Informe de Auditoría de Sistemas Informáticos

Guatemala 17 de marzo de 2021

Gerencia General
Fábrica de Envases de Hojalata, Sociedad Anónima.
Presente

Hemos Auditado los sistemas informáticos del procesamiento de la Base de

Datos de la Fábrica de Envases de Hojalata, S.A., por período terminado el 08 de
marzo de 2021, de acuerdo a la carta de enviada, con el objeto de evaluar y
analizar el uso y funcionamiento de los sistemas informáticos la empresa, los
hechos presentes en el área, así como el uso, mantenimiento y programación
de los sistemas son responsabilidad de los trabajadores de la Fábrica de
Envases de Hojalata, S.A., respectivamente.

Hemos conducido la auditoría de acuerdo con las normas y guías de auditoría de

aseguramiento de SI emitidas por la Asociación de Auditoría y Control de
Sistemas de Información por sus siglas en inglés –ISACA- y los lineamientos de
las normas internacionales de auditoría (NIAS). Adoptando Normas generales
para la ejecución de nuestro trabajo. Estas normas requieren planear y efectuar el
proceso de auditoría para obtener seguridad razonable con el propósito de
informar si los hechos a revisar presentan riesgos significativos.

Esta evaluación incluye pruebas selectivas utilizadas para respaldar situaciones

de los hechos. Consideramos que la auditoría suministra una base razonable para
nuestra opinión.
 • Se realizó un examen general del hardware y su ambiente para conocer el
estado actual de los equipos.

• Se hizo una revisión general del ambiente software para conocer el estado
actual de los programas.

• Se evaluó el servicio de informática de acuerdo a cuestionarios de estudio

o seguimiento.
• La auditoría incluye el examen sobre una base selectiva de operaciones
del centro de Procesamiento Electrónico de la Base de Datos y el análisis
sobre los elementos del proceso administrativo.

Es responsabilidad de la Administración de la Fábrica de Envases de Hojalata, S.A.,

el seguimiento y ejecución de las recomendaciones.

Atentamente,

Amílcar Marizuya L.
Auditoría Externa
 SOLICITUD DE AUTORIZACIÓN PARA REALIZAR AUDITORIA DE SISTEMAS
COMPUTACIONALES

UNIVERSIDAD DE SAN CARLOS DE GUATEMALA

Guatemala, 01 de febrero de 2,021

Lic.
Juan Manuel Trejo
Gerente General
Fábrica de Envases de Hojalata, S.A.
Ciudad.

Respetable Lic.:

Reciba un atento y cordial saludo de un equipo de estudiantes del noveno semestre de la

Escuela de Contaduría Pública y Auditoria, de la Facultad de Ciencias Económicas de la
Universidad de San Carlos de Guatemala, del curso de Auditoria en Sistemas
Computacionales, deseándole toda clase de éxitos al frente de sus diarias actividades.

Una vez, hemos aprobado 4 cursos previos de auditoría, así como un curso de
procesamiento electrónico de datos, le informamos que como parte de nuestra preparación
profesional vinculado a los trabajos de extensión universitaria (labor social), deseamos
realizar en la prestigiosa empresa que usted dirige, nuestra práctica de Auditoría de Sistemas
de Información.

Dicha práctica consiste en la evaluación de los elementos que componen su sistema de

información mediante procedimientos de auditoria para proporcionales informaciones acerca
de su funcionalidad así como los potenciales riesgos a los cuales está expuesta su
información. Por tal motivo, la presente nota tiene la intención de formalizar nuestra solicitud
para que la misma se pueda llevar a cabo.

Es importante indicarle, que nuestra práctica consiste en verificación de controles que tengan
establecidos empresa basados en sus políticas y algunas mejores prácticas existentes para
esta área. Aclaramos que no se pretende la realización de una auditoría de carácter
financiero, por lo que no será necesario que nos proporcionen información de ese tipo.

Nos concentraremos en el conocimiento y análisis de sus procesos, operaciones, actividades,

tareas realizadas por el personal que interviene, la revisión de los equipos, software o
aplicaciones empleados, la seguridad de sus datos, así como lo relativo al entorno informático
en el departamento o área que tengan que ver con el manejo y resguardo de la información,
dejando constancia que no realizaremos ninguna actividad utilizando su sistema de
información computarizado.

Basados en las normas y principios que rigen nuestra profesión, es fundamental que
preparemos nuestro plan de auditoria, tomando en cuenta los componentes más significativos
de su sistema de información, que nos servirá de base para la ejecución de nuestra
evaluación, para lo cual será necesario la realización de una o dos visitas preliminares.

Conviene remarcar que una vez hayamos completado el proceso de planeación y acordemos
con ustedes el alcance del encargo, así como los principales aspectos a evaluar, iniciaremos
el proceso de evaluación. En su momento, le informaremos de la cantidad de visitas que
realizaremos, así como la cantidad de personas de nuestro equipo que participarán en la
revisión.

Los integrantes del equipo de trabajo, futuros profesionales de la carrera de Contaduría

Pública y Auditoria, somos reconocidos dentro de la comunidad guatemalteca por la
experiencia, preparación, honorabilidad y dedicación en lo que hacemos, pero sobre todo por
los principios éticos que son base fundamental de nuestra profesión. En dicho equipo
participaremos los siguientes estudiantes:

1. Amilcar Anibal Marizuya López

2. Julián Chitay Atz
3. Carlos Enrique Cahuex Muñoz
4. Carlos Francisco Aceituno Ixchop
5. Brenda Elizabeth Hernández Martínez
6. Marlon Noel Ramírez Gómez
7. Hamilton Spenser Torres Ramírez

Al finalizar la evaluación, entregaremos un informe que contenga los principales hallazgos

obtenidos y las implicaciones o riesgos que puede tener para la empresa que representa.
Estamos a su completa disposición de proveerle cualquier información adicional que estime
conveniente.

Si está de acuerdo en que realicemos nuestra práctica en su organización le agradeceremos

firmar y sellar al pie de la presente nota en señal de autorización para la realización de
nuestra práctica.

De antemano permítanos expresarle nuestro sincero agradecimiento por la oportunidad que

esperamos nos brinde y poder llevar a cabo el desarrollo de nuestra práctica.

Atentamente,

Amílcar Marizuya L.
Coordinador del Grupo
Número de teléfono de contacto: 34076801

Vo.Bo. CPA Lic. Sergio Sosa Rivas, MsC

Catedrático del Curso Auditoria V
Salón No.111 Edificio S-3
Correo Electrónico:
sergiososarivas@gmail.com
 ALCANCE DE LA AUDITORÍA

El alcance del trabajo de auditoría será la evaluación de la gestión de Sistemas

Informáticos basados en los resultados que serán referidos del 5 al 8 de marzo de
2021 e incluirán los siguientes procedimientos:
Entrevista con la persona del Sistema del Centro de Procesamiento Electrónico
de la Base de Datos.
Revisión para evaluar el cumplimiento de controles internos y políticas
establecidas.
Revisión de las instalaciones para verificar la adecuada salvaguarda de los
activos de Sistemas Informáticos.
 OBJETIVOS DE LA AUDITORÍA

OBJETIVOS
Tienen como finalidad evaluar la utilización y aprovechamiento del equipo,
instalaciones, mobiliario del centro de Cómputo y asegurar el uso de los recursos
técnicos y materiales para el Centro de Procesamiento Electrónico de la Base de
Datos y que cuente con un ambiente de resguardo de la información del software,
de los equipos y las personas que los administran.

OBJETIVOS PARTICULARES
Garantizar la confidencialidad e integridad atreves de los sistemas de seguridad y
control
Minimizar la existencia de riesgos como virus o hackers

OBJETIVOS ESPECÍFICOS
Recopilar la información asociada al sistema de información para generar un
diagnóstico del sistema acertado.
Analizar la información recolectada del sistema de información, haciendo uso de
normas y estándares internacionales
Evaluar la seguridad física del hardware y del personal del área de sistemas
Evaluar el aprovechamiento del hardware y software
Evaluar las funciones y actividades del personal del área de sistemas
 METODOLOGÍA DE AUDITORÍA

Planificación de auditoría

Para determinar los objetivos y alcance de la auditoría, realizamos la planificación

de la auditoría, que incluye la obtención de información de la Fábrica de Envases
de Hojalata, Sociedad Anónima, las operaciones relevantes y compatibles con la
tecnología de sistemas. Se identificaron requisitos operacionales, legales del
auditado así como de la infraestructura, revisión de la documentación pertinente y
realización de entrevistas, visitas a la Fábrica, a las áreas operacionales de TI y
una evaluación del riesgo de alto nivel.

Nuestra planificación de la auditoría incluye:

• Obtención y revisión de políticas, procedimientos y contratos con terceros.

• Identificar factores críticos de éxito para operaciones de TI de misión crítica.
• Identificar los criterios de auditoría, evaluación de materialidad y determinación
de la idoneidad de los controles establecidos.

Se desarrollan los objetivos de auditoría con relación a controles identificados,

objetivos operativos con una estrategia de auditoría en relación con la auditoría de
sistemas al alcance y objetivos.

Ejecución de la auditoría

Nuestra auditoría se llevó a cabo conforme a las normas y guías de auditoría y

aseguramiento de SI emitidas por la Asociación de Auditoría y Control de Sistemas
de Información por sus siglas en inglés –ISACA-, y normativas de auditoría. Los
criterios utilizados en la ejecución de la auditoría incluyen, las políticas,
procedimientos y pautas de control de gestión aplicables.
 Informe de Auditoria de Sistemas
Resultados de la Auditoría
CÉDULA A14 1/5
HECHO POR: JDG
REVISADO POR: JPME
FECHA INICIO: 06/-03-2021
FECHA FIN: 08-03-2021

Para: Jefe del Centro de Procesamiento Electrónico de la Base de Datos

De: Auditoría Externa
Asunto Auditoria de Sistemas del Centro de Procesamiento
Electrónico de la Base de Datos.
Fecha: 08 de Marzo de 2021

Como parte del programa de trabajo anual del departamento de

Auditoría, adjunto encontrará informe de la revisión efectuada a los
controles existentes para salvaguardar la seguridad del Centro de
Procesamiento Electrónico de la Base de Datos.

Resultados de la Auditoría

CONCLUSIONES

Derivado de la revisión de los procedimientos y normativa interna y

tomando en consideración la matriz de impacto de riesgos
detectados, se obtuvieron las siguientes conclusiones:
1. Riesgo leve

• Se observaron dos equipos obsoletos ubicados en el Centro de

Procesamiento Electrónico de Datos, que ocupan espacio físico.

• No se cuenta con un control de las reparaciones efectuadas a equipos,

así como de la fecha en que fueron devueltos al Centro de
Procesamiento Electrónico de Datos.
 CÉDULA A14 4/5
HECHO POR: JDG
REVISADO JPME
FECHA 06/03/2021
FECHA FIN: 08/03/2021

2. Riesgo medio

• Se establecieron accesos no autorizados de analistas programadores

del sistema al Centro de Procesamiento Electrónico de la Base de
Datos, por incumplimiento de normativa interna.

• Se observó una clave de acceso al Centro de Procesamiento

Electrónico de la Base de Datos habilitada perteneciente a un ex
empleado.

• Se determinó falta de custodia de clave Administrador de software de

control de acceso al Centro de Procesamiento Electrónico de la Base
de Datos.

• Se comprobó falta de pruebas para verificar la funcionalidad de las

cintas de respaldo de información.

3. Riesgo alto

• Se observó que el contrato de mantenimiento del aire acondicionado y

el de seguro de responsabilidad civil están vencidos, por ausencia de
un control en la fecha de vencimiento.

• Se determinó que las copias del Plan de Continuidad del Negocio

vigentes no fueron distribuidas al personal responsable de
implementarlo así como ausencia de pruebas para verificar la
funcionalidad del Plan.
 RECOMENDACIONES
CÉDULA A14 5/5
HECHO POR: JDG
REVISADO JPME
FECHA 06/03/2021
FECHA FIN: 08/03/2021

1. Es conveniente realizar inventarios periódicos a efecto de verificar la

existencia física de los equipos en el Centro de Procesamiento
Electrónico de la Base de Datos. Así mismo trasladar los equipos que
no figuran en libros Contables a donde corresponda.

2. Se sugiere implementar un control para dejar constancia la fecha de

ingreso de los equipos en caso de reparaciones, así como el
diagnóstico por el cual se originó el egreso del Centro de
Procesamiento Electrónico de la Base de Datos.

3. Se recomienda fortalecer los controles a efecto de cumplir lo

establecido en la normativa interna, referente a los ingresos de
personal externo, depuración de claves de acceso de ex
colaboradores y custodia de clave del Administrador del Software
para el control de acceso al Centro de Procesamiento Electrónico de
la Base de Datos.

4. Se recomienda establecer por escrito la periodicidad con la que se

deberán realizar las pruebas a las cintas de respaldo de información,
para verificar su funcionalidad.

5. Es oportuno contar con un control de la fecha de vencimiento de los

contratos de mantenimiento, las cuotas y los derechos y obligaciones
contraídos.

6. Se considera necesario que al realizar la actualización del Plan de

Continuidad del Negocio, se asegure distribuir las copias del Plan
actualizado al personal involucrado, así como dejar por escrito la
periodicidad de las pruebas a este Plan y documentar los resultados
para analizarlos.

Amílcar Marizuya L.
Auditoría Externa
JPME/jdg/ cc Gerente General
 OPINIÓN DE LA AUDITORÍA

Derivado de la auditoría efectuada a la Fábrica de Envases de Hojalata, S.A.,,

correspondiente al período del 01 de enero al 31 de diciembre de 2021, específicamente al
Departamento de Procesamiento Electrónico de la Base de Datos, en nuestra opinión, no se
encuentra alineado a mejores prácticas de Gobierno de Tecnologías de la Información, por los
efectos de los hechos descritos en los párrafos del “Resultado de la Auditoría”
correspondientes al ejercicio terminado en dicha fecha, de conformidad con las políticas de
gestión y procedimientos de Gobierno de Tecnologías de la Información y pautas de control de
gestión relacionadas a las TI, que se describen en COBIT 5, emitido por ISACA.

La auditoría incluye las normas y guías de auditoría y aseguramiento de Sistemas

Informáticos, SI, emitidas por la Asociación de Auditoría y Control de Sistemas de Información
por sus siglas en inglés –ISACA-, y normativas aplicables.