Universidad de San Carlos de Guatemala

Facultad de Ciencias Económicas

Escuela de Auditoría
Auditoría V
Edificio: S3 Salón: 111
Lic. Sergio Arturo Sosa Rivas
Auxiliar: Licda. Mónica Herrera

CASO PRÁCTICO:
INFORME AUDITORÍA PARA EL SISTEMA INFORMÁTICO DEL CENTRO
DE PROCESAMIENTO ELECTRÓNICO DE LA BASE DE DATOS DE UNA
FABRICA DE ENVASES DE HOJALATA

Guatemala, 07 de mayo de 2021

 GRUPO No. 9
Integrantes:

No. Carné Nombres y Apellidos Correo

1 9416595 Amilcar Anibal Marizuya López 9416595amilcarmarizuya@gmail.com
2 200817840 Julián Chitay Atz 200817840julianchitay@gmail.com
3 201022212 Carlos Enrique Cahuex Muñoz 201022212carloscahuex@gmail.com
4 201504777 Carlos Francisco Aceituno Ixchop 201504777CarlosAceituno@gmail.com
5 201514082 Brenda Elizabeth Hernández Martínez 201514082brendahernandez@gmail.com
6 201704468 Marlon Noel Ramírez Gómez 201704468marlonramirez@gmail.com
7 201704473 Hamilton Spenser Torres Ramírez 201704473hamiltontorres@gmail.com
 Índice de Contenido

Informe de Auditoría de Sistemas Informáticos ...................................................... 1

SOLICITUD DE AUTORIZACIÓN PARA REALIZAR AUDITORIA DE SISTEMAS
COMPUTACIONALES ................................................................................................ 3
ALCANCE DE LA AUDITORÍA ................................................................................... 6
OBJETIVOS DE LA AUDITORÍA ................................................................................ 7
OBJETIVOS................................................................................................................. 7
OBJETIVOS PARTICULARES .................................................................................... 7
OBJETIVOS ESPECÍFICOS........................................................................................ 7
METODOLOGÍA DE AUDITORÍA ............................................................................... 8
Informe de Auditoria de Sistemas ............................................................................ 9
Resultados de la Auditoría ........................................................................................ 9
CONCLUSIONES ................................................................................................................... 9
1. Riesgo leve ................................................................................................................. 9
2. Riesgo medio ............................................................................................................10
3. Riesgo alto ................................................................................................................10
RECOMENDACIONES .........................................................................................................11
OPINIÓN DE LA AUDITORÍA ................................................................................... 12
 Informe de Auditoría de Sistemas Informáticos

Guatemala 17 de marzo de 2021

Gerencia General
Fábrica de Envases de Hojalata, Sociedad Anónima.
Presente

Hemos Auditado los sistemas informáticos del procesamiento de la Base de

Datos de la Fábrica de Envases de Hojalata, S.A., por período terminado el
08 de marzo de 2021, de acuerdo a la carta de enviada, con el objeto de
evaluar y analizar el uso y funcionamiento de los sistemas informáticos la
empresa, los hechos presentes en el área, así como el uso, mantenimiento
y programación de los sistemas son responsabilidad de los trabajadores de
la Fábrica de Envases de Hojalata, S.A., respectivamente.

Hemos conducido la auditoría de acuerdo con las normas y guías de

auditoría de aseguramiento de SI emitidas por la Asociación de Auditoría y
Control de Sistemas de Información por sus siglas en inglés –ISACA- y los
lineamientos de las normas internacionales de auditoría (NIAS). Adoptando
Normas generales para la ejecución de nuestro trabajo. Estas normas
requieren planear y efectuar el proceso de auditoría para obtener seguridad
razonable con el propósito de informar si los hechos a revisar presentan
riesgos significativos.

Esta evaluación incluye pruebas selectivas utilizadas para respaldar

situaciones de los hechos. Consideramos que la auditoría suministra una

1
 base razonable para nuestra opinión.

• Se realizó un examen general del hardware y su ambiente para

conocer el estado actual de los equipos.

• Se hizo una revisión general del ambiente software para conocer el

estado actual de los programas.

• Se evaluó el servicio de informática de acuerdo a cuestionarios de

estudio o seguimiento.
• La auditoría incluye el examen sobre una base selectiva de
operaciones del centro de Procesamiento Electrónico de la Base de
Datos y el análisis sobre los elementos del proceso administrativo.

Es responsabilidad de la Administración de la Fábrica de Envases de Hojalata,

S.A., el seguimiento y ejecución de las recomendaciones.

Atentamente,

Amílcar Marizuya L.
Auditoría Externa

2
 SOLICITUD DE AUTORIZACIÓN PARA REALIZAR AUDITORIA DE
SISTEMAS COMPUTACIONALES

UNIVERSIDAD DE SAN CARLOS DE GUATEMALA

Guatemala, 01 de febrero de 2,021

Lic.
Juan Manuel Trejo
Gerente General
Fábrica de Envases de Hojalata, S.A.
Ciudad.

Respetable Lic.:

Reciba un atento y cordial saludo de un equipo de estudiantes del noveno semestre de

la Escuela de Contaduría Pública y Auditoria, de la Facultad de Ciencias Económicas de
la Universidad de San Carlos de Guatemala, del curso de Auditoria en Sistemas
Computacionales, deseándole toda clase de éxitos al frente de sus diarias actividades.

Una vez, hemos aprobado 4 cursos previos de auditoría, así como un curso de
procesamiento electrónico de datos, le informamos que como parte de nuestra
preparación profesional vinculado a los trabajos de extensión universitaria (labor social),
deseamos realizar en la prestigiosa empresa que usted dirige, nuestra práctica de
Auditoría de Sistemas de Información.

Dicha práctica consiste en la evaluación de los elementos que componen su sistema de

información mediante procedimientos de auditoria para proporcionales informaciones
acerca de su funcionalidad así como los potenciales riesgos a los cuales está expuesta
su información. Por tal motivo, la presente nota tiene la intención de formalizar nuestra
solicitud para que la misma se pueda llevar a cabo.

Es importante indicarle, que nuestra práctica consiste en verificación de controles que

tengan establecidos empresa basados en sus políticas y algunas mejores prácticas
existentes para esta área. Aclaramos que no se pretende la realización de una auditoría
de carácter financiero, por lo que no será necesario que nos proporcionen información
de ese tipo.

3
Nos concentraremos en el conocimiento y análisis de sus procesos, operaciones,
actividades, tareas realizadas por el personal que interviene, la revisión de los equipos,
software o aplicaciones empleados, la seguridad de sus datos, así como lo relativo al
entorno informático en el departamento o área que tengan que ver con el manejo y
resguardo de la información, dejando constancia que no realizaremos ninguna actividad
utilizando su sistema de información computarizado.

Basados en las normas y principios que rigen nuestra profesión, es fundamental que
preparemos nuestro plan de auditoria, tomando en cuenta los componentes más
significativos de su sistema de información, que nos servirá de base para la ejecución
de nuestra evaluación, para lo cual será necesario la realización de una o dos visitas
preliminares.

Conviene remarcar que una vez hayamos completado el proceso de planeación y

acordemos con ustedes el alcance del encargo, así como los principales aspectos a
evaluar, iniciaremos el proceso de evaluación. En su momento, le informaremos de la
cantidad de visitas que realizaremos, así como la cantidad de personas de nuestro
equipo que participarán en la revisión.

Los integrantes del equipo de trabajo, futuros profesionales de la carrera de Contaduría

Pública y Auditoria, somos reconocidos dentro de la comunidad guatemalteca por la
experiencia, preparación, honorabilidad y dedicación en lo que hacemos, pero sobre
todo por los principios éticos que son base fundamental de nuestra profesión. En dicho
equipo participaremos los siguientes estudiantes:

1. Amilcar Anibal Marizuya López

2. Julián Chitay Atz
3. Carlos Enrique Cahuex Muñoz
4. Carlos Francisco Aceituno Ixchop
5. Brenda Elizabeth Hernández Martínez
6. Marlon Noel Ramírez Gómez
7. Hamilton Spenser Torres Ramírez

Al finalizar la evaluación, entregaremos un informe que contenga los principales

hallazgos obtenidos y las implicaciones o riesgos que puede tener para la empresa que
representa. Estamos a su completa disposición de proveerle cualquier información
adicional que estime conveniente.

Si está de acuerdo en que realicemos nuestra práctica en su organización le

agradeceremos firmar y sellar al pie de la presente nota en señal de autorización para la
realización de nuestra práctica.

4
De antemano permítanos expresarle nuestro sincero agradecimiento por la oportunidad
que esperamos nos brinde y poder llevar a cabo el desarrollo de nuestra práctica.

Atentamente,

Amílcar Marizuya L.
Coordinador del Grupo
Número de teléfono de contacto: 34076801

Vo.Bo. CPA Lic. Sergio Sosa Rivas, MsC

Catedrático del Curso Auditoria V
Salón No.111 Edificio S-3
Correo Electrónico:
sergiososarivas@gmail.com

5
 ALCANCE DE LA AUDITORÍA

El alcance del trabajo de auditoría será la evaluación de la gestión de

Sistemas Informáticos basados en los resultados que serán referidos del 5 al
8 de marzo de 2021 e incluirán los siguientes procedimientos:
Entrevista con la persona del Sistema del Centro de Procesamiento
Electrónico de la Base de Datos.
Revisión para evaluar el cumplimiento de controles internos y políticas
establecidas.
Revisión de las instalaciones para verificar la adecuada salvaguarda de los
activos de Sistemas Informáticos.

6
 OBJETIVOS DE LA AUDITORÍA

OBJETIVOS
Tienen como finalidad evaluar la utilización y aprovechamiento del equipo,
instalaciones, mobiliario del centro de Cómputo y asegurar el uso de los
recursos técnicos y materiales para el Centro de Procesamiento Electrónico
de la Base de Datos y que cuente con un ambiente de resguardo de la
información del software, de los equipos y las personas que los administran.

OBJETIVOS PARTICULARES
Garantizar la confidencialidad e integridad atreves de los sistemas de
seguridad y control
Minimizar la existencia de riesgos como virus o hackers

OBJETIVOS ESPECÍFICOS
Recopilar la información asociada al sistema de información para generar un
diagnóstico del sistema acertado.
Analizar la información recolectada del sistema de información, haciendo uso
de normas y estándares internacionales
Evaluar la seguridad física del hardware y del personal del área de sistemas
Evaluar el aprovechamiento del hardware y software
Evaluar las funciones y actividades del personal del área de sistemas

7
 METODOLOGÍA DE AUDITORÍA

Planificación de auditoría

Para determinar los objetivos y alcance de la auditoría, realizamos la

planificación de la auditoría, que incluye la obtención de información de la
Fábrica de Envases de Hojalata, Sociedad Anónima, las operaciones
relevantes y compatibles con la tecnología de sistemas. Se identificaron
requisitos operacionales, legales del auditado así como de la infraestructura,
revisión de la documentación pertinente y realización de entrevistas, visitas a
la Fábrica, a las áreas operacionales de TI y una evaluación del riesgo de
alto nivel.

Nuestra planificación de la auditoría incluye:

• Obtención y revisión de políticas, procedimientos y contratos con terceros.

• Identificar factores críticos de éxito para operaciones de TI de misión
crítica.
• Identificar los criterios de auditoría, evaluación de materialidad y
determinación de la idoneidad de los controles establecidos.

Se desarrollan los objetivos de auditoría con relación a controles identificados,

objetivos operativos con una estrategia de auditoría en relación con la auditoría
de sistemas al alcance y objetivos.

Ejecución de la auditoría
Nuestra auditoría se llevó a cabo conforme a las normas y guías de auditoría y
aseguramiento de SI emitidas por la Asociación de Auditoría y Control de
Sistemas de Información por sus siglas en inglés –ISACA-, y normativas de
auditoría. Los criterios utilizados en la ejecución de la auditoría incluyen, las
políticas, procedimientos y pautas de control de gestión aplicables.

8
 Informe de Auditoria de Sistemas
Resultados de la Auditoría
CÉDULA A14 1/5
HECHO POR: JDG
REVISADO POR: JPME
FECHA INICIO: 06/-03-2021
FECHA FIN: 08-03-2021

Para: Jefe del Centro de Procesamiento Electrónico de la Base de

Datos
De: Auditoría Externa
Asunto Auditoria de Sistemas del Centro de
Procesamiento Electrónico de la Base de
Datos.
Fecha: 08 de Marzo de 2021

Como parte del programa de trabajo anual del departamento de

Auditoría, adjunto encontrará informe de la revisión efectuada a los
controles existentes para salvaguardar la seguridad del Centro de
Procesamiento Electrónico de la Base de Datos.

Resultados de la Auditoría

CONCLUSIONES

Derivado de la revisión de los procedimientos y normativa

interna y tomando en consideración la matriz de impacto de
riesgos detectados, se obtuvieron las siguientes conclusiones:
1. Riesgo leve

• Se observaron dos equipos obsoletos ubicados en el Centro de

Procesamiento Electrónico de Datos, que ocupan espacio físico.

• No se cuenta con un control de las reparaciones efectuadas a

equipos, así como de la fecha en que fueron devueltos al Centro de
Procesamiento Electrónico de Datos

9
 CÉDULA A14 4/5
HECHO POR: JDG
REVISADO JPME
FECHA 06/03/2021
FECHA FIN: 08/03/2021

2. Riesgo medio

• Se establecieron accesos no autorizados de analistas programadores

del sistema al Centro de Procesamiento Electrónico de la Base de
Datos, por incumplimiento de normativa interna.

• Se observó una clave de acceso al Centro de Procesamiento

Electrónico de la Base de Datos habilitada perteneciente a un ex
empleado.

• Se determinó falta de custodia de clave Administrador de software de

control de acceso al Centro de Procesamiento Electrónico de la Base
de Datos.

• Se comprobó falta de pruebas para verificar la funcionalidad de las

cintas de respaldo de información.

3. Riesgo alto

• Se observó que el contrato de mantenimiento del aire acondicionado y

el de seguro de responsabilidad civil están vencidos, por ausencia de
un control en la fecha de vencimiento.

• Se determinó que las copias del Plan de Continuidad del Negocio

vigentes no fueron distribuidas al personal responsable de
implementarlo así como ausencia de pruebas para verificar la
funcionalidad del Plan.

10
 RECOMENDACIONES
CÉDULA A14 5/5
HECHO POR: JDG
REVISADO JPME
FECHA 06/03/2021
FECHA FIN: 08/03/2021

1. Es conveniente realizar inventarios periódicos a efecto de verificar la

existencia física de los equipos en el Centro de Procesamiento
Electrónico de la Base de Datos. Así mismo trasladar los equipos que
no figuran en libros Contables a donde corresponda.

2. Se sugiere implementar un control para dejar constancia la fecha de

ingreso de los equipos en caso de reparaciones, así como el
diagnóstico por el cual se originó el egreso del Centro de
Procesamiento Electrónico de la Base de Datos.

3. Se recomienda fortalecer los controles a efecto de cumplir lo

establecido en la normativa interna, referente a los ingresos de
personal externo, depuración de claves de acceso de ex
colaboradores y custodia de clave del Administrador del Software
para el control de acceso al Centro de Procesamiento Electrónico de
la Base de Datos.

4. Se recomienda establecer por escrito la periodicidad con la que se

deberán realizar las pruebas a las cintas de respaldo de información,
para verificar su funcionalidad.

5. Es oportuno contar con un control de la fecha de vencimiento de los

contratos de mantenimiento, las cuotas y los derechos y obligaciones
contraídos.

6. Se considera necesario que al realizar la actualización del Plan de

Continuidad del Negocio, se asegure distribuir las copias del Plan
actualizado al personal involucrado, así como dejar por escrito la
periodicidad de las pruebas a este Plan y documentar los resultados
para analizarlos.

Amílcar Marizuya L.
Auditoría Externa
JPME/jdg/ cc Gerente General

11
 OPINIÓN DE LA AUDITORÍA

Derivado de la auditoría efectuada a la Fábrica de Envases de Hojalata, S.A.,,

correspondiente al período del 01 de enero al 31 de diciembre de 2021, específicamente al
Departamento de Procesamiento Electrónico de la Base de Datos, en nuestra opinión, no se
encuentra alineado a mejores prácticas de Gobierno de Tecnologías de la Información, por los
efectos de los hechos descritos en los párrafos del “Resultado de la Auditoría”
correspondientes al ejercicio terminado en dicha fecha, de conformidad con las políticas de
gestión y procedimientos de Gobierno de Tecnologías de la Información y pautas de control de
gestión relacionadas a las TI, que se describen en COBIT 5, emitido por ISACA.

La auditoría incluye las normas y guías de auditoría y aseguramiento de Sistemas

Informáticos, SI, emitidas por la Asociación de Auditoría y Control de Sistemas de Información
por sus siglas en inglés –ISACA-, y normativas aplicables.

12