AUDITORÍA INFORMÁTICA

UNIVERSIDAD CATÓLICA SANTO TORIBIO DE MOGROVEJO

“AUDITORIA INFORMÁTICA APLICADA A LA CORPORACIÓN PACESA S.A.C. CHICLAYO”
AUTORES:  CALVAY SALINAS, Henry Manuel  UBILLUS SANANDRES, Ronald

ASESOR:
Ing. CALLACNÁ VERA, JuanCarlos Alberto.

Chiclayo, septiembre de 2009
2

AUDITORÍA INFORMÁTICA

INTRODUCCIÓN

3

AUDITORÍA INFORMÁTICA

RESUMEN

4

AUDITORÍA INFORMÁTICA

EPIGRAFE Donde haya un árbol que plantar, plántalo tú. Donde haya un error que enmendar, enmiéndalo tú. Donde haya un esfuerzo que todos esquivan, hazlo tú. Se tú el que aparta la piedra del camino. Gabriela Mistral. El hombre está hecho para el error. Este entra en su espíritu con toda naturalidad, pero para descubrir una verdad requiere un esfuerzo. Federico EL GRANDE.

5

Sociedad Auditora…………………………………………………………… Perfiles de los Integrantes………………………………………………… Estrategia Técnicas………………………………………………………… Métodos.2.1.1 2.9 Entidad o Empresa Tipo de organización: Miembros: Objetivos y metas anuales empresariales.3.8 2.3 2. 1.6 2.AUDITORÍA INFORMÁTICA INDICE CAPITULO I: SOCIEDAD AUDITORA 1.5 2. 1.Mapas conceptuales.12 Organigrama funcional: 2.4. 2.5. 1.10 Ventajas competitivas y comparativas con la competencia: 2.2 2. 6 . Misión: Visión DAFO: Vida Institucional (opcional): Competencia: 2. equipos y herramientas informáticas…………………… Presupuesto Detallado……………………………………………………… y CAPITULO II: EMPRESA AUDITADA.4 2. 1.14 Proceso de Negocio.11 Presupuesto anual promedio: 2.13 Organigrama estructural 2.7 2.

áreas funcionales (producción soporte. 3. Diagrama Gantt (En meses. 4.15 3.7. 4. Área estructural o funcional o equivalente.2. Procedimiento de levantamiento de información. Áreas críticas a evaluar. croquis.1 3.5 Monto u honorario (sustentación) .5. 3. semanas. 4. 3. externa. 4. perfiles y trabajador. experiencia de cada 7 .9 Relación de cargos de la Empresa. Ubicación dentro de la Empresa. responsables funcional u operativo de TI y áreas funcionales. Uso o no de metodología. 3. CAPITULO IV: CENTRO DE SISTEMAS. Resumen de hardware. 4.4 Año(s) a auditar.12 3. descripción de las mismas. Aplicación de norma. funciones o responsabilidades. tipo de área.4. 3. volumen de información.8 Periodo de tiempo a considerar. resumen de software. 3. 4. capacitaciones.6 Tipo de auditoria (interna.2 Contrato de auditoria Términos de referencia.1. 3. 3.14 3.7 Auditorias especificas que aplicará (adecuadas a la Empresa auditada). mixta). días utilizados).10 3. 3.3 Delimitaciones de Estudio. Técnicas utilizadas. 4.3. análisis.6.11 3.16 Documentos a solicitar.AUDITORÍA INFORMÁTICA CAPITULO III: CONTRATO DE AUDITORIA. desarrollo y otras).13 3.

1. 5. procesos y otro elemento 5.10. cuadros específicos(detallados) por área o proceso administrativo. Presupuesto promedio.5.9. Cuadros estadísticos de trabajadores. proyectos y productos informáticos por tipologia.6. información y tecnología.2. Tipo de Tecnología. personal. 8 . 4. 5. Diagnostico de Nolan. horizonte de crecimiento. Topología de Red y distribución. 5. 6.3. Valoración de activos: Equipo. Documentos de gestión que posee informática según NAGU. Metodología usada. anual en TI Parque Informático en estadísticas porcentuales (Hardware y Software). nombre y detalle de Hallazgos (aspectos positivos o negativos identificados). Origen. Interpretación de resultados obtenidos. CAPITULO V: DIAGNÓSTICO DE LA AUDITORIA. Problemas e inconvenientes identificados globales y por área afectada. Arquitectura de información. 4. 4. módulos. referente a la auditoria.4. nombre y detalle de Conclusiones (Base normativa). Nombre de la auditoria.12.11. 6.8. 6.3.1. Sistemas de Información.2. CAPITULO VI: AUDITORIAS ESPECÍFICAS APLICADAS 6. 4. Alcance de las áreas afectadas. Justificación.AUDITORÍA INFORMÁTICA 4. Número. 6. 6. Servidores y terminales.4. Número.

Acciones legales y administrativas a seguir. Acciones Correctivas.13. CAPITULO FINAL: INFORME DE AUDITORIA PARA LA ALTA DIRECCIÓN. cuestionarios. Acciones Preventivas. Sustentación técnica. Cambios estratégicos en procesos. encuestas. Relación Hallazgos. evidencias por área. proceso o sistema. Acciones no contempladas realizadas en la auditoria. 6. pruebas sustantivas u otros. Conclusiones generales de los auditores. 9 . Modelo de entrevistas. Documentación: relación con evidencia. Fotografías u otros. Aspectos técnicos.11. ANEXOS Bibliografía. áreas. nombre y detalle de recomendaciones intrínseca de (responsable entre la y periodo de tiempo y y/o definido). Videos. 6. personal u otro que se sugiera. Tipo de Evaluación. 6. Normas Transgredidas. Número.AUDITORÍA INFORMÁTICA 6.7. Audio. Cronograma de control.12.9. Citar los términos de referencia. Referencias de anteriores modelo de auditoria especifica. Interpretación de los resultados obtenidos. Conclusiones Pruebas Recomendaciones 6. sociedad auditora.. Aspectos conceptuales empleados. 6.8. 6. check list u otros utilizados. Documentación: relación con pruebas de control.10.

Henry Manuel: responsable. proporcionando servicios profesionales en el tiempo y momento determinado.A.2. Conocimientos en Software: de gestión de proyectos. entornos de desarrollo de programación. que ayudará a sus clientes a satisfacer los complejos retos que enfrentan. estudiante del X ciclo de la carrera profesional de Ingeniería de Sistemas de la Universidad Católica Santo Toribio de Mogrovejo.2. con capacidad para resolver Persona problemas a corto plazo.1. UBILLUS SANADRES. Con un enfoque global. Perfiles de los Integrantes: 1. es una empresa que brindar servicios de auditoría.1. CALVAY SALINAS. Sociedad Auditora: La Sociedad Auditora de nombre “CALUBI AUDITORES S. sistemas 10 . constituida como Sociedad Anónima Cerrada de acuerdo a lo estipula por la ley general de sociedad Ley Nº 26887. Ronald identificado con DNI Nº 44155551. consultoría y asesoría. “Seguridad y confianza en la gestión de TI/SI para la toma de decisiones y el cumplimento de sus objetivos empresariales” 1. conformado por el Sr.C”. CALVAY SALINAS. responder con éxito ante oportunidades cambiantes. Henry Manuel identificado con DNI Nº 41226240 y el Sr. buen desenvolvimiento en el ambiente laboral.AUDITORÍA INFORMÁTICA CAPITULO I: SOCIEDAD AUDITORA 1.

Con D.N. Ronald: Persona con adaptabilidad al cambio. análisis. con facilidad para aprender nuevos conocimiento y esquemas. entornos de desarrollo de programación. E lote 16 de la Urb. UBILLUS SANANDRES.2. Su fecha de nacimiento es el 26 de Marzo de 1987. domiciliado en la Mz. ofimática.I 4415551. sistemas operativos (Windows). en 11 . La Pradera de la ciudad de Chiclayo departamento de Lambayeque. Laborando actualmente de en la y firma SONY como de representante ventas mantenimiento hardware/software de la línea de computadoras. Actualmente con 22 años de edad. flexible. 1. Conocimientos en Software: de gestión de proyectos. además cuenta con la participación en Networking Academy CISCO en la certificación en “Redes WIRELESS LAN Cisco” desarrollada en la Universidad Nacional Pedro Ruiz Gallo Experiencia laboral (no profesional) prácticas en el CIS de la Municipalidad Distrital de Pátapo. Internet. simuladores. Actualmente es estudiante del X ciclo de la carrera profesional de Ingeniería de Sistemas de la Universidad Católica Santo Toribio de Mogrovejo.AUDITORÍA INFORMÁTICA operativos (Windows). soluciones de Inteligencia de negocios. diseño de sistemas informáticos.2. manejadores de base de datos.

conectividad. y redes LAN. 12 . Experiencia laboral (no profesional) laborando de asistente en el área de créditos de la caja municipal de ahorro y créditos de Trujillo.AUDITORÍA INFORMÁTICA Hardware: cableado.

 Analizar y procesar la información y evidencias recogidas en la Corporación PACESA S.  Utilizar las diferentes técnicas de recolección de datos (entrevista. presenta las respectivas declaraciones juradas de los integrantes de dicha sociedad. del presente informe. Estrategia y Técnicas: La sociedad auditora determinó las diferentes estrategias a seguir para la elaboración de la auditoría informática:  Programar una visita con el jefe del Departamento de Sistemas..  Realizar un cronograma de actividades para el proceso de evaluación dentro de la empresa. declarando su relación con respecto a los trabajadores de la empresa auditada. 13 . encuestas) con los encargados de las áreas críticas seleccionas para identificar los problemas y recoger evidencias (fotos. a fin de formular conclusiones y proponer recomendaciones para el desarrollo de las actividades dentro de la Corporación PACESA S.A.C. a fin de determinar áreas críticas para el desarrollo de la auditoría.C. el Sr. videos) para determinar que posibles auditorias se van a aplicar. cuestionarios.  Evaluación del ambiente laboral.3. Luis Braco Castillo y darnos a conocer como sociedad auditora. A. Las respectivas declaraciones pueden ser vistas en las siguientes páginas 1.AUDITORÍA INFORMÁTICA La sociedad auditora CALUBI Auditores S.C.A.  Elaborar los informes respectivos por cada auditoría efectuada.

AUDITORÍA INFORMÁTICA 14 .

00 60.00 30.50 1.50 15. Equipos y herramientas: EQUIPOS  01 computadora portátil.00 80.05 0. FE-350 Wide.90 MATERIALES SERVICIOS 15 .00 375.  01 computadora de escritorio.00 0.00 60. USB con OLYMPUS. capacidad de 1 GB HERRAMIENTAS  Software de ofimática (Microsoft Office 2007)  Software de diseño (Microsoft Visio 2007)  Software de red (Packet Tracer 5.0) 1.00 5.00 0.70 0.AUDITORÍA INFORMÁTICA 1.00 867.4.03 1.00 5.  Cámara  02 memorias fotográfica.40 4.00 TOTAL PRECIO TOTAL 8.00 120.  01 impresora HP DESKJET.00 1. Presupuesto Detallado: Para la realización de esta auditoria la Sociedad Auditora consideró el siguiente presupuesto: Tabla Nº 02: Presupuesto de Materiales para la Auditoria PRECIO RUBRO DESCRIPCIÓN Útiles de escritorio Copias Papel Bond A4 (hojas) Ordenador de Escritorio (horas) Ordenador EQUIPOS HERRAMIENTAS Portátil (horas) Cámara digital Paquete ofimático Movilidad Internet (horas) otros CANTIDAD 12 90 500 250 200 1 0 2 80 2 UNITARIO 0.5.00 200.

no cuento con ninguna relación consanguínea o parentesco con ningún trabajador de la empresa auditada. no cuento relación política con dichos trabajadores.Henry Manuel DNI Nº 41226240 16 . Así mismo. de la Sociedad Auditora CALUBI AUDITORES S..AUDITORÍA INFORMÁTICA DECLARACIÓN JURADA Yo. y realizando una AUDITORIA INFORMÁTICA a la CORPORACIÓN PACESA S. Me afirmo y me ratifico en lo expresado. HENRY MANUEL de Nacionalidad PERUANA con documento de identidad N° 41226240. declaro bajo -----------------------------------Calvay Salinas.C. ubicado en el Distrito de CHICLAYO de la Provincia de CHICLAYO del Departamento juramento que: Conozco el árbol genealógico de mi familia. y por consiguiente.. despeñándome como AUDITOR. CALVAY SALINAS .A.A. en señal de lo cual firmo el presente documento en la ciudad de CHICLAYO a los 08 días del MES DE septiembre de 2009 de LAMBAYEQUE.C.

Me afirmo y me ratifico en lo expresado. no cuento con ninguna relación consanguínea o parentesco con ningún trabajador de la empresa auditada. en señal de lo cual firmo el presente documento en la ciudad de CHICLAYO a los 08 días del MES DE SEPTIEMBRE de 2009 de LAMBAYEQUE. y realizando una AUDITORIA INFORMÁTICA a la CORPORACIÓN PACESA S.C. RONALD de Nacionalidad PERUANA con documento de identidad N° 44155551. no cuento relación política con dichos trabajadores. despeñándome como AUDITOR. Así mismo. UBILLUS SANANDRES. y por consiguiente.C.A.AUDITORÍA INFORMÁTICA DECLARACIÓN JURADA Yo. declaro bajo -----------------------------------Ubillus Sanandres.A.. ubicado en el Distrito de CHICLAYO de la Provincia de CHICLAYO del Departamento juramento que: Conozco el árbol genealógico de mi familia. Ronald DNI Nº 44155551 17 . de la Sociedad Auditora CALUBI AUDITORES S..

Se encuentra ubicada en la Calle Abtao 118 Urb. 2. Agroquímicos del Sur ABC SAC. venta de insumos químicos y fertilizantes y al financiamiento de campañas agrícolas.. A continuación se muestra la ubicación exacta de la Corporación Figura Nº 01: Ubicación – Corporación PACESA S. Segundo Montenegro Villegas. Corporación Peruana de Negocios SAC. Está conformado por las empresas Agroindustria San Pedro Nolasco S.A.1 Entidad o Empresa La Corporación Empresarial PACESA. con sus accionistas Ernesto Flores Vílchez. es una sociedad dedicada a la actividad agrícola especialmente a la producción y acopio de caña de azúcar.A. Andrés Samamé Chuque.AUDITORÍA INFORMÁTICA CAPITULO II: EMPRESA AUDITADA.C 18 . Inversiones del Agro Peruano SAC. Santa Victoria de la Provincia de Chiclayo.

empleados. accionistas. social y ambientalmente. rentable y sostenible. funcionarios y Directores de la empresa. generando trabajo bienestar humano gracias al buen prestigio ganado en el sector agroindustrial en base al trabajo en equipo entre obreros. obtuvo la siguiente información del MOF con que cuenta la Corporación: CARGO DIRECTORES GERENTE GENERAL Asistente de gerencia Jefe del departamento sistemas Jefe del ventas Gerente departamento de operaciones de de y servicios Gerente de créditos 2. 2.4 Visión: “Somos una empresa competitiva. ambientalmente para beneficio de nuestros clientes y nuestra comunidad. Queremos lograr ser social y competitivos.3 y Misión: Nos dedicamos al acopio de caña de azúcar.AUDITORÍA INFORMÁTICA Fuente: Google Heart 2. trabajadores.2 Miembros: La sociedad auditora. que ofrece productos y servicios agroindustriales de calidad satisfaciendo las demandas en el sector azucarero y de producción agroquímicos” 19 . económica. rentables y sostenibles económica.

AUDITORÍA INFORMÁTICA 2.5 DAFO: DEBILIDAD 1 Sistema de control 2 Sistema de toma de 1 2 AMENAZAS Dependencia de los costos del petróleo Acuerdos de comercio decisiones 3 Portafolio de productos 4 Motivación 5 Incentivos al personal internacionales 3 Crisis económica mundial La competencia mundial 4 desigual 5 Inestabilidad del sector 6 Crisis de valores 7 Nuevos competidores 8 Dificultad del transporte 9 fenómenos naturales 1 0 1 Calidad de vías de acceso Condiciones climáticas y 1 ambientales OPORTUNIDADES 1 2 3 4 Preferencias de los Clientes Telecomunicaciones Comercio electrónico Acceso a la tecnología FORTALEZAS 1 Imagen corporativa 2 Uso de planes estratégicos. 3 Control gerencial 4 Orientación empresarial Habilidad para manejar fluctuaciones 5 económicas 6 7 8 9 Lealtad y participación del cliente Participación en el mercado Personal competitivo Acceso al capital cuando lo requiere Globalización de la 5 información Nuevas Tecnologías Industriales 6 1 Rentabilidad. retorno de la inversión 20 .

7 2.6 Competencia:  Cooperativa azucarera Tumán  Cooperativa azucarera Pomalca  Cooperativa azucarera Cayalti  Cooperativa azucarera Ferreñafe 2.AUDITORÍA INFORMÁTICA 0 1 1 1 2 1 3 1 4 Liquidez disponibilidad de fondos internos Inversión de capital para satisfacer la demanda Tecnología usada para los servicios Profesionalismo del personal 2.8 Ventajas competitivas y comparativas con la competencia: Presupuesto anual promedio: 21 .

Figura Nº 02: Modelo de negocio-Proceso de ventas de la Corporación PACESA S.C Fuente: Informe Gerencial 2008 .PACESA 22 .A.9 Organigrama estructural Para obtener el organigrama estructural se hizo revisión del MOF. A continuación se presenta las aéreas existentes en la Corporación PACESA SAC y el nivel en el que se encuentran.AUDITORÍA INFORMÁTICA 2.

PACESA 23 . Figura Nº 03: Modelo de negocio-Proceso de ventas de la Corporación PACESA S.A.10 Proceso de Negocio: La sociedad auditora tomó como referencia el siguiente gráfico para modelar el proceso de negocios que realiza la Corporación PACESA.AUDITORÍA INFORMÁTICA 2.C SAN PEDRO NOLASCO AZÚCAR INVERSIONES DEL AGRO PERUANO INGENIOS DEPARTAMENTO DE CRÉDITOS AGROQUÍMICOS DEL SUR ABC PRODUCTO FINAL Bolsa de azúcar Mercado Fuente: Informe Gerencial 2008 .

AUDITORÍA INFORMÁTICA 24 .

ERNESTO. en su carácter de GERENTE GENERAL y que en lo sucesivo se denominará EL CLIENTE. ERNESTO. El AUDITOR declara que: a) Que es una SOCIEDAD ANÓNIMA CERRADA. estableció el siguiente contrato: Contrato de prestación de servicios profesionales de auditoría en informática que PACESA encomiendan S.AUDITORÍA INFORMÁTICA CAPITULO III: PLANIFICACIÓN DE LA AUDITORIA. 3. c) Que requiere tener servicios de auditoría en informática. El CLIENTE declara que: a) Que es una entidad particular dedicada al acopio de caña de azúcar. Chiclayo. FLORES VILCHEZ. identificado con DNI 16768064. II. representado por Sr. Santa Victoria. b) Que está representado para este acto por el Sr.. constituida y existente de acuerdo con las leyes y que dentro de sus objetivos primordiales está el de prestar auditoría en 25 .A. CALVAY SALINAS. por lo que ha decidido controlar los servicios del AUDITOR.A. con domicilio legal en Calle Abato Nº 118 Urb.C.. por otra parte.A. de conformidad con las declaraciones y cláusulas siguientes: DECLARACIONES I.C.1 Contrato de auditoria La sociedad auditora CALUBI Auditores S.C. por una parte LA CORPORACIÓN representado por FLORES VILCHEZ. la sociedad CALUBI Auditores S. HENRY MANUEL a quien se denominará el auditor.

OBJETO El auditor se obliga a prestar al cliente los servicios de auditoría en informática para llevarla a cabo la evaluación de la dirección de informática del cliente. servidores y estaciones de trabajo. ALCANCE DEL TRABAJO El alcance de los trabajos que llevará a cabo el auditor dentro de este contrato son: a) La Evaluación Física:  Verificación de la ubicación y seguridad de las instalaciones. que se detallan en la propuesta de servicios anexa que. SEGUNDA. III. firmada por las partes.C. LEÓN BARANDIARAN Nº 128.A. identificado con DNI 41226240.  Verificación de la seguridad del personal. 201 – URB. forma parte integrante del contrato.  Verificación de la seguridad de los equipos de comunicación. c) Que señala como su domicilio Ca. lo formalizan otorgando el presente contrato que se contiene en las siguientes: CLAÚSULAS: PRIMERA. 26 . HENRY MANUEL. Declaran ambas partes: a) Que habiendo llegado a un acuerdo sobre lo antes mencionado. b) Que está representado por el SR. Dep.AUDITORÍA INFORMÁTICA informática a la CORPORACIÓN PACESA S. CALVAY SALINAS. LOS ABOGADOS.

27 . c) Explotación  Verificación de los Controles Operativos y de Organización.  Verificación de los controles sobre los Programas y los Equipos.AUDITORÍA INFORMÁTICA  Verificación de los procedimientos para el respaldo de la información. b) La Evaluación Ofimática.  Verificación si los usuarios cuentan con suficiente formación y la documentación de apoyo necesaria para desarrollar sus tareas de un modo eficaz y eficiente.  Verificación de los Controles de Acceso. d) Seguridad  Verificación de Seguridad Física.  Verificación si el inventario ofimático refleja con exactitud los equipos y aplicaciones existentes en la organización.  Verificación de Seguridad Lógica.  Verificación y evaluación del procedimiento de adquisiciones de equipos y aplicaciones.  Evaluar la corrección del procedimiento existente para la realización de los cambios de versiones y aplicaciones.  Verificar si el sistema existente se ajusta a las necesidades reales de la organización.  Verificación de los controles sobre el desarrollo de programas y su documentación.  Verificación de los controles sobre los procedimientos y los datos Términos de referencia.  Verificación de la Seguridad y el Desarrollo de las Aplicaciones.  Evaluación de la calidad de las aplicaciones del entorno ofimático desarrollada por personal de la propia organización.

e) Elaboración de Informes  Elaboración de informes que contengan conclusiones y recomendaciones por cada uno de los trabajos señalados en los incisos a.AUDITORÍA INFORMÁTICA  Verificación de Continuidad de las Operaciones. c y d. b. 28 .

los responsables de llevarlas a cabo y las fechas de realización.AUDITORÍA INFORMÁTICA TERCERA. de acuerdo al programa de trabajo convenido por ambas partes y gozarán de libertad fuera del tiempo destinado al cumplimiento de las actividades. HORARIO DE TRABAJO Los auditores declaran el tiempo necesario para cumplir satisfactoriamente con los trabajos materia de la celebración de este contrato. QUINTA. SUPERVISIÓN El cliente o quien designe tendrá derecho a supervisar los trabajos que se le han encomendado al auditor dentro de este contrato y a dar por escrito las instrucciones que estimen convenientes. CUARTA. SEXTA. por lo que no estarán sujetos a horarios y jornadas determinadas. COORDINACIÓN DE LOS TRABAJOS El cliente designará por parte de la organización a un coordinador del proyecto quien será el responsable de coordinar la recopilación de la información que solicite el auditor y de que las reuniones y entrevistas establecidas en el programa de trabajo se lleven a cabo en las fechas establecidas. PROGRAMA DE TRABAJO El cliente y los auditores convienen en desarrollar en forma conjunta un programa de trabajo en el que se determinen con precisión las actividades a realizar por cada una de las partes. RELACIÓN LABORAL El personal del auditor no tendrá ninguna relación laboral con el cliente y queda expresamente estipulado que este contrato se suscribe en atención a que el auditor en ningún momento se 29 . SEPTIMA.

por lo que cualquier retraso ocasionado por parte del personal del cliente o de usuarios de los sistemas repercutirá en el plazo estipulado. el cual deberá incrementarse de acuerdo a las nuevas fechas establecidas en el programa de trabajo. PLAZO DE TRABAJO Los auditores se obligan a terminar los trabajos señalados en la cláusula segunda de este contrato en 40 días hábiles después de la fecha en que se firme el contrato y sea cobrado el anticipo correspondiente. honorarios por la cantidad de S/.AUDITORÍA INFORMÁTICA considere intermediario del cliente respecto al personal que ocupe para dar cumplimiento de las obligaciones que se deriven de las relaciones. b) 30 % a los 20 días hábiles después de iniciados los trabajos. c) El resto a la terminación de los trabajos y presentación del informe final. ALCANCE DE LOS HONORARIOS El importe señalado en la cláusula noven compensará al auditor por sueldos. HONORARIOS El cliente pagará al auditor por los trabajos objeto del presente contrato. El tiempo estimado para la terminación de los trabajos está en relación a la oportunidad en que el cliente entregue los documentos requeridos por los auditores y por el cumplimiento de las fechas estipuladas en el programa de trabajo aprobado por las partes. horarios. La forma de pago será la siguiente: a) 20 % a la firma del contrato. DÈCIMA. NOVENA. OCTAVA. sin perjuicio alguno para el auditor.9000.00 nuevos soles más el impuesto al valor agregado correspondiente. organización y dirección técnica propia de 30 .

este contrato se incrementará en forma proporcional al retraso y se señalará el incremento de común acuerdo. DECIMOCUARTA. en caso de controversia para su interpretación y cumplimiento. así como de prestaciones sociales y laborales de su personal. DECIMOTERCERA. VIÁTICOS. DECIMOPRIMERA. lo rubrican y firman de conformidad en original y tres 31 . PASAJES Y OTROS. siendo este del 5% cada cinco días de trabajo. así como en el hospedaje y la alimentación que se requieran durante la auditoría respectiva. o cualquier otra causa imputable al cliente. TRABAJOS ADICIONALES De ser necesaria alguna adición a los alcances o productos del presente contrato. Enteradas las partes del contenido y alcance legal de este contrato. El importe de los viáticos y pasajes en que incurra al personal de la sociedad auditora en el traslado. las partes se someten a la jurisdicción de los tribunales federales. renunciando al fuero que les pueda corresponder en razón de su domicilio presente o futuro. demora o cancelación de las reuniones. las partes celebrarán por separado un convenio que formara parte integrante de este instrumento y en forma conjunta se acordara el nuevo costo. INCREMENTO DE HONORARIOS En caso de que tenga un retraso debido a la falta de entrega de información. como consecuencia de los trabajos objeto de este contrato. contenidas en el Código Civil de Perú. será por cuenta del cliente.AUDITORÍA INFORMÁTICA los servicios de auditoría. JURISDICCIÓN Todo lo no previsto en este contrato se regirá por las disposiciones relativas. DECIMOSEGUNDA.

AUDITORÍA INFORMÁTICA copias. 16768064 -----------------------------------Sr. Ernesto Gerente General DNI. Flores Vilchez. Calvay Salinas. -----------------------------------Sr. en la ciudad de Chiclayo. el día de 25 de septiembre de Abril de 2009.Henry Manuel Representante Legal DNI Nº 41226240 32 .

es un documento normativo que describe las funciones específicas a nivel de cargo o puesto de trabajo desarrollándolas a partir de la estructura orgánica y funciones generales establecidas en el Reglamento de Organización y Funciones. También se puede definir como un evento particular potencialmente desastroso que afectaría a un escenario geográfico definido  Señal de seguridad: señal que por la combinación de una forma geométrica y de un color.  Observación: identificados Hechos el o circunstancias que significativos motivar durante examen pueden oportunidades de mejoras.  Sistemas: Cualquier conjunto cohesionado de elementos que están dinámicamente relacionados para lograr un propósito determinado.AUDITORÍA INFORMÁTICA 3.  Software: El software está formado por todos los programas necesarios para el equipo físico (Hardware) que funcione y realice la tarea que nos hayamos propuesto. proporciona una indicación general relativa a la seguridad y que. Si bien el resultado obtenido adquiere la denominación de hallazgo. sí se añade un símbolo gráfico o un texto. proporciona una indicación particular relativa a la seguridad. así como en base a los requerimientos de cargos considerados en el Cuadro de Asignación de Personal. 33 . para fines de presentación en el informe se convierte en observación. La base del software es la programación.  Contingencia: Es un hecho o evento que puede suceder o no.2 Términos de referencia:  Manual de Organizaciones y Funciones (MOF): El Manual de Organización y Funciones.

Las actividades básicas de un sistema ofimático comprenden el almacenamiento de datos en bruto.  Base de datos: Es una colección de ficheros interrelacionados.C que incluyen los ingenios que se ubican en el distrito de Pucalá. coleccionar.  Ofimática: Se llama ofimática al equipamiento hardware y software usado para idear y crear. la transferencia electrónica de los mismos y la gestión de información electrónica relativa al negocio. almacenar. desarrolló la auditoria a nivel de las oficinas principales ubicadas en al Ciudad de Chiclayo. que permite ejecutar programas (aplicaciones) de una forma más intuitiva y cómoda para el usuario. pero por cuestiones académicas la sociedad auditora CALUBI AUDITORES S.4 Año(s) a auditar: 34 . manipular y transmitir digitalmente la información necesaria en una oficina para realizar tareas y lograr objetivos básicos.  Windows XP: Sistema operativo que una la estabilidad de las versiones profesionales de Windows (Windows NT y Windows 2000) con las ventajas del sistema doméstico (Windows 95 – 98 – ME) a la hora de instalar hardware y de ejecutar software.C. Se puede definir más formalmente como un conjunto de datos operativos a los que acceden los programas de aplicación o los usuarios. 3. 3.AUDITORÍA INFORMÁTICA  Windows: Sistema operativo utilizado en ordenadores personales con un entorno de trabajo gráfico basado en ventanas.3 Delimitaciones de Estudio: El desarrollo de la auditoria debió desarrollarse a nivel de todas las empresas que conforman la Corporación PACESA S.A.A.

11 Procedimiento de levantamiento de información metodología a utilizar 35 .9 Periodo de tiempo a considerar Relación de cargos de la Empresa 3.A.C” determinó que de las acuerdo a lo analizado en la Corporación se aplicaran siguientes auditorias informáticas:  Auditoria Física:  Auditoria Ofimática:  Auditoria Seguridad:  Auditoria de desarrollo:  Auditoria de dirección: 3.A.” 3. mixta) La sociedad auditora CALUBI auditores S.5 Monto u honorario (sustentación) 3.7 Auditorias especificas que aplicará (adecuadas a la Empresa Auditada) La sociedad auditora “CALUBI S. realizó un tipo de auditoria externa sobre la entidad auditada “CORPORACIÓN PACESA S.10 Documentos a solicitar Norma nagu Plan de sistemas Plan de contigencia En que año 3.AUDITORÍA INFORMÁTICA 3.C. externa.8 3.6 Tipo de auditoria (interna.A.

por un número de autores iguales en rango al sólo autor.12 Herramientas y técnicas utilizadas Cuaderno de campo HERRAMIENTAS Grabadora de audio Cámara fotográfica Cámara de video El grupo auditor. NORMAS. CONTRATOS. debe ser muy observador durante el TÉCNICA OBSERVACIÓN desarrollo el de la auditoria. se 36 Normalmente . LA rigurosidad al científica. trabajo anotación o edición. realizado. La revisión o arbitraje es un método usado para validar trabajos escritos y solicitudes de financiación con el fin de REVISIÓN ANALÍTICA medir su calidad.AUDITORÍA INFORMÁTICA 3. ETC. a etc. y la Este método deja abierto el frecuentemente POLÍTICAS. escrutinio. Deben estar concentrados en trabajo considerar el más mínimo detalle y no obviar ninguna irregularidad. factibilidad. DE DOCUMENTACIÓN.

Algunas de las preguntas de las Checklists utilizadas para cada sector. Se aplica esta técnica modo que clara el y auditado responda Se escuetamente. pregunta. se hará necesario exponga con mayor amplitud tema cualquier caso. aparten de la algunas a y que en la sustancialmente ocasiones.AUDITORÍA INFORMÁTICA considera válida una publicación científica cuando ha pasado por un proceso de revisión por pares como el de admisión para publicación en una revista arbitrada. se deberá evitar presión absolutamente sobre el mismo. Se realizarán entrevistas al encargado ENTREVISTA Informática. deberá interrumpir lo menos posible a éste. que mejor del y a Área tener de de una la personas permitan evaluación empresa. invitar un a se En aquél concreto. y solamente en los casos en que las respuestas CHECKLIST. deben ser 37 .

AUDITORÍA INFORMÁTICA repetidas. Piattini. percibir El auditor. De este modo. formulará bajo apariencia distinta. el auditor preguntas equivalentes a las mismas o a distintas personas. En efecto. excesivo su parte. elige la metodología académica planteada por Mario G. o en fechas diferentes. notas nunca su formalismo en las preguntas. el cual se indica que es una de las metodologías más comunes. 38 .13 Uso o no de metodología La sociedad auditora. en las mismas fechas. escribirá cruces ni marcará cuestionarios presencia. tomará del imprescindibles en presencia auditado. se podrán descubrir con mayor facilidad los el puntos auditor y contradictorios. 3. de las deberá analizar los matices respuestas reelaborar complementarias hayan contradicciones. El entrevistado un por las y en no preguntas cuando existido hasta debe conseguir la homogeneidad.

días utilizados). semanas. 3. cuestionarios adaptados a cada entorno específico. y de fichas de observación. que la metodología irá acompañada de técnicas de entrevistas. se aplicarán teniendo en cuenta las particularidades de cada entorno. por ser de vital importancia y las que manejan información crítica para la empresa:  Recursos humanos  Área de sistemas  Contabilidad  Comercialización y ventas  Logística  Gerencia 3. es necesaria dicha repetición. se enfocó a las siguientes áreas. 39 .16 Diagrama Gantt (En meses. También indicamos.14 3. que se pretende poder analizar cada área independientemente. Esto es a que dichos controles tienen incidencia independiente en cada una y. Así mismo los controles gerenciales y algunos controles de características especiales. basándose en el organigrama que presenta a Corporación auditada. como pueden ser los de redes.15 Aplicación de norma Áreas críticas a evaluar La sociedad auditora. deberá tenerse en cuenta que determinados controles se repetirían en las diversas áreas.AUDITORÍA INFORMÁTICA El criterio a la elección de esta metodología es básicamente la que realiza un análisis de riesgos mediante técnicas de Checklist.

AUDITORÍA INFORMÁTICA 40 .

1. Croquis del departamento de sistemas: informática. de la Corporación.AUDITORÍA INFORMÁTICA CAPITULO IV: CENTRO DE SISTEMAS. se manifiesta que actualmente cuenta con un área física donde cumplen con sus respectivas funciones.A. en su totalidad. las funciones mínimas del departamento de sistemas. aparece 41 . puesto que solo existe una sola persona que realiza dichas funciones a la vez. Ubicación dentro de la Empresa El departamento de dentro de la Gerencia de Administración y finanzas. (de ahora en adelante Sociedad Auditora).. La Sociedad Auditora pone de manifiesto que el departamento de informática brinda apoyo a las distintas áreas dentro de la Corporación. Así mismo. 4. 4. 4.C.3. pero no están muy marcados los órganos y sus funciones pues solo existe un solo jefe en dicha área el cual realiza. Área estructural o funcional o equivalente: La sociedad CALUBI Auditores S. pero de manera física no se cumple.2. pone de manifiesto que en la CORPORACIÓN PACESA S. se desarrolla la función de informática. A. además de ello la sociedad auditora pone bien en claro que dentro del organigrama el departamento de sistemas se subdivide en proyectos y desarrollo.

42 .AUDITORÍA INFORMÁTICA 4.4.  Automatizar los procesos principales que realiza la corporación. Áreas funcionales (producción soporte. el departamento de funciones:  Brindar soporte con soluciones informáticas a las informática cumple con las siguientes diferentes áreas de la Corporación.  Informar del estado de los computadores del parque informático. desarrollo y otras). redes de la institución y el servicio de soporte y mantenimiento.  Dar soporte y recomendar equipos y tecnologías adecuadas. y proponer su mantenimiento. descripción de las mismas.  Soporte y mantenimiento técnico del hardware de la Corporación  Evaluar el rendimiento de los computadores. responsables funcional u operativo de TI y áreas funcionales La Sociedad Auditora determina que en la Corporación.

43 . Resumen de hardware. Funciones o responsabilidades. Luis PERFILES Técnico en computación e informática egresado del Instituto Superior Tecnológico ABACO. Volumen de información. Perfiles y experiencia de cada trabajador. capacitaciones.6. análisis.5. actualmente cursando estudios de especialización para ingeniería de sistemas en la Universidad Católica Santo Toribio de Mogrovejo. EXPERIENCIA CAPACITACIONES FUNCIONES RESPONSABILIDAD Y 4. tipo de área. NOMBRE DEL TRABAJADOR: Braco Castillo.AUDITORÍA INFORMÁTICA 4.

información y tecnología. Documentos de gestión que posee informática según NAGU.9. Servidores y terminales. Topología de Red y distribución. 4. 44 . 4.10. 4. proyectos y productos informáticos por tipologia. 4. personal. Presupuesto anual en TI promedio. Valoración de activos: Equipo.12.8.7.AUDITORÍA INFORMÁTICA 4. 4. Parque Informático en estadísticas porcentuales (Hardware y Software).11. Resumen de software. Arquitectura de información.

Expansión. Esta etapa se caracteriza por la diseminación  Etapa 3. cuadros específicos(detallados) por área o proceso administrativo.AUDITORÍA INFORMÁTICA CAPITULO V: DIAGNÓSTICO DE LA AUDITORIA. Diagnostico de Nolan. Aparecen deficiencias de crecimiento. 45 . La Sociedad Auditora explica brevemente las etapas que consiste el Modelo de NOLAN:  Etapa 1. Integración. Sistemas de Información.3.2. procesos y otro elemento referente a la auditoria. Cuadros estadísticos de trabajadores.1. 5. Mayor control administrativo. caracteriza profesionalización de los participantes.  Etapa 5.  Etapa 2. módulos. y el contagio Esta etapa de se los participantes.  Etapa 4. El usuario se mantiene alejado. El usuario aprende a responsabilizarse.line y Bases de Datos. Hay una tendencia hacia la administración de datos y la implicación de los usuarios en los gastos informáticos.4. Administración de datos. Iniciación. 5. por la Automatización de procesos operativos completos. Aplicaciones on . 5. Control. Aparecen modelos de datos y necesidades de información de la Organización. Problemas e inconvenientes identificados globales y por área afectada. Esta etapa se caracteriza por la automatización de procesos operativos de bajo nivel para reducir los costes funcionales. 5.

No poseen procedimientos internos ni externos.En TECNOLOGÍA. Interpretación de resultados obtenidos. Tipo de Tecnología.En SISTEMAS. .logical.  Responsabilidad conjunta de usuarios e informáticos. . Los resultados obtenidos al aplicar el anexo “DIAGNOSTICO DE LA FUNCIÓN DE INFORMÁTICA”. Madurez.  Etapa 6. Usuarios responsables. Aplicaciones oportunas y competitivas. han considerado el orden de ABCD .En MOTIVACIONES. La organización asume el papel innovador de las Tecnologías de la Información. están en la etapa 1. . .AUDITORÍA INFORMÁTICA Independencia de entornos material . se ha señalado la opción A.5. 5.Su PARTICIPACIÓN es individual. 46 . han sido los siguientes: .En actitud. están en la etapa 1. horizonte de crecimiento.

1.1 Justificación La sociedad auditora justifica esta auditoria por las siguientes razones:  Determinar el nivel de seguridad física tanto de los activos humanos.3 Áreas Evaluadas Para el desarrollo de la presente auditoría la Sociedad Auditora evaluó el departamento de informática. ocasionando que ésta presente un amplio manejo de flujo de información. señalizaciones.AUDITORÍA INFORMÁTICA CAPITULO VI: AUDITORIAS ESPECÍFICAS APLICADAS 6. 47 .2 Origen La Sociedad Auditora basó el origen de la presente auditoría por el tamaño de esta Corporación ya que está conformada por un 3 empresas.1. es por ello que es de vital importancia tener un correcto manejo y procesamiento de la misma. planes de contingencia. 6. entre otros.1. lógico y materiales físicos.4 Metodología usada. 6. por las restricciones de acceso a las áreas en su totalidad. puesto que el ambiente donde se desenvuelven estos activos no es a medida ya que es un local alquilado. 6.  Determinar si en la Corporación existen políticas de seguridad. infraestructura. normas. datos. tales como son edificio. telecomunicaciones.1 AUDITORIA FÍSICA 6.1.

referenciada en el libro del autor Mario Piattini. 48 .AUDITORÍA INFORMÁTICA Se utilizó la Metodología “EDPAA”.

Hallazgo # 6: la seguridad del local y el control de acceso de personas de los es realizada por personas no de confianza accionistas. el cual se encuentra ubicado en el 2º piso del local.1. los cuales portan identificación alguna ni la vestimenta adecuada como personal de seguridad. Hallazgo # 5: existe una sola cámara de vigilancia. además de aplicar un conjunto de preguntas durante la entrevista con el jefe del departamento de Sistemas Luis Braco Castillo. No se lleva un control de que 49 . y en mala ubicación. solo se usan ventiladores eléctricos.AUDITORÍA INFORMÁTICA 6. Además de ello no existe el aire acondicionado. para la realización de la presente auditora hizo uso de las técnicas de observación de los diferentes ambientes dentro del edificio. De ello se identificaron los siguientes hallazgos: Hallazgo # 1: el local donde se desarrollan las labores diarias de la Corporación es un local alquilado donde han acoplado este edificio en la medida de distribuir uniformemente las áreas.5 Hallazgos La Sociedad Auditora “CALUBI”. Hallazgo # 3: el área de atención al cliente es de pequeña proporción. sin ventilación. Hallazgo # 2: existe un solo extintor en caso de incendios. Hallazgo # 4: no se encontró ninguna señalización de seguridad.

AUDITORÍA INFORMÁTICA personas ingresan o salen del local. sin protección. Hallazgo # 9: El departamento de sistemas tiene una ventana la cual sta muy cerca de la calle. servidor de correo. la puerta de contra placada de tripley y la chapa de ésta inadecuada lo cual es inseguro ya que en caso de un robo es fácil de acceder. y sin ventilación alguna. al lado de un tanque de agua mineral. servidero de seguridad. Hallazgo # 8: El departamento de sistemas se encuentra ubicado en el 1º piso del local. 50 . porque es un material débil. Además de ello existen computadores de escritorio inutilizables regadas por el piso de dicha área juntamente con los cables de red. a vista y paciencia de todo el personal. ya que no tiene espacio suficiente impidiendo al personal desplazarse con comodidad y cumplir con su labro correctamente. con fácil acceso de personas ajenas. Hallazgo # 10: dentro del departamento de sistemas se encuentra el escritorio del jefe de sistemas. al lado del baño donde todo el personal acude. ni norma alguna que se aplique de seguridad. los servidores los cuales son: servidor de dominio. servidor de base de datos. ante una situación así. los cuales se encuentran encima de un escritorio. Hallazgo # 7: no existe manual. Hallazgo # 11: los compartimientos de las diferentes áreas no tiene las dimensione estructurales apropiadas.

Hallazgo # 13: La Corporación PACESA no cuenta con un plan de contingencia que establezca que se debería hacer antes.AUDITORÍA INFORMÁTICA Hallazgo # 12: Se encontró que las copias de seguridad son guardados en memorias usb diariamente y son portados por el jefe del área de sistemas el cual lo puede transportar al lugar que el desee. 51 . durante y después de una eventualidad catástrofe.

Conclusiones.Códigos de Buenas Prácticas Para la Gestión de la Seguridad de la Información.043-2:1998 Extintores Portátiles (Extintores portátiles selección. 52 . los casos en que se deben de colocar y las interpretaciones de estos. Base normativa No cuenta con un plan de contingencia que permita actuar ante algún tipo de eventualidad (NAGU 500-06). No se realiza un registro de visitas a las instalaciones como lo estipula la norma NTP ISO/IEC 17799 .021:2004 Clasificación de los Fuegos y su Representación Grafica.043-1:1998 y 350. 6. 3. Respecto a las señalizaciones. la cual establece las formas en que deben de gestionarse las señales de emergencia.AUDITORÍA INFORMÁTICA Hallazgo # 14: Se encontró cables de luz descubiertos.1. 4. cables de red sin pasar por canaletas convirtiéndose en un peligro para las personas que laboran en dichas instalaciones y así mismo un peligro para los equipos. estipulando las distancias. 2. la NTP 350.10-1 2004: Señales de Seguridad. distribución. Hallazgo # 15: cuentan con un pozo a tierra.6 1.0. no existe ningún tipo de señalizaciones de zonas seguras establecido en la NTP 399. mantenimiento. en su apartado de Seguridad Física y del entorno (seguridad de oficinas. No se cuentan con extintores que prevenga cualquier clase de incendios como lo estipulan las normas: NTP 350. recarga y prueba hidrostática). despachos y recursos).

que establece en la parte de áreas seguras. Colocar las señales de seguridad necesarias para el correcto desplazamiento tanto de los trabajadores como usuarios de la institución. Se recomienda reubicar el departamento de informática a la brevedad posible. No existen políticas o procedimientos que prohíban el ingreso y manipulación de información del personal entre oficinas sin la debida autorización del que las representa como lo estipula la NTP ISO/IEC 17799: en cuanto a Seguridad Física y del entorno. Reubicar cada una de las áreas funcionales para mayor comodidad y optimo funcionamiento de los procesos de la Corporación. Tiempo Recomendación: 1. Período de 53 . de evacuación. el objetivo es evitar accesos no autorizados. 6. despachos y recursos. par evitar el deterjo de equipos y el acceso a personas no autorizadas. ya sean señales de emergencia. No se cuenta con gabinetes para albergar sus equipos de comunicación. etc.7 Recomendaciones. Desarrollar e implementar un Plan de Contingencias de la Corporación que establezca los procedimientos a utilizarse para salvaguardar la integridad de la Responsabilidad.AUDITORÍA INFORMÁTICA 5. daños e interferencias contra los locales y la información de la organización. tomando en cuenta las regulaciones y estándares de salud y seguridad. 2. 4.1. se seguridad. 3. incumpliendo con la norma: ANSI/TIA/EIA 569: Espacios y canalizaciones para telecomunicaciones en edificios comerciales. Además se debe tener seguridad de oficinas. 6.

Colocar extintores o sistemas contra incendios que permitan responder eficazmente frente a cualquier incidente. 7. 5. RECOMENDADIÓN Nº 1 2 RESPONSABILIDAD LOGÍSTICA GERENTE DE ADMINISTRACIÓN GERENTE DE ADMINISTRACIÓN GERENTE GENERAL PERÍODO DE TIEMPO 1 mes 6 meses 1 mes 3 4 DIRECTORIO GERENTE DE ADMINISTRACIÓN GERENTE GENERAL JEFE DEL DEPARTAMENTO DE SISTEMAS 6 meses 5 GERENTE GENERAL JEFE DEL DEPARTAMENTO DE SISTEMAS GERENTE GENERAL DIRECTORIO JEFE DEL DEPARTAMENTO DE SISTEMAS GERENTE DE ADMINISTRACIÓN GERENTE GENERAL VIGILANCIA GERENTE DE ADMINISTRACIÓN 2 semanas 3 meses 3 meses 6 7 54 . Colocar gabinetes para la seguridad de los equipos de telecomunicaciones para cumplir con las normas respectivas y asignar a un personal encargado de su mantenimiento. 6. Llevar un registro de control de las visitas.AUDITORÍA INFORMÁTICA información y del personal ante eventualidades.

8 Relación intrínseca entre Hallazgos.AUDITORÍA INFORMÁTICA 6. Conclusiones y Recomendaciones de la sociedad auditora. HALLAZGO CONCLUSIÓN RECOMENDACIONES 55 .1.

Aspectos conceptuales empleados. Citar los términos de referencia. 56 . 6. telecomunicaciones.1. equipos.AUDITORÍA INFORMÁTICA 6. 6.1.14 Sustentación técnica. debido a que actualmente se infringe un gran número de normas legales con respecto a la seguridad física que pone en riesgo la infraestructura.11 Referencias de anteriores modelo de auditoria Tipo de Evaluación.12 6. Cronograma de control.1.1. Aspectos técnicos.9 Pruebas y/o evidencias por área.1.10 especifica. datos y personas 6. proceso o sistema.1. La Sociedad Auditora calificó una vez concluida la Auditoria Física como Desfavorable..13 6.

Sign up to vote on this title
UsefulNot useful