"Año de la Lucha contra la Corrupción y la Impunidad"

UNIVERSIDAD NACIONAL
FEDERICO VILLARREAL
FACULTAD DE CIENCIAS FINANCIERAS Y CONTABLES

INFORME DE AUDITORÍA DE SISTEMAS DE LA EMPRESA DE

CONSTRUCCIÓN ORION GERENCIA Y CONSTRUCCIÓN S.A.C.

CURSO: AUDITORÍA DE SISTEMAS

PROFESOR: CPC. NILDA MONTERROSO UNUYSUNCCO

AÑO/SECC.: 5TO AÑO “A”

INTEGRANTES:

 CARRANZA RIVERA MILAGROS BEATRIZ

 ESPINOZA CONCHA LUIS FREDDY
 ESTRADA URQUIZA WILLIAN ALEXIS
 HUAMANVILCA QUISPE KAREN
 LESCANO MENESES MILAGROS NOEMI
 MORE ROJAS CESAR JUNIOR

LIMA- PERU

2019
I.- INTRODUCCIÓN
I.- ORIGEN:
La auditoría al Área de Sistemas sobre irregularidades en el manejo del sistema
por parte del personal, así como la introducción de información en la base de
datos y filtración de información importante de la empresa por no tener sistemas
de seguridad.

II.- OBJETIVOS:
2.1 OBJETIVO GENERAL
Evaluar la ejecución de la gestión de mantenimiento de los equipos y software
de cómputo de la empresa para encontrar posibles fallas técnicas que estén
teniendo y que pueden se causadas por errores humanos o por fallas del mismo
equipo. Esto es de suma importancia debido a la información esencial que
contiene la empresa y sus clientes.
2.2 OBJETIVOS ESPECÍFICOS

 Realizar un diagnóstico interno de los procesos de información de la

empresa.

 Aplicar los procedimientos de auditoria para obtener evidencias sobre como

manejan el sistema los empleados.

 Revisar si el sistema cuenta con algún software de seguridad para que no

se transfiera información relevante de la empresa al exterior.

 Realizar un informe final de auditoria para determinar las acciones a corregir

y las recomendaciones que necesita el sistema de la empresa

III.- ALCANCE
La presente auditoria comprende el periodo 2019 y se ha realizado al Área de de
Sistemas e Informático de acuerdo a las normas y demás disposiciones
aplicables.
El alcance se ha definido de acuerdo al entorno y los límites en que se va a
desarrollar la auditoría, es decir, se aplicó al área de sistemas donde se realizó
un diagnóstico permitiendo revisar y evaluar los procesos mediante el uso de
normas como es el modelo COBIT, logrando así identificar diferentes
vulnerabilidades en el manejo y mantenimiento aplicado:

• Comunicación: verificar proveedores, soporte, contratos y aseguramiento

de los equipos informáticos.
• Equipos de Cómputo: revisar garantías, instalaciones, respaldos, planes
de contingencia, políticas de seguridad, así como de mantenimiento con sus
formatos de registro.
• Indicadores de funcionamiento: verificar el cumplimiento de los niveles de
cobertura, de obsolescencia, de soporte tecnológico y tiempo fuera de servicio.

Logrando que la entidad mediante los resultados obtenidos desarrolle un plan de

mejoramiento que le permita tomar medidas de seguridad y control de la parte
física en cuanto a comunicaciones, servidores, equipo de cómputo e indicadores
de funcionamiento del área de sistemas.

IV.- ANTECEDENTES Y BASE LEGAL

4.1 ENTIDAD AUDITADA
ORION GERENCIA Y CONSTRUCCION SAC
RUC: 20505152141

4.1.1 Actividad económica:

a) La prestación de todo tipo de servicios relativos a la construcción, edificación
y demolición de instalaciones e infraestructura, así como de bienes muebles e
inmuebles, que requieran organizaciones, dependencias y entidades de la
Administración Pública, empresas de toda índole y personas físicas o morales.

b) La realización de obra, tanto pública como privada, así como la prestación de

servicios relacionada con estas que le soliciten los sujetos mencionados
anteriormente.

4.1.2 Políticas de la empresa:

I. Respeto y cordialidad en el trato con el cliente y también entre

colaboradores

Esta política es uno de los medios para lograr los objetivos del Estudio. Su
cumplimiento aporta una mejora en el ambiente laboral y eficiencia

II. Compromiso con nuestro cliente y el servicio prestado

Trabajar constantemente para satisfacer en tiempo y forma las

necesidades actuales y futuras de los clientes.

4.2 DIRECCIONAMIENTO ESTRATÉGICO

4.2.1 Visión

Determinar y aplicar estrategias y mecanismos con el fin de generar ingresos

que sustenten la operación ORION GERENCIA Y CONSTRUCCIÓN.
♣ Reforzar los servicios que ofrecen ORION GERENCIA Y CONSTRUCCIÓN y
afianzar su eficiencia, competencia y rentabilidad.

♣ Establecer controles generales de operación, para obtener altos niveles de

productividad, asegurando niveles de calidad y precio.

♣ Cumplimiento a los programas establecidos por la entidad para obtener la

consolidación de los compromisos como empresa pública ante la sociedad.

4.2.2 Misión

♣ Garantizar a través de nuestros servicios y contratos la sustentabilidad

financiera y operativa de ORION GERENCIA Y CONSTRUCCIÓN, asegurando
procesos eficientes y dinámicos de ejecución que cumplan con las expectativas
de los programas y presupuestos establecidos tanto para obras con ORION
GERENCIA Y CONSTRUCCIÓN como con TERCEROS.

♣ Conducir y coordinar la planeación y programas de ejecución de obra con

ORION GERENCIA Y CONSTRUCCIÓN verificando su cumplimiento en tiempo
y costo, así como la elaboración de presupuestos para su autorización.

♣ Administrar la planeación de los servicios a contratar con terceros logrando así

la rentabilidad financiera.

♣ Promocionar los servicios que ofrecen ORION GERENCIA Y

CONSTRUCCIÓN para la generación de ingresos.

4.2.3 Objetivos de la empresa

ORION GERENCIA Y CONSTRUCCIÓN, tiene como objetivos básicos los

siguientes:

⮚ Planear, programar y ejecutar las acciones necesarias para el desarrollo

de los proyectos bajo su administración, a fin de lograr la mayor eficiencia
y competitividad.
⮚ Construir, mantener y administrar la infraestructura de las obras, áreas o
instalaciones por sí, o por conducto de terceros mediante contrato de cesión
parcial de derechos.
 ⮚ Formular las reglas de operación de las construcciones, las cuales serán
sometidas a la autorización de Defensa Civil, de la Municipalidad
correspondiente.
⮚ Operar los servicios de vigilancia, así como el control de los accesos y
tránsito de personas, vehículos y bienes en las obras de construcción, sin
perjuicio de las facultades de las autoridades competentes.
.
4.4 ORGANIGRAMA
MARCO LEGAL DEL CENTRO DE INFORMACIÓN Y SISTEMAS
El centro de información y sistemas de la empresa ORION GERENCIA Y
CONSTRUCCION SAC se desarrolla acorde con los lineamientos, normas y
disposiciones que rigen en el país.
El centro de información y sistemas cuenta con la siguiente base legal.
- Decreto legislativo Nº 681, sobre el uso de tecnología en materias de
archivos de las empresas.
El Manual de Organización y Funciones – MOF de ORION GERENCIA Y
CONSTRUCCIÓN es el documento normativo que define y determina su
modelo organizacional, teniendo por finalidad:

- ∙ Definir la estructura orgánica integral de la Empresa.

- ∙ Determinar los objetivos específicos de cada una de las unidades
orgánicas.
- ∙ Definir la naturaleza y alcance funcional de las unidades orgánicas.

El Reglamento de Organización y Funciones (ROF) de la Empresa ORION

GERENCIA Y CONSTRUCCIÓN S.A.C. es un Documento Técnico Normativo
que define las áreas organizacionales, las correspondientes líneas de autoridad,
responsabilidad, coordinación y describe el Organigrama Empresarial; involucra
además los siguientes aspectos:
1. Determina las funciones fundamentales para cumplir con los procesos y
fines de la Empresa.
2. Integra dichas funciones para unidades orgánicas.
3. Jerarquiza los niveles de autoridad, de manera que los grupos o individuos
separados por la división de funciones en el trabajo, actúen
coordinadamente y enmarcados en claras líneas de responsabilidad.
4. Identifica las áreas y líneas de información.

V.- COMUNICACIÓN DE HALLAZGOS

Los hallazgos fueron comunicados por escrito al jefe del área de sistemas, estos
hallazgos fueron las observaciones que la comisión de auditoría encontró en la
empresa, estas observaciones fueron detallas por cada persona comprendida en
los hechos, dando a conocer las causas, efectos y de no cumplir con ciertas
normas de la empresa. Todas estas observaciones fueron evaluadas y
consideradas en el presente informe.

VI.- MEMORÁNDUM DE CONTROL INTERNO

CON EL OBJETO DE VERIFICAR EL MANEJO DE CONTROLES EN LA

ENTIDAD, OBSERVAMOS LA INEXISTENCIA DE CONTROLES
PREVENTIVOS, DETECTIVOS Y CORRECTIVOS, ASÍ COMO EL
CUMPLIMIENTO DE LOS MISMOS POR LOS USUARIOS EN EL ÁREA DE
INFORMÁTICA.
Durante la visita de inspección de auditoría a las oficinas del Área de sistemas
que se efectuó el 10 de setiembre del 2019, ubicado en la oficina del edificio de
la empresa ORION GERENCIA Y CONSTRUCCION S.A.C., se evidenció las
siguientes condiciones:

 No se encontró un informe técnico en el que justifique la adquisición de una

computadora incluyendo un costo beneficio.
 No cuentan con un comité o departamento que coordine y se responsabilice
de todo el proceso de adquisición e instalación.
 El acceso al centro de cómputo no cuenta con las seguridades necesarias
para reservar el ingreso sólo al personal autorizado.

Como resultado de la inspección de control interno podemos manifestar que

hemos cumplido con evaluar el ambiente de control en el área auditada,
resaltando las observaciones que exponen de futuros riesgos.
El departamento de centro de cómputo presenta deficiencias sobre el debido
cumplimiento de Normas de seguridad.
La escasez de personal debidamente capacitado.
Cabe destacar que el sistema ofimático pudiera servir de gran apoyo a la
organización, el cual no es explotado en su totalidad por falta de personal
capacitado.
RECOMENDACIÓN:
 Se recomienda contar con sellos y firmas digitales que representen una
responsabilidad de las decisiones en sus funciones.
 Un de manual de funciones para cada puesto de trabajo dentro del área.
 Reactualización de datos.
 Implantación de equipos de última generación que permita un mejor
desarrollo en el área de cómputo.
 Elaborar un calendario de mantenimiento de rutina periódico.
 Capacitar constantemente al personal.

NO SE HA IMPLEMENTADO SISTEMAS ADECUADOS DE SOPORTE

TÉCNICO PARA LA SEGURIDAD CONTRA RIESGOS DE POSIBLES
FALLAS EN LOS SOFTWARE Y HARDWARE DEL ÁREA DE SISTEMAS DE
LA EMPRESA ORIÓN GERENCIA Y CONSTRUCCIÓN S.A.C.

Durante la visita de inspección de auditoría a las oficinas del Área de sistemas

que se efectuó el 10 de setiembre del 2019, ubicado en la oficina del edificio de
la empresa ORION GERENCIA Y CONSTRUCCION S.A.C., se evidenció las
siguientes condiciones:
 - Acceso no controlado a los equipos de informática (sin presencia de
testigos al acceder)

- Soporte técnico mediante escritorio remoto con privilegios de

administrador.

Las condiciones antes mencionadas originarían la vulnerabilidad de la

información que se maneja en el área de sistemas e inclusive se desataría la
filtración de dicha información; más aún el apropiamiento y manejo ilícito del
sistema. En consecuencia, las presentes condiciones infringen a la Resolución
Jefatura Nº 347-2001-INEI Con relación a los sistemas de red local y de
conectividad a Internet.
“Debe tenerse en consideración la aplicación de todas las técnicas de seguridad
que se evalúen como convenientes: firewall, detección de intrusos, inspección
de contenido, auditoría, filtrado, criptografía o autenticación; que permitan
controlar la seguridad de los usuarios de la red local y del sistema de
conectividad a Internet. De ser necesario, se debe establecer una red privada
virtual que permita enlaces temporales privados entre los usuarios.”

RECOMENDACIÓN:
Por consiguiente, recomendamos a la Dirección del Área de Informática
supervise las condiciones del soporte técnico y evalúen la viabilidad de reforzar
la seguridad de los sistemas, complementando lo siguiente:

- Acceder a un mejor servicio de soporte Técnico que se encuentre calificado para

emprender la labor que se requiere, mediante visitas presenciales bajo la
supervisión del Director del Área de Informática.

- Capacitar al trabajador usuario del equipo de sistemas, fortaleciendo las

nociones de inspección y verificación del soporte o mantenimiento que ha
solicitado.

A su vez, la Dirección de Informática en coordinación con la Dirección de

Administración y Finanzas, deberán desvincularse con la empresa proveedora
SOPORTE TÉCNICO DE SISTEMAS PLUS S.A. , ya que no tiene la ética y
competencia profesional para asumir la prestación del servicio técnico.

COMENTARIO DE LA ADMINISTRACIÓN:

El servicio técnico asignado que realiza la prestación del soporte es de prueba

temporal, ya que la Dirección de Informática y la Dirección de Administración y
Finanzas no se encuentran de acuerdo hasta el momento para establecer los
requisitos que debería reunir la empresa proveedora de soporte técnico. Sin
embargo, dicha prestación del soporte ha permitido que la continuidad de los
sistemas se encuentre operativa, sin riesgos de perdida de información o
deficiencias de otra índole. De otro lado las condiciones de los equipos
informáticos son supervisadas semanalmente por el personal de Dirección
Informática.
A la fecha de la visita, dicha situación se había reportado a la Dirección de
Administración y Finanzas; tal es así que el 13 de agosto del mismo año la
Dirección de Administración y Finanzas designó a la empresa ARPYNET SAC
para designarlo como nueva empresa proveedora del soporte informático . Así
mismo, se tiene establecido un contrato con dicha empresa por el servicio de
soluciones integrales en Soporte Técnico, Administración de Tecnologías
Informáticas, Diseño y Desarrollo de Páginas y Aplicaciones Web, el cual se
realiza en forma semestral y su control se lleva en los documentos CST 00318
Y OFI00697.
La seguridad del sistema de información que no protegen la integridad,
confidencialidad y disponibilidad de datos y recursos de tecnología de
información.
De la inspección física realizada al sistema del área de contabilidad y finanzas
de la empresa ORION GERENCIA Y CONSTRUCCIÓN S.A.C los días 10 y 11
de agosto de 2019 se constató que cualquier personal de la empresa podría
ingresar a los sistemas y sacar información de la empresa, ya sea trabajadores
nuevos y antiguos.

● Obtener, procesar y mantener la información de manera completa y exacta

y entregársela a las personas correspondientes para permitir cumplir con
sus responsabilidades

● Sistemas no diseñados con arreglo a las necesidades del usuario o no

adecuadamente implementados.
Las actividades de control general de la tecnología de información se aplican
a todo sistema de información, hasta la gestión de procesamiento por el
usuario final. También abarcan las medidas y procedimientos manuales que
permiten garantizar la operación continua y correcta del sistema de
información.
RECOMENDACIÓN:
Crear una fase de desarrollo de sistemas que incluya los siguientes aspectos o
fases claves:
- Petición de diseños de sistemas.
- Estudio de viabilidad.
- Diseño de sistema general.
Los recursos de la tecnología de información deben ser controlados con el
objetivo de garantizar el cumplimiento de los requisitos del sistema de
información que la entidad necesita para el logro de su misión.
La información que necesitan las actividades de la entidad es provista mediante
el uso de recursos de tecnología de información. Estos abarcan: datos, sistemas
de aplicación, tecnología asociada, instalaciones y personal.
La administración de estos recursos debe llevarse a cabo mediante procesos de
tecnología de información agrupados naturalmente, a fin de proporcionar la
información necesaria que permita a cada trabajador cumplir con sus
responsabilidades y supervisar el cumplimiento de las políticas.
LA ENTIDAD NO ESTÁ DIFUNDIENDO EL RESPECTIVO REGLAMENTO
INTERNO, A LOS TRABAJADORES DEL ÁREA DE SISTEMAS QUE
INGRESAN TEMPORALMENTE A ORIÓN GERENCIA Y CONSTRUCCIÓN
S.A.C. DONDE SE CONSIGNAN SUS DEBERES, OBLIGACIONES Y
RESPONSABILIDADES; ASÍ COMO A AQUELLOS QUE SON
PERMANENTES.
Durante la visita de inspección de auditoría a las oficinas del Área de sistemas
que se efectuó el 10 de setiembre de 2019, ubicado en la oficina del edificio de
la empresa ORION GERENCIA Y CONSTRUCCION S.A.C., se evidenció que:

La empresa no realiza la respectiva entrega del reglamento interno a los

trabajadores del área de sistemas, por lo que estos miembros de la empresa
aprenden empíricamente el funcionamiento de esta y son avisados por sus
superiores sobre sus funciones en la entidad; infringiendo de este modo el
Decreto Ley 21875 – Artículo 26º - Ley Orgánica del IPEN y Decreto Supremo
061-89-TR de fecha 21 de Diciembre de 1989 – Normas Reglamentarias Ley
25139 que son las principales bases legales del reglamento interno de trabajo.
RECOMENDACIÓN:
Por consiguiente, recomendamos a la Dirección del Área de Informática y a la
Dirección del área de Recursos humanos que, en adelante, supervisen y
gestionen la entrega del mencionado reglamento a los trabajadores del Área de
Sistemas complementando lo siguiente:

- Realizar la gestión de dichos reglamentos con anterioridad a la

contratación del personal destinado para el Área de Informática, de modo
que no existe retraso alguno para la entrega del mismo.

- Instar a la lectura del reglamento en el momento de la entrega, de modo

que el trabajador conozca desde el día cero todas sus responsabilidades
y funciones para con la empresa, así como sus propios derechos y
beneficios.

LA ENTIDAD NO ESTÁ REALIZANDO CAPACITACIÓN COMPETENTE A

LOS TRABAJADORES DEL ÁREA DE SISTEMAS QUE INGRESAN A ORIÓN
GERENCIA Y CONSTRUCCIÓN S.A.C. POR LO QUE CORREN EL RIESGO
DE REALIZAR UNA MALA UTILIZACIÓN DE LOS EQUIPOS DE CÓMPUTO
O SISTEMAS INFORMÁTICOS.
Durante la visita de inspección de auditoría a las oficinas del Área de sistemas
que se efectuó el 10 de setiembre de 2019, ubicado en la oficina del edificio de
la empresa ORION GERENCIA Y CONSTRUCCION S.A.C., se evidenció que:

La empresa no realiza la capacitación requerida a los miembros del personal que

ocupan un puesto en el área de informática de Orión Gerencia y Construcción
S.A.C. por lo que los trabajadores tienen desconocimiento sobre las múltiples
funciones del sistema que actualmente usan, de este modo sólo realizan trabajos
de forma mecanizada sin nuevos aportes o mejorías en el rendimiento del área.
De este modo está vulnerando contra un derecho del trabajador amparado por
el Decreto Supremo 003-97-TR de fecha 27 de marzo de 1997 – Reglamento de
la Ley de Productividad y Competitividad Laboral.
RECOMENDACIÓN:
Por consiguiente, recomendamos a la Dirección del Área de Informática, a la
Dirección del área de Recursos humanos y a la Gerencia General que, en
adelante, supervisen y gestionen la capacitación progresiva al personal del área
de informática representado por medio de charlas, cursos, diplomados, talleres,
etc. complementando lo siguiente:

 Realizar una capacitación periódica y progresiva al personal del Área de

informática, a través de charlas, cursos, diplomados, talleres, etc, de modo
que complementen el conocimiento adquirido en el centro de labor y justificar
dicho aprendizaje de los trabajadores por medio de evaluaciones continuas,
para así comprobar cada cierto tiempo el nivel de avance que se logra en la
eficiencia y eficacia del personal.

LA ENTIDAD NO ESTÁ CUMPLIENDO CON LA REALIZACION DE LAS

COPIAS DE SEGURIDAD (BACK UP) DIARIAMENTE DE SU INFORMACION
CONTENIDA EN LOS SISTEMAS INTERNOS, POR LO QUE CORREN EL
RIESGO DE PODER PERDER SU INFORMACION ALMACENADA POR
CAUSAS AJENAS O IMPREVISTAS COMO FALLO DEL FLUIDO
ELECTRICO Y SU DAÑO A LOS EQUIPOS DE INFORMATICA Y POR
CONSIGUIENTE UN GASTO POR REPARACIONES.
Durante la visita de inspección de auditoría a las oficinas del Área de sistemas
se evidenció que La empresa no realiza las copias de seguridad al finalizar el día
laboral, diariamente, puesto que esta actividad realizada es encargada por el
área de informática y sistemas de la empresa Orión Gerencia y Construcción
S.A.C.

De este modo está vulnerando la norma internacional ISO/IEC 27001:2013,

ampliamente adoptado y el cual es una referencia en seguridad de la
información, aconseja la realización de copias de seguridad de toda información,
software e imágenes de sistema para prevenir pérdidas de datos.

RECOMENDACIÓN:

Recomendamos a la Dirección del Área de Informática y Sistemas, que en

adelante, monitoreen y gestionen la política de la generación de copias de
seguridad (Back Up) diariamente, ya que como aún no cuentan con un sistema
de seguridad para lo que respecta a la reducción de posibles perdida de
información almacenada en los sistemas informáticos de la empresa Orión
Gerencia y Construcción SAC, tengan un apoyo para mitigar los riesgos
mencionados.
II OBSERVACIONES
1.- OBSERVACION N° 01
En el servidor central de la base de datos se observó que carece de seguridad
para el acceso restringido en la manipulación a los equipos informáticos y
software, existían varias salidas no controladas, a su vez, no cuentan con un plan
de contingencias ante situaciones críticas las cuales pongan en riesgo la
continuación del servidor (almacenamiento de la información), no existe un
control de inspección formal en la adquisición de licencias de software.
El día 10 de julio de 2019 la Comisión de Auditoría en el proceso de control
interno realizó una inspección al área del servidor central de la base de datos.
El objetivo fue realizar un diagnóstico interno de los procesos de información de
la empresa ORION GERENCIA Y CONSTRUCCION S.A.C. en el cual se
observó que el área donde se ubica el servidor central carece de seguridad en
acceso restringido a los equipos informáticos y software, existían varias salidas
no controladas, a su vez no cuentan con un plan de contingencias ante
situaciones críticas las cuales pongan en riesgo la continuación del servidor
(almacenamiento de la información), no existe un control de inspección formal
en la adquisición de licencias de software.
MONITOREO: Todos los procesos necesitan ser evaluados regularmente a
través del tiempo para verificar su calidad y suficiencia en cuanto a los
requerimientos de control. Estos dominios agrupan objetivos de control de alto
nivel, que cubren tanto los aspectos de información, como de la tecnología que
la respalda. Estos dominios y objetivos de control facilitan que la generación y
procesamiento de la información cumplan con las características de efectividad,
eficiencia, confidencialidad, integridad, disponibilidad, cumplimiento y
confiabilidad.
La falta de control en el nivel de seguridad para el acceso solo del personal
autorizado, además la escaza visión estratégica de establecer un plan de
contingencia y el inadecuado proceso para hacerse de la adquisición de un
nuevo software en la empresa.
La inadecuada implementación de un correcto proceso de información en el área
del servidor central de la base de datos expone a la empresa de un alto riesgo
de perder y/o dañar la información como también los recursos informáticos e
instalaciones del área involucrada de la organización.

2.- OBSERVACIÓN N° 02
La carencia de una adecuada Gestión por parte de la Dirección de Informática y
Sistemas de la empresa ORION GERENCIA Y CONSTRUCCION SAC, en los
aspectos de seguridad y capacitación en el manejo de sistema a los empleados;
conllevó al mal uso del sistema integrado, generándose mayores costos y
vulnerabilidad a la información propia de la institución.
El día 10 de agosto del 2019, la Comisión de Auditoria realizó una inspección a
la Dirección de Informática y Sistemas, entrevistándose con el Administrador de
la Red y el responsable de los sistemas de informática; por parte de la Comisión
de Auditoria fue el Jefe de Comisión y el Auditor de Sistemas.
El objetivo de la inspección fue evaluar al personal si contaba con la capacitación
respectiva sobre los nuevos sistemas y la seguridad en la red interna, a lo que
se dieron cuenta que no todo el personal sabía manejar este nuevo sistema que
la empresa instaló.
Normas y Procedimientos Internacionales basados en COBIT (Objetivos de
Control para la Información y Tecnologías relacionadas) donde menciona:
P03. Determinar la Dirección Tecnológica.
PO3.1 Planeación de la Dirección Tecnológica
Analizar las tecnologías existentes y emergentes y planear cuál dirección
tecnológica es apropiada tomar para materializar la estrategia de TI y la
arquitectura de sistemas del negocio.
La Dirección de Informática y Sistemas de la empresa ORION GERENCIA Y
CONSTRUCCION SAC, no implemento la capacitación a los trabajadores que
manejaran este sistema.
Advierte la Comisión Auditora de la Auditoria Informática aplicada a los recursos
informáticos administrados por la Dirección de Informática y Sistemas de la
empresa, que esta situación conlleva al uso ineficiente de los recursos
informáticos, generándose mayores costos y vulnerabilidad a la información
propia de la institución.

3.- OBSERVACIÓN N° 03
La falta de información y capacitación de la Dirección de Informática y Sistemas
de la empresa ORION GERENCIA Y CONSTRUCCION SAC, en el aspecto de
seguridad informática ha dado como resultado que hasta la fecha no se
implemente un sistema de seguridad que proteja los sistemas y la información
relevante de la empresa.
El día 10 de agosto del 2019, la Comisión de Auditoria realizó una inspección a
la Dirección de Informática y Sistemas, entrevistándose con el Administrador de
la Red y el responsable de los sistemas de informática; por parte de la Comisión
de Auditoria fue el Jefe de Comisión y el Auditor de Sistemas.
Uno de los objetivos de la inspección fue verificar si la empresa contaba con un
software de seguridad que reduzca la vulnerabilidad en sus sistemas y su
información, comprobando de esta manera que la empresa no contaba con ello
y que el único método de seguridad al que recurrían era generar un backup(copia
de seguridad) y trasladarlo a un disco duro externo.
ISO 17799: es una norma internacional que ofrece recomendaciones para
realizar la gestión de la seguridad de la información dirigida a los responsables
de iniciar, implantar o mantener la seguridad de una organización.
COBIT: Es un marco de trabajo y un conjunto de herramientas de Gobierno de
Tecnología de Información (TI) que permite a la Gerencia cerrar la brecha entre
los requerimientos de control, aspectos técnicos y riesgos de negocios. COBIT
habilita el desarrollo de políticas claras y buenas prácticas para el control de TI
a lo largo de las organizaciones.
El desconocimiento por parte de la Dirección de Informática y Sistemas de la
empresa ORION GERENCIA Y CONSTRUCCION SAC sobre la importancia del
software de seguridad para la protección de sus sistemas e información,
exponiendo así sus equipos y la información confidencial de la empresa ante
cualquier fraude o filtración.
La exposición de la información relevante y confidencial de la empresa, lo que
posiblemente ha llevado a que se haya dado al día de hoy alguna filtración de la
misma hacia terceras personas con intenciones desconocidas, así como la
avería de los sistemas informáticos, debido a que los ordenadores no estuvieron
protegidos ante la infiltración de múltiples virus de red, lo que llevará a un gasto
por reparaciones y mantenimiento.

4.- OBSERVACIÓN N° 04
La falta de ética y competencia profesional de la empresa SOPORTE TÉCNICO
DE SISTEMAS PLUS S.A. quien es proveedora del soporte técnico de la
empresa ORION GERENCIA Y CONSTRUCCION SAC. Pues se ha detectado
que dicha empresa proveedora posee acceso al servidor con privilegios de
administrador.
Al cierre de la gestión en el proceso de auditoría de la empresa ORION
GERENCIA Y CONSTRUCCION SAC, se pudo evidenciar el acceso a los
servidores mediante escritorio remoto desde las oficinas de la empresa
proveedora a cargo del escaneo y transcripción de la información de los sistemas
de la empresa auditada.
Dicho acceso no controlado (sin presencia de testigos al acceder) con
privilegios de administrador; representa un severo riesgo de seguridad de los
sistemas de información, a su vez se trata de una violación a las buenas
prácticas en seguridad informática.
RESOLUCION JEFATURAL Nº 347-2001-INEI
V. DISPOSICIONES LEGALES:
5.1.2 Con relación a los sistemas de red local y de conectividad a Internet.
a.- La red local y el sistema de conectividad a Internet deben contar con sistemas
de seguridad.
b.- Debe tenerse en consideración la aplicación de todas las técnicas de
seguridad que se evalúen como convenientes: firewall, detección de intrusos,
inspección de contenido, auditoría, filtrado, proxy, criptografía o autenticación;
que permitan controlar la seguridad de los usuarios de la red local y del sistema
de conectividad a Internet.
c.- Implementar políticas de restricción en la asignación de las direcciones IP en
los usuarios.
e.- De ser necesario, se establecerá una red privada virtual que permita enlaces
temporales privados entre los usuarios.
La empresa SOPORTE TÉCNICO DE SISTEMAS PLUS S.A. no mantiene las
condiciones apropiadas para poder asumir la labor como empresa proveedora
de soporte técnico. Ya que viola claramente las medidas básicas de seguridad
informática.
Inclusive, la pasividad de los trabajadores quienes acudían al servicio de la
empresa proveedora no mantenía el criterio de confidencialidad de la
información con la que trabajaban y dejaban sin supervisión la gestión del
soporte técnico mediante escritorio remoto con privilegios de administrador.
La exhibición de la información ha conllevado a la vulnerabilidad de la seguridad
informática de la empresa ORION GERENCIA Y CONSTRUCCION SAC,
además de apropiamiento y manejo indebido de la información por parte de la
empresa proveedora, quien hacia uso a libre disposición del sistema con el fin
de brindar soporte técnico cuando se le requería.
 CONCLUSIONES:

 Actualmente la tecnología es una de la herramientas más importante y

más utilizadas por el hombre, a diario las empresas incorporan tecnología
de punta en sus instalaciones con el fin de mejorar los procesos, razón
por la cual es esencial velar por la seguridad y bienestar de los recursos
tecnológicos que hacen parte del desarrollo y desempeño laboral y
empresarial, para ello toda entidad pública o privada debe someterse a un
control estricto de evaluación de eficiencia y eficacia con el objetivo de
que los diferentes procesos funcionen correctamente.

 Mediante el proceso de auditoría realizado en ORION GERENCIA Y

CONSTRUCCION S.A.C. se logró determinar situaciones de debilidades
en cuanto a la gestión de riesgos y seguridad física del hardware de las
comunicaciones, servidores y equipos de cómputo.

 Durante el desarrollo de la auditoría es importante mencionar que

dentro del análisis y observación se percató que en ORION GERENCIA
Y CONSTRUCCION S.A.C no existen políticas para el análisis y la
gestión de riesgos que permitan la identificación y clasificación de estos,
por lo que impide determinar la probabilidad de ocurrencia e impacto,
determinar controles de mitigación y la toma de decisiones frente a
estos riesgos, teniendo en cuenta que estas políticas deben ser
implantadas y que por medio de controles se prevenga la ocurrencia de
situaciones de riesgo para la empresa y así asegurar la integridad en
los todos los procesos.

 También, en ORION GERENCIA Y CONSTRUCCION S.A.C hace falta

realizar una revisión detallada de la red eléctrica, pues se manifestó que
hay inseguridad en la red eléctrica y se verifico mediante revisión visual,
esta situación está afectando la seguridad de las personas y de los
equipos pues se pueden provocar graves accidentes como incendios
causados por sobrecarga eléctrica o descuido de cables sueltos o
tendidos por el piso.

 La realización de la auditoría aporta considerables beneficios al área de

sistemas de ORION GERENCIA Y CONSTRUCCION S.A.C, los
principales son mayor eficiencia en los procesos pertenecientes a esta
área, desarrollar un plan de mejoramiento que permita garantizar la
seguridad, confiabilidad y disponibilidad de los recursos tecnológicos,
mediante los resultados obtenidos de la auditoria, entre otros.
 RECOMENDACIONES:

 Realizar la validación de la información que se obtuvo durante el

proceso de la auditoría, mediante la recaudación de entrevistas,
cuestionarios, planes de contingencia, políticas de seguridad, así como
de mantenimiento con sus formatos de registro; realizados en la
empresa ORION GERENCIA Y CONSTRUCCION SAC.

 Realizar planes de mejoramiento con el fin de mitigar los riesgos

encontrados mediante el establecimiento de medidas preventivas y
correctivas.

 Mantener en constante actualización periódica del software y hardware

para garantizar que los equipos se encuentren en capacidad de realizar
actividades de acuerdo a las necesidades del Área de Sistemas e
Informática de la empresa ORION GERENCIA Y CONSTRUCCION
SAC.

 Realizar visitas periódicamente con el objetivo de evaluar las

necesidades y fallas de los procesos de los usuarios, a su vez
establecer un período de tiempo para dar solución en cuanto se
reporten las fallas.

 Proceder con diferentes auditorías a fin de verificar los procesos que se

desarrollan en la empresa ORION GERENCIA Y CONSTRUCCION
SAC, en beneficio a la mejora del servicio bajo los parámetros de
calidad establecidos.
 ANEXOS
CARTA DE CONTROL INTERNO - AUDITORÍA AL 10 DE SETIEMBRE DE 2019
EVALUACION ESPECIAL AL ÁREA DE INFORMÁTICA Y SISTEMAS, BASE
DE DATOS, SOFTWARES CONTABLES Y DE SEGURIDAD PARA
PROTECCION DE LA IMFORMACIÓN
25 de setiembre de 2019
Señores
ORION GERENCIA Y CONSTRUCCIÓN S.A.C.
Dirección: Calle Enrique Palacios N° 360, Piso 6, Int. 607
Distrito: Miraflores
Atn: Andres Díaz Altamirano
Gerente General
Ref: Carta de Control Interno – Auditoría de Sistemas al 10 de setiembre de
2019
Estimados señores:
Presentamos para su consideración nuestros comentarios y recomendaciones
relacionadas con el sistema de control interno contable. Dichos comentarios fueron
determinados como resultado de nuestra auditoría de sistemas de ORION
GERENCIA Y CONSTRUCCIÓN S.A.C., por el período terminado el 10 de
setiembre del 2019, sobre el cual emitimos nuestro informe.
Nuestro examen se llevó a cabo con el propósito de rendir comentarios
profesionales sobre el área de sistemas de la Empresa, este informe no
necesariamente revela todas las deficiencias en el sistema de control interno,
debido a que está basado en pruebas selectivas de los sistemas contables y de la
información relativa. Consecutivamente a los antes expuestos, nos permitimos
presentar nuestras cinco observaciones de carácter final, que han sido detectadas
hasta la fecha y que contienen recomendaciones y/o comentarios, tantos
correctivos como preventivos, las cuales pueden ayudar al alcance de los objetivos
y las metas de la Empresa. La validez de nuestros comentarios ha sido discutida
con el jefe responsable del área para obtener su conformidad antes de emitir
formalmente nuestras recomendaciones, estas deben ser consideradas como parte
del proceso continuo de modificación y mejoramiento de la estructura de Control
Interno existentes
Este informe se emite únicamente para uso de la Administración de ORION
GERENCIA Y CONSTRUCCIÓN S.A.C. y no debe usarse con ningún otro
propósito.
Queremos aprovechar la oportunidad para agradecer la cortesía y asistencia del
personal de la Empresa durante el curso de nuestra auditoría. Estamos a su
disposición para atender cualquier información adicional que deseen obtener.

Atentamente,

C.P.C Espinoza Concha Luis Freddy

Jefe de Comisión
CUESTIONARIO

PREGUNTAS
1.- ¿Se han adoptado medidas de seguridad para el proceso de información en el
sistema?

2.- ¿Existen restricciones para el acceso al sistema solo por el personal autorizado?

3.- ¿Existe un manual de procedimientos para el manejo del sistema?

4.- ¿Se supervisa constantemente al personal sobre la información que cargan al

sistema?
5.- ¿Se controla el trabajo fuera de horario del personal al estar en contacto con la
información en el sistema?
6.- ¿Se registran los trabajos de los operadores para evitar que realicen algunas
pruebas que puedan dañar los sistemas?

7.- ¿Existe un departamento encargado para el mantenimiento cómputo y software?

8.- ¿Se permite el acceso a los archivos y programas a los programadores, analistas
y operadores?
9.- ¿Se ha instruido al personal sobre qué medidas tomar en caso de que alguien
pretenda entrar al sistema sin autorización?
10.- ¿Se capacita al personal involucrado con el manejo del sistema cuando hay
nuevas actualizaciones?
11.- ¿Se limpia con frecuencia los equipos de cómputo, sí o no, cada cuánto
tiempo?

12.- ¿Se cuenta con copias de los archivos en lugar distinto al de la computadora?

13.- ¿Se tienen establecidos procedimientos de actualización a estas copias?

14.- ¿Existe departamento de auditoría informática interna en la institución?

15.- ¿Este departamento de auditoría interna conoce todos los aspectos de los
sistemas?

16.- ¿Se cumplen?

17.- ¿Se auditan los sistemas en operación?

18.- Una vez efectuada las modificaciones de la actividad de control ¿se presentan
las pruebas a la gerencia?
 ANEXO 2
PROGRAMACIÓN DE TIEMPO POR CATEGORÍAS, DE TÉRMINO DE LA ACCIÓN DE
CONTROL

Etapas FECHAS PE Hrs Dí Total 1 2 3 4 5 6

R. . as Horas
DEL AL

Planeamiento 03.04.19 04.04.19 5 23 2 46 6 8 13 13 6

y
Programación

Trabajo de 05.04.19 29.05.19 5 18 36 684 10 10 220 22 13

campo: 0 0 4
Elaboración y
Comunicado
de los
Hallazgos.

Formulación 30.05.19 12.06.19 6 26 10 260 10 40 40 60 60 40

del Informe

Revisión y 13.06.19 20.06.19 6 34 6 204 36 48 30 28 32 30

Supervisión

Sustentación y 21.08.19 27.08.19 6 23 5 115 5 20 30 35 15 20

Evaluación del
Informe

Revisión del 28.06.19 28.06.19 3 21 1 21 8 5 8

Informe

TOTALES: 60 1330 65 13 21 364 32

1 3 7

(1) C.P.C. CARRANZA RIVERA MILAGROS – SUPERVISORA : A

(2) C.P.C. LESCANO MENESES MILAGROS – CONTADORA : B
(3) C.P.C. ESTRADA URQUIZA, WILIAN ALEXIS – INGENIERO : C
(4) C.P.C. HUAMANVILCA QUISPE KAREN – AUDITORA : D
(5) C.P.C. Y ECONO. ESPINOZA CONCHA LUIS – JEFE DE COMISIÓN : E
(6) C.PC. MORE ROJAS CESAR JUNIOR - ABOGADO : F
 CUADRO DE COSTOS DE LA COMISIÓN DE AUDITORÍA

Honorarios de los Auditores Anual Horas Valor Total Costo.

S/ Anual h/h H/h S/

CPC. CARRANZA RIVERA 96600 1840 52.48 65 3411.20

MILAGROS

CPC. LESCANO MENESES 70200 1840 38.13 131 4995.03

MILAGROS

CPC. ESTRADA URQUIZA, 46200 1840 25.09 213 5344.17

WILIAN ALEXIS

CPC. HUAMANVILCA QUISPE 34200 1840 18.56 364 6755.84

KAREN

C.P.C. Y ECONO. ESPINOZA 33200 1840 18.02 326 5874.52

CONCHA LUIS – JEFE DE
COMISION

C.P.C. MORE ROJAS CÉSAR 33200 1840 18.02 230 4144.60

JUNIOR

COSTO TOTAL 1329 30525.36

 COMISION AUDITORA

ROL EN LA
NOMBRES Y APELLIDOS CORREO ELECTRÓNICO
COMISIÓN

1.CARRANZA RIVERA
SUPERVISOR CARRANZAMI98@HOTMAIL.COM
MILAGROS

2.LESCANO MENESES
CONTADORA LESCAMILAGROS_5@GMAIL.COM
MILAGROS

3.ESTRADA URQUIZA WILIAN

INGENIERO EURQUIFREE_78@HOTMAIL.COM
ALEXIS

4.HUAMANVILCA QUISPE
AUDITORA KARENH_QUISPE@HOTMAIL.COM
KAREN

5.ESPINOZA CONCHA LUIS JEFE DE COMISION ESPINOZA_LUIS@GMAIL.COM

6.MORE ROJAS CESAR

ABOGADO C_JUNIOR_123@HOTMAIL.COM
JUNIOR