AUDITORIA INFORMATICA - Prof.

Humberto Arteaga Cortez

MODELO DE DOCUMENTACION DE UNA OBSERVACION

(NAGU - 4.40)

OBSERVACION Nº. 1

Al realizar una Auditoria a la Gerencia de Sistemas (GS) de una Institución Pública “ABC” para
el periodo 2003 y 2004, se dio énfasis a verificar una supuesta pérdida de información del
usuario, obteniéndose la siguiente información:
Se pudo verificar con el documento Memo-23-GA-2004 de fecha 28 de Julio que la Gerencia de
Administración (G.A) se había quejado ante la Gerencia de Sistemas (G.S) sobre la pérdida de
datos de su Aplicativo de Finanzas de todo el mes de Julio-2004. Consultado a la G.S señaló
que dicha perdida no pudo ser recuperada porque no se hizo los Backups, debido a que no se
habían adquirido las unidades de backup requeridos por la G.S a la Gerencia de Logística (G.L)
con el documento Memo-15-GS-2004 de fecha 20 de Abril del 2004, señalando la compra de
Unidades de Backup para los próximos 6 meses; en el mismo documento hacía referencia de
la urgencia de la adquisición debido a que solo disponía de unidades de respaldo para dos
meses. Se pudo verificar que la recuperación de la información costo a la entidad $ 3,000
dólares. Consultado a la G.L sobre dicha adquisición no realizada, esta respondió que no se
hizo por falta de recursos financieros.

Sumilla
Pérdida de información por falta de backup

Condición
Durante la auditoria realizada a la Gerencia de Sistemas (G.S) de la Institución Pública “ABC”,
para el periodo 2003 y 2004, se pudo verificar la pérdida de información financiera del mes de
Julio del 2004, la cual se evidencia mediante el documento Memo-23-GA-2004 de fecha 28 de
Julio de la Gerencia de Administración (G.A). La G.S señaló que no pudo realizar los Backup
por falta de Unidades, las mismas que no habían sido adquiridos por la Gerencia de Logística
(G.L). Se pudo verificar el pedido de la G.S a G.L con Memo-15-GS-2004 de fecha 20 de Abril
del 2004, señalando que sólo disponía de unidades de backup para el presente mes y debía
efectuarse la compra para cubrir el respaldo los próximos seis meses. De acuerdo a la G.L, no
se hizo la adquisición por falta de recursos financieros.

Criterio
Desde el Punto de Vista Legal, la NCI - 500, comentario 02, requisito C, que a la letra dice
“Elaborar copias de respaldo de los datos procesados ….”, la misma que se ha omitido por falta
de dispositivos de Backup.

Causa
Se ha podido verificar con el Memo-15-GS-2004 de fecha 20 de Abril del 2004, que la G.S
había cumplido con solicitar la compra de dichas unidades de backup, sin embargo se ha
notado deficiencias en la Gestión de la Gerencia de Logística, al no haber previsto los recursos
financieros suficientes para garantizar la seguridad de la información.

Efecto
Se ha podido verificar que los daños causados a la Institución por esta pérdida de Información
asciende a $ 3,000 dólares.

Nota.
En el caso que alguna observación no tenga daños cuantificados, se dice “Si bien es cierto que
no se han encontrado daños económicos, el Riesgo es < anotar el riesgo que detecten>…..
Recomendación
Se recomienda a la Gerencia General que a través de la Gerencia de logística, provea de los
recursos necesarios a la Gerencia de Sistemas, que eviten daños a la entidad. Así mismo a
través de la Gerencia de sistemas disponer de un plan de adquisiciones con anticipación.