CIX

Technologies
Store
Caso de Estudio (II)

CICLO 2020-II

ASIGNATURA DE AUDITORÍA DE SISTEMAS

INFORMÁTICOS
Docente: Luis Otake

1
CIX Technologies Store
Caso de Estudio (II)

Introducción

Hace varios meses, comenzaste a trabajar en una gran empresa de auditoría como un
auditor del staff de TI. Actualmente estás trabajando en su primera tarea, una revisión
de ITGC de la empresa CIX Technologies Store (CTS). CTS es una cadena regional de venta
mayorista de hardware de computadoras que cotiza en la Bolsa de Valores de Lima, con
sede en Chiclayo, Lambayeque, e incluye 20 tiendas ubicadas en el norte del Perú.

El centro de datos centralizado se encuentra en Chiclayo. CTS cuenta con una suite
integrada de aplicaciones que incluyen software de última generación para gestionar el
reabastecimiento de mercancías, la previsión de ventas a nivel de almacén, y datos de los
puntos de venta. Por ejemplo, CTS se basa en escáneres de códigos de barras y lectores
de tarjetas de crédito/débito (POS). Para mantener su ventaja competitiva en su sector,
CTS recientemente implementó un sistema de pago biométrico de huella dactilar en
todas sus tiendas. Esta nueva implementación de sistemas requería que CTS cambiara
varias de sus aplicaciones contables; en particular, las relacionadas con el procesamiento
de sus cobros de efectivo. CTS no utiliza ninguna organización de servicios externos para
proporcionar sus servicios de TI.

Juan Pérez, el jefe de auditoría que encabeza tu equipo, decidió que debido al
procesamiento de TI complejo y sofisticado de CTS, es obligatoria una revisión de
Controles Generales de TI (ITGC) para cumplir con los procedimientos de evaluación de
riesgos de SAS 109 y los requerimientos de Control Interno de la Evaluación de la
Administración de la Sección 404 de SOX. Tú sabes que una revisión de ITGC es muy
importante porque éstos proporcionan la base para confiar en cualquier información
financiera que generen los sistemas de CTS. Tu evaluación afectará al auditor financiero
al evaluar el riesgo de error material en las finanzas de CTS y, en consecuencia, el plan de
auditoría. En su primera reunión de equipo, Juan anunció que sus especialistas de
seguridad de redes revisarían las cuestiones técnicas relacionadas con los controles

2
internos de CTS. Ellos evaluarán los sistemas operativos de CTS, su software de
telecomunicaciones, y su configuración de red y firewalls.

En preparación para la reunión, Juan te alentó a revisar las disposiciones clave incluidas
en la SAS 109, la Sección 404 de SOX, las secciones aplicables del Estándar de Auditoría
de PCAOB No. 5, y la guía interna de la empresa, la cual agrupa a las ITGC en las siguientes
cinco áreas: gestión de TI, desarrollo de sistemas, seguridad de datos, gestión de cambios
y planificación de la continuidad del negocio (BCP).

Gestión de TI

Los conceptos clave de la gestión de TI incluyen la posición de TI dentro de la

organización, si los objetivos de TI están alineados con los objetivos estratégicos de la
organización, el uso de un comité directivo de TI, y si la estructura del área de TI
promueve una adecuada segregación de funciones para proteger los activos de la
organización. Tus principales preocupaciones son:

 ¿CTS tiene un plan estratégico de TI?

 ¿A quién le reporta el Director de información (CIO)?
 ¿Qué áreas de responsabilidad clave reportan al CIO?
 ¿CTS tiene un comité directivo de TI? Si es así, ¿quiénes son los miembros?

Desarrollo de sistemas

Los conceptos clave dentro del desarrollo de sistemas incluyen la existencia de una
metodología de implementación de nuevos sistemas, la gestión de proyectos, las
revisiones pre- y post- implementación, el control de calidad, las pruebas adecuadas, y el
cumplimiento demostrado con la metodología de implementación seleccionada. En base
a este entendimiento, las principales preocupaciones de tu equipo son:

 ¿CTS diseña, desarrolla e implementa sistemas de una manera lógica?

 ¿La organización considera los controles internos como parte integral del diseño
de sistemas o los actualiza después de la implementación?

3
  ¿Hasta qué punto está involucrado el área de Auditoría Interna de CTS en las
actividades de desarrollo de sistemas? ¿Es parte del equipo de revisión del
proyecto? ¿Es un miembro votante del equipo?
 En particular, ¿qué tan bien gestionó CTS el desarrollo y la implementación de su
nuevo sistema de pago biométrico de huella digital?

Seguridad de los datos

Los conceptos críticos dentro de la seguridad de datos incluyen la adherencia a una

política establecida de seguridad de la información, la aprobación de accesos según sea
necesario, la rotación periódica o cambio de controles de acceso, monitoreo, informe de
excepciones y respuesta a incidentes. La seguridad de los datos tiene aspectos tanto
físicos como lógicos.

En el lado físico, la seguridad de los datos incluye el acceso físico y los controles
ambientales sobre la sala de computadoras del centro de datos. En el lado lógico, la
seguridad de los datos incluye las políticas relacionadas con las restricciones de
configuración, cambios e historial de contraseñas.

La seguridad lógica también incluye una pronta revisión, modificación o eliminación de

accesos debido a transferencias de personal, promociones y despidos. Las principales
preocupaciones de tu equipo son:

 ¿Qué tan bien controla CTS el acceso físico a la sala de computadoras del centro
de datos?
 ¿Está la sala de computadoras de CTS adecuadamente protegida contra peligros
ambientales, como el fuego?
 ¿CTS controla el acceso lógico a sus sistemas de información? En particular, ¿cómo
controla el acceso lógico de los empleados despedidos o transferidos?
 ¿CTS tiene una política actual de seguridad informática?
 ¿CTS produce informes de violación de acceso?
 ¿Se adhiere el personal de TI de CTS a la política de TI y sigue los procedimientos
de TI? Por ejemplo, ¿el personal apropiado revisa cualquier informe de violación
de acceso y toma la acción prescrita?

4
Gestión del cambio

Los conceptos clave de la Gestión del Cambio incluyen los procedimientos de cambio
documentados, la autorización y la aprobación del usuario, la segregación de funciones
en la implementación de cambios, la revisión de la gestión, el control de calidad, y las
pruebas adecuadas. Las principales preocupaciones de tu equipo auditor son:

 ¿CTS tiene (y sigue) procedimientos formales de gestión de cambios?

 En particular, ¿CTS sigue estos procedimientos al realizar los cambios necesarios
en sus aplicaciones actuales debido al nuevo sistema de pago de codificación
biométrica? Por ejemplo: ¿Se aprobaron los cambios? ¿Los programadores
probaron adecuadamente los cambios antes de ponerlos en producción? ¿Los
programadores de la aplicación que hicieron los cambios de código, probaron los
cambios y/o los pusieron en producción?

Planificación de la Continuidad del Negocio

Los conceptos clave de BCP son las expectativas de la gerencia con respecto a una
recuperación oportuna de las capacidades de procesamiento, la existencia de un plan
escrito, la aceptación del plan, el almacenamiento fuera del sitio tanto del plan como de
los archivos de datos, y la prueba del plan. Las principales preocupaciones de tu equipo
auditor son:

 ¿CTS tiene un plan de BCP escrito? ¿Es actual?

 ¿Cuándo fue la última vez que CTS probó su plan?
 ¿CTS hace una copia de seguridad de su software y sus datos? ¿Con qué
frecuencia? ¿Dónde almacenan las copias de seguridad?
 ¿CTS necesitó recuperar sus sistemas utilizando sus copias de seguridad durante el
año fiscal anterior?

5
Infraestructura de TI

La infraestructura de TI de la empresa es multidimensional y consta de varias capas, y las

capas inferiores dan soporte a las superiores:

 Capa de sistemas operativos y redes. La empresa utiliza Windows (servidores SAP,

MS SQL, pruebas y red) y Ubuntu (resto de servidores).
 Capa de base de datos. Cuenta con bases de datos MS SQL (ERP) y MySQL (resto
de aplicaciones).
 Capa de aplicaciones. Las aplicaciones automatizan los procesos de contabilidad,
activos fijos, compras, y almacén (ERP); planillas (Ofisis); y ventas y pagos
(desarrollo in-house).

CTS cuenta con ocho servidores localizados, todos ellos, en el centro de datos ubicado en
la sede principal de la empresa en Chiclayo:

i. Servidor de SAP R/3. Mantiene los módulos del ERP

ii. Servidor de MS SQL. Mantiene la base de datos de MS SQL (que utiliza el
ERP) y las herramientas de software relacionadas.
iii. Servidor de aplicaciones y bases de datos. Contiene el resto de las
aplicaciones (satélites) y bases de datos de la empresa.
iv. Servidor de pruebas: para las pruebas de nuevas aplicaciones y cambios o
actualizaciones de software.
v. Servidor de correo electrónico: procesa las solicitudes y almacena los
mensajes de correo electrónico.
vi. Servidor de backup: almacena los datos de backup.
vii. Servidor de firewall: contiene el software del firewall para el acceso remoto.
viii. Servidor de red: permite la autenticación del usuario a la red.

6
Reuniones preliminares

El equipo auditor tuvo varias reuniones previas con la finalidad de tener un mejor
entendimiento de la empresa. A continuación, se detalla un extracto de dichas reuniones.

Notas de las reuniones con el Director Financiero (CFO)

 CTS implementó un nuevo sistema de pago de codificación biométrica en todos sus

almacenes el año fiscal anterior.
 El Comité de Dirección Ejecutiva de CTS desarrolla políticas de TI y revisa las
operaciones generales del área de TI. Los miembros votantes del comité son:
ix. Director de Información (CIO)
x. Jefe de Aplicaciones
xi. Administrador de Base de Datos (DBA)
xii. Jefe de Operaciones
xiii. Oficial de Seguridad de la Información (OSI)
xiv. Director Financiero (CFO)
xv. Gerente de Auditoria Interna.
 El Comité de Dirección Ejecutiva revisó la política de seguridad de CTS en el 2015.
La política direcciona todas las cuestiones de seguridad organizacional incluyendo
TI.
 CTS no tiene un plan de continuidad de negocio ni un plan de recuperación de
desastres documentado. La gerencia cree que tal plan tiene un costo prohibitivo
para una organización de su tamaño y CTS nunca ha experimentado ningún
problema importante de interrupción del negocio. En caso de desastre, el
administrador del centro de datos recuperaría las cintas de copias de seguridad
más recientes que se almacenan fuera del sitio. CTS usaría estos archivos para
recuperar sus sistemas.

Notas de las reuniones con el Gerente de Auditoría Interna

 El Área de Auditoría Interna de CTS está involucrado como miembro votante de los
equipos de trabajo responsables para el diseño, el desarrollo, y la implementación

7
 de nuevos proyectos. Auditoría Interna realiza las revisiones post-implementación
en todos los proyectos de más de S/. 250 mil.
 El nuevo sistema de pago de codificación biométrica estuvo 25% sobre su
presupuesto de tiempo inicial y 40% sobre su presupuesto inicial en soles.

Notas de las reuniones con el CIO

 El Jefe de Aplicaciones actualmente es responsable de la función de DBA. Sin

embargo, el CIO revisa los registros que muestran las acciones del ID de usuario
del Jefe de Aplicaciones.
 CTS tiene un plan estratégico de TI, que es consistente con su plan estratégico
empresarial. El plan estratégico de TI describe los objetivos y las estrategias que el
grupo de sistemas de información implementará para ayudar a CTS a alcanzar sus
objetivos generales de negocio.
 CTS adoptó la Metodología de Análisis y Diseño de Sistemas Estructurados
(SSADM), un estándar reconocido de la industria para el desarrollo de sistemas y
la gestión de proyectos. Todos los proyectos (comprar o construir) sigue las fases
aplicables de SSADM. El CIO revisa periódicamente las necesidades de cada
reconciliación entre lo presupuestado y lo real del proyecto.
 La política de seguridad de CTS menciona que es función del OSI llevar a cabo una
auditoría de usuario trimestralmente. El gerente del área apropiada revisa los
informes enviados electrónicamente, así como enumera cada perfil de usuario,
observa los cambios en los informes y devuelve los informes al OSI. El OSI entonces
hace las modificaciones apropiadas basado en los informes devueltos. El OSI
mantiene los informes, incluyendo los iniciales y las fechas del informe después de
completar todas las modificaciones.

Preguntas para el Producto Acreditable 2 (PA2)

1. En base a las diferentes metodologías, estándares, guías, marcos de trabajo y

regulaciones existentes (no necesariamente las mostradas en clase) en el ámbito
de la auditoría de SI; selecciona aquellas que consideres pertinentes.

2. Fundamenta y sustenta el porqué de lo seleccionado en el punto 1, de acuerdo con

la descripción del caso.
8
 3. Elabora un resumen de las metodologías, estándares, guías, marcos de trabajo y/o
regulaciones seleccionadas en el punto 1, tomando en cuenta como mínimo los
siguientes aspectos: origen, conceptos, características, aplicabilidad y uso en la
auditoría de SI.

4. Lista las referencias bibliográficas utilizadas.

Instrucciones

1. Elabora una presentación en Power Point, respondiendo las preguntas del caso.

2. Utiliza referencias bibliográficas y/o fuentes de información actuales y serias en

base al estilo APA (incluyendo números de página donde aplique). Se recomienda
revisar las páginas web oficiales de las metodologías, estándares, guías, marcos de
trabajo y/o regulaciones que hayas seleccionado.

3. El responsable del equipo de trabajo se encargará de enviar el archivo pptx (único

archivo), a través de la tarea asignada, antes de la fecha y hora límite.

4. Luego de enviar el informe, cada uno de los integrantes participará en la exposición

de dicho informe, cuya fecha y hora se comunicará a través del aula virtual.