UNIVERSIDAD MARIANO GLVEZ DE GUATEMALA

FACULTAD DE INGENIERA EN SISTEMAS DE INFORMACIN

LICENCIATURA DE INGENIERA EN SISTEMAS DE INFORMACIN

Y CIENCIAS DE LA COMPUTACIN
Catedrtico (a): Claudia Ramrez
Curso: Auditoria de Sistemas

TAREA O PROYECTO

Auditoria

Estudiante: Francisco Salvador Moscoso Rivas Carn No.: 0909 99-6645

Estudiante: Edwin Omar Gmez Velsquez

Carn No.: 0909 09 5485

Estudiante: Vicente Eugenio Espinoza Salguero Carn No.: 0909 09 9778

INDICE
Introduccin. 3
Presentacin Empresa.. 4
Carta Informe de Auditoria 5
Detalles de Desviaciones Encontradas.

Planificacin de Decisiones Preliminares 8

Inventario de Software 16
Inventario de Hardware.. 17
Organigrama 18
Resultados de las pruebas 18
Resultados de auditoria Informticas.. 21
Anlisis de Resultados.. 21
Conclusiones.. 22

INTRODUCCION
La presente auditoria de sistemas informticos de la Ca. Bananera Guatemalteca
Ind. Pretende Evaluar el funcionamiento y seguridad de los sistemas informticos
de la empresa, as como realizar un estudio suficiente de las operaciones del
mismo que permita generar un respaldo en la emisin del informe a la auditora
practicada.

AUDITORIA DE SISTEMAS INFORMATICOS

EMPRESA:

Ca. Bananera Guatemalteca Ind.

N.I.T.:

5139511

PERIODO AUDITADO:

Del 01 de Enero al 31 de Diciembre 2014.

DIRECCION:

9 Calle 9-25 Puerto Barrios Izabal, Guatemala

TELEFONO:

7933 - 7005

Audito
Ca. Bananera Guatemalteca Ind.

Puerto Barrios 10 de octubre del 2014

Ing. Jorge Gomez

Ing. Fernando Hernndez
Dpto.

Por medio de la presente queremos informar que en los prximos das se estar
llevando a cabo un proceso de auditoria de sistemas informticos en la empresa
Cobigua, con la finalidad verificar la estandarizacin de los sistemas entre otros.
La misma se viene a ejecutar como medida de prevencin y correccin de algunos
inconvenientes que nos han afectado hasta el momento,

Este proceso se realizara a travs de una empresa externa y la misma estar a

cargo de la firma auditora Auditores Omeyanos S.A, la cual es una empresa
especializada en el rea de auditoria de tecnologa de informacin. Con ms de 10
aos de servicios en nuestro pas y reconocidos por cumplir con estndares de
calidad como lo son ISO -17799, IS0-9000, entre otros. La misma fue
seleccionada y consultada de antemano por la junta directiva de esta institucin,
esta firma hasta el momento a garantizado la credibilidad y confiabilidad de los
datos suministrados, por lo que emana confianza para dicho auditoria. El contrato
con la firma Auditores Omeyanos S.A, se realizara a partir de la fecha del 20 de
Septiembre del presente ao.

Detalle de las desviaciones encontradas:

En los detalles de las desviaciones encontrados solo se detectaron 06
problemticas que son importantes considerar

Empresa
Ca. Bananera Guatemalteca Ind
periodo
Del 01 de Enero al 31 de Diciembre 2014
Responsable Jorge Gomez

No

Problemtica
1
2
3
4
5
6

Falta de extintor
Mantenimiento preventivo y correctivo
Mantenimiento preventivo y correctivo
Mantenimiento preventivo y correctivo
No hay un plan de mantenimiento para los equipos
No hay registro escrito de las fallas de los equipos

Area
departamento de digitacion
departamento de digitacion
Departmento de bodega
Mantenimiento
Todas las areas
Todas las areas

Detalle de las desviaciones encontradas:

1) Falta de extintor en el departamento de digitacin
Durante la visita que tuvimos, nos percatamos de que en el rea de digitacion, no
existen extintores de fuego, lo que representa un grave peligro y gran riesgo a la
hora de una posible catstrofe que pueda llegar a consumir el equipo
Recomendamos: colocar extintor de 100 libra en la entrada del rea de digitacion,
como en la entrada del personal tcnico responsable del sistema.

2,3 y4) Mantenimiento preventivo y correctivo

En la evaluacin de los documentos suministrado por el departamento IT, nos
percatamos de que no existe registro de Mantenimiento preventivo y correctivo en
todas las reas.
Recomendamos: documentar todos los procesos que se realizan en esta rea,
as mismo como medida de control en cuanto a los procedimientos a seguir en
cada actividad.

5) No hay un plan de mantenimiento para los equipos

En la evaluacin realizada nos percatamos que no cuentan con un plan de
mantenimiento para los equipos de todas las reas.
Recomendamos: Realizar un programa de mantenimiento para los equipos lo que
contribuye a tener los equipos en ptimas condiciones.

PLANILLA DE DECISIONES PRELIMINARES

NOMBRE DEL CLIENTE:
PERODO A AUDITAR :

Ca. Bananera Guatemalteca Ind

Del 01 de Enero al 31 de Diciembre 2014

EVALUACION DE RIESGOS

RUBRO

AREA

FACTORES DE RIESGO

HARDWAR COMPUTAD
E
ORES
Que haya extravo.

INHERENTE

CONTROL

DETECCIN

PROCEDIMIENTOS SEGN
FACTORES DE RIESGO

ALCANCE DE LOS
PROCEDIMIENTOS

X
Revisar que el hardware que se
Se revisar el 100% de los bienes
encuentra inventariado como
inventariados como parte del
adqusiciones de la entidad, se encuentre hardware.
en el lugar correspondiente.

Que se est utilizando con los

fines para los cuales fue
adquirido.

PERIFERICO Que haya extravo de los

S
accesorios y perifricos.

Que se estn utilizando con

los fines para los cuales fue
adquirido.

Verificar que los diversos

componentes del hardware, estn
siendo aprovechados almximo y se
estn utilizando como corresponde.
Solicitar el registro de los perifricos
comprados y agregados a cada uno de
los computadores y el lugar en que
deben estar y verificar que estn donde
corresponden.

Se verificar que los componentes y

perifricos sean utilizados con los fines
para los cuales fueron solicitados y no
para obtener beneficios personales.

Se verificar el 100% de los

perifricos.

RUBRO

AREA

FACTORES DE RIESGO

EVALUACION DE RIESGOS
INHERENTE

SOFTWAR
E

SOFTWARE
DE USO
GENERAL

Que exista software comprado por

la entidad.

Que el software haya sido utilizado

para beneficios personales por
algn usuario o se le haya sacado
copias piratas del mismo para fines
particulares.

Que el software adquirido por la

entidad est resguardado en un
lugar libre de humedad o de mucho
calor para evitar que se deteriore y
se convierta en inservible.

CONTROL

PROCEDIMIENTO SEGN
FACTORES DE RIESGO

ALCANCE DE LOS
PROCEDIMIENTOS

Revisar los documentos que

muestran el inventario del
software de la entidad y
verificar que las licencias estn
bajo la custodia de una persona
con la autoridad para
resguardarlos.

Se confirmar que el
100% de las licencias, se
encuentren en poder de la
persona responsable.

DETECCIN

Se verificar si hay algn

procedimiento de control
institucional que impida que las
personas lleven artculos de la
entidad a sus casas.

Solamente se harn las

preguntas pertinentes y
un da se verificar si a la
salida el vigilante revisa
los artculos que los
empleados llevan en sus
bolsos.

Revisar las condiciones del

lugar en que se encuentra
resguardado el software

La verificacin se hr
por una sola vez y con la
autorizacin de una
persona de la alta
gerencia.

X
Que el software funcione
correctamente y responda a las
necesidades institucionales.

RUBRO

AREA

FACTORES DE RIESGO

Se contratar un perito, el cual

realizar pruebas al software,
con el propsito de verificar si
est funcionando correctamente
y si su instalacin cumple con
las condiciones de la empresa
fabricante.

Se har una prueba

selectiva a un 10% de los
programas, verificando
que sea uno de los que
ms se utilizan en la
entidad.

EVALUACIN DE RIESGOS
PROCEDIMIENTOS

ALCANCE DE LOS

INHERENTE

SOFTWARE
DE USO
ESPECIFICO

Que exista software diseado por

los empleados del rea de
informtica de la entidad.

Que el software diseado por la

entidad est resguardado en un
lugar libre de humedad o de mucho
calor para evitar que se deteriore y
se convierta en inservible.

Que el software funcione

correctamente y responda a las
necesidades institucionales.

AREA

FACTORES DE RIESGO

DETECCIN

Que el software haya sido utilizado

para beneficios personales por
algn usuario o se le haya sacado
copias piratas del mismo para fines
particulares.

RUBRO

CONTROL

SEGN FACTORES DE
RIESGO

PROCEDIMIENTOS

Revisar los documentos que

muestran el inventario del
software diseado por los
encargados del rea de
informtica y verificar que el
software est bajo la custodia
de una persona con la autoridad
para resguardarlos.

Se confirmar que el
100% de los softwares
diseados por los
empleados de la entidad,
se encuentren en poder
de la persona
responsable.

Se verificar si hay algn

procedimiento de control
institucional que impida que las
personas lleven artculos de la
entidad a sus casas.

Solamente se harn las

preguntas pertinentes y
un da se verificar si a la
salida el vigilante revisa
los artculos que los
empleados llevan en sus
bolsos.

Revisar las condiciones del

lugar en que se encuentra
resguardado el software

La verificacin se har
por una sola vez y con la
autorizacin de una
persona de la alta
gerencia.

Se contratar un perito, el cual

realizar pruebas al software,
con el propsito de verificar si
est funcionando correctamente
y si su utilidad responde a las
necesidades especficas de la
institucin.

Se har una prueba

selectiva a un 10% de los
programas, verificando
que sea uno de los que
ms se utilizan en la
entidad.

PROCEDIMIENTOS
SEGN FACTORES DE
RIESGO

ALCANDE DE LOS
PROCEDIMIENTOS

EVALUACION DE RIESGOS
INHERENTE

CONTROL

DETECCIN

10

PERSONA
L

PERSONAL
DEL AREA
DE
INFORMATI
CA

Que los empleados del rea de

informtica no estn lo
suficientemente comprometidos con
la entidad.

Que los empleados del rea de

informtica vendan el software a
otras organizaciones aun cuando su
diseo fue pagado con recursos de
la entidad.

Que los empleados del rea de

informtica no estn recibiendo las
capacitaciones necesarias con el
propsito de actualizarlos y se
vayan quedando desactualizados
frente a la competencia.

Se colocarn en el cuestionario
de control interno algunas
preguntas con el propsito de
establecer si los empleados del
rea de informtica se sienten
satisfechos con el trato dentro de
la entidad y su grado de lealtad a
la misma.

Solamente se har el
cuestionario y se pasar a
los empleados pues la
lealtad no es una variable
difcil de medir en
trminos cuantitativos.

Se verificar si los empleados

del rea de informtica llevan
bienes de la sociedad a sus
casas.

Se verificar si a la salida
el vigilante revisa los
artculos que los
empleados llevan en sus
bolsos.

Se verificarn los registros que

la empresa tiene sobre las
respectivas capacitaciones
recibidas por los empleados del
rea de informtica.

La revisin se har por

una sola vez y se
verificar si en las
capacitaciones se ha
incluido a todo el
personal del rea.

11

USUARIOS
DEL
SISTEMA
INFORMATI
CO

Que los usuarios de la entidad no

puedan utilizar con efectividad los
diversos softwares que la entidad
tenga en uso.

Se verificar si los usuarios han

recibido el adiestramiento
necesario en el uso del software
y si al inicio recibieron la
induccin correspondiente.

Se consultar a los
usuarios por medio del
cuestionario de control
interno.

Se verificar si los empleados

de la entidad utilicen el software
y hardware para los fines
establecidos por la entidad y
siguiendo las polticas de la
misma.

Se verificar en por lo
menos 5 computadores si
existen archivos basura o
que no sean de uso de la
entidad.

Verificar que los tomas a los

cuales se encuentra conectado el
equipo informtico estn
debidamente polarizados con el
fin de evitar sobrecargas
elctricas.

Se aplicar al 100% de
los tomas.

Se verificar con la ayuda de un

electricista que las instalaciones
elctricas cumplan con las
condiciones mnimas de
funcionamiento y que todava
no sean obsoletas.

Se aplicar a un 15% de
las instalaciones a las que
est conectado el equipo
del sistema informtico
de la entidad.

PROCEDIMIENTOS
SEGN FACTORES DE

ALCANCE DE LOS
PROCEDIMIENTOS

X
Que los usuarios del sistema
informtico de la entidad, estn
utilizando los recursos de la misma
para sus usos personales, o abusen
del uso del internet.

INSTALA
CIONES
ELCTRIC
AS

RED
ELCTRICA

Que los tomas elctricos no estn

debidamente polarizados.

Que las instalaciones elctricas ya

no estn en ptimas condiciones de
uso o ya sean obsoletas.

RIESGOS
RUBRO

AREA

FACTORES DE RIESGO
INHERENTE

CONTROL

DETECCIN

12

RIESGO

SEGURID
AD

SEGURIDAD
FISICA DE
LOS
SISTEMAS
INFORMATI
COS

Que los componentes de los

sistemas informticos estn
ubicados en oficinas que no
cumplen con las condiciones
mnimas ambientales.

SEGURIDAD
LOGICA
DEL
SISTEMA

Que los procesos realizados por el

sistema, estn dando datos errneos
y por ser automatizados, la empresa
se est confiando de ellos.

SEGURIDAD
DEL
PERSONAL

Que por la ubicacin de los equipos

del rea de informtica, los
empleados vayan a padecer de
enfermedades, como un efecto
colateral de su uso.

AREA

FACTORES DE RIESGO

Verificar que los equipos no

estn ubicados muy cerca de
espacios hmedos o que el calor
sea mucho.

Se efectuar al 100% de
los computadores.

Se pedir al perito en
programacin que aplique
algunos datos al sistema, los
cuales tambin se realizarn de
manera manual para ver que
estos den resultados iguales, y
de no serlos, se sugerirn los
posibles correctivos.

Se realizar el
procedimiento en 5
ocasiones y en programas
diferentes de mayor uso.

Se verificar que la ubicacin de

las mquinas no est tan cercana
a las personas y que tengan sus
respectivos protectores de
pantalla para minimizar el dao
a los ojos.

Se revisar el 100% de
los equipos.

RIESGOS
RUBRO

INHERENTE

CONTROL

DETECCIN

PROCEDIMIENTOS
SEGN FACTORES DE
RIESGO

ALCANCE DE LOS
PROCEDIMIENTOS

13

SEGURID
AD

SEGURIDAD
DE LA
INFORMACI
ON Y LAS
BASES DE
DATOS

Que en caso de un siniestro, se

pierda toda la informacin de la
empresa y se destruyan las bases de
datos.

SEGURIDAD
EN EL
ACCESO Y
USO DEL
SOFTWARE

Que empleados o usuarios puedan

accesar a espacios del sistema para
los cuales no cuenten con la
respectiva autorizacin o no hayan
recibido los password o claves de
acceso para ello.

Verificar si la empresa tiene

fuera de su local un rea o local
de seguridad para archivar
discos y otros documentos de
respaldo.

Se consultar con la
gerencia.

Se verificar que tan seguro es

el sistema solicitando al
programador que intente violar
la seguridad del sistema, claro
est que con la debida
autorizacin y presencia de un
administrador o representante de
la administracin.
Al finalizar se dejar constancia
por escrito del proceso
desarrollado.

Se har en una sola

ocasin y trtando de
accesar a un archivo
utilizado por usuarios de
nivel inferior.

14

RIESGOS
RUBRO

AREA

FACTORES DE RIESGO
INHERENTE

SEGURID
AD

SEGURIDAD
EN LA
OPERACIN
DEL
HARDWARE

Que el equipo est mal conectado y

en algn momento pueda originarse
en l un corto circuito u otro
siniestro.

SEGURIDAD
EN LAS
TELECOMU
NICACIONE
S

Que el internet se est utilizando

para fines personales de los
usuarios.

CONTROL

DETECCIN

PROCEDIMIENTOS
SEGN FACTORES DE
RIESGO

ALCANCE DE LOS
PROCEDIMIENTOS

Se verificar que los equipos

estn correctamente conectados
y que sean funcionales.

Se aplicar al 100% de
los equipos.

Se verificar si las mquinas se

encuentran en red, si todas
tienen acceso a internet y si se
puede monitorear en algn
momento lo que estn haciendo
los usuarios

Se harn los
procedimientos a un 5%
de las mquinas.

15

INVENTARIO DE SOFTWARE
El siguiente cuadro muestra el inventario del software correspondiente a los
departamentos de digitacin, Administracin, Mantenimiento y bodega

Empresa
periodo
Responsable
Software
Window 7
Window 7
Window 7
Window 7
Window 7
Window 7
Window 7
Window 7
Window 7
Window 7
Window 7
Window 7
Window 7
Window 7
Window 7
Window 7
Window 7
Window 7

Ca. Bananera Guatemalteca Ind

Del 01 de Enero al 31 de Diciembre 2014
Jorge Gomez
No inventario
cob-001
cob-002
"
"
"
"
"
"
"
"
"
"
"
"
"
"
"
"

Presentacion
Windows Server 2012
Windows Server 2012
Windows Server 2012
Windows Server 2012
Windows Server 2012
Windows Server 2012
Windows Server 2012
Windows Server 2012
Windows Server 2012
Windows Server 2012
Windows Server 2012
Windows Server 2012
Windows Server 2012
Windows Server 2012
Windows Server 2012
Windows Server 2012
Windows Server 2012
Windows Server 2012

Asignado
Digitacin
Digitacin
Digitacin
Digitacin
Administracion
Administracion
Administracion
Administracion
Administracion
Administracion
Mantenimiento
Mantenimiento
Bodega
Bodega
Bodega
Bodega
Bodega
Bodega

Localizacion
Servidor Macro
Servidor Macro
Servidor Macro
Servidor Macro
Servidor Macro
Servidor Macro
Servidor Macro
Servidor Macro
Servidor Macro
Servidor Macro
Servidor Macro
Servidor Macro
Servidor Macro
Servidor Macro
Servidor Macro
Servidor Macro
Servidor Macro
Servidor Macro

16

INVENTARIO DE HARWARE
Empresa
periodo
Responsable

Ca. Bananera Guatemalteca Ind

Del 01 de Enero al 31 de Diciembre 2014
Jorge Gomez
No
Hardware

Monitor,teclado,mause Wyse inventario

Asignado

ok

ok

cob-001

JDE

ok
ok
ok
ok
ok
ok
ok
ok
ok
ok
ok
ok
ok
ok
ok
ok
ok

ok
ok
ok
ok
ok
ok
ok
ok
ok
ok
ok
ok
ok
ok
ok
ok
ok

cob-002
"
"
"
"
"
"
"
"
"
"
"
"
"
"
"
"

JDE
JDE
JDE
Administracion
Administracion
Administracion
Administracion
Administracion
Administracion
Mantenimiento
Mantenimiento
Bodega
Bodega
Bodega
Bodega
Bodega
Bodega

procesador Intel Core i5, memoria de 8 GB y tarjeta

grfica Intel HD (Intel HD 4600).

"
"
"
"
"
"
"
"
"
"
"
"
"
"
"
"
"

17

Organigrama Ca. Bananera Guatemalteca Ind

Resultados de las Pruebas

Las pruebas que se realizaron se llevaron a cabo en transcurso del tiempo
proyectado, una vez transcurrido el tiempo se recopil la informacin obtenida y se
realizaron las siguientes graficas.

18

Amigable: Se refiere a la facilidad de interaccin del sistema con el usuario sin

tener que consultar un manual.

Legible: Se evalua el color de los textos debe ser adecuado para su legibilidad
19

Eficaz: Es cuando la tarea se puede hacer sin complicaciones

Eficiente: Es cuando las tareas que se lleva acabo, pueden ser realizadas
rpidas y fcilmente.
20

RESULTADOS DE LA AUDITORA INFORMTICA

En esta fase se presentan los resultados de la auditora realizada a la Cia
independiente los cuales permite evaluar el funcionamiento correcto de los
sistemas informticos de la empresa.

ANLISIS DE RESULTADOS
Una vez finalizada la auditora informtica a la Cia independiente se han podido
determinar algunas fortalezas existentes, las cuales se las detalla en las siguiente
tabla:
Empresa
periodo
Responsable

Ca. Bananera Guatemalteca Ind

Del 01 de Enero al 31 de Diciembre 2014
Jorge Gomez
EFECTO

Seguridades de ingreso
Seguridades de ingreso
La continuidad del servicio se cumple por
responsabilidad del departamento de
sistemas.

Control de trfico de internet

El sistema informatico no es vulnerable

Causa

El sistema con el que opera la Cia posee expiracion mensual de

claves.
expiracin mensual de claves.
Cada usuario tiene una password diferente
Existen mecanismos para reanudacin de servicios
en caso de cortes de energa o falencias en los
servidores.
cuenta con un firewall el cual
impide que software malintencionado o usuarios
no autorizados puedan tener acceso a los equipos
a travs de internet o de la red, adems permite
filtrar los correos basura.
Tienen personal monitoriando en todo momento lo que realizan lo
ususarios

21

CONCLUSIONES
La Cia bananera cuenta con sistemas de hardware y software que no dan
problemas a la hora de cumplir con las actividades asignadas a cada empleado,
El depto. De IT debe laborar un plan de mantenimiento para todas las PC de la Cia
lo mas pronto posible, deben de programarse para ejecutar el plan para evitar que
los equipos fallen por falta de mantenimiento preventivo y genere costos
adicionales.
.
Asimismo la distribucin de personal es equitativa para las funciones que deben
desempear.

22