AUDITORIA DE

SISTEMAS
DEFINICIONES

Es la revisión y la evaluación de los controles,

sistemas, procedimientos de informática; de los
equipos de cómputo, su utilización, eficiencia y
seguridad, de la organización que participan en el
procesamiento de la información, a fin de se logre una
utilización más eficiente y segura de la información
que servirá para una adecuada toma de decisiones..

DEFINICION GRUPAL
Es un examen profesional que se realiza con carácter
objetivo y sistemático con el fin de evaluar la eficiencia y
eficacia del uso adecuado de los recursos informáticos y si
éstas han brindado el soporte adecuado a los objetivos y
metas de la empresa.
AUDITORIA DE
SISTEMAS
 O S
I V Incrementar la
E T satisfacción de los
B J usuarios de los
O sistemas Verificar el
informáticos cumplimiento de
la Normativa en
Analizar la este ámbito.
eficiencia de
los Sistemas
Seguridad, utilidad,
Informáticos.
confianza, privacidad
y disponibilidad en el Verificar el
ambiente informático control interno de
  la función
informática

Detectar, prevenir fraudes y/o errores por

manipulación de la información o por acceso de
personas no autorizadas a transacciones.
 I O S
E F IC
B EN

• Confianza en los usuarios sobre la seguridad y

control de los servicios de tecnología informática.
a).

• Minimizar existencias de riesgos en el uso de

Tecnología de información.
b).

• mejorar ciertas características en la empresa

como: desempeño, fiabilidad,eficacia,rentabilidad,
c). seguridad, privacidad.
¿ CÓMO ES EL PROCESO DE AUDITORÍA
INFORMÁTICA?

El proceso de la auditoría informática es similar al de

auditoría de estados financieros, siguiendo las siguientes
fases:

Planificación de la Auditoría Informática

Ejecución de la Auditoría Informática

Finalización de la Auditoría Informática

ETAPA: PLANIFICACION

Evaluación de los sistemas y procedimientos

Evaluación de los equipos de cómputo

Evaluación del proceso de datos

se procede a establecer objetivos, programas de

trabajo de auditoría, personal que intervendrá en el
proyecto, presupuesto financiero, y las fechas y la
manera como se presentarán los informes de las
actividades de cumplimiento de la auditoria, basados
en la realidad de la organización evaluada.
 ETAPA: EJECUCION
consiste principalmente en la recolección de información y evidencias suficientes,
para fundamentar los comentarios, conclusiones y recomendaciones con respecto
a la Administración, lo cual se realiza utilizando diversas técnicas como las
siguientes

Entrevistas

Análisis de la
información documental

Revisión y Análisis de
Estándares

Revisión y Análisis de
la información de auditorías
anteriores
 ETAPA: FINALIZACION
se materializa en un informe de conclusiones que se debe redactar y entregar a la
administración de la organización para su evaluación, la estructura del informe de
conclusiones a entregarse a la administración de la organización es la siguiente:

Debe iniciar con el período de tiempo Identificar la condición en la que se encontró a

en el que se ha realizado la evaluación la organización

Indicar el equipo de auditoría que ha Identificar las causas que provocan la situación
intervenido en la evaluación. observada en la organización

Incluir los objetivos que se efectos que puede provocar el hecho que se
pretendieron alcanzar con la evaluación mantenga la situación actual identificada por
de auditoría. los auditores en la organización.

Incluir las recomendaciones que la

indicar el criterio sobre el cual se ha administración debería adoptar para cumplir
realizado la evaluación con el criterio de los objetivos de control
 MEMORANDO DE PLANEAMIENTO

ORIGEN
DEL
EXAMEN

En cumplimiento del contrato de servicios profesionales

efectuaremos una AUDITORIA DE SISTEMAS a la
empresa HCB CONTRATISTAS GENERALES SRL,
RUC N° 20163906661, ubicada en Urb. La Merced Mz
U Lote 1 – Trujillo –La Libertad,
OBJETIVOS
DEL EXAMEN

OBJETIVO GENERAL

Revisar y Evaluar el
funcionamiento de los
sistemas de información
para verificar el grado de
seguridad, eficiencia y
confiabilidad del proceso
de información
OBJETIVOS ESPECIFICOS

Analizar la eficiencia de los Sistemas Informáticos.

Asegurar a la alta dirección y a todas las áreas de la empresa que la

información que les llega es fiable y necesaria en el momento
oportuno.

Detectar y prevenir errores por manipulación de la información o

por acceso de personas no autorizadas.

Evaluar la seguridad lógica y física para determinar si se establecen

controles apropiados para salvaguardar la integridad, oportunidad y
fiabilidad de la información procesada y contenida en el sistema.

Elaborar y entregar el Informe de Auditoría, en el cual se den a

conocer a la Gerencia, las deficiencias detectadas y
recomendaciones para su implementación a fin de obtener un
adecuado control interno.
NATURALEZA Y
ALCANCE DEL
EXAMEN

Se llevará a cabo una Auditoría de

naturaleza INFORMATICA, la misma que
cubrirá las operaciones del 01 de Enero
del 2012 al 31 de diciembre del 2012,
para tal efecto aplicaremos
procedimientos de auditoría de acuerdo a
las Normas Internacionales de Auditoria
(NIAS), Normas de Auditoría
Generalmente Aceptadas (NAGAS) y los
Principios de Contabilidad Generalmente
Aceptadas (PCGA)..
ACTIVIDADES DE
LA EMPRESA

El giro principal de la
empresa HCB
CONTRATISTAS
GENERALES SRL es
construcción de edificios
completos y ejecución obras
públicas y privadas como
obras eléctricas, civiles,
pavimentos, hidráulicas,
saneamiento bajo la
modalidad de licitaciones
 ORGANIGRAMA

Gerencia General

Asesoria Legal

Departamento de Departamento de Departamento de Departamento Departamento de

Area informatica
Contabilidad Licitaciones Finanzas Técnico Logistica

Area de Obras
Area de Personal Area de Costos Almacenes
Civiles

Area de Area de Obras

Contabilidad Electricas
ÚLTIMA TOMA DE
INVENTARIOS DE
LOS RECURSOS
INFORMATICOS:

La última fecha de realización

de inventarios de los recursos
informáticos fue el 31
Diciembre del 2012
POLÍTICAS ADOPTADAS POR
LA EMPRESA RESPECTO AL
ÁREA DE INFORMATICA

- Los encargados del área de informática son los responsables de

calendarizar y organizar al personal encargado del mantenimiento
preventivo y correctivo de los equipos de cómputo.
 
- Los usuarios deberán cuidar, respetar y hacer un uso adecuado
de los recursos de cómputo
 
- Los medios de almacenamiento o copias de seguridad del sistema
de archivos, o información de la Entidad, serán etiquetados de
acuerdo a la información que almacenan u objetivo que suponga su
uso, detallando o haciendo alusión a su contenido.
 
 POLÍTICAS ADOPTADAS POR
LA EMPRESA RESPECTO AL
ÁREA DE INFORMATICA

- Todo empleado de nuevo ingreso deberá contar con la inducción

sobre el “Manual de Políticas de Seguridad Informática para
Usuarios”, o.
 
- Queda prohibido que el usuario abra o desarme los equipos de
cómputo.
 
- Para prevenir infecciones por virus informático, los usuarios no
deben hacer uso de software que no haya sido proporcionado y
validado por el Área de Tecnologías de la Información.

- La asignación de claves de acceso debe ser realizada de forma

individual, por lo que el uso de claves de acceso compartidas está
prohibido
 NORMATIVIDAD APLICABLE A LA
EMPRESA SOBRE LOS RECURSOS
INFORMÁCTICOS:

1. Reglamento Interno del Área de

Informática
2. Manual de procedimientos de
sistemas

3. Manual de políticas de Seguridad Informática

para Usuario
4. Manual de Funciones del Personal del área de
Informática
INFORMES A EMITIR
Y FECHA DE ENTREGA

Carta De Control Interno, deberá ser

emitida el 25 de Abril del 2018.
 PERSONAL
ENCARGADO DEL
EXAMEN

Villanueva Arroyo Alex representante de la firma

auditora “VILLANUEVA Y ASOCIADOS”

NOMBRE CARGO
Villanueva Arroyo, Alex Socio

Tacilla Mego Leidi Maribel Auditor supervisor

Rabines Horna, Vannesa Auditor senior

Terrones Rodríguez, Iliana Auditor Junior

 FUNCIONARIOS Y
DIRECTIVOS DE LA
EMPRESA

CARGO FUNCIONARIOS/DIRECTIVOS
Gerente General
Gerente de Operaciones
Gerente de Administración
Contadora General
Asesor Tributario

PRESUPUESTO
DE TIEMPO
El trabajo de auditoría se realizara durante tres (03)
meses, dentro de las fechas de 08 de Febrero al 31 de
Abril del 2018.
 PARTICIPACIÓN DE
OTROS PROFESIONALES

La firma auditora considera pertinente

contratar un especialista en informática
XXXXXXXXXXXXXXXX Y
XXXXXXXXXX para dar conformidad del
buen funcionamiento del sistema
informático.
 RIESGOS A NIVEL
GLOBAL EN EL ÁREA
INFORMÁTICA

Cambios Tecnológicos

Desastres naturales

Robos de hardware y de información

No contar con un seguro contra robos e incendios

No tener el programa de antivirus actualizado

Acceso de personas no autorizadas a los sistemas informático

Falta de mantenimiento continuo a los equipos de cómputo

 EVALUACION DEL
AMBIENTE DE CONTROL

De acuerdo al conocimiento que hemos

obtenido de las actividades de la empresa
hemos determinado que en el área de
sistemas no existe predisposición hacia la
aplicación de los controles establecidos para
obtener información útil, confiable y
oportuna de los sistemas informáticos para el
fortalecimiento del control interno y la toma
de decisiones.
Esta comprobación se realizará a través de la
aplicación de pruebas de cumplimiento
 NIVELES
DETALLE DE
RIESGO
Cambio de personal constantemente Alto
Fallas en los equipos alto
La falta de asignación de personal de mantenimiento de
Alto
los quipos de cómputo
Algunos equipos no cuentan con clave o usuario por lo
tanto terceras personas pueden acceder a la información
Alto
de la empresa.
Los equipos no son usados para fines personales. Bajo
Algunos programas de antivirus no se encuentran
debidamente actualizados. Alto

RIESGOS DE
CONTROL DEL AREA
INFORMATICA
 CRONOGRAMA DE
EJECUCION

PLANIFICACION EJECUCION INFORME

ACTIVIDADES FEBRERO MARZO ABRIL
SEM SEM SEM SEM SEM SEM
2 3Y4 1Y2 3Y4 1Y2 3Y4

1 PLANIFICACION
1.1 Evaluación del Control Interno X

1.2 Revisión de los recursos informáticos X

1.3 Memorando de Planificación Específica X
1.4 Programas de Auditoría X
2 EJECUCION
2.1 Elaboración de Cédulas de Auditoría X
2.2 Pruebas de Cumplimiento X
3 COMUNICACION DE ESULTADOS
3.1 Informe Final X
PROGRAMA DE AUDITORIA
 JAUREGUI
& H CB CON T R AT I S T AS GE N E R ALE S S R L
ASOCIADOS SAC AUD I T OR I A D E S I ST E M AS
ÁR E A D E I N F OR M AT I CA
P R OGR AM A D E AD I T OR I A

P R O C E D IMIE N TO S R EF P /T HE C HO PO R

1. Evaluar el control interno mediante el método del CI1-CI3 L.T.M

cuestionario.

2. Verifique si los equipos informáticos cuentan con póliza de AD1-AD2 L.T.M

seguros contra robos e incendios.

3. Verificar si el personal de informática cuenta con los AD3-AD4 L.T.M

correspondientes manuales de procedimientos.

4. Verificar si los trabajadores ingresan al sistema AD-5

informático con clave de acceso. L.T.M

5. Verificar si los trabajadores han recibido capacitación AD6-AD7

L.T.M
sobre el sistema informático.

6. Verificar si los equipos de cómputo cuentan con la AD-8 L.T.M

documentación correspondiente con respecto a su
adquisición

7. Verificar si los trabajadores guardan copias de seguridad AD-9 L.T.M

de sus archivos.
 JAUREGUI
&
ASOCIADOS SAC

HCB CONTRATISTAS GENERALES SRL

AUDITORIA DE SISTEMAS
ÁREA DE INFORMATICA
CUESTIONARIO DE CONTROL INTERNO
RESPUESTAS
PREGUNTAS COMENTARIO
SI NO N/A

1. ¿Existe un manual de organización y funciones sobre

sistemas informáticos de la empresa?

2. ¿Se cuenta con un sistema de contingencia en caso de

posibles irregularidades en el sistema?

3. ¿Cuentan los trabajadores con un usuario y contraseña

para acceder a los equipos de cómputo?

4. ¿Existe un programa preventivo del mantenimiento de CI- 4

los equipos informáticos?

5. ¿El personal está debidamente capacitado de acuerdo

a las necesidades de los sistemas informáticos?

6. ¿Existe manuales de instrucciones sobre el manejo del

CI- 5
sistema informático?
7. ¿Se ha evaluado al personal sobre el grado de
conocimiento de los sistemas informáticos?

CI- 1
 JAUREGUI
&
ASOCIADOS SAC
HCB CONTRATISTAS GENERALES SRL
AUDITORIA DE SISTEMAS
ÁREA DE INFORMATICA
CUESTIONARIO DE CONTROL INTERNO
RESPUESTAS
PREGUNTAS COMENTARIO
SI NO N/A

8. ¿Qué tipo de mantenimiento se realiza a los equipos informáticos? Se realiza

mantenimient
9. ¿Se cuenta con copias (backup) de los archivos en un lugar distinto al o correctivo
de las computadoras?

10. ¿se realizan revisiones periódicas y sorpresivas al contenido de los

discos de las computadoras para verificar instalaciones no
relacionadas a la gestión de la empresa?

11. ¿Existe un sistema de antivirus actualizado para proteger la

información
CI- 6
12.¿Existe un control adecuado de los inventarios de los equipos
informáticos?

13. ¿Cuenta con una póliza de seguro los equipos de cómputo?

14. ¿Existe una máquina central donde se centraliza la información que

recibe de las demás áreas?
CI-  2
 JAUREGUI
&
ASOCIADOS SAC HCB CONTRATISTAS GENERALES SRL
AUDITORIA DE SISTEMAS
ÁREA DE INFORMATICA
CUESTIONARIO DE CONTROL INTERNO
RESPUESTAS
PREGUNTAS COMENTARIO
SI NO N/A

15. La empresa cuenta con asesoramiento por parte de los

proveedores de los sistemas informáticos?

16. ¿Son revisados los reportes emitidos por los sistemas

informáticos?

17.¿Los reportes son arrojados por el sistema

oportunamente y libre de errores?
 
 18.¿Se encuentran restringidas páginas de internet no
autorizadas?
 
 19.¿Las maquinas cuentan con estabilizadores en caso de
cortes intempestivos de fluido eléctrico o sobrecarga de
energía
 
HECHO POR : L.M.T.M

FECHA : 15/04/2012
CI- 3
REVISADO POR: V.R.H

FECHA : 20/04/2012
 JAUREGUI
&
ASOCIADOS SAC HCB CONTRATISTAS GENERALES SRL
AUDITORIA DE SISTEMAS
ÁREA DE INFORMATICA

"NO EXISTE UN ADECUANDO CONTROL DEL MANTENIMIENTO CI- 1

A LOS EQUIPOS INFORMATICOS"
Se determinó que no existe un adecuado control del mantenimiento de los equipos informáticos, por lo que
en la mayoría de veces el servicio de mantenimiento es posterior a cuando ocurren problemas con los
equipos

Esto va en contra de lo dispuesto en el manual de procedimientos el cual indica que "La empresa realizara
programaciones de mantenimiento para evitar el deterioro de los Equipos Informáticos.
La causa de este hecho radica en la falta de control y elaboración de programaciones de mantenimiento a los
equipos informáticos, causando que trabajadores suspendan sus funciones esperando la solución de estas
deficiencias en los equipos.

Se recomienda a la Gerencia realizar un cronograma de mantenimiento para los equipos informáticos con el
fin de evitar su deterioro y el detenimiento de las funciones de algunos operarios afectados por estos
problemas.

HECHO POR : L.M.T.M

FECHA : 15/04/2012

REVISADO POR: V.R.H CI- 4

FECHA : 20/04/2012
 JAUREGUI
&
ASOCIADOS SAC HCB CONTRATISTAS GENERALES SRL
AUDITORIA DE SISTEMAS
ÁREA DE INFORMATICA

"NO SE CUENTA CON UN MANUAL DE INSTRUCCIONES PARA EL MANEJO DE LOS SISTEMAS INFORMATICOS” CI- 1

Se determinó que la Empresa no cuenta con manuales de instrucciones sobre el uso adecuado de los
sistemas informáticos para los trabajadores

El Manual de Organización y Procedimientos establece: "Todos los operarios de los sistemas informáticos de
la Empresa contaran con un manual de instrucciones para el uso adecuado de los sistemas informáticos a
su disposición»

La causa de este hecho es la falta de supervisión efectiva por parte de la Gerencia a los responsables en la
elaboración de este manual, lo que ocasiona que algunos trabajadores ingresen información e instalen
programas innecesarios en los sistemas informáticos de la Empresa.

Se recomienda a la Gerencia que elaborar el Manual de Indicaciones para el uso adecuado de los sistemas
Informáticos y hacer de conocimiento a todo el personal de la empresa

HECHO POR : L.M.T.M

FECHA : 15/04/2012
CI- 5
REVISADO POR: V.R.H

FECHA : 20/04/2012
 JAUREGUI
&
ASOCIADOS SAC

HCB CONTRATISTAS GENERALES SRL

AUDITORIA DE SISTEMAS
ÁREA DE INFORMATICA

"NO SE REALIZA UN ADECUADO CONTROL DEL INVENTARIO DE EQUIPOS INFORMÁTICOS»

  CI- 1
Como resultado de la evaluación hemos determinado que el inventario de los equipos informáticos es inconsistente en
donde no existe codificación alguna.
 
Según la norma interna de la empresa N°52 se debe de codificar todos los activos que posee la empresa en ellos se
encuentran incluidos los equipos informático
 
Esto se debe a que el personal encargado de llevar un control estricto de los equipos informáticos con su respectiva
codificación fue asignado a realizar otras actividades, este hecho puede ocasionar extravíos o pérdidas de los equipos.
 
Se recomienda a la Gerencia realizar una adecuada asignación de funciones y se delega a una persona para que se
encargue del inventario de los equipos a tiempo completo

HECHO POR : L.M.T.M

FECHA : 15/04/2012
REVISADO POR: V.R.H
FECHA : 20/04/2012
CI- 6