Año 2021

Informe de Auditoría
de Sistemas

Empresa Sacos Macen

Universidad de San Carlos de Guatemala
Facultad de Ciencias Económicas
Escuela de Auditoría
Auditoria de Sistemas Computacionales
Auditoria V
Grupo # 10
Salón 109 Edificio S-3

INFORME DE AUDITORIA IT
“Sacos Macen”

Docentes Supervisores: Lic. Óscar Noé López Cordón

Auxiliar:

Guatemala 22 de abril de 2021

Integrantes Grupo No. 10
 CARNET APELLIDO NOMBRE Evaluación 1 - 10
200711326 Letrán Guerra Luis Eduardo
201012025 Canteo Cabrera Cynthya Carolina
201111282 Estrada Sierra Claudia Nineth
201119911 Requena Mejia Sergio Iván
201119941 Marroquín Flores Carlos Emanuel
201215132 Monzón Rashón Ingrid Griselda
201220460 Pulex Aguilar Nidia Esmeralda
201409016 Castillo Ortiz Jacqueline Andrea
201704720 Morataya Juárez Guísela Aimeé
201713643 Méndez Mancilla María del Tráncito
 INFORME DE AUDITORIA

Aspectos generales de la entidad

Sacos Macen es una empresa que forma parte de la organización Spencer

Textile Industries Group, la cual cuenta con más de 50 años de experiencia.
Sacos Macen se enorgullece de servir a clientes en todo el continente
americano, y más allá a medida que continúa creciendo.

El negocio principal de dicha entidad es proporcionar soluciones para

organizaciones a lo largo de la cadena de suministro de producción: desde
métodos innovadores de protección y preservación para cultivos a nivel de
granja, como la sombra y la cobertura del suelo o redes anti-plagas, hasta
productos de bolsas tejidas con una capacidad de 5kg a 2 toneladas.

El objetivo principal es superar las expectativas de los clientes como proveedor

de calidad mundial. Trabajan bajo el lema de mejora continua, respaldado por
regulaciones y certificaciones como ISO 9001 y HACCP para la industria de
alimentos.

Misión de la entidad

Ofrecer soluciones personalizadas de protección y empaque por medio de valor

agregado e innovación, generando satisfacción completa, confianza y
relaciones duraderas con los clientes, proveedores y colaboradores.

Visión de la entidad

Ser un proveedor líder con excelencia mundial en protección y empaque.

Valores de la entidad

Integridad, excelencia y trabajo en equipo.

Propósito de la auditoria:

De acuerdo a los objetivos establecidos en el programa del Curso de Auditoría

en informática de la Carrera de Licenciatura en Ciencias Económicas de la
Escuela de Contaduría Pública y Auditoría de la Facultad de Ciencias
Económicas de la Universidad de San Carlos de Guatemala, como parte de la
formación profesional de los estudiantes del salón 109 de la jornada nocturna,
surgió la necesidad de realizar auditoria al área de Tecnología Informática de
la Empresa seleccionada por el grupo número 10, “INFOCA, S.A.”, haciendo
énfasis a la revisión de los procesos implantados a los sistemas de información
de dicha entidad y evaluar la correcta aplicación de los controles y el empleo
adecuado de los recursos.

Dicha evaluación fue autorizada a través de la aceptación del Ing. José Ochoa
Gerente Regional de Tecnología Informática (TI) quien funge como Gerente
Regional de TI de la entidad antes mencionada y la aprobación del Licenciado
Óscar Noé López Cordón catedrático del curso de Auditoría en informática.

Objetivo general

Comprobar la capacidad del personal para desarrollar sus funciones, verificar la

seguridad de los sistemas, equipos e instalaciones, para encontrar las
deficiencias en la correcta utilización y resguardo del sistema computacional
con el propósito de cumplir con las políticas establecidas por la entidad,
obteniendo información razonable, eficiente y eficaz.

Apoyar a la administración de la empresa Sacos Macen, realizando análisis,

evaluaciones posteriores, dar recomendaciones, asesorar e informar las
actividades auditadas. Asistir a las autoridades en el cumplimiento de los
objetivos evaluando los sistemas de control existentes y fomentando la cultura
de control.

Objetivos Específicos

 Verificar el resguardo físico adecuado para los recursos tecnológicos

con los que cuenta la entidad, así como la efectividad y la utilización
eficiente de los mismos.
 Comprobar la periodicidad con la que se realiza mantenimiento a los
equipos tanto a los sistemas de información como el hardware del
departamento, verificando estado de actualización física y virtual.
 Verificar la segregación de funciones establecidas en el departamento.
  Confirmar que las bases de datos estén actualizadas y cumplan con el
objetivo de informar tanto a personal interno, externo y público en
general.
 Revisar las políticas y contingencias de los sistemas de información ante
amenazas internas, externas, físicas, virtuales con las que cuenta el
área de estudio.
 Verificar el área física en la cual se encuentra el activo informático, para
comprobar su correcto funcionamiento y posición adecuada del mismo.

Evaluación de los sistemas, equipos, instalaciones y componentes

Objetivo General:

Conocer y valorar la realidad tecnológica en la que se desenvuelve,

identificando los cambios que los avances de las TIC producen en todos los
ámbitos de la vida cotidiana, así mismo conocer las diferentes formas de
conexión entre ordenadores remotos y las ventajas e inconvenientes de
diferentes sistemas operativos, determinando el número de programas o
software con el que cuenta la empresa, sus características y especificaciones
particulares, además se verificarán las conexiones de red, cableado y otros
equipos auxiliares, con los que cuente la entidad para la realización de sus
actividades.

Objetivos Específicos:

 Verificar el inventario de equipo de cómputo y equipos en general

adquiridos por la empresa.
 Verificar la existencia de los componentes del hardware y de igual
manera el uso correcto de componentes de hardware.
 Elaborar un inventario de software con que cuenta la empresa.
 Verificar que se cuente con la correspondiente licencia de uso de
software.
 Verificar la fecha de vencimiento de licencias de software obtenidas.
 Verificar que todos los equipos de cómputo cuenten con antivirus y con
su respectiva licencia vigente a la fecha.
 Evaluar las políticas de resguardo, acceso y seguridad de la información.
Alcance de la Auditoría:

El alcance de la auditoría física abarca el examen y la evaluación de la

adecuación y efectividad del sistema de control interno de la entidad y del
eficaz cumplimiento de las responsabilidades asignadas por la misma, así
como el cumplimiento de las políticas establecidas.

Así mismo, el alcance de la presente auditoría permitió detectar de forma

sistemática el uso de los recursos y los flujos de información dentro de la
entidad, dicho alcance estaba condicionado por la Pandemia Covid-19, por lo
que el trabajo realizado se hizo de forma virtual, para evitar contacto físico con
la entidad.

Naturaleza de la Auditoría

Determinar el uso adecuado de los sistemas informáticos con los que cuenta la
entidad; con el fin de poder buscar, agrupar y evaluar evidencias, y así poder
definir si los sistemas cumplen con los requerimientos necesarios para
salvaguardar el activo empresarial, para mantener la integridad de los datos
que lleva a cabo la eficacia dentro de la entidad.

Procedimientos Utilizados

Nuestro enfoque de auditoría a la empresa SACOS MACEN ha sido de

procedimientos sustantivo y consistió en:

Observación por medio de entrevistas y realización de cuestionarios de control

interno estratégicos con respuestas y narrativas al personal del departamento
de informática para obtener información del detalle de los servicios que ofrecen
y revisión de documentación sustentadora de sus procesos y forma de operar
en los que por su naturaleza sea más eficiente la aplicación de estos
procedimientos para el servicio de soporte de TI.

Familiarización en las visitas preliminares realizadas virtualmente con la

entidad para conocer su naturaleza, complejidad y ambiente de control.
Énfasis y análisis en todos los componentes del departamento de Informática
esto con el fin de evaluar riesgos e incorrecciones materiales, analizar sus
políticas y procedimientos a realizar.

Limitaciones

Debido a la pandemia del Covid-19 fue imposible realizar la visita física por los
protocolos de salud impuestos por el Gobierno de la República de Guatemala,
lo cual limitó la entrevista a la gerencia de Sistemas. Así también debemos
mencionar que no pudimos cubrir la observación en presencia en todas las
áreas que utilizan equipos de informática, lo cual es determinante para una
Auditoria de Sistemas y trascendental para la correcta aplicación de la misma.

El tiempo también fue un factor determinante que no permitió realizar todas las
entrevistas planificadas debidas ya que el personal de la entidad se encuentra
en muchas labores importantes. Sin embargo, se logró plasmar lo más esencial
en este informe.

Consolidación de Hallazgos

Hallazgo No. 1:

No cuenta con políticas de seguridad para los sistemas informáticos.

Efecto: El no contar con políticas de seguridad de sistemas informáticos queda

en vulnerabilidad la red de la empresa.

Causa: Falta de organización de los encargados de los sistemas informáticos

para tener políticas de seguridad de la red.

Recomendación: Realizar un diseño de la política de seguridad que participe

la gente adecuada y asegurar que el personal conozca su propia
responsabilidad, y que cada usuario de la red debe ser responsable de sus
accesos o contraseñas, y los administradores de la red y del sistema son
responsables de controlar y garantizar la seguridad general de la red.
Hallazgo No. 2:

No se capacita al personal sobre temas referentes a seguridad de la

información.

Efecto: Al no capacitar al personal sobre los temas de seguridad se puede

infiltrar información importante de la empresa.

Causa: No se tiene en cuenta que es importante que los trabajadores tengan el

conocimiento de resguardar la información que se maneja en cada
departamento.

Recomendación: Darles capacitación al personal sobre la seguridad de la

información, ya que es importante tener la garantía de la confiabilidad,
integridad y disponibilidad de la información, y por otra parte la seguridad
informática protege el sistema informático tratando de asegurar la seguridad de
la información que se contiene, por lo que se podría decir que se trata de
implementar medidas técnicas que preservaran las infraestructuras y
comunicación que reportan las operaciones de la empresa ósea el hardware y
el software.

Hallazgo No. 3:

No se cuenta con manual del área de sistemas.

Causa: No se tienen instrucciones de los procedimientos y estas pueden variar

entre usuarios así como las responsabilidades y funciones que posean los
sistemas.

Efecto: Pérdida de tiempo y de información cada vez que un usuario nuevo

necesite acceso a los sistemas.

Recomendación: Crear un manual de procedimientos ya que es una

herramienta de control interno que les permitirá contar con información
detallada, ordenada de forma sistemática donde estarán contenidas todas las
instrucciones y políticas de la empresa.
Hallazgo No. 4:

No cuentan con políticas para respaldar su información.

Causa: Al no contar con un respaldo de la información importante de la

empresa, como en una nube o un disco duro externo que se tenga acceso solo
gente de Staff, ya que es información confidencial, pero a la vez importante
nunca perder la información, si un empleado borra intencionalmente o por error.

Efecto: Pérdida de información importante para la empresa, como finanzas o

de algún proveedor, riesgo en pérdidas financieras o clientes potenciales
importante para la empresa, siempre es importante el almacenamiento externo
de la información.

Recomendación: Primero comprar licencias, para el almacenamiento masivo

dentro de una nube con seguridad, luego tener una sincronización automática
antes de que cada personal termine su jornada laboral, realizar la
sincronización de la información, para poder contar con la información
disponible al día siguiente, por si la persona tuvo una emergencia o no se pudo
presentar al trabajo, que la persona que remplace cuente con la información
actualizada.

Hallazgo No. 5:

No se realizan revisiones del estado físico de los equipos de computación.

Causa: El equipo de computación se encuentra en el área de Bodega, no

cuenta con la revisión del estado físico hasta el momento que el personal
realice una solicitud de cambio por deterioro o porque el equipo no funcione y
se va a revisar a la bodega para poder entregar un nuevo equipo de
computación que si funcione.

Efecto: Al no contar con una revisión sobre el estafo físico del equipo de
computación, puede acelerar su deterioro y depreciarse de forma más rápida,
el personal de IT debe de cerciorarse que cada equipo de computación cumpla
con los requisitos de mantener el equipo en perfecto estado e indicar al
personal que hay medidas seguridad sobre el uso del equipo de cómputo.
Recomendación: Se recomienda al área de IT que tengan un área específica
donde se encuentre el mantenimiento y revisión del estado físico de forma
diaria, semanal o mensual de todo el equipo de computación y así que no se
deprecien los activos de la empresa como también realizar un manual de
políticas sobre el uso del equipo hacia el personal y así salvaguardar de forma
correcta los equipos de computación.
 Conclusión General

Basado en el resultado de la evaluación practicada en la organización, se a

determinado la falta de un Manual de Sistemas en la organización, se evidencio
la falta de un documento del sistema de control interno, el cual se crea para
obtener una información detallada, ordenada, sistemática e integral que
contiene todas las instrucciones, responsabilidades e información sobre
políticas, funciones, sistemas de las distintas operaciones de la organización.
Esto hace como consecuencia que varios trabajadores realizan la misma tarea,
cada uno a su manera, lo que ocasiona falta de competitividad y eficiencia en el
trabajo que realiza cada empleado.

No cuenta con políticas para la seguridad del sistema informático, esto puede
ocasionar el acceso no autorizado a la red informática o a los equipos de la
organización.