWAR
E

COMPUTAD
ORES

EVALUACION DE RIESGOS
INHERENT
DETECCI
E
CONTROL
N

FACTORES DE RIESGO

PROCEDIMIENTOS SEGN
FACTORES DE RIESGO

ALCANCE DE LOS
PROCEDIMIENTOS

Que haya extravo.

Revisar que el hardware que se encuentra
inventariado como adqusiciones de la
entidad, se encuentre en el lugar
correspondiente.
Que se est utilizando con los
fines para los cuales fue
adquirido.

Que haya extravo de

PERIFERICOS accesorios y perifricos.

los

Que se estn utilizando con los

fines para los cuales fue
adquirido.

Verificar que los diversos componentes

del hardware, estn siendo aprovechados
almximo y se estn utilizando como
corresponde.
Solicitar el registro de los perifricos
comprados y agregados a cada uno de los
computadores y el lugar en que deben
estar y verificar que estn donde
corresponden.
Se verificar que los componentes y
perifricos sean utilizados con los fines
para los cuales fueron solicitados y no
para obtener beneficios personales.

Se revisar el 100% de los bienes

inventariados como parte del
hardware.

Se verificar el 100% de los

perifricos.

Pgina 15 de 39

RUBRO

AREA

FACTORES DE RIESGO

EVALUACION DE RIESGOS

PROCEDIMIENTO SEGN
FACTORES DE RIESGO

ALCANCE DE LOS
PROCEDIMIENTOS

Que exista software comprado por

la entidad.

Revisar los documentos que

muestran el inventario del
software de la entidad y verificar
que las licencias estn bajo la
custodia de una persona con la
autoridad para resguardarlos.

Se confirmar que el
100% de las licencias, se
encuentren en poder de la
persona responsable.

Que el software haya sido utilizado

para beneficios personales por
algn usuario o se le haya sacado
copias piratas del mismo para fines
particulares.

Se verificar si hay algn

procedimiento de control
institucional que impida que las
personas lleven artculos de la
entidad a sus casas.

Solamente se harn las

preguntas pertinentes y
un da se verificar si a la
salida el vigilante revisa
los artculos que los
empleados llevan en sus
bolsos.

Que el software adquirido por la

entidad est resguardado en un
lugar libre de humedad o de mucho
calor para evitar que se deteriore y
se convierta en inservible.

Revisar las condiciones del

lugar en que se encuentra
resguardado el software

La verificacin se hr
por una sola vez y con la
autorizacin de una
persona de la alta
gerencia.

Que el software funcione

correctamente y responda a las
necesidades institucionales.

Se contratar un perito, el cual

realizar pruebas al software,
con el propsito de verificar si
est funcionando
correctamentey si su instalacin
cumple con las condiciones de
la empresa fabricante.

Se har una prueba

selectiva a un 10% de los
programas, verificando
que sea uno de los que
ms se utilizan en la
entidad.

INHERENTE

SOFTWAR
E

SOFTWARE
DE USO
GENERAL

CONTROL

DETECCIN

Pgina 16 de 39

RUBRO

AREA

FACTORES DE RIESGO

EVALUACIN DE RIESGOS
PROCEDIMIENTOS
SEGN FACTORES DE
RIESGO

ALCANCE DE LOS
PROCEDIMIENTOS

Que exista software diseado por

los empleados del rea de
informtica de la entidad.

Revisar los documentos que

muestran el inventario del
software diseado por los
encargados del rea de
informtica y verificar que el
software est bajo la custodia
de una persona con la autoridad
para resguardarlos.

Se confirmar que el
100% de los softwares
diseados por los
empleados de la entidad,
se encuentren en poder
de la persona
responsable.

Que el software haya sido utilizado

para beneficios personales por
algn usuario o se le haya sacado
copias piratas del mismo para fines
particulares.

Se verificar si hay algn

procedimiento de control
institucional que impida que las
personas lleven artculos de la
entidad a sus casas.

Solamente se harn las

preguntas pertinentes y
un da se verificar si a la
salida el vigilante revisa
los artculos que los
empleados llevan en sus
bolsos.

Que el software diseado por la

entidad est resguardado en un
lugar libre de humedad o de mucho
calor para evitar que se deteriore y
se convierta en inservible.

Revisar las condiciones del

lugar en que se encuentra
resguardado el software

La verificacin se har
por una sola vez y con la
autorizacin de una
persona de la alta
gerencia.

Que el software funcione

correctamente y responda a las
necesidades institucionales.

Se contratar un perito, el cual

realizar pruebas al software,
con el propsito de verificar si
est funcionando correctamente
y si su utilidad responde a las

Se har una prueba

selectiva a un 10% de los
programas, verificando
que sea uno de los que
ms se utilizan en la

INHERENTE

SOFTWARE
DE USO
ESPECIFICO

CONTROL

DETECCIN

Pgina 17 de 39

RUBRO

AREA

FACTORES DE RIESGO

necesidades especficas de la
institucin.

entidad.

PROCEDIMIENTOS
SEGN FACTORES DE
RIESGO

ALCANDE DE LOS
PROCEDIMIENTOS

EVALUACION DE RIESGOS
INHERENTE

CONTROL

DETECCIN

Pgina 18 de 39

PERSONA
L

PERSONAL
DEL AREA
DE
INFORMATI
CA

Que los empleados del rea de

informtica no estn lo
suficientemente comprometidos con
la entidad.

Se colocarn en el cuestionario
de control interno algunas
preguntas con el propsito de
establecer si los empleados del
rea de informtica se sienten
satisfechos con el trato dentro
de la entidad y su grado de
lealtad a la misma.

Solamente se har el
cuestionario y se pasar a
los empleados pues la
lealtad no es una variable
difcil de medir en
trminos cuantitativos.

Que los empleados del rea de

informtica vendan el software a
otras organizaciones aun cuando su
diseo fue pagado con recursos de
la entidad.

Se verificar si los empleados

del rea de informtica llevan
bienes de la sociedad a sus
casas.

Se verificar si a la salida
el vigilante revisa los
artculos que los
empleados llevan en sus
bolsos.

Que los empleados del rea de

informtica no estn recibiendo las
capacitaciones necesarias con el
propsito de actualizarlos y se
vayan quedando desactualizados
frente a la competencia.

Se verificarn los registros que

la empresa tiene sobre las
respectivas capacitaciones
recibidas por los empleados del
rea de informtica.

La revisin se har por

una sola vez y se
verificar si en las
capacitaciones se ha
incluido a todo el
personal del rea.

Pgina 19 de 39

USUARIOS
DEL
SISTEMA
INFORMATI
CO

INSTALAC
IONES
ELCTRIC
AS

RED
ELCTRICA

Que los usuarios de la entidad no

puedan utilizar con efectividad los
diversos softwares que la entidad
tenga en uso.

Se verificar si los usuarios han

recibido el adiestramiento
necesario en el uso del software
y si al inicio recibieron la
induccin correspondiente.

Se consultar a los
usuarios por medio del
cuestionario de control
interno.

Que los usuarios del sistema

informtico de la entidad, estn
utilizando los recursos de la misma
para sus usos personales, o abusen
del uso del internet.

Se verificar si los empleados

de la entidad utilicen el software
y hardware para los fines
establecidos por la entidad y
siguiendo las polticas de la
misma.

Se verificar en por lo
menos 5 computadores si
existen archivos basura o
que no sean de uso de la
entidad.

Que los tomas elctricos no estn

debidamente polarizados.

Verificar que los tomas a los

cuales se encuentra conectado el
equipo informtico estn
debidamente polarizados con el
fin de evitar sobrecargas
elctricas.

Se aplicar al 100% de
los tomas.

Que las instalaciones elctricas ya

no estn en ptimas condiciones de
uso o ya sean obsoletas.

Se verificar con la ayuda de un

electricista que las instalaciones
elctricas cumplan con las
condiciones mnimas de
funcionamiento y que todava
no sean obsoletas.

Se aplicar a un 15% de
las instalaciones a las que
est conectado el equipo
del sistema informtico
de la entidad.

Pgina 20 de 39

RIESGOS
RUBRO

AREA

FACTORES DE RIESGO

DETECCIN
INHERENTE

SEGURID
AD

CONTROL

PROCEDIMIENTOS
SEGN FACTORES DE
RIESGO

ALCANCE DE LOS
PROCEDIMIENTOS

SEGURIDAD
FISICA DE
LOS
SISTEMAS
INFORMATI
COS

Que los componentes de los

sistemas informticos estn
ubicados en oficinas que no
cumplen con las condiciones
mnimas ambientales.

Verificar que los equipos no

estn ubicados muy cerca de
espacios hmedos o que el calor
sea mucho.

Se efectuar al 100% de
los computadores.

SEGURIDAD
LOGICA
DEL
SISTEMA

Que los procesos realizados por el

sistema, estn dando datos errneos
y por ser automatizados, la empresa
se est confiando de ellos.

Se pedir al perito en
programacin que aplique
algunos datos al sistema, los
cuales tambin se realizarn de
manera manual para ver que
estos den resultados iguales, y
de no serlos, se sugerirn los
posibles correctivos.

Se realizar el
procedimiento en 5
ocasiones y en programas
diferentes de mayor uso.

SEGURIDAD
DEL
PERSONAL

Que por la ubicacin de los equipos

del rea de informtica, los
empleados vayan a padecer de
enfermedades, como un efecto
colateral de su uso.

Se verificar que la ubicacin de

las mquinas no est tan cercana
a las personas y que tengan sus
respectivos protectores de
pantalla para minimizar el dao
a los ojos.

Se revisar el 100% de
los equipos.

Pgina 21 de 39

RIESGOS
RUBRO

AREA

FACTORES DE RIESGO

DETECCIN
INHERENTE

SEGURID
AD

CONTROL

PROCEDIMIENTOS
SEGN FACTORES DE
RIESGO

ALCANCE DE LOS
PROCEDIMIENTOS

SEGURIDAD
DE LA
INFORMACI
ON Y LAS
BASES DE
DATOS

Que en caso de un siniestro, se

pierda toda la informacin de la
empresa y se destruyan las bases de
datos.

Verificar si la empresa tiene

fuera de su local un rea o local
de seguridad para archivar
discos y otros documentos de
respaldo.

Se consultar con la
gerencia.

SEGURIDAD
EN EL
ACCESO Y
USO DEL
SOFTWARE

Que empleados o usuarios puedan

accesar a espacios del sistema para
los cuales no cuenten con la
respectiva autorizacin o no hayan
recibido los password o claves de
acceso para ello.

Se verificar que tan seguro es

el sistema solicitando al
programador que intente violar
la seguridad del sistema, claro
est que con la debida
autorizacin y presencia de un
administrador o representante de
la administracin.
Al finalizar se dejar constancia
por escrito del proceso
desarrollado.

Se har en una sola

ocasin y trtando de
accesar a un archivo
utilizado por usuarios de
nivel inferior.

Pgina 22 de 39

RIESGOS
RUBRO

AREA

FACTORES DE RIESGO

DETECCIN
INHERENTE

SEGURID
AD

CONTROL

PROCEDIMIENTOS
SEGN FACTORES DE
RIESGO

ALCANCE DE LOS
PROCEDIMIENTOS

SEGURIDAD
EN LA
OPERACIN
DEL
HARDWARE

Que el equipo est mal conectado y

en algn momento pueda originarse
en l un corto circuito u otro
siniestro.

Se verificar que los equipos

estn correctamente conectados
y que sean funcionales.

Se aplicar al 100% de
los equipos.

SEGURIDAD
EN LAS
TELECOMU
NICACIONE
S

Que el internet se est utilizando

para fines personales de los
usuarios.

Se verificar si las mquinas se

encuentran en red, si todas
tienen acceso a internet y si se
puede monitorear en algn
momento lo que estn haciendo
los usuarios

Se harn los
procedimientos a un 5%
de las mquinas.

Pgina 23 de 39

PROGRAMA DE AUDITORIA
AUDITORIA DE ESTADOS FINANCIEROS.
NOMBRE DEL CLIENTE:
NOMBRE COMERCIAL:
ACTIVIDAD PRINCIPAL:
PERIODO AUDITADO:

Cobigua.
Cobigua..
Exportacion.

PROCEDIMIENTO

HECHO POR

REF.
PTs

FOLIO

HARDWARE:
COMPUTADORES:
1. Realizar cdulas narrativas en las cuales se exprese si el inventario de los hardwares
que adquiri la entidad, se encuentre en el lugar correspondiente.

2. Plasmar en cdulas narrativas si los diversos componentes del hardware, estn siendo
aprovechados al mximo y si se estn utilizando como corresponde.

PERIFERICOS:
Pgina 24 de 39

1. Efectuar cdulas narrativas en las que se constate si se han efectuado los registros de
los perifricos comprados y agregados a cada uno de los computadores y el lugar en
que deben estar y verificar que estn donde corresponden.

2. Plasmar en cdulas narrativas si los componentes y perifricos estn siendo utilizados

con los fines para los cuales fueron solicitados y no para obtener beneficios personales.

PROCEDIMIENTO
HECHO
POR

REF.
PTS

FOLIO

SOFTWARE:
SOFTWARE DE USOS GENERALES:
1. Realizar cdulas narrativas en las cuales se exprese si los documentos muestran el
inventario del software de la entidad y verificar si las licencias estn bajo la custodia
de una persona con la autoridad para resguardarlos.
2. Plasmar en cdulas narrativas si hay algn procedimiento de control institucional que
impida que las personas lleven artculos de la entidad a sus casas.
3. Efectuar cdulas narrativas en las que se exprese si las condiciones del lugar en que se
encuentra resguardado el software es el adecuado.
Pgina 25 de 39

4. Plasmar en cdulas narrativas si se contratar con un perito, para que realice las
pruebas al software, con el propsito de verificar si est funcionando correctamente y
si su instalacin cumple con las condiciones de la empresa fabricante.

SOFTWARE DE USO ESPECIFICO:

1. Efectuar cdulas narrativas que expresen si los documentos que muestran el inventario
del software diseado por los encargados del rea de informtica y verificar que el
software est bajo la custodia de una persona con la autoridad para resguardarlos.
2. Realizar cdulas narrativas sobre si hay algn procedimiento de control institucional
que impida que las personas lleven artculos de la entidad a sus casas.

3. Plasmar en cdulas narrativas si las condiciones del lugar en que se encuentra

resguardado el software es el adecuado.
4. Expresar en cdulas narrativas si se contratar con un perito, para que realice las
pruebas al software, con el propsito de verificar si est funcionando correctamente y
si su utilidad responde a las necesidades especficas de la institucin.

Pgina 26 de 39

PERSONAL:
PERSONAL DEL AREA DE INFORMATICA:
1. Efectuar cdulas narrativas que expresen si los empleados del rea de informtica se
sienten satisfechos con el trato dentro de la entidad y su grado de lealtad a la misma.
2. Plasmar en cdulas narrativas si los empleados del rea de informtica llevan bienes
de la sociedad a sus casas.
3. Realizar cdulas narrativas sobre los registros que la empresa tiene sobre las
respectivas capacitaciones recibidas por los empleados del rea de informtica
4. Realizar cdulas narrativas sobre si hay algn procedimiento de control institucional
que impida que las personas lleven artculos de la entidad a sus casas.

USUARIOS DEL SISTEMA INFORMATICO:

1. Efectuar cdulas narrativas que expresen si los usuarios han recibido el adiestramiento
necesario en el uso del software y si al inicio recibieron la induccin correspondiente.

2. Plasmar en cdulas narrativas si los empleados de la entidad utilicen el software y

hardware para los fines establecidos por la entidad y siguiendo las polticas de la
misma.
Pgina 27 de 39

INSTALACIONES ELCTRICAS:
RED ELCTRICA:
1. Efectuar cdulas narrativas sobre si los tomas a los cuales se encuentra conectado el
equipo informtico estn debidamente polarizados con el fin de evitar sobrecargas
elctricas.
2. Plasmar en cdulas narrativas si se contar con la ayuda de un electricista para que
verifique si las instalaciones elctricas cumplen con las condiciones mnimas de
funcionamiento y que todava no sean obsoletas.

SEGURIDAD:
SEGURIDAD FISICA DE LOS SISTEMAS INFORMATICOS:
1. Realizar cedulas narrativas acerca de los equipos que estn ubicados muy cerca de
lugares hmedos para tomar las debidas precauciones, y que el calor sea mucho.
SEGURIDAD LOGICA DEL SISTEMA
1. Se llevara acabo una cedula narrativa y se le pedir al perito en programacin que
aplique algunos datos del sistema los cuales tambin se realizarn los cuales tambin
se realizarn de manera manual para ver que estos den resultados iguales, y de no serlo
se sugerirn las posibles correcciones.
Pgina 28 de 39

SEGURIDAD DEL PERSONAL.

1. De acuerdo a la verificacin de la ubicacin de las mquinas que no est tan cercana a
las personas y que tengan sus respectivos protectores de pantalla para minimizar el
dao a los ojos se realizara una cedula narrativa de lo observado.
SEGURIDAD DE LA INFORMACION Y LAS BASES DE DATOS
1. Efectuar una cedula narrativa con la verificacin si la empresa tiene fuera de su local
un rea o local de seguridad para archivar discos y otros documentos de respaldo para su
determinacin.

SEGURIDAD EN EL ACCESO Y USO DEL SOFTWARE

1. Realizar una cedula narrativa con respecto a la verificacin de que tan seguro es el
sistema solicitando al programador que intente violar la seguridad del sistema, claro
est que con la debida autorizacin y presencia de un administrador o representante de
la administracin. Para poder concluir la revisin y llevar acaba la culminacin de ello.

SEGURIDAD EN LA OPERACIN DEL HARDWARE

1. Efectuar una cedula narrativa sobre si los equipos estn correctamente conectados y
que sean funcionales.

Pgina 29 de 39

SEGURIDAD EN LAS TELECOMUNICACIONES

1. Plasmar en una cedula narrativa si las mquinas se encuentran en red, si todas tienen
acceso a internet y si se puede monitorear en algn momento lo que estn haciendo los
usuarios.

AUDITOR:
AUTORIZACIN No.:
REPRESENTANTE LEGAL.

Pgina 30 de 39

RECURSOS A UTILIZAR EN LA AUDITORIA

HUMANOS
Auditor
Auditores auxiliares
Programador analista
Especialista en redes informticas

MATERIALES
Folders
Papel Bond
Combustibles
Lapiceros
Computadoras

TIEMPO
Se espera realizar la auditora al sistema conformado de 35 computadoras conectadas en red en un tiempo probable de 10 das.

FINANCIEROS
Efectivo por $ 1,500.00

Pgina 31 de 39

PRESUPUESTO PARA LA AUDITORIA

No.

RECURSO

VALOR POR
HORA

VALOR
TOTAL
RUBRO

VALOR
TOTAL

HUMANOS
1
2
3
4
5

Auditor (30 horas hombre)

Auditores Auxiliares (2 personas) $

Programador analista
$
Especialista en redes
$
Electricista
$
TOTAL RUBRO

10.00

300.00

7.00
6.25
6.25
5.00

$
$
$
$

700.00
250.00
250.00
100.00
$

1,600.00

$
$

162.00
1,762.00

MATERIALES
1
2
3
4
5

Folders
Papel bond
Combustibles
Lapiceros
Computadoras

$
5.00
$
5.00
$
50.00
$
2.00
$
100.00
TOTAL RUBRO
TOTAL GENERAL

$
$
$
$
$

5.00
5.00
50.00
2.00
100.00

Pgina 32 de 39

CRONOGRAMA DE ACTIVIDADES

No.

ACTIVIDAD O TAREA

Realizacin de Visita preliminar

Elaboracin de Plan de Auditora

Elaboracin de Cuestionario de Control interno

Visita para contestar el cuestionario de control interno

Anlisis del cuestionario y elaboracin de Planilla de Decisiones Preliminares

Ejecucin de las actividades presentadas en el Programa de Auditora

Revisin de sistema de redes

Revisin de la funcionalidad de los sistemas por el Programador

Revisin de funcionalidad del sistema elctrico por el electricista

10

Presentacin del informe de Auditora

DIA
1

DIA
2

DIA
3

DIA
4

DIA
5

DIA
6

DIA
7

DIA
8

DIA
9

DIA
10

Pgina 33 de 39

PESO PORCENTUAL DE CADA AREA A EVALUAR

No.
1
2
3
4
5
6
7
8
9
10
11
12
13
14

AREA A EVALUAR
Computadores
Perifricos
Software de uso general
Software de uso especfico
Personal del rea de informtica
Usuarios del sistema informtico
Red elctrica
Seguridad fsica de los sitemas informticos
Seguridad lgica del sistema
Seguridad del personal
Seguridad de la informacin y las bases de
datos
Seguridad en el acceso y uso del software
Seguridad en la operacin del harware
Seguridad en las telecomunicaciones

TOTAL

PESO O PONDERACIN
5%
5%
5%
10%
10%
5%
10%
5%
10%
5%
10%
10%
5%
5%
100%

Pgina 34 de 39

REFERENCIAS DE AUDITORA
REFERENCIAS DE AUDITORA DESCRIPCIN DE LA MARCA
A

Computadores

Perifricos

Software de uso general

Software de uso especfico

Personal del rea de informtica

Usuarios del sistema informtico

Red elctrica

Seguridad fsica de los sistemas informticos

Seguridad lgica del sistema

Seguridad del personal

Seguridad de la informacin y las bases de datos

Seguridad en el acceso y uso del software

Seguridad en la operacin del hardware

Seguridad en las telecomunicaciones

Pgina 35 de 39

MARCAS DE AUDITORA
MARCAS DE AUDITORA

DESCRIPCIN DE LA MARCA

Obtenido del inventario de la empresa

Obtenido de la Gerencia

Obtenido de otros documentos

Obtenido de terceros
Obtenido de empleados del rea de informtica

Cotejado con el inventario

Verificado por el auditor

Revisado por el especialista en redes

Verificado por el programador

Verificado por el electricista

Pgina 36 de 39

METODOLOGA Y PROCEDIMIENTOS

1. El Primer da, el Auditor Senior y los Auditores Junior de la sociedad, visitarn al cliente,
en el lugar donde se realizar la auditora, para identificar la magnitud de los
procedimientos a desarrollar y tener un acercamiento con los funcionarios y empleados de
la empresa.
2. El segundo da, se llevar a cabo la elaboracin de la Planeacin de la Auditora, para
identificar las posibles reas que representen riesgo dentro de la organizacin y que
afecten al sistema informtico. Adems se elaborar el cuestionario de Control Interno,
con el cual se buscar recabar informacin, que nos ayudar a identificar el tipo de riesgo
que presente cada componente o rea a evaluar.
3. El tercer da en la jornada matutina, se visitar el lugar de trabajo con el propsito de
solicitar a los funcionarios, empleados del rea de informtica y usuarios del sistema, que
respondan el cuestionario de control interno. La visita ser por los Auditores Junior.
4. El da cuatro, con los resultados obtenidos, los auditores elaborarn la planilla de
decisiones preliminares, evaluando el tipo de riesgo que presenta cada rea y definiendo
algunos procedimientos que ser necesario realizar.
5. Desde el quinto hasta el noveno da de realizacin de la auditora, los auditores y peritos
contratados, visitarn el centro de trabajo para realizar los procedimientos de auditora
necesarios, con el fin de obtener la evidencia suficiente y competente que sirva para la
elaboracin del informe de auditora.
6. El noveno y dcimo da, se analizarn los datos, y se elaborar el informe de auditora que
ser presentado a la administracin de Cobigua.

Pgina 37 de 39

MTODOS DE PRUEBA

Se solicitar a los auditores junior que desarrollen los procedimientos expresados en el plan de
auditora.

En ellos se verificar que los peritos contratados para las diferentes reas pongan a prueba los
sistemas de la organizacin, insertando claves falsas, para ver como reacciona el sistema.
A continuacin se solicitar que un empleado autorizado de un nivel inferior, inserte su clave y
luego el experto en informtica tratar de accesar a documentos que solo se deberan ver por
funcionarios de nivel superior.
Por lo tanto lo que se verificar es la seguridad que ofrezca el sistema.

Se harn pruebas, por otro lado en lo concerniente a las instalaciones elctricas, con el fin de
verificar que estn en buen estado y se tratar de provocar fallas al sistema elctrico, para
verificar su vulnerabilidad.

En cuanto a las redes, se tratar desde una mquina, accesar a otras que no se debiera tener
acceso con el fin de verificar su vulnerabilidad.

SITUACIONES ALTERNAS

En el caso de que todos los equipos estn constantemente ocupados, se buscar la forma de que
se autorice, con la presencia de un funcionario o empleado de confianza, que algunos
procedimientos se puedan realizar fuera de la jornada laboral, con el propsito de no entorpecer
las labores cotidianas.

En el caso de no haber vigilante, que pueda revisar los bienes de los empleados, se verificar si
existe alguna forma alterna de asegurar que los empleados no retiren los bienes de la empresa.

En el caso de que al momento de la auditora no se encuentren los funcionarios que nos hayan
contratado, se les pedir que nombren a una persona, de preferencia del rea de informtica para
que, d fe del trabajo que se est realizando y se mantenga la transparencia.
Pgina 38 de 39

ASIGNACION DE RECURSOS Y SISTEMAS COMPUTACIONALES PARA LA

AUDITORA

Las laptop de nuestra empresa, sern asignadas a los dos auditores, senior de nuestra empresa
para que puedan en ellas realizar los respectivos procedimientos de auditora y la anotacin de
los aspectos importantes, as como el registro de la evidencia en su orden. Tambin servir para
el anlisis de los resultados y la elaboracin del informe de auditora.
El combustible ser para el vehculo propiedad de la firma de auditora al cual se le echarn $
5.00 de combustible por da. Cantidad que alcanza para el movimiento.
La papelera ser utilizada para la elaboracin y resguardo de los papeles de trabajo y estarn en
manos del auditor senior Edwin Omar, quien ser responsable de su custodia.

Pgina 39 de 39