Documentos de Académico
Documentos de Profesional
Documentos de Cultura
1
Universidad Nacional Mayor de San Marcos- Facultad de Ciencias Contables
AUDITORIA CON COBIT 2019
1. Introducción
Realizada por personal externo a la empresa, proporciona al negocio una evaluación independiente
y objetiva de los hechos que, en ocasiones es difícil de obtener cuando se está inmerso en la
operación y en presión de la problemática del día a día.
Determinar si los controles implementados son eficientes y suficientes, identificar las causas de los
problemas existentes en los sistemas de información y a su vez las áreas de oportunidad que puedan
encontrarse, determinando las acciones preventivas y correctivas necesarias para mantener a los
sistemas de informaciones confiables y disponibles.
Tiene por finalidad identificar causas y soluciones a problemas específicos de los sistemas de
información, que pueden estar afectando a la operación y a las estrategias del negocio. Por ejemplo:
2
Universidad Nacional Mayor de San Marcos- Facultad de Ciencias Contables
AUDITORIA CON COBIT 2019
CAPITULO I
- Misión
Proveer las soluciones que cada cliente requiere, facilitándole los bienes de capital y servicios
que necesita para crear valor en los mercados en los que actúa.
- Visión
Fortalecer nuestro liderazgo siendo reconocidos por nuestros clientes como la mejor opción, de
manera que podamos alcanzar las metas de crecimiento.
- HISTORIA
• Enrique Ferreyros Ayulo y un pequeño grupo de socios fundaron en 1922 la empresa Enrique
Ferreyros y Cía. Sociedad en Comandita, la cual se dedicó en sus primeros años de operación a
la comercialización de productos de consumo masivo.
• Veinte años más tarde, la empresa experimentó un giro trascendental, cuando tomó la
decisión de asumir la representación de Caterpillar Tractor Co. en el Perú. A partir de entonces,
la compañía incursionó en nuevos negocios y comenzó a redefinir su cartera de clientes,
marcando así el futuro desarrollo de toda la organización.
• Dos décadas después, en la década de los 60, otras líneas de máquinas y equipos como Massey
Ferguson le encomendaron su representación. Asimismo, fue en 1962 que la empresa concretó
su inscripción en la Bolsa de Valores de Lima, convirtiéndose en una compañía de accionariado
difundido.
• Ello la llevó finalmente a convertirse, en 1998, en una sociedad anónima abierta bajo la
denominación de Ferreyros S.A.A.
Ferreyros S.A. cuenta con un equipo de personal técnico y una completa infraestructura de
talleres, oficinas, salas de capacitaciones, escuelas de operadores, distribuidos en una superficie
de 550,000 metros, ubicados en diferentes distritos del país como Surco y Callao.
3
Universidad Nacional Mayor de San Marcos- Facultad de Ciencias Contables
AUDITORIA CON COBIT 2019
Ferreyros S.A. tiene oficinas en Perú equipadas con sistemas de comunicación, y tiene
información que permite la emisión de cotizaciones, coordinación las compras de maquinarias
pesada a CATERPILLAR, venta de la mismas, transporte de materiales vía terrestre, hacia las
provincias. .
Ferreyros S.A. tiene como objetivos de la automatización el mejorar los tiempos de respuesta y
mantener una información integra.
En Ferreyros S.A. la unidad informática es un departamento que está ubicado bajo la Gerencia
General.
1.1.1. Organigrama
4
Universidad Nacional Mayor de San Marcos- Facultad de Ciencias Contables
AUDITORIA CON COBIT 2019
5
Universidad Nacional Mayor de San Marcos- Facultad de Ciencias Contables
AUDITORIA CON COBIT 2019
El problema que presentan los sistemas en la actualidad es la calidad de la información que los
reportes finales tienen, debido a que muchas veces presenta errores materiales en la toma de
decisiones por parte de la gerencia general.
El problema surge por el sistema DBS, el cual es un sistema propio de CATERPILLAR el cual es un
sistema obligatoria que usa toda la compañía por mandato de los socios de EEUU, ya que es una
sistema propio de la empresa.
Otro punto relevante está relacionado con el presupuesto que se asigna a la unidad informática se
lo hace de acuerdo a las necesidades planteadas por el Jefe de Tecnología y durante el año, si
existiera un daño de hardware, se invierte en este rubro, para lo que implica mejoramiento del
software no existe un plan realizado o presupuesto asignado.
Desde el punto de vista del nivel gerencial, los sistemas informáticos de Ferreyros S.A. se encuentran
funcionando de manera adecuada, pero hasta la fecha no se ha realizado ninguna auditoría que
pueda verificar e informar sobre el real y correcto funcionamiento de la unidad informática.
El Jefe de Tecnología observa que los sistemas informáticos funcionan bien pero siempre hay cosas
que se pueden mejorar y fallas que muchas veces no están a la vista, en lo que se refiere al desarrollo
de software la inexistencia de documentación le causa retraso en la corrección de errores.
Los usuarios de los sistemas informáticos de Ferreyros S.A. están seguros que en el departamento
de tecnología tienen un soporte siempre, pero los sistemas informáticos les causa algunos
problemas por la falta de capacitación.
6
Universidad Nacional Mayor de San Marcos- Facultad de Ciencias Contables
AUDITORIA CON COBIT 2019
ALCANCE
7
Universidad Nacional Mayor de San Marcos- Facultad de Ciencias Contables
AUDITORIA CON COBIT 2019
Marco de Referencia
El Marco referencial COBIT se fundamenta en que el enfoque de control en TI se
lleva a cabo visualizando la información necesaria para dar soporte a los procesos
de negocio. La información es el resultado de la aplicación combinada de recursos
relacionados con la Tecnología de Información, que deben ser administrados por
procesos de TI. Para satisfacer los objetivos del negocio, la información necesita
concordar con ciertos criterios a los que COBIT hace referencia como
Requerimientos de Negocio para la información.
8
Universidad Nacional Mayor de San Marcos- Facultad de Ciencias Contables
AUDITORIA CON COBIT 2019
Son 40 Objetivos de Control de alto nivel, definidos para cada uno de los Objetivos
de Gobierno y Gestión de la I & T, agrupados en cinco dominios:
9
Universidad Nacional Mayor de San Marcos- Facultad de Ciencias Contables
AUDITORIA CON COBIT 2019
10
Universidad Nacional Mayor de San Marcos- Facultad de Ciencias Contables
PROGRAMA DE AUDITORÍA APO13
MATRIZ DE PRUEBAS
MATRIZ DE PRUEBAS
1
Universidad Nacional Mayor de San Marcos- Facultad de Ciencias Contables
AUDITORIA CON COBIT 2019
2
Universidad Nacional Mayor de San Marcos- Facultad de Ciencias Contables
AUDITORIA CON COBIT 2019
DSS04.01 Definir la política de continuidad del negocio, Evaluación de la práctica Entrevista al Gerente de TI.
sus objetivos y alcance
Establecer y mantener un plan para permitir al Recopilación documental de los planes de contingencia Revisión de los Planes de
negocio y a TI responder a incidentes e interrupciones de TI. Contingencia existentes.
de servicio para la operación continua de los procesos Recopilación documental del entrenamiento y pruebas de
críticos para el negocio y los servicios TI requeridos y los planes de contingencia de TI
Revisión documental del plan de
Recopilación documental del plan de continuidad del
mantener la disponibilidad de la información a un nivel continuidad del negocio.
negocio.
aceptable para la empresa.
Asegurar el mínimo impacto al negocio en caso de una
interrupción de servicios de TI. Cobit 4.1
La Gerencia de TI deberá asegurar que se desarrolle
un plan escrito conteniendo:
- Guías sobre la utilización del Plan de Continuidad;
- Procedimientos de emergencia para asegurar la
integridad de todo el personal afectado;
- Procedimientos de respuesta definidos para regresar
al negocio al estado en que se encontraba antes del
incidente o desastre;
- Procedimientos para salvaguardar y reconstruir las
instalaciones;
- Procedimientos de coordinación con las autoridades
públicas;
- Procedimientos de comunicación con los socios y
demás interesados: empleados, clientes clave,
proveedores críticos, accionistas y gerencia; e
- Información crítica sobre grupos de continuidad,
personal afectado, clientes, proveedores, autoridades
públicas y medios de comunicación.
3
Universidad Nacional Mayor de San Marcos- Facultad de Ciencias Contables
AUDITORIA CON COBIT 2019
4
Universidad Nacional Mayor de San Marcos- Facultad de Ciencias Contables
AUDITORIA CON COBIT 2019
MEA03.01 Identificar los requisitos externos de Evaluación de la práctica Entrevista al Gerente de TI.
cumplimiento.
Identificar y valorar la totalidad de
Identificar y supervisar, de manera continuada, Recopilación documental de leyes locales e los posibles requisitos de
cambios en las legislaciones y regulaciones internacionales, regulaciones, y otros requerimientos cumplimiento y su impacto sobre
tanto locales como internacionales, así como externos que se deben de cumplir para incorporar en las las actividades de TI en ámbitos
otros requisitos externos de obligado políticas, procedimientos y metodologías de I&T de la como los flujos de datos, la
cumplimiento en el área de TI. organización. privacidad, los controles internos,
los informes financieros, la
regulación sectorial, la propiedad
intelectual y la seguridad de la
información.
Valorar el impacto de los
requisitos legales y regulatorios
relacionados con TI sobre los
contractos con terceros que
afecten a las operaciones de I&T,
los proveedores de servicio y los
socios de negocio.
Verificar la existencia de un
inventario actualizado de los
requisitos legales, regulatorios y
contractuales aplicables, su
impacto y las acciones necesarias.
5
Universidad Nacional Mayor de San Marcos- Facultad de Ciencias Contables
AUDITORIA CON COBIT 2019
6
Universidad Nacional Mayor de San Marcos- Facultad de Ciencias Contables
AUDITORIA CON COBIT 2019
7
Universidad Nacional Mayor de San Marcos- Facultad de Ciencias Contables
AUDITORIA CON COBIT 2019
8
Universidad Nacional Mayor de San Marcos- Facultad de Ciencias Contables
GARANTIZAR LA SEGURIDAD EN LOS SISTEMAS
Guías de Auditoría:
Considerando si:
• Se cuenta con un plan de seguridad estratégico que proporcione una dirección y control
centralizados sobre la seguridad de los sistemas de información, así como requerimientos de
seguridad de usuario, como soporte.
• Se cuenta con perfiles de seguridad de usuario que representen “los menos accesos requeridos”
y que muestren revisiones regulares a los perfiles por parte de la administración
• Las medidas de control detectivo y preventivo han sido establecidas por la administración
para prevenir y detectar virus de computador.
Probando que:
• TI cumple con los estándares de seguridad relacionados con:
o Autenticación y acceso.
o Administración de perfiles de usuario y clasificación de la seguridad de datos.
o Reportes y revisión gerencial de las violaciones e incidentes de seguridad.
o Estándares de administración de llaves criptográficas.
o Detección, resolución y comunicación sobre virus.
o Clasificación y propiedad de datos.
• Los parámetros de seguridad del sistema operativo tienen como base estándares locales/del
proveedor.
o El software para aplicaciones altamente sensibles está protegido por MAC (Messsage
Authentication Code- Código de Autentificación de Mensajes) o firma digital, y se
utilizan mecanismos, fallas de verificación para evitar el uso del software.
1
Universidad Nacional Mayor de San Marcos- Facultad de Ciencias Contables
Evaluación de la tecnología de la información Ferreyros S.A
Técnicas de Auditoría
2
Universidad Nacional Mayor de San Marcos- Facultad de Ciencias Contables