Auditoria de sistemas

AUDITORIA DE SISTEMAS
1. PLAN DE AUDITORIA
1.1. ORIGEN DE AUDITORIA:
La presente Auditoria se realiza en cumplimiento del Plan Nacional de Control 2013 del Sistema
Nacional de Control. Publicado 11/01/2013
1.2. OBJETIVOS Y ALCANCE
1.2.1. OBJETIVO GENERAL
Revisar y evaluar los controles, sistemas, procedimientos de informática; de los equipos de
cómputo, su utilización, eficiencia y seguridad, dela organización que participan en el
procesamientodelainformación,a finde que por medio del señalamiento de cursos alternativos
se logre una utilización más eficiente y segura de la información que servirá para una adecuada
toma decisiones.
1.2.2. OBJETIVOS ESPECIFICOS
 Evaluarel diseñoypruebade los sistemasdel áreainformática.Paraevitarel acceso ilícito
al sistema informático
 Determinarlaveracidadde lainformación obtenida del sistema, evaluando los controles
de seguridad.
 Identificar si el sistema cuenta con un programa que garantice la protección de los datos
 evaluarlaefectividadde lasmodalidadesdetecciónpara identificar losresponsablesante
un fraude informático.
 Evaluarla formacomo se administranlosdispositivos de almacenamiento básico de área
de informática.
 evaluar los mecanismos para evitar la suplantación de identidad
1.3 ALCANCE
La auditoría se realizará sobre los sistemas informáticos en computadoras personales que
estén conectados a la red interna de la empresa.
1.4 CRITERIO
Se tomara como referencia la “LA LEY QUE MODIFICA LA LEY 30096, LEY SW SWLITOS
INFORMATICOS” LEY 30171

1.5 RECURSOS
El número de personas que integraran el equipo de auditoria sera de tres,con un tiempo maximo de ejecucion
de 3 a 4 semanas.
1.4 UNIDADES ORGANIZACIONALES A AUDITAR
- Área de sistemas e informática
-Área Operativa.
ESTUDIO Y EVALUACIÓNDEL CONTROL INTERNO
 Esta fase constituye el inicio de la planeación, aunque sea preparada con
anterioridad; sus resultados son los que generan la verdadera orientación de las
subsiguientes fases del proceso, sin ser excluyentes, se deben considerar los
siguientes aspectos:
 GESTION ADMINISTRATIVA:
Conocer y analizar las operaciones a las cuales se dedica el negocio y la forma en
que está estructurado tanto desde del punto de vista organizacional y administrativo,
así como el organigrama, número y distribución de empleados, sistema interno de
autorizaciones, firmas, formularios utilizados, secuencia de operaciones y otros
aspectos similares que se realizan con la utilización del sistema informático.
2- Verificar si se ha diseñado un manual de organización y funciones a ser aplicado
a los y por los usuarios del área de informática.
3- Verificar si las contrataciones del personal del área de informática se han
realizado con base a los criterios establecidos en el manual de funciones y cumplen
el perfil del puesto.
4- Verificar si la administración provee oportunamente los recursos necesarios para
la adquisición del software actualizado para la protección de los sistemas
informáticos.
5- Verificar si la administración promueve la capacitación y adiestramiento
constante del personal del área de informática.
6- Verificar si la administración ha establecido políticas claras con respecto a la
adjudicación de claves de acceso a las bases de datos.

7- Verificar que las instalaciones donde labora el personal del área de informática
estén adecuadas a las necesidades y no representen peligro para los empleados.
GESTION INFORMATICA:
1) Examinar la información preliminar correspondiente al área de informática, la
cual puede ser:
a) Interna: conocer los procesos que se realizan dentro de la empresa para los
cuales es utilizado el equipo informático. Se verificará si se lleva un control de las
operaciones realizadas y si queda un registro de los usuarios del área de informática
y los horarios en los cuales, han utilizado el equipo del centro. También se solicitará
información correspondiente a si se ha realizado en otras ocasiones auditorías al
sistema informático.
b) Externa: Conocimiento e identificación de los usuarios del área de informática,
así como de los proveedores de materiales y accesorios y otros clientes.
2) Conocimiento de las instalaciones físicas del negocio, materiales, mobiliario,
inmuebles, equipos, inventarios y otros que tienen relación al área de informática y
la ubicación de sucursales, en caso de que también utilicen dicho sistema.
3) Verificar si los programas utilizados dentro de la entidad han sido diseñados
específicamente para
La empresa y hasta que punto estos programas son operativos y satisfacen las
necesidades de la entidad.
4) Naturaleza y tratamiento de las operaciones realizadas por medio de los sistemas
informáticos
. 5) Cualquier otro punto de conocimiento general, que contribuya a orientar
adecuadamente la auditoria de sistemas informáticos.
6) Verificar si todo el equipo o hardware se encuentra debidamente inventariado y
se ha elaborado la respectiva tarjeta de depreciación del mismo, a fin de que en el
momento en que se vuelvan obsoletos se puedan dar de baja.
7) Verificar por medio de pruebas si los sistemas funcionan correctamente, para
ello será necesario contratar a un perito programador, para que efectue las pruebas
correspondientes.

8) Verificar si el software tiene las licencias correspondientes.
9) Verificar quienes están autorizados para realizar modificaciones a los sistemas
informáticos y quien autoriza cada una de estas modificaciones. 10) En el caso de
que haya alguien de nivel superior que autorice los cambios y modificaciones a los
sistemas informáticos, verificar si existe algún documento escrito por medio del
cual se autoricen dichas modificaciones o si las ordenes se efectuan solamente de
manera verbal. 11)
En el caso d
e que exista el registo de las solicitudes de cambios mencionados en el punto
anterior, realizar pruebas en el sistema para verificar que se hayan realizado
correctamente y que respondan a la solicitud de la gerencia o de quien lo haya
autorizado. 12) Verificar quien es el responsable de autorizar los niveles de
jerarquía y niveles de acceso a utilizar dentro del sistema y si existe algún registro
escrito por medio del cual se hayan emitido dichas autorizaciones. 13) Verificar si
en la entidad se han establecido políticas con respecto a la creación de responsable.
 B) CUESTIONARIO En segundo lugar, los procedimientos se documentarán a
través de la preelaboración de preguntas, contestadas personalmente por los líderes
de la empresa o por el personal encargado de los sistemas informáticos y por
algunos usuarios dentro de la empresa que tenga relación con el mismo..
PLANEACION DETALLADA Cuyo lema se basa en la individualización técnica
de los procedimientos a ejecutar así como las consideraciones y los objetivos a corto
plazo que se espera producir en cada uno; comprende los siguientes apartados: 1)
Objetivos: Al obtener una clara comprensión del negocio, se fijan las metas tanto a
corto plazo como la general que se espera alcanzar al ejecutar la auditoría; se
establece el eje sobre el cual deben girar todos los procedimientos y fases de que
consta para llevarse a cabo de forma eficaz y efectiva. 2) Rubros a Examinar:
Consiste en descomponer las partes integrantes del Sistema Informático, en
secciones manejables, facilitando con ello el análisis integral y exhaustivo, con el
propósito de obtener resultados correctos y claros en cada uno de sus niveles
operativos del sistema informático. a. Primera descomposición: Hardware, software,
personal, instalaciones eléctricas, seguridad. b. Segunda descomposición o detalle:
Computadores, periféricos, software de uso general, software de uso específico,
personal del área de informática, usuarios del sistema informático, red eléctrica,
seguridad física de los sitemas informáticos, seguridad lógica del sistema, seguridad
del personal, seguridad de la información y las bases de datos, seguridad en el
acceso y uso del software, seguridad en la operación del harware, seguridad en las
telecomunicaciones. c. Tercera descomposición: Las áreas de mayor riesgo, son
descompuestas en sus subdivisiones más significativas, por lo cual se debe validar
el funcionamiento de ellos mediante un examen operativo y el respectivo
cumplimiento de las políticas institucionales en cuanto a su uso y aplicación. d.
Cuarta descomposición: Esta última se refiere al examen propio de cada una de las

áreas específicas, con el fin de asegurar el buen funcionamiento de cada uno de los
componentes del sistema informático, estos casos requerirán su validación. 3)
Comparaciones: Se establecerán comparaciones sobre el actual funcionamiento de
los sistemas informáticos y las especificaciones de sobre como deberían funcionar,
para
 8. SANCHEZ PINEDA Y COMPAÑIA CONTABILIDAD, AUDITORIA Y
ASESORIA CONTABL E, FINANCIER A Y FISCAL Ahuachapán , El Salvador.
establecer si se les está dando el uso adecuado y si se está obteniendo los máximos
resultados de la aplicación de dichos sistemas. 4) Generación de detalles periódicos:
Algunas áreas serán analizadas por períodos, con el fin de verificar su desarrollo a
través del tiempo, en cambio, habrá otros que por su naturaleza, se pueden analizar
en un momento fijo y que pueden generalizarse a diversos períodos, para ello, en el
caso de que se encuentre situaciones en las cuales sea necesaria la actuación
inmediata, se generarán reportes intermedios hacia la gerencia, con el fin de que
sean buscados los correctivos correspondientes de manera inmediata. 5) Examen
documental: se consolida como la base de la auditoría y el enlace entre la
investigación y la emisión de una opinión e informe, la inspección de los
documentos anexos a cada operación del sistema informático, cuando por la
naturaleza de las mismas exista un documento que ampare las operaciones. 6)
Margen de Importancia: Dentro de este apartado, se deben analizar y señalar
aquellos conceptos cuyo impacto de su inclusión, exclusión o revelación textual
pueda modificar la opinión sobre ellas. Ello requiere de parte del auditor, la
capacidad de generar opiniones similares a la suya, entre los usuarios de los
sistemas informáticos. 7) Riesgos: Toda auditoría se encuentra impregnada por la
posibilidad de que los aspectos a evaluar contengan errores o irregularidades de
importancia no detectados, cuyo conocimiento haga cambiar la opinión sobre ellos.
(entiéndase como error, la ocurrencia u omisión de datos originados en
circunstancias no voluntarias por parte de los encargados del funcionamiento de los
sistemas informáticos; y las irregularidades, son las circunstancias voluntarias por
parte del mismo). Estos riesgos se clasifican de la siguiente manera: a. Riesgo
Inherente: Asociado con la generación de estimaciones sobre la existencia de
hechos, lo anterior es de criterio potencial por parte del auditor, y pueden ser
identificados como “eventos presuntos”, su análisis parte de la naturaleza del
negocio, naturaleza de los sistemas de control de información, de los mismos
sistemas informáticos y otros. b. Riesgo de Control: Este se disminuye a medida que
se eleva la confianza en los métodos de control interno adoptados, y se define como
la posibilidad de que el control interno no detecte o evite oportunamente errores o
irregularidades de importancia. c. Riesgo de Detección: Vinculado directamente con
la función de auditoría, y se conoce como la mayor o menor capacidad de
efectividad de los procedimientos de la misma para descubrir errores o
irregularidades que en condiciones normales deberían ser visualizadas. 8)
Elaboración de cuestionario de control interno: Para conocer el funcionamiento del
departamento de informática dentro de la entidad, se diseñará un cuestionario de
control
interno, en el cual se harán en su mayoría preguntas cerradas, con en propósito de

conocer las actividades a las cuales se dedica la institución, quienes las efectúan, en
que momento se realizan los procesos y por quienes se realizan, con el fin de
detectar posibles fallas y con base en ello, detectar la clase de riesgo que presenten
cada una de las operaciones y procedimientos. Dichos datos servirán en su conjunto
para la realización de la correspondiente planilla de decisiones preliminares y el
programa de auditoría. 9) Planilla de decisiones peliminares: En este documento,
luego de obtener los resultados del cuestionario de control interno, se establecerá el
tipo de riesgo (alto, medio o bajo) que tiene cada una de las operaciones que se
realizan a través de los sistemas informáticos, y con base en ellos se podrá
establecer la profundidad con la que se examinarán cada uno de los rubros que
componen dicha área. 10) Elaboración del programa de auditoría: Con posterioridad
al conocimiento general del negocio y a la evaluación del control interno adoptado,
se dejará constancia documental de los pasos a seguir en las diferentes áreas
involucradas, las tareas programadas, quedan plasmadas en una guía de
procedimientos, cuya mayor especificación, facilita su ejecución y comprobación de
la misma. Dentro de ellos se hace mención a los pasos, enfoques, oportunidades,
volúmenes de muestra, y cualquier otra circunstancia que detalle el trabajo a
efectuar. Es importante mencionar que este no se caracterizará por su naturaleza
inflexible, por encontrarse sujeto a ampliaciones o reducciones necesarias,
originadas en conclusiones parciales, nuevos eventos o diversas situaciones que
pudiesen desviar los objetivos propios de la investigación. 11) Verificación de
generalidades concernientes a los documentos emitidos. 12) Análisis y validación
de los documentos anexados que soportan las adquisiciones de bienes y servicios a
utilizarse por los diversos usuarios del sistema informático. 13) Conocimiento sobre
controles de inventarios o la ausencia de los mismos con respecto a los bienes del
área de informática. 14) Verificación documental y física de las adquisiciones de
bienes del área de informática. 15) Elaboración de cédulas narrativas por los
procedimientos alternos efectuados cuya documentación no se refiere a papeles de
cálculo, anexos proporcionados por el contribuyente o por terceros. 16)
Documentación adecuada de hallazgos. 17) Rendimiento de informes parciales o
previos, ante la detección de errores cuyo impacto sea relevante, con firma y fecha
de recibidos, como constancia de divulgación oportuna. 18) Adición de notas
oportunas sobre la atención u omisión de las observaciones a que se refiere el
apartado anterior. 19) Preparación del informe final de auditoría, con copia para los
encargados del sistema de
informático del negocio. Nota: Toda la metodología y procedimientos detallados, no
inhiben de sostener reuniones periódicas o eventuales con la administración, a
efectos de discutir, ampliar o sugerir sobre la forma de operar y aspectos que de
manera inmediata sea necesario corregir, asimismo cualquier consulta o
requerimiento se efectuará de forma escrita como constancia de realizado.
CUESTIONARIO DE CONTROL INTERNO PREGUNTAS SI NO N/A
ASPECTOS RELACIONADOS AL ÁREA DE INFORMÁTICA. 1. Existe dentro
de la empresa un área de informática? SI LA RESPUESTA FUE SI: 2. Ante quien
rinden cuentas de su gestión? 3. Se ha nombrado un gerente para esta área? 4. Está
identificada dicha área dentro del organigrama general de la empresa? 5. Se tiene un

organigrama específico de dicha área? 6. Hay un manual de organización y
funciones aplicables a dicha área?
7. Están delimitadas las funciones de cada integrante del área de informática? 8.
Cada empleado del área de informática conoce la persona ante la que tiene que
rendir cuentas de su labor? 9. Los gerentes y otros funcionarios de nivel superior
pueden dar órdenes directas a cualquier empleado del área de informática? 10. Cada
empleado del área de informática es especialista en aspectos distintos de
programación? ASPECTOS RELACIONADOS AL HARDWARE 11. En alguna
ocasión se ha extraviado alguna laptop o algún proyector de cañón propiedad de la
empresa? 12. En alguna ocasión se ha extraviado algún periférico (bocinas,
audífonos, teclado, mouse, teclado numérico, etc.) de una computadora? 13. Si hay
vigilante, ¿Revisa éste que los empleados no lleven artículos que no son de su
propiedad? 14. En alguna ocasión le han quemado discos o guardado información
en los equipos de la entidad? 15. Cada componente de su computadora y periféricos
tiene la numeración respectiva del inventario? ASPECTOS RELACIONADOS AL
SOFTWARE 16. Se utilizan programas como el Office de Microsoft u otros
programas para los que la empresa haya comprado las licencias correspondientes?
17. Los empleados pueden utilizar el equipo informático de la entidad para elaborar
documentos o diseños para uso personal? 18. Hay una persona nombrada como
responsable de resguardar el software comprado por la empresa? 19. Para el
resguardo de los diversos discos de programas, se tiene un archivadero adecuado?
20. El software comprado por la entidad le facilita su trabajo?
21. Los programas antes mencionados son justo lo que necesita para sus actividades
laborales? 22. Existen programas diseñados y elaborados por el área de informática,
con los procedimientos específicos para las actividades que la entidad desarrolla?
23. Los programas fueron creados bajo estricta normas de seguridad para evitar que
puedan ser revendidos a otras empresas que se dediquen a la misma actividad
económica? 24. Los diversos softwares se guardan en un lugar libre de humedad o
con calor excesivo? 25. Los programas creados por los empleados del área de
informática son funcionales y responden a las necesidades de la organización?
ASPECTOS RELACIONADOS AL PERSONAL (Será conveniente que algunas
preguntas sean resueltas por los empleados del área de informática) 26. Cuántos
años tiene de laborar para la empresa?____________ 27. Se siente satisfecho de
laborar para la empresa? 28. En el último año, ha renunciado algún empleado de
este departamento? 29. Cuáles considera que fueron las razones de la renuncia?
__________________________________________ 30. Se permite que el personal
lleve trabajo y accesorios a su casa? 31. Han recibido capacitaciones en el último
año? 32. Las capacitaciones recibidas, a que aspectos han sido
enfocadas?_________________________________________ 33. Los usuarios de
los diferentes departamentos manejan con eficiencia los programas utilizados.
34. Se ha capacitado en su momento a los usuarios de los sistemas informáticos? 35.

En alguna ocasión ha visto que algún empleado de la empresa esté haciendo algun
trabajo muy personal en el equipo provisto por la empresa y en horas laborales?
INSTALACIONES ELECTRICAS 36. Cada cuanto, personal idóneo revisa las
instalaciones eléctricas?_________________________________________ 37. En
el último año se han revisado todas las instalaciones eléctricas? 38. En alguna
ocasión se ha generado algún corto circuito dentro de las instalaciones? 39. Los
tomas en los que conectan los equipos están polarizados? 40. Tiene la empresa
contratado un electricista? ASPECTOS RELACIONADOS A LA SEGURIDAD
41. Considera usted que hay demasiada humedad o excesivo calor, lo cual pueda
deteriorar los computadores? 42. En alguna ocasión usted ha estado trabajando en
una aplicación y de pronto cuando la está ejecutando se ha cambiado y le ha
generado una cosa diferente a lo que esperaba? 43. En alguna ocasión un empleado
se ha enfermado y le ha dicho el médico que es resultado del uso de algún aparato
eléctrico? 44. Tiene la empresa en algún lugar diferente al negocio, copias de
seguridad de los software y documentación importante que al darse un siniestro
pueda afectar a la organización? 45. Le han dado clave para ingresar al sistema? 46.
La clave que ha recibido le da acceso a documentos y archivos con base en la
autoridad que tiene dentro de la empresa? 47. Alguna vez su equipo no ha
funcionado y al verificar algún accesorio ha estado desconectado?
48. El acceso a internet es para todos los empleados? 49. Alguna vez por casualidad
ha abierto algún documento que solo debió ser abierto por funcionarios de nivel
superior? 50. Alguna vez al insertar su contraseña el sistema le ha dado mensaje de
error y aun cuando lo escribe correctamente, el mensaje se ha repetido?
Nombre:___________________________________________________________
Cargo:_____________________________________________________________
PLANILLA DE DECISIONES PRELIMINARES SANCHEZ PINEDA &
COMPAÑIA. NOMBRE DEL CLIENTE: HILOSA S.A. DE C.V. PERÍODO A
AUDITAR : DEL 1 DE ENERO AL 31 DE DICIEMBRE DE 2009
EVALUACION DE RIESGOS INHERENT DETECCIÓ PROCEDIMIENTOS
SEGÚN ALCANCE DE LOS RUBRO AREA FACTORES DE RIESGO E
CONTROL N FACTORES DE RIESGO PROCEDIMIENTOS HARDWAR
COMPUTAD E ORES Que haya extravío. Revisar que el hardware que se Se
revisará el 100% de los bienes encuentra inventariado como inventariados como
parte del adqusiciones de la entidad, se encuentre hardware. en el lugar
correspondiente. Que se esté utilizando con los fines para los cuales fue adquirido.
Verificar que los diversos componentes del hardware, estén siendo aprovechados
almáximo y se estén utilizando como corresponde. Solicitar el registro de los
periféricos PERIFERICO Que haya extravío de los comprados y agregados a cada
uno de S accesorios y periféricos. los computadores y el lugar en que Se verificará
el 100% de los deben estar y verificar que estén donde periféricos. corresponden.
Que se estén utilizando con los Se verificará que los componentes y fines para los
cuales fue periféricos sean utilizados con los fines adquirido. para los cuales fueron
solicitados y no para obtener beneficios personales.

RUBRO AREA FACTORES DE RIESGO EVALUACION DE RIESGOS
PROCEDIMIENTO SEGÚN ALCANCE DE LOS FACTORES DE RIESGO
PROCEDIMIENTOS INHERENTE CONTROL DETECCIÓN SOFTWAR
SOFTWARE Que exista software comprado por Revisar los documentos que Se
confirmará que el E DE USO la entidad. muestran el inventario del 100% de las
licencias, GENERAL software de la entidad y se encuentren en poder verificar que
las licencias estén de la persona bajo la custodia de una persona responsable. con la
autoridad para resguardarlos. Que el software haya sido utilizado para beneficios Se
verificará si hay algún Solamente se harán las personales por algún usuario o se
procedimiento de control preguntas pertinentes y le haya sacado copias piratas del
institucional que impida que las un día se verificará si a mismo para fines
particulares. personas lleven artículos de la la salida el vigilante entidad a sus casas.
revisa los artículos que los empleados llevan en sus bolsos. Que el software
adquirido por la entidad esté resguardado en un Revisar las condiciones del La
verificación se hrá lugar libre de humedad o de lugar en que se encuentra por una
sola vez y con la mucho calor para evitar que se resguardado el software
autorización de una deteriore y se convierta en persona de la alta inservible.
gerencia. Que el software funcione Se contratará un perito, el cual Se hará una
prueba correctamente y responda a las realizará pruebas al software, selectiva a un
10% de necesidades institucionales. con el propósito de verificar si los programas,
está funcionando verificando que sea uno correctamentey si su de los que más se
instalación cumple con las utilizan en la entidad. condiciones de la empresa
fabricante.
RUBRO AREA FACTORES DE RIESGO EVALUACIÓN DE RIESGOS
PROCEDIMIENTOS ALCANCE DE LOS SEGÚN FACTORES DE
PROCEDIMIENTOS INHERENTE CONTROL DETECCIÓN RIESGO
SOFTWARE Que exista software diseñado por Revisar los documentos que Se
confirmará que el DE USO los empleados del área de muestran el inventario del
100% de los softwares ESPECIFICO informática de la entidad. software diseñado
por los diseñados por los encargados del área de empleados de la entidad,
informática y verificar que el se encuentren en poder software esté bajo la custodia
de la persona de una persona con la autoridad responsable. para resguardarlos. Que
el software haya sido Se verificará si hay algún Solamente se harán las utilizado
para beneficios procedimiento de control preguntas pertinentes y personales por
algún usuario o se institucional que impida que las un día se verificará si a le haya
sacado copias piratas del personas lleven artículos de la la salida el vigilante mismo
para fines particulares. entidad a sus casas. revisa los artículos que los empleados
llevan en sus bolsos. Que el software diseñado por la Revisar las condiciones del La
verificación se hará entidad esté resguardado en un lugar en que se encuentra por
una sola vez y con la lugar libre de humedad o de resguardado el software
autorización de una mucho calor para evitar que se persona de la alta deteriore y se
convierta en gerencia. inservible. Se contratará un perito, el cual Se hará una prueba
Que el software funcione realizará pruebas al software, selectiva a un 10% de

correctamente y responda a las con el propósito de verificar si los programas,
necesidades institucionales. está funcionando correctamente verificando que sea uno
y si su utilidad responde a las de los que más se necesidades específicas de la
utilizan en la entidad. institución.
RUBRO AREA FACTORES DE RIESGO EVALUACION DE RIESGOS
PROCEDIMIENTOS ALCANDE DE LOS SEGÚN FACTORES DE
PROCEDIMIENTOS INHERENTE CONTROL DETECCIÓN RIESGO
PERSONA PERSONAL Que los empleados del área de Se colocarán en el
cuestionario Solamente se hará el L DEL AREA informática no estén lo de control
interno algunas cuestionario y se pasará DE suficientemente comprometidos
preguntas con el propósito de a los empleados pues la INFORMATI con la entidad.
establecer si los empleados del lealtad no es una CA área de informática se sienten
variable difícil de medir satisfechos con el trato dentro en términos de la entidad y
su grado de cuantitativos. lealtad a la misma. Que los empleados del área de Se
verificará si los empleados informática vendan el software a del área de informática
llevan Se verificará si a la otras organizaciones aun cuando bienes de la sociedad a
sus salida el vigilante revisa su diseño fue pagado con recursos casas. los artículos
que los de la entidad. empleados llevan en sus bolsos. Que los empleados del área
de Se verificarán los registros que informática no estén recibiendo las la empresa
tiene sobre las La revisión se hará por capacitaciones necesarias con el respectivas
capacitaciones una sola vez y se propósito de actualizarlos y se recibidas por los
empleados del verificará si en las vayan quedando desactualizados área de
informática. capacitaciones se ha frente a la competencia. incluido a todo el
personal del área.
USUARIOS Que los usuarios de la entidad no Se verificará si los usuarios han Se
consultará a los DEL puedan utilizar con efectividad los recibido el adiestramiento
usuarios por medio del SISTEMA diversos softwares que la entidad necesario en el
uso del software cuestionario de control INFORMATI tenga en uso. y si al inicio
recibieron la interno. CO inducción correspondiente. Que los usuarios del sistema
Se verificará si los empleados Se verificará en por lo informático de la entidad,
estén de la entidad utilicen el menos 5 computadores utilizando los recursos de la
software y hardware para los si existen archivos misma para sus usos personales, o
fines establecidos por la basura o que no sean de abusen del uso del internet. entidad
y siguiendo las uso de la entidad. políticas de la misma. INSTALA RED Que los
tomas eléctricos no estén Verificar que los tomas a los Se aplicará al 100% de
CIONES ELÉCTRICA debidamente polarizados. cuales se encuentra conectado los
tomas. ELÉCTRIC el equipo informático estén AS debidamente polarizados con el
fin de evitar sobrecargas eléctricas. Que las instalaciones eléctricas ya Se verificará
con la ayuda de Se aplicará a un 15% de no estén en óptimas condiciones un
electricista que las las instalaciones a las de uso o ya sean obsoletas. instalaciones
eléctricas que está conectado el cumplan con las condiciones equipo del sistema
mínimas de funcionamiento y informático de la que todavía no sean obsoletas.
entidad.

RIESGOS RUBRO AREA FACTORES DE RIESGO DETECCIÓN
PROCEDIMIENTOS ALCANCE DE LOS INHERENTE CONTROL SEGÚN
FACTORES DE PROCEDIMIENTOS RIESGO SEGURID SEGURIDAD Que los
componentes de los Verificar que los equipos no Se efectuará al 100% de AD
FISICA DE sistemas informáticos estén estén ubicados muy cerca de los
computadores. LOS ubicados en oficinas que no espacios húmedos o que el
SISTEMAS cumplen con las condiciones calor sea mucho. INFORMATI mínimas
ambientales. COS SEGURIDAD Que los procesos realizados por el Se pedirá al
perito en Se realizará el LOGICA sistema, estén dando datos programación que
aplique procedimiento en 5 DEL erróneos y por ser automatizados, algunos datos al
sistema, los ocasiones y en SISTEMA la empresa se esté confiando de cuales
también se realizarán de programas diferentes de ellos. manera manual para ver que
mayor uso. estos den resultados iguales, y de no serlos, se sugerirán los posibles
correctivos. SEGURIDAD Que por la ubicación de los Se verificará que la
ubicación Se revisará el 100% de DEL equipos del área de informática, de las
máquinas no esté tan los equipos. PERSONAL los empleados vayan a padecer de
cercana a las personas y que enfermedades, como un efecto tengan sus respectivos
colateral de su uso. protectores de pantalla para minimizar el daño a los ojos.
FACTORES DE PROCEDIMIENTOS RIESGO SEGURID SEGURIDAD Que en
caso de un siniestro, se Verificar si la empresa tiene Se consultará con la AD DE
LA pierda toda la información de la fuera de su local un área o local gerencia.
INFORMACI empresa y se destruyan las bases de seguridad para archivar ON Y
LAS de datos. discos y otros documentos de BASES DE respaldo. DATOS
SEGURIDAD Que empleados o usuarios puedan Se verificará que tan seguro es Se
hará en una sola EN EL accesar a espacios del sistema para el sistema solicitando al
ocasión y trtando de ACCESO Y los cuales no cuenten con la programador que
intente violar accesar a un archivo USO DEL respectiva autorización o no hayan la
seguridad del sistema, claro utilizado por usuarios de SOFTWARE recibido los
password o claves de está que con la debida nivel inferior. acceso para ello.
autorización y presencia de un administrador o representante de la administración.
Al finalizar se dejará constancia por escrito del proceso desarrollado.
FACTORES DE PROCEDIMIENTOS RIESGO SEGURID SEGURIDAD Que el
equipo esté mal conectado Se verificará que los equipos Se aplicará al 100% de AD
EN LA y en algún momento pueda estén correctamente conectados los equipos.
OPERACIÓN originarse en él un corto circuito u y que sean funcionales. DEL otro
siniestro. HARDWARE SEGURIDAD Que el internet se esté utilizando Se
verificará si las máquinas se Se harán los EN LAS para fines personales de los

encuentran en red, si todas procedimientos a un 5% TELECOMU usuarios. tienen
acceso a internet y si se de las máquinas. NICACIONE puede monitorear en algún S
momento lo que están haciendo los usuarios PROGRAMA DE AUDITORIA
AUDITORIA DE ESTADOS FINANCIEROS. NOMBRE DEL CLIENTE:
HILOSA S.A. de C.V. NOMBRE COMERCIAL: HILOSA S.A. de C.V.
ACTIVIDAD PRINCIPAL: Fabricación y comercialización de telas. PERIODO
AUDITADO: Del 1 de enero al 31 de diciembre de 2009. PROCEDIMIENTO
HECHO POR REF. FOLIO PT’s HARDWARE: COMPUTADORES: 1. Realizar
cédulas narrativas en las cuales se exprese si el inventario de los hardwares que
adquirió la entidad, se encuentre en el lugar correspondiente. 2. Plasmar en cédulas
narrativas si los diversos componentes del hardware, están siendo aprovechados al
máximo y si se están utilizando como corresponde. PERIFERICOS: 1. Efectuar
cédulas narrativas en las que se constate si se han efectuado los registros de los
periféricos comprados y agregados a cada uno de los computadores y el lugar en
que deben estar y verificar que estén donde corresponden. 2. Plasmar en cédulas
narrativas si los componentes y periféricos están siendo utilizados con los fines para
los cuales fueron solicitados y no para obtener beneficios personales.
PROCEDIMIENTO HECHO REF. FOLIO POR PT’S SOFTWARE: SOFTWARE
DE USOS GENERALES: 1. Realizar cédulas narrativas en las cuales se exprese si
los documentos muestran el inventario del software de la entidad y verificar si las
licencias están bajo la custodia de una persona con la autoridad para resguardarlos.
2. Plasmar en cédulas narrativas si hay algún procedimiento de control institucional
que impida que las personas lleven artículos de la entidad a sus casas. 3. Efectuar
cédulas narrativas en las que se exprese si las condiciones del lugar en que se
encuentra resguardado el software es el adecuado. 4. Plasmar en cédulas narrativas
si se contratará con un perito, para que realice las pruebas al software, con el
propósito de verificar si está funcionando correctamente y si su instalación cumple
con las condiciones de la empresa fabricante. SOFTWARE DE USO ESPECIFICO:
1. Efectuar cédulas narrativas que expresen si los documentos que muestran el
inventario del software diseñado por los encargados del área de informática y
verificar que el software esté bajo la custodia de una persona con la autoridad para
resguardarlos.
2. Realizar cédulas narrativas sobre si hay algún procedimiento de control
institucional que impida que las personas lleven artículos de la entidad a sus casas.
3. Plasmar en cédulas narrativas si las condiciones del lugar en que se encuentra
resguardado el software es el adecuado. 4. Expresar en cédulas narrativas si se
contratará con un perito, para que realice las pruebas al software, con el propósito
de verificar si está funcionando correctamente y si su utilidad responde a las
necesidades específicas de la institución. PERSONAL: PERSONAL DEL AREA
DE INFORMATICA: 1. Efectuar cédulas narrativas que expresen si los empleados
del área de informática se sienten satisfechos con el trato dentro de la entidad y su

grado de lealtad a la misma. 2. Plasmar en cédulas narrativas si los empleados del
área de informática llevan bienes de la sociedad a sus casas. 3. Realizar cédulas
narrativas sobre los registros que la empresa tiene sobre las respectivas
capacitaciones recibidas por los empleados del área de informática 4. Realizar
cédulas narrativas sobre si hay algún procedimiento de control institucional que
impida que las personas lleven artículos de la entidad a sus casas.
USUARIOS DEL SISTEMA INFORMATICO: 1. Efectuar cédulas narrativas que
expresen si los usuarios han recibido el adiestramiento necesario en el uso del
software y si al inicio recibieron la inducción correspondiente. 2. Plasmar en
cédulas narrativas si los empleados de la entidad utilicen el software y hardware
para los fines establecidos por la entidad y siguiendo las políticas de la misma.
INSTALACIONES ELÉCTRICAS: RED ELÉCTRICA: 1. Efectuar cédulas
narrativas sobre si los tomas a los cuales se encuentra conectado el equipo
informático están debidamente polarizados con el fin de evitar sobrecargas
eléctricas. 2. Plasmar en cédulas narrativas si se contará con la ayuda de un
electricista para que verifique si las instalaciones eléctricas cumplen con las
condiciones mínimas de funcionamiento y que todavía no sean obsoletas.
SEGURIDAD: SEGURIDAD FISICA DE LOS SISTEMAS INFORMATICOS: 1.
Realizar cedulas narrativas acerca de los equipos que están ubicados muy cerca de
lugares húmedos para tomar las debidas precauciones, y que el calor sea mucho.
SEGURIDAD LOGICA DEL SISTEMA 1. Se llevara acabo una cedula narrativa y
se le pedirá al perito en programación que aplique algunos datos del sistema los
cuales también se realizarán los cuales también se realizarán de manera manual para
ver que estos den resultados iguales, y de no serlo se sugerirán las posibles
correcciones. SEGURIDAD DEL PERSONAL. 1. De acuerdo a la verificación de
la ubicación de las máquinas que no esté tan cercana a las personas y que tengan sus
respectivos protectores de pantalla para minimizar el daño a los ojos se realizara una
cedula narrativa de lo observado. SEGURIDAD DE LA INFORMACION Y LAS
BASES DE DATOS 1. Efectuar una cedula narrativa con la verificación si la
empresa tiene fuera de su local un área o local de seguridad para archivar discos y
otros documentos de respaldo para su determinación. SEGURIDAD EN EL
ACCESO Y USO DEL SOFTWARE 1. Realizar una cedula narrativa con respecto
a la verificación de que tan seguro es el sistema solicitando al programador que
intente violar la seguridad del sistema, claro está que con la debida autorización y
presencia de un administrador o representante de la administración. Para poder
concluir la revisión y llevar acaba la culminación de ello. SEGURIDAD EN LA
OPERACIÓN DEL HARDWARE
1. Efectuar una cedula narrativa sobre si los equipos están correctamente conectados
y que sean funcionales. SEGURIDAD EN LAS TELECOMUNICACIONES 1.
Plasmar en una cedula narrativa si las máquinas se encuentran en red, si todas tienen
acceso a internet y si se puede monitorear en algún momento lo que están haciendo

los usuarios. AUDITOR: LICDA. LESBIA SORAIDA SANCHEZ OSORIO
AUTORIZACIÓN No.: ----2876---- REPRESENTANTE LEGAL.
RECURSOS A UTILIZAR EN LA AUDITORIA HUMANOS Auditor Auditores
auxiliares Programador analista Especialista en redes informáticas MATERIALES
Folders Papel Bond Combustibles Lapiceros Computadoras TIEMPO Se espera
realizar la auditoría al sistema conformado de 40 computadoras conectadas en red
en un tiempo probable de 10 días. FINANCIEROS Efectivo por $ 1,762.00
PRESUPUESTO

Auditoria de sistemas

Más contenido relacionado

La actualidad más candente

Destacado

Similar a Auditoria de sistemas

Auditoria de sistemas