Está en la página 1de 12

Entidad Financiera ABC

INFORME Nº 014-2010-ABC/SOA “Auditoria de Sistemas a la Dirección de


TI de la Entidad Financiera ABC, Período 2008-2009”

Lima, Mayo 2010

Sociedad de Auditoria Urbizagastegui Asociados SRL


INDICE

I Introducción
I.1. Origen
I.2 Objetivo
I.3 Alcance
I.4 Antecedentes

II. Observaciones
II.1 Observación 01.- La empresa Royal System solo entrego el 79% del sistema, generando
que funcionarios del Banco pagaran en exceso US$12,500 y además generando malestar a las
áreas usuarias

II.2 Observación 02.- Se han adquiridos PCs en el 2007 y 2009 de menor tecnología a lo que
el negocio estableció, determinando que no se aproveche el avance tecnológico

II.3 Observación 03.-No se vienen utilizando la totalidad de licencias de antivirus


adquiridas, asimismo existen equipos que no tienen instalado el producto, poniendo en riesgo
la operatividad de la red

III. Conclusiones

IV. Recomendaciones

V. Anexos
I Introducción

I.1. Origen

Solicitado por el Presidente Ejecutivo de la Entidad Financiera, según acuerdo en sesión


de directorio de fecha 12.Ene.2010

I.2 Objetivo

Auditoria de Sistemas a la Dirección de TI de la Entidad Financiera ABC

I.3 Alcance

Período 2008-2009, a la Dirección de Tecnologías de Información

I.4 Antecedentes

La Entidad Financiera ABC es un sólido grupo financiero, de elevada solvencia y gran


dimensión con un objetivo común: unir todas las fortalezas para establecer relaciones
duraderas con clientes cada día más satisfechos.

Mantenemos una relación a largo plazo de confianza y valor mutuo con nuestros
clientes. Ofrecemos un servicio de máxima calidad y las soluciones, el asesoramiento y
los productos más adecuados a sus necesidades. Toda nuestra organización trabaja
para el cliente.

Por lo tanto, todas las entidades del Grupo y todas las áreas que las constituyen
asumimos el compromiso de desarrollar criterios de responsabilidad social en nuestro
trabajo.

En el punto I.4, se debe agregar un resumen del porque de la auditoria y resumen del
negocio.
II. Observaciones

Observación Nº 01
La empresa Royal System solo entrego el 79% del sistema, generando que
funcionarios del Banco pagaran en exceso US$12,500 y además generando malestar a
las áreas usuarias

Condición.- La empresa Royal System solo entrego 95 funciones de 120 funciones lo que
representa el 79% de cumplimiento contractual y además entregado con tres meses
adicionales a lo solicitado contractualmente. El resumen del cumplimiento se detalla en cuadro
adjunto
Tabulación de la Verificación a las Funciones del Aplicativo Core
Módulos Nro. Funciones Nro. Funciones Diferencia Sustento
Requeridas Implementadas (*)
A 15 10 5 Acta 01
B 20 15 5 Acta 03
C 30 25 5 Acta 01
D 15 10 5 Acta 02
E 40 35 5 Acta 05
Total 120 95 25
Fuente: Elaboración por el equipo de control
(*) Actas que respaldan lo verificado por el equipo de control

Criterio
- Contrato
- Requerimiento funcional del sistema
- Cobit
- Propuesta del Proveedor

Causa
- Jefe de Proyecto, según lo estipulado en la funciones de Jefe de Proyecto en los
siguientes puntos:
o …
o …
- Jefe de Desarrollo de Soluciones de Negocio, según lo indicado en el ROF de la
Dirección de TI en los puntos:
o ..
o ..
- Sub Director de Desarrollo de Soluciones de Negocio y Soluciones Administrativas,
según lo indicado en el ROF de la Direccion de TI en los puntos:
o ..
o ..
- Director de TI, según lo indicado en el ROF de la Dirección de TI en los puntos:
o ..
o ..
Efecto
Pérdida económica de US$ 12,500, así como malestar de las áreas usuarias por entrega
incompleta del sistema

Resumen de descargos de los responsables


En esta sección de la información recibida de la(s) personas a los cuales se comunico el
hallazgo se debe resumir solo lo concerniente a lo que se mencione y guarde relación con el
hallazgo comunicado como descargo
.

Comentarios del auditor sobre los descargos y asignación de responsabilidad

……
En esta sección se deberá realizar los cometarios sobre lo descrito en el “Resumen de
descargos de los responsables”, así como de la parte que el rindente 1 no realizo su descargo de
ser el caso. Debe terminar con la determinación si existe o no responsabilidad según la
evaluación y “criterio del auditor”.

……

1
Persona a la cual se le comunico el hallazgo de auditoria
Observación 02.
Se han adquiridos PCs en el 2007 y 2009 de menor tecnología a lo que el negocio estableció,
determinando que no se aproveche el avance tecnológico

Condición. – En el año 2007 no se debió adquirir los siguientes equipos de cómputo (marca y
modelo)
- Marca A Modelo A Cantidad 100
- Marca Modelo 1 Cantidad 200

- En el año 2009 no se debió adquirir los siguientes equipos de computo


- Marca W Modelo C Cantidad 50

Criterios
- Política de la Empresa para la renovación de equipos de computo
-

Causa:
- Jefe de Help Desk, según lo indicado en el ROF de la Dirección de TI en los
puntos:
o ..
o ..
- Sub Director de Operaciones, según lo indicado en el ROF de la Dirección de TI
en los puntos:
o ..
o ..

- Director de TI, según lo indicado en el ROF de la Dirección de TI en los puntos:


o ..
o ..

Efecto:
No se viene aprovechando el avance tecnológico

Resumen de descargos de los responsables


En esta sección de la información recibida de la(s) personas a los cuales se comunico el
hallazgo se debe resumir solo lo concerniente a lo que se mencione y guarde relación con el
hallazgo comunicado como descargo
.

Comentarios del auditor sobre los descargos y asignación de responsabilidad


……
En esta sección se deberá realizar los cometarios sobre lo descrito en el “Resumen de
descargos de los responsables”, así como de la parte que el rindente 2 no realizo su descargo de
ser el caso. Debe terminar con la determinación si existe o no responsabilidad según la
evaluación y “criterio del auditor”.

……

2
Persona a la cual se le comunico el hallazgo de auditoria
Observación 03.
No se vienen utilizando en forma eficiente las licencias de antivirus adquiridas además de su
adquisición en exceso, existiendo equipos que no tienen instalado el producto, poniendo en
riesgo la operatividad de la red

Condición.- De la muestra realizada en la verificación de la utilización de la solución de


antivirus se resume:
- Se adquirieron 9 licencias en exceso
- Se verifico que en 8 PCs no fueron instaladas
- De la muestra se verifico que en 13PCs no se encuentran actualizadas

Criterio:
- Contrato y licencias adquiridas
- Buenas Prácticas de ITIL/COBIT/ISO 2700X

Causa
- Jefe de Help Desk, según lo indicado en el ROF de la Dirección de TI en los
puntos:
o ..
o ..

- Sub Director de Operaciones, según lo indicado en el ROF de la Dirección de TI


en los puntos:
o ..
o ..

- Director de TI, según lo indicado en el ROF de la Dirección de TI en los puntos:


o ..
o ..

Efecto
Riesgo de que la red informática quede inoperativa

Resumen de descargos de los responsables


En esta sección de la información recibida de la(s) personas a los cuales se comunico el
hallazgo se debe resumir solo lo concerniente a lo que se mencione y guarde relación con el
hallazgo comunicado como descargo
.

Comentarios del auditor sobre los descargos y asignación de responsabilidad


……
En esta sección se deberá realizar los cometarios sobre lo descrito en el “Resumen de
descargos de los responsables”, así como de la parte que el rindente 3 no realizo su descargo de
ser el caso. Debe terminar con la determinación si existe o no responsabilidad según la
evaluación y “criterio del auditor”.

……

3
Persona a la cual se le comunico el hallazgo de auditoria
III. Conclusiones4
Conclusión 01
El hecho expuesto se debe que los funcionarios (cuales..?) indicados en la observación no
cumplieron sus funciones establecidas/indicadas en:(ROF, MOF, MOP, Contracto, etc. lo que de
muestra que dichos funcionarios no le dieron la importancia del caso (Observación 01).

Conclusión 02
El hecho expuesto se debe que los funciones indicados en la observación no cumplieron sus
funciones establecidas/indicadas en: (ROF, MOF, MOP, Contracto, etc. (Observación 02).

Conclusión 03
El hecho expuesto se debe que los funcionario indicados en la observación no cumplieron sus
funciones establecidas/indicadas en: (ROF, MOF, MOP, Contracto, etc. (Observación 03).

4
En este rubro la Comisión Auditora deberá expresar las conclusiones del Informe de la acción de control,
entendiéndose como tales los juicios de carácter profesional, basados en las observaciones establecidas, que
se formulan como consecuencia del examen practicado a la entidad auditada.
Al final de cada conclusión se identificará el número de la(s) observación(es) a cuyos hechos se refiere.
La Comisión Auditora, en casos debidamente justificados, podrá también formular conclusiones sobre
aspectos distintos a las observaciones, verificados en el curso de la acción de control, siempre que éstos hayan
sido expuestos en el Informe.
Fuente: NAGU de la CGR
IV. Recomendaciones5
Recomendación 01

Al Gerente General para que disponga al Jefe de Personal y Jefe del Área Legal realicen las
acciones correspondientes para el recupero de los US$ 12,500 a los responsables del hecho
(Conclusión Nº 01)

Al Director de Tecnologías de Información, para que a través de SubDirector de Desarrollo y


Soluciones evalué con el área usuaria la necesidad de implementar las 25 funciones faltantes
en el aplicativo de ser el caso (Conclusión Nº 01).

Recomendación 02
Que el Director de Tecnologías de Información, disponga a los personales responsables de las
adquisiciones realicen las compras de acuerdo a la vigencia tecnológica (Conclusión Nº 02)

Al Gerente General para que disponga al Jefe de Personal y Jefe del Área Legal evalúen las
acciones a tomar sobre los funcionarios que adquirieron equipos desfasados tecnológicamente
(Conclusión Nº 02)

Recomendación 03
Que el Director de Tecnologías de Información, disponga a través del Sub Director de
Operaciones para que el Jefe de Help Desk instale los antivirus en todos los equipos. Así como
elevar periódicamente el informe de cumplimiento de la operatividad de los antivirus en la red
(Conclusión Nº 03)

Al Gerente General para que disponga al Jefe de Personal y Jefe del Area Legal evalúen las
acciones a tomar sobre los funcionarios que no supervisaron la instalación y operatividad de
los antivirus en la red (Conclusión Nº 03)

5
Las recomendaciones constituyen las medidas específicas y posibles que, con el propósito de mostrar los
beneficios que reportará la acción de control, se sugieren a la administración de la entidad para promover la
superación de las causas y las deficiencias evidenciadas durante el examen. Estarán dirigidas al Titular o en su
caso a los funcionarios que tengan competencia para disponer su aplicación.
Las recomendaciones se formularán con orientación constructiva para propiciar el mejoramiento de la gestión
de la entidad y el desempeño de los funcionarios y servidores públicos a su servicio, con énfasis en contribuir
al logro de los objetivos institucionales dentro de parámetros de economía, eficiencia y eficacia; aplicando
criterios de oportunidad de acuerdo a la naturaleza de las observaciones y de costo proporcional a los
beneficios esperados.
Para efecto de su presentación, las recomendaciones se realizarán siguiendo el orden jerárquico de los
funcionarios responsables a quienes va dirigida, referenciándolas en su caso a las conclusiones, a aspectos
distintos a éstas, que las han originado.
También se incluirá como recomendación, cuando existiera mérito de acuerdo a los hechos revelados en las
observaciones, el procesamiento de las responsabilidades administrativas que se hubiesen determinado en el
Informe, conforme a lo previsto en el régimen laboral pertinente. (Fuente NAGU de la CGR)
Contador Juan Pérez Díaz Ing. Oscar Díaz Álvarez
CPC 47851 CIP 76277
Supervisor de la Auditoria Jefe de Comisión de Auditoria

También podría gustarte