corporacion pacesa - auditoria a 2009-ii
TRANSCRIPT
AUDITORA INFORMTICA
UNIVERSIDAD CATLICA SANTO TORIBIO DE MOGROVEJO
AUDITORIA INFORMTICA APLICADA A LA CORPORACIN PACESA S.A.C. CHICLAYOAUTORES: CALVAY SALINAS, Henry Manuel UBILLUS SANANDRES, Ronald
ASESOR:Ing. CALLACN VERA, JuanCarlos Alberto.
Chiclayo, septiembre de 20092
AUDITORA INFORMTICA
INTRODUCCIN
3
AUDITORA INFORMTICA
RESUMEN
4
AUDITORA INFORMTICA
EPIGRAFE Donde haya un rbol que plantar, plntalo t. Donde haya un error que enmendar, enmindalo t. Donde haya un esfuerzo que todos esquivan, hazlo t. Se t el que aparta la piedra del camino. Gabriela Mistral. El hombre est hecho para el error. Este entra en su espritu con toda naturalidad, pero para descubrir una verdad requiere un esfuerzo. Federico EL GRANDE.
5
AUDITORA INFORMTICA
INDICE
CAPITULO I: SOCIEDAD AUDITORA
1.1. 1.2. 1.3. 1.4. 1.5.
Sociedad Auditora Perfiles de los Integrantes Estrategia Tcnicas Mtodos, equipos y herramientas informticas Presupuesto Detallado y
CAPITULO II: EMPRESA AUDITADA. 2.1 2.2 2.3 2.4 2.5 2.6 2.7 2.8 2.9 Entidad o Empresa Tipo de organizacin: Miembros: Objetivos y metas anuales empresariales, Misin: Visin DAFO: Vida Institucional (opcional): Competencia:
2.10 Ventajas competitivas y comparativas con la competencia: 2.11 Presupuesto anual promedio: 2.12 Organigrama funcional: 2.13 Organigrama estructural 2.14 Proceso de Negocio- Mapas conceptuales.
6
AUDITORA INFORMTICA
CAPITULO III: CONTRATO DE AUDITORIA. 3.1 3.2 Contrato de auditoria Trminos de referencia,
3.3 Delimitaciones de Estudio, 3.4 Ao(s) a auditar, 3.5 Monto u honorario (sustentacin) , 3.6 Tipo de auditoria (interna, externa, mixta), 3.7 Auditorias especificas que aplicar (adecuadas a la Empresa auditada), 3.8 Periodo de tiempo a considerar, 3.9 Relacin de cargos de la Empresa, 3.10 3.11 3.12 3.13 3.14 3.15 3.16 Documentos a solicitar, Procedimiento de levantamiento de informacin, Tcnicas utilizadas, Uso o no de metodologa, Aplicacin de norma, reas crticas a evaluar, Diagrama Gantt (En meses, semanas, das utilizados).
CAPITULO IV: CENTRO DE SISTEMAS. 4.1. 4.2. 4.3. rea estructural o funcional o equivalente, Ubicacin dentro de la Empresa, croquis, reas funcionales (produccin soporte, desarrollo y otras), descripcin de las mismas, responsables funcional u operativo de TI y reas funcionales, perfiles y trabajador, capacitaciones, 4.4. 4.5. 4.6. 4.7. funciones o responsabilidades, tipo de rea, anlisis, volumen de informacin, Resumen de hardware, resumen de software. experiencia de cada
7
AUDITORA INFORMTICA
4.8. 4.9.
Presupuesto promedio.
anual
en
TI
Parque Informtico en estadsticas porcentuales (Hardware y Software). Servidores y terminales.
4.10. Arquitectura de informacin. 4.11. Valoracin de activos: Equipo, personal, informacin y tecnologa, Topologa de Red y distribucin, proyectos y productos informticos por tipologia. 4.12. Documentos de gestin que posee informtica segn NAGU. CAPITULO V: DIAGNSTICO DE LA AUDITORIA. 5.1. Cuadros estadsticos de trabajadores, mdulos, procesos y otro elemento 5.2. 5.3. 5.4. referente a la auditoria, cuadros especficos(detallados) por rea o proceso administrativo. Sistemas de Informacin. Problemas e inconvenientes identificados globales y por rea afectada, Diagnostico de Nolan. Interpretacin de resultados obtenidos. Tipo de Tecnologa, horizonte de crecimiento. CAPITULO VI: AUDITORIAS ESPECFICAS APLICADAS 6.1. 6.2. 6.3. 6.4. 6.5. 6.6. Nombre de la auditoria. Justificacin. Origen. Alcance de las reas afectadas. Metodologa usada. Nmero, nombre y detalle de Hallazgos (aspectos positivos o negativos identificados). Nmero, nombre y detalle de Conclusiones (Base normativa).
8
AUDITORA INFORMTICA
6.7.
Nmero, nombre y detalle de recomendaciones intrnseca de (responsable entre la y periodo de tiempo y y/o definido).
6.8.
Relacin
Hallazgos,
Conclusiones Pruebas
Recomendaciones 6.9.
sociedad
auditora.
evidencias por rea, proceso o sistema. Referencias de anteriores modelo de auditoria especifica.
6.10. Tipo de Evaluacin. 6.11. Sustentacin tcnica. 6.12. Cronograma de control. 6.13. Citar los trminos de referencia, Aspectos tcnicos, Aspectos conceptuales empleados.. CAPITULO FINAL: INFORME DE AUDITORIA PARA LA ALTA DIRECCIN. Normas Transgredidas. Acciones Preventivas. Acciones Correctivas. Interpretacin de los resultados obtenidos. Conclusiones generales de los auditores. Acciones legales y administrativas a seguir. Cambios estratgicos en procesos, reas, personal u otro que se sugiera. Acciones no contempladas realizadas en la auditoria. ANEXOS Bibliografa. Modelo de entrevistas, encuestas, cuestionarios, check list u otros utilizados. Documentacin: relacin con pruebas de control, pruebas sustantivas u otros. Documentacin: relacin con evidencia. Videos, Audio, Fotografas u otros.
9
AUDITORA INFORMTICA
CAPITULO I: SOCIEDAD AUDITORA
1.1.
Sociedad Auditora: La Sociedad Auditora de nombre CALUBI AUDITORES
S.A.C, conformado por el Sr. CALVAY SALINAS, Henry Manuel identificado con DNI N 41226240 y el Sr. UBILLUS SANADRES, Ronald identificado con DNI N 44155551, constituida como Sociedad Annima Cerrada de acuerdo a lo estipula por la ley general de sociedad Ley N 26887, es una empresa que brindar servicios de auditora, consultora y asesora. Con un enfoque global, que ayudar a sus clientes a satisfacer los complejos retos que enfrentan, responder con xito ante oportunidades cambiantes, proporcionando servicios profesionales en el tiempo y momento determinado. Seguridad y confianza en la gestin de TI/SI para la toma de decisiones y el cumplimento de sus objetivos empresariales 1.2. Perfiles de los Integrantes: 1.2.1. CALVAY SALINAS, Henry Manuel: responsable, con capacidad para resolver
Persona
problemas a corto plazo, buen desenvolvimiento en el ambiente laboral, estudiante del X ciclo de la carrera profesional de Ingeniera de Sistemas de la Universidad Catlica Santo Toribio de Mogrovejo. Conocimientos en Software: de gestin de proyectos, entornos de desarrollo de programacin, sistemas 10
AUDITORA INFORMTICA
operativos (Windows), adems cuenta con la participacin en Networking Academy CISCO en la certificacin en Redes WIRELESS LAN Cisco desarrollada en la Universidad Nacional Pedro Ruiz Gallo
Experiencia laboral (no profesional) prcticas en el CIS de la Municipalidad Distrital de Ptapo. Laborando actualmente de en la y firma SONY como de
representante
ventas
mantenimiento
hardware/software de la lnea de computadoras. 1.2.2. UBILLUS SANANDRES, Ronald: Persona con adaptabilidad al cambio, flexible, con
facilidad para aprender nuevos conocimiento y esquemas. Su fecha de nacimiento es el 26 de Marzo de 1987. Actualmente con 22 aos de edad, domiciliado en la Mz. E lote 16 de la Urb. La Pradera de la ciudad de Chiclayo departamento de Lambayeque. Con D.N.I 4415551. Actualmente es estudiante del X ciclo de la carrera profesional de Ingeniera de Sistemas de la Universidad Catlica Santo Toribio de Mogrovejo. Conocimientos en Software: de gestin de proyectos, anlisis, diseo de sistemas informticos, manejadores de base de datos, Internet, ofimtica, entornos de desarrollo de programacin, soluciones de Inteligencia de negocios, simuladores, sistemas operativos (Windows); en
11
AUDITORA INFORMTICA
Hardware:
cableado,
conectividad, y redes LAN. Experiencia laboral (no profesional) laborando de
asistente en el rea de crditos de la caja municipal de ahorro y crditos de Trujillo.
12
AUDITORA INFORMTICA
La sociedad auditora CALUBI Auditores S. A.C., presenta las respectivas declaraciones juradas de los integrantes de dicha sociedad, declarando su relacin con respecto a los trabajadores de la empresa auditada. Las respectivas declaraciones pueden ser vistas en las
siguientes pginas 1.3.
del presente informe.
Estrategia y Tcnicas: La sociedad auditora determin las diferentes estrategias a seguir para la elaboracin de la auditora informtica: Programar una visita con el jefe del Departamento de Sistemas, el Sr. Luis Braco Castillo y darnos a conocer como sociedad auditora. Realizar un cronograma de actividades para el proceso de evaluacin dentro de la empresa. Evaluacin del ambiente laboral, a fin de determinar reas crticas para el desarrollo de la auditora. Utilizar las diferentes tcnicas de recoleccin de datos (entrevista, cuestionarios, encuestas) con los encargados de las reas crticas seleccionas para identificar los problemas y recoger evidencias (fotos, videos) para determinar que posibles auditorias se van a aplicar. Analizar y procesar la informacin y evidencias recogidas en la Corporacin PACESA S.A.C. Elaborar los informes respectivos por cada auditora efectuada, a fin de formular conclusiones y proponer recomendaciones para el desarrollo de las actividades dentro de la Corporacin PACESA S.A.C.
13
AUDITORA INFORMTICA
14
AUDITORA INFORMTICA
1.4.
Equipos y herramientas:EQUIPOS 01 computadora porttil. 01 computadora de escritorio. 01 impresora HP DESKJET. Cmara 02 memorias fotogrfica, USB con OLYMPUS, FE-350 Wide. capacidad de 1 GB HERRAMIENTAS Software de ofimtica (Microsoft Office 2007) Software de diseo (Microsoft Visio 2007)
Software
de
red
(Packet
Tracer 5.0)
1.5.
Presupuesto Detallado: Para la realizacin de esta auditoria la Sociedad Auditora consider el siguiente presupuesto: Tabla N 02: Presupuesto de Materiales para la Auditoria
PRECIO RUBRO DESCRIPCIN tiles de escritorio Copias Papel Bond A4 (hojas) Ordenador de Escritorio (horas) Ordenador EQUIPOS HERRAMIENTAS Porttil (horas) Cmara digital Paquete ofimtico Movilidad Internet (horas) otros CANTIDAD 12 90 500 250 200 1 0 2 80 2 UNITARIO 0,70 0,05 0,03 1,50 1,00 5,00 0,00 60,00 1,00 30,00 TOTAL
PRECIO TOTAL 8,40 4,50 15,00 375,00 200,00 5,00 0,00 120,00 80,00 60,00 867,90
MATERIALES
SERVICIOS
15
AUDITORA INFORMTICA
DECLARACIN JURADA Yo, CALVAY SALINAS , HENRY MANUEL de Nacionalidad PERUANA con documento de identidad N 41226240, despendome como AUDITOR, de la Sociedad Auditora CALUBI AUDITORES S.A.C., ubicado en el Distrito de CHICLAYO de la Provincia de CHICLAYO del Departamento juramento que: Conozco el rbol genealgico de mi familia, y por consiguiente, no cuento con ninguna relacin consangunea o parentesco con ningn trabajador de la empresa auditada. As mismo, no cuento relacin poltica con dichos trabajadores. Me afirmo y me ratifico en lo expresado, en seal de lo cual firmo el presente documento en la ciudad de CHICLAYO a los 08 das del MES DE septiembre de 2009 de LAMBAYEQUE, y realizando una AUDITORIA INFORMTICA a la CORPORACIN PACESA S.A.C., declaro bajo
-----------------------------------Calvay Salinas,Henry Manuel DNI N 41226240
16
AUDITORA INFORMTICA
DECLARACIN JURADA Yo, UBILLUS SANANDRES, RONALD de Nacionalidad PERUANA con documento de identidad N 44155551, despendome como AUDITOR, de la Sociedad Auditora CALUBI AUDITORES S.A.C., ubicado en el Distrito de CHICLAYO de la Provincia de CHICLAYO del Departamento juramento que: Conozco el rbol genealgico de mi familia, y por consiguiente, no cuento con ninguna relacin consangunea o parentesco con ningn trabajador de la empresa auditada. As mismo, no cuento relacin poltica con dichos trabajadores. Me afirmo y me ratifico en lo expresado, en seal de lo cual firmo el presente documento en la ciudad de CHICLAYO a los 08 das del MES DE SEPTIEMBRE de 2009 de LAMBAYEQUE, y realizando una AUDITORIA INFORMTICA a la CORPORACIN PACESA S.A.C., declaro bajo
-----------------------------------Ubillus Sanandres, Ronald DNI N 44155551
17
AUDITORA INFORMTICA
CAPITULO II: EMPRESA AUDITADA. 2.1 Entidad o Empresa La Corporacin Empresarial PACESA, es una sociedad dedicada a la actividad agrcola especialmente a la produccin y acopio de caa de azcar, venta de insumos qumicos y fertilizantes y al financiamiento de campaas agrcolas; con sus accionistas Ernesto Flores Vlchez, Segundo Montenegro Villegas, Andrs Samam Chuque. Est conformado por las empresas Agroindustria San Pedro Nolasco S.A., Agroqumicos del Sur ABC SAC, Inversiones del Agro Peruano SAC, Corporacin Peruana de Negocios SAC. Se encuentra ubicada en la Calle Abtao 118 Urb. Santa Victoria de la Provincia de Chiclayo. A continuacin se muestra la ubicacin exacta de la Corporacin Figura N 01: Ubicacin Corporacin PACESA S.A.C
18
AUDITORA INFORMTICA
Fuente: Google Heart
2.2
Miembros: La sociedad auditora, obtuvo la siguiente informacin del MOF con que cuenta la Corporacin: CARGO DIRECTORES GERENTE GENERAL Asistente de gerencia Jefe del departamento sistemas Jefe del ventas Gerente departamento de operaciones
de de y
servicios Gerente de crditos 2.3 y Misin: Nos dedicamos al acopio de caa de azcar, generando trabajo bienestar humano gracias al buen prestigio ganado en el sector agroindustrial en base al trabajo en equipo entre obreros, empleados, funcionarios y Directores de la empresa. Queremos lograr ser social y competitivos, rentables y sostenibles econmica, ambientalmente para beneficio de nuestros clientes y nuestra comunidad.
accionistas, trabajadores, 2.4 Visin: Somos una empresa
competitiva,
rentable
y
sostenible,
econmica, social y ambientalmente, que ofrece productos y servicios agroindustriales de calidad satisfaciendo las demandas en el sector azucarero y de produccin agroqumicos
19
AUDITORA INFORMTICA
2.5
DAFO:DEBILIDAD 1 Sistema de control 2 Sistema de toma de 1 2 AMENAZAS Dependencia de los costos del petrleo Acuerdos de comercio
decisiones 3 Portafolio de productos 4 Motivacin 5 Incentivos al personal
internacionales 3 Crisis econmica mundial La competencia mundial 4 desigual 5 Inestabilidad del sector 6 Crisis de valores 7 Nuevos competidores 8 Dificultad del transporte 9 fenmenos naturales 1 0 1 Calidad de vas de acceso Condiciones climticas y
1 ambientales
OPORTUNIDADES 1 2 3 4 Preferencias de los Clientes Telecomunicaciones Comercio electrnico Acceso a la tecnologa
FORTALEZAS 1 Imagen corporativa 2 Uso de planes estratgicos. 3 Control gerencial 4 Orientacin empresarial Habilidad para manejar fluctuaciones 5 econmicas 6 7 8 9 Lealtad y participacin del cliente Participacin en el mercado Personal competitivo Acceso al capital cuando lo requiere
Globalizacin de la 5 informacin Nuevas Tecnologas Industriales
6
1 Rentabilidad, retorno de la inversin
20
AUDITORA INFORMTICA
0 1 1 1 2 1 3 1 4
Liquidez disponibilidad de fondos internos Inversin de capital para satisfacer la demanda Tecnologa usada para los servicios Profesionalismo del personal
2.6
Competencia: Cooperativa azucarera Tumn Cooperativa azucarera Pomalca Cooperativa azucarera Cayalti Cooperativa azucarera Ferreafe
2.7 2.8
Ventajas
competitivas
y
comparativas
con
la
competencia: Presupuesto anual promedio:
21
AUDITORA INFORMTICA
2.9
Organigrama estructural Para obtener el organigrama estructural se hizo revisin del MOF. A continuacin se presenta las areas existentes en la Corporacin PACESA SAC y el nivel en el que se encuentran. Figura N 02: Modelo de negocio-Proceso de ventas de la Corporacin PACESA S.A.C
Fuente: Informe Gerencial 2008 - PACESA
22
AUDITORA INFORMTICA
2.10
Proceso de Negocio: La sociedad auditora tom como referencia el siguiente grfico para modelar el proceso de negocios que realiza la Corporacin PACESA. Figura N 03: Modelo de negocio-Proceso de ventas de la Corporacin PACESA S.A.C
SAN PEDRO NOLASCO
AZCAR
INVERSIONES DEL AGRO PERUANO
INGENIOS
DEPARTAMENTO DE CRDITOS
AGROQUMICOS DEL SUR ABC
PRODUCTO FINAL Bolsa de azcar
Mercado
Fuente: Informe Gerencial 2008 - PACESA
23
AUDITORA INFORMTICA
24
AUDITORA INFORMTICA
CAPITULO III: PLANIFICACIN DE LA AUDITORIA. 3.1 Contrato de auditoria La sociedad auditora CALUBI Auditores S.A.C. estableci el siguiente contrato: Contrato de prestacin de servicios profesionales de auditora en informtica que PACESA encomiendan S.A.C., por una parte LA CORPORACIN representado por FLORES
VILCHEZ, ERNESTO, en su carcter de GERENTE GENERAL y que en lo sucesivo se denominar EL CLIENTE, por otra parte, la sociedad CALUBI Auditores S.A.C., representado por Sr. CALVAY SALINAS, HENRY MANUEL a quien se denominar el auditor, de conformidad con las declaraciones y clusulas siguientes: DECLARACIONES I. El CLIENTE declara que: a) Que es una entidad particular dedicada al acopio de caa de azcar, con domicilio legal en Calle Abato N 118 Urb. Santa Victoria, Chiclayo. b) Que est representado para este acto por el Sr. FLORES VILCHEZ, ERNESTO, identificado con DNI 16768064. c) Que requiere tener servicios de auditora en informtica, por lo que ha decidido controlar los servicios del AUDITOR. II. El AUDITOR declara que: a) Que es una SOCIEDAD ANNIMA CERRADA, constituida y existente de acuerdo con las leyes y que dentro de sus objetivos primordiales est el de prestar auditora en
25
AUDITORA INFORMTICA
informtica
a
la
CORPORACIN PACESA S.A.C. b) Que est representado por el SR. CALVAY SALINAS, HENRY MANUEL, identificado con DNI 41226240. c) Que seala como su domicilio Ca. LEN BARANDIARAN N 128, Dep. 201 URB. LOS ABOGADOS. III. Declaran ambas partes: a) Que habiendo llegado a un acuerdo sobre lo antes mencionado, lo formalizan otorgando el presente contrato que se contiene en las siguientes: CLASULAS: PRIMERA. OBJETO El auditor se obliga a prestar al cliente los servicios de auditora en informtica para llevarla a cabo la evaluacin de la direccin de informtica del cliente, que se detallan en la propuesta de servicios anexa que, firmada por las partes, forma parte integrante del contrato. SEGUNDA. ALCANCE DEL TRABAJO El alcance de los trabajos que llevar a cabo el auditor dentro de este contrato son: a) La Evaluacin Fsica: Verificacin de la ubicacin y seguridad de las instalaciones. Verificacin de la seguridad de los equipos de comunicacin, servidores y estaciones de trabajo. Verificacin de la seguridad del personal.
26
AUDITORA INFORMTICA
Verificacin
de
los
procedimientos para el respaldo de la informacin. b) La Evaluacin Ofimtica. Verificacin si el inventario ofimtico refleja con exactitud los equipos y aplicaciones existentes en la organizacin.
Verificacin y evaluacin del procedimiento de adquisiciones de equipos y aplicaciones. Evaluacin de la calidad de las aplicaciones del entorno ofimtico desarrollada por personal de la propia organizacin. Evaluar la correccin del procedimiento existente para la realizacin de los cambios de versiones y aplicaciones. Verificacin si los usuarios cuentan con suficiente formacin y la documentacin de apoyo necesaria para desarrollar sus tareas de un modo eficaz y eficiente. Verificar si el sistema existente se ajusta a las necesidades reales de la organizacin. c) Explotacin Verificacin de los Controles Operativos y de Organizacin. Verificacin de los controles sobre el desarrollo de programas y su documentacin. Verificacin de los controles sobre los Programas y los Equipos. Verificacin de los Controles de Acceso. Verificacin de los controles sobre los procedimientos y los datos Trminos de referencia. d) Seguridad Verificacin de Seguridad Fsica. Verificacin de Seguridad Lgica. Verificacin de la Seguridad y el Desarrollo de las Aplicaciones. 27
AUDITORA INFORMTICA
Verificacin
de
Continuidad de las Operaciones. e) Elaboracin de Informes Elaboracin de informes que contengan conclusiones y recomendaciones por cada uno de los trabajos sealados en los incisos a, b, c y d.
28
AUDITORA INFORMTICA
TERCERA. PROGRAMA DE TRABAJO El cliente y los auditores convienen en desarrollar en forma conjunta un programa de trabajo en el que se determinen con precisin las actividades a realizar por cada una de las partes, los responsables de llevarlas a cabo y las fechas de realizacin. CUARTA. SUPERVISIN El cliente o quien designe tendr derecho a supervisar los trabajos que se le han encomendado al auditor dentro de este contrato y a dar por escrito las instrucciones que estimen convenientes. QUINTA. COORDINACIN DE LOS TRABAJOS El cliente designar por parte de la organizacin a un coordinador del proyecto quien ser el responsable de coordinar la recopilacin de la informacin que solicite el auditor y de que las reuniones y entrevistas establecidas en el programa de trabajo se lleven a cabo en las fechas establecidas. SEXTA. HORARIO DE TRABAJO Los auditores declaran el tiempo necesario para cumplir satisfactoriamente con los trabajos materia de la celebracin de este contrato, de acuerdo al programa de trabajo convenido por ambas partes y gozarn de libertad fuera del tiempo destinado al cumplimiento de las actividades, por lo que no estarn sujetos a horarios y jornadas determinadas. SEPTIMA. RELACIN LABORAL El personal del auditor no tendr ninguna relacin laboral con el cliente y queda expresamente estipulado que este contrato se suscribe en atencin a que el auditor en ningn momento se
29
AUDITORA INFORMTICA
considere intermediario del cliente respecto al personal que ocupe para dar cumplimiento de las obligaciones que se deriven de las relaciones.
OCTAVA. PLAZO DE TRABAJO Los auditores se obligan a terminar los trabajos sealados en la clusula segunda de este contrato en 40 das hbiles despus de la fecha en que se firme el contrato y sea cobrado el anticipo correspondiente. El tiempo estimado para la terminacin de los trabajos est en relacin a la oportunidad en que el cliente entregue los documentos requeridos por los auditores y por el cumplimiento de las fechas estipuladas en el programa de trabajo aprobado por las partes, por lo que cualquier retraso ocasionado por parte del personal del cliente o de usuarios de los sistemas repercutir en el plazo estipulado, el cual deber incrementarse de acuerdo a las nuevas fechas establecidas en el programa de trabajo, sin perjuicio alguno para el auditor. NOVENA. HONORARIOS El cliente pagar al auditor por los trabajos objeto del presente contrato, honorarios por la cantidad de S/.9000.00 nuevos soles ms el impuesto al valor agregado correspondiente. La forma de pago ser la siguiente: a) 20 % a la firma del contrato. b) 30 % a los 20 das hbiles despus de iniciados los trabajos. c) El resto a la terminacin de los trabajos y presentacin del informe final. DCIMA. ALCANCE DE LOS HONORARIOS El importe sealado en la clusula noven compensar al auditor por sueldos, horarios, organizacin y direccin tcnica propia de
30
AUDITORA INFORMTICA
los servicios de auditora, as como de prestaciones sociales y laborales de su personal. DECIMOPRIMERA. INCREMENTO DE HONORARIOS En caso de que tenga un retraso debido a la falta de entrega de informacin, demora o cancelacin de las reuniones, o cualquier otra causa imputable al cliente, este contrato se incrementar en forma proporcional al retraso y se sealar el incremento de comn acuerdo, siendo este del 5% cada cinco das de trabajo. DECIMOSEGUNDA. TRABAJOS ADICIONALES De ser necesaria alguna adicin a los alcances o productos del presente contrato, las partes celebrarn por separado un convenio que formara parte integrante de este instrumento y en forma conjunta se acordara el nuevo costo. DECIMOTERCERA. VITICOS, PASAJES Y OTROS. El importe de los viticos y pasajes en que incurra al personal de la sociedad auditora en el traslado, as como en el hospedaje y la alimentacin que se requieran durante la auditora respectiva, como consecuencia de los trabajos objeto de este contrato, ser por cuenta del cliente. DECIMOCUARTA. JURISDICCIN Todo lo no previsto en este contrato se regir por las disposiciones relativas, contenidas en el Cdigo Civil de Per, en caso de controversia para su interpretacin y cumplimiento, las partes se someten a la jurisdiccin de los tribunales federales, renunciando al fuero que les pueda corresponder en razn de su domicilio presente o futuro. Enteradas las partes del contenido y alcance legal de este contrato, lo rubrican y firman de conformidad en original y tres
31
AUDITORA INFORMTICA
copias, en la ciudad de Chiclayo, el da de 25 de septiembre de Abril de 2009.
-----------------------------------Sr. Flores Vilchez, Ernesto Gerente General DNI. 16768064
-----------------------------------Sr. Calvay Salinas,Henry Manuel Representante Legal DNI N 41226240
32
AUDITORA INFORMTICA
3.2
Trminos de referencia: Manual de Organizaciones y Funciones (MOF): El Manual de Organizacin y Funciones, es un documento normativo que describe las funciones especficas a nivel de cargo o puesto de trabajo desarrollndolas a partir de la estructura orgnica y funciones generales establecidas en el Reglamento de Organizacin y Funciones, as como en base a los requerimientos de cargos considerados en el Cuadro de Asignacin de Personal. Contingencia: Es un hecho o evento que puede suceder o no. Tambin se puede definir como un evento particular potencialmente desastroso que afectara a un escenario geogrfico definido Seal de seguridad: seal que por la combinacin de una forma geomtrica y de un color, proporciona una indicacin general relativa a la seguridad y que, s se aade un smbolo grfico o un texto, proporciona una indicacin particular relativa a la seguridad. Sistemas: Cualquier conjunto cohesionado de elementos que estn dinmicamente relacionados para lograr un propsito determinado. Software: El software est formado por todos los programas necesarios para el equipo fsico (Hardware) que funcione y realice la tarea que nos hayamos propuesto. La base del software es la programacin. Observacin: identificados Hechos el o circunstancias que significativos motivar durante examen pueden
oportunidades de mejoras. Si bien el resultado obtenido adquiere la denominacin de hallazgo, para fines de presentacin en el informe se convierte en observacin.
33
AUDITORA INFORMTICA
Windows:
Sistema
operativo utilizado en ordenadores personales con un entorno de trabajo grfico basado en ventanas, que permite ejecutar programas (aplicaciones) de una forma ms intuitiva y cmoda para el usuario. Windows XP: Sistema operativo que una la estabilidad de las versiones profesionales de Windows (Windows NT y Windows 2000) con las ventajas del sistema domstico (Windows 95 98 ME) a la hora de instalar hardware y de ejecutar software. Base de datos: Es una coleccin de ficheros interrelacionados. Se puede definir ms formalmente como un conjunto de datos operativos a los que acceden los programas de aplicacin o los usuarios. Ofimtica: Se llama ofimtica al equipamiento hardware y software usado para idear y crear, coleccionar, almacenar, manipular y transmitir digitalmente la informacin necesaria en una oficina para realizar tareas y lograr objetivos bsicos. Las actividades bsicas de un sistema ofimtico comprenden el almacenamiento de datos en bruto, la transferencia electrnica de los mismos y la gestin de informacin electrnica relativa al negocio. 3.3 Delimitaciones de Estudio: El desarrollo de la auditoria debi desarrollarse a nivel de todas las empresas que conforman la Corporacin PACESA S.A.C que incluyen los ingenios que se ubican en el distrito de Pucal, pero por cuestiones acadmicas la sociedad auditora CALUBI AUDITORES S.A.C. desarroll la auditoria a nivel de las oficinas principales ubicadas en al Ciudad de Chiclayo. 3.4 Ao(s) a auditar:
34
AUDITORA INFORMTICA
3.5
Monto
u
honorario
(sustentacin) 3.6 Tipo de auditoria (interna, externa, mixta) La sociedad auditora CALUBI auditores S.A. realiz un tipo de auditoria externa sobre la entidad auditada CORPORACIN PACESA S.A.C. 3.7 Auditorias especificas que aplicar (adecuadas a la Empresa Auditada) La sociedad auditora CALUBI S.A.C determin que de las acuerdo a lo analizado en la Corporacin se aplicaran siguientes auditorias informticas: Auditoria Fsica: Auditoria Ofimtica: Auditoria Seguridad: Auditoria de desarrollo: Auditoria de direccin: 3.8 3.9 Periodo de tiempo a considerar Relacin de cargos de la Empresa
3.10 Documentos a solicitar Norma nagu Plan de sistemas Plan de contigencia En que ao 3.11 Procedimiento de levantamiento de informacin
metodologa a utilizar
35
AUDITORA INFORMTICA
3.12
Herramientas y tcnicas utilizadas Cuaderno de campo
HERRAMIENTAS Grabadora de audio Cmara fotogrfica Cmara de video El grupo auditor, debe ser muy observador durante el TCNICA OBSERVACIN desarrollo el de la auditoria. realizado, Deben estar concentrados en trabajo considerar el ms mnimo detalle y no obviar ninguna irregularidad. La revisin o arbitraje es un mtodo usado para validar trabajos escritos y solicitudes de financiacin con el fin de REVISIN ANALTICA medir su calidad, factibilidad, DE DOCUMENTACIN, CONTRATOS, ETC. LA rigurosidad al cientfica, escrutinio, a etc. y la Este mtodo deja abierto el frecuentemente
POLTICAS, NORMAS, trabajo
anotacin o edicin, por un nmero de autores iguales en rango al slo autor. se 36 Normalmente
AUDITORA INFORMTICA
considera
vlida
una
publicacin cientfica cuando ha pasado por un proceso de revisin por pares como el de admisin para publicacin en una revista arbitrada. Se realizarn entrevistas al encargado ENTREVISTA Informtica, que mejor del y a rea tener de de una la personas
permitan
evaluacin
empresa. Se aplica esta tcnica modo que clara el y auditado responda Se escuetamente.
deber interrumpir lo menos posible a ste, y solamente en los casos en que las respuestas CHECKLIST. pregunta. invitar un a se En aqul concreto, aparten de la algunas a y que en la sustancialmente
ocasiones, se har necesario exponga con mayor amplitud tema cualquier caso, se deber evitar presin absolutamente sobre el mismo.
Algunas de las preguntas de las Checklists utilizadas para cada sector, deben ser
37
AUDITORA INFORMTICA
repetidas. En efecto, formular
bajo
apariencia distinta, el auditor preguntas equivalentes a las mismas o a distintas personas, en las mismas fechas, o en fechas diferentes. De este modo, se podrn descubrir con mayor facilidad los el puntos auditor y contradictorios; de las
deber analizar los matices respuestas reelaborar complementarias hayan contradicciones, El entrevistado un por las y en no preguntas cuando existido hasta debe
conseguir la homogeneidad. percibir El auditor, excesivo su parte, notas nunca su
formalismo en las preguntas. tomar del
imprescindibles en presencia auditado, escribir cruces ni marcar cuestionarios presencia. 3.13 Uso o no de metodologa
La sociedad auditora, elige la metodologa acadmica planteada por Mario G. Piattini, el cual se indica que es una de las metodologas ms comunes. 38
AUDITORA INFORMTICA
El criterio a la eleccin de esta metodologa es bsicamente la que realiza un anlisis de riesgos mediante tcnicas de Checklist, cuestionarios adaptados a cada entorno especfico; deber tenerse en cuenta que determinados controles se repetiran en las diversas reas. Esto es a que dichos controles tienen incidencia independiente en cada una y, que se pretende poder analizar cada rea independientemente, es necesaria dicha repeticin. As mismo los controles gerenciales y algunos controles de caractersticas especiales, como pueden ser los de redes, se aplicarn teniendo en cuenta las particularidades de cada entorno. Tambin indicamos, que la metodologa ir acompaada de tcnicas de entrevistas, y de fichas de observacin. 3.14 3.15 Aplicacin de norma reas crticas a evaluar
La sociedad auditora, basndose en el organigrama que presenta a Corporacin auditada, se enfoc a las siguientes reas, por ser de vital importancia y las que manejan informacin crtica para la empresa: Recursos humanos rea de sistemas Contabilidad Comercializacin y ventas Logstica Gerencia 3.16 Diagrama Gantt (En meses, semanas, das utilizados).
39
AUDITORA INFORMTICA
40
AUDITORA INFORMTICA
CAPITULO IV: CENTRO DE SISTEMAS. 4.1. rea estructural o funcional o equivalente: La sociedad CALUBI Auditores S. A. (de ahora en adelante Sociedad Auditora), pone de manifiesto que en la CORPORACIN PACESA S.A.C., se desarrolla la funcin de informtica. As mismo, se manifiesta que actualmente cuenta con un rea fsica donde cumplen con sus respectivas funciones, pero no estn muy marcados los rganos y sus funciones pues solo existe un solo jefe en dicha rea el cual realiza, en su totalidad, las funciones mnimas del departamento de sistemas. 4.2. Ubicacin dentro de la Empresa El departamento de dentro de la Gerencia de Administracin y finanzas. La Sociedad Auditora pone de manifiesto que el departamento de informtica brinda apoyo a las distintas reas dentro de la Corporacin, adems de ello la sociedad auditora pone bien en claro que dentro del organigrama el departamento de sistemas se subdivide en proyectos y desarrollo, pero de manera fsica no se cumple, puesto que solo existe una sola persona que realiza dichas funciones a la vez. 4.3. Croquis del departamento de sistemas: informtica, de la Corporacin, aparece
41
AUDITORA INFORMTICA
4.4.
reas funcionales (produccin soporte, desarrollo y otras), descripcin de las mismas, responsables funcional u operativo de TI y reas funcionales La Sociedad Auditora determina que en la Corporacin, el departamento de funciones: Brindar soporte con soluciones informticas a las informtica cumple con las siguientes
diferentes reas de la Corporacin. Soporte y mantenimiento tcnico del hardware de la Corporacin Evaluar el rendimiento de los computadores, redes de la institucin y el servicio de soporte y mantenimiento. Dar soporte y recomendar equipos y tecnologas adecuadas. Informar del estado de los computadores del parque informtico, y proponer su mantenimiento. Automatizar los procesos principales que realiza la corporacin.
42
AUDITORA INFORMTICA
4.5.
Perfiles y
experiencia de cada trabajador, capacitaciones,
Funciones o responsabilidades, tipo de rea, anlisis, Volumen de informacin, NOMBRE DEL TRABAJADOR: Braco Castillo, Luis PERFILES Tcnico en computacin e informtica egresado del Instituto Superior Tecnolgico ABACO, actualmente cursando estudios de especializacin para ingeniera de sistemas en la Universidad Catlica Santo Toribio de Mogrovejo. EXPERIENCIA CAPACITACIONES FUNCIONES RESPONSABILIDAD Y
4.6.
Resumen de hardware,
43
AUDITORA INFORMTICA
4.7. 4.8. 4.9.
Resumen de software. Presupuesto anual en TI promedio. Parque Informtico en estadsticas porcentuales (Hardware y Software). Servidores y terminales.
4.10. Arquitectura de informacin.
4.11. Valoracin
de
activos:
Equipo,
personal,
informacin
y
tecnologa, Topologa de Red y distribucin, proyectos y productos informticos por tipologia. 4.12. Documentos de gestin que posee informtica segn NAGU.
44
AUDITORA INFORMTICA
CAPITULO V: DIAGNSTICO DE LA AUDITORIA. 5.1. Cuadros estadsticos de trabajadores, mdulos, procesos y otro elemento referente a la auditoria, cuadros especficos(detallados) por rea o proceso administrativo. 5.2. 5.3. Sistemas de Informacin. Problemas e inconvenientes identificados globales y por rea afectada, 5.4. Diagnostico de Nolan. La Sociedad Auditora explica brevemente las etapas que consiste el Modelo de NOLAN: Etapa 1. Iniciacin. Esta etapa se caracteriza por la automatizacin de procesos operativos de bajo nivel para reducir los costes funcionales. El usuario se mantiene alejado. Etapa 2. Expansin. Esta etapa se caracteriza por la diseminacin Etapa 3. y el contagio Esta etapa de se los participantes. por la Automatizacin de procesos operativos completos. Control. caracteriza profesionalizacin de los participantes. Hay una tendencia hacia la administracin de datos y la implicacin de los usuarios en los gastos informticos. Etapa 4. Integracin. Aplicaciones on - line y Bases de Datos. Aparecen deficiencias de crecimiento. Mayor control administrativo. El usuario aprende a responsabilizarse. Etapa 5. Administracin de datos. Aparecen modelos de datos y necesidades de informacin de la Organizacin.
45
AUDITORA INFORMTICA
Independencia
de
entornos material - logical. Usuarios responsables. Etapa 6. Madurez. La organizacin asume el papel innovador de las Tecnologas de la Informacin. Aplicaciones oportunas y competitivas. Responsabilidad conjunta de usuarios e informticos.
Los resultados obtenidos al aplicar el anexo DIAGNOSTICO DE LA FUNCIN DE INFORMTICA, han sido los siguientes: - En TECNOLOGA, estn en la etapa 1. - En MOTIVACIONES, han considerado el orden de ABCD - En SISTEMAS, estn en la etapa 1. - En actitud, se ha sealado la opcin A. - No poseen procedimientos internos ni externos. - Su PARTICIPACIN es individual.
5.5.
Interpretacin de resultados obtenidos. Tipo de Tecnologa, horizonte de crecimiento.
46
AUDITORA INFORMTICA
CAPITULO VI: AUDITORIAS ESPECFICAS APLICADAS 6.1 AUDITORIA FSICA 6.1.1 Justificacin La sociedad auditora justifica esta auditoria por las siguientes razones: Determinar el nivel de seguridad fsica tanto de los activos humanos, lgico y materiales fsicos, tales como son edificio, infraestructura, telecomunicaciones, datos; puesto que el ambiente donde se desenvuelven estos activos no es a medida ya que es un local alquilado. Determinar si en la Corporacin existen polticas de seguridad, normas, planes de contingencia, sealizaciones, entre otros. 6.1.2 Origen La Sociedad Auditora bas el origen de la presente auditora por el tamao de esta Corporacin ya que est conformada por un 3 empresas, ocasionando que sta presente un amplio manejo de flujo de informacin, es por ello que es de vital importancia tener un correcto manejo y procesamiento de la misma. 6.1.3 reas Evaluadas Para el desarrollo de la presente auditora la Sociedad Auditora evalu el departamento de informtica, por las restricciones de acceso a las reas en su totalidad. 6.1.4 Metodologa usada.
47
AUDITORA INFORMTICA
Se
utiliz
la
Metodologa EDPAA, referenciada en el libro del autor Mario Piattini.
48
AUDITORA INFORMTICA
6.1.5 Hallazgos La Sociedad Auditora CALUBI, para la realizacin de la presente auditora hizo uso de las tcnicas de observacin de los diferentes ambientes dentro del edificio, adems de aplicar un conjunto de preguntas durante la entrevista con el jefe del departamento de Sistemas Luis Braco Castillo. De ello se identificaron los siguientes hallazgos: Hallazgo # 1: el local donde se desarrollan las labores diarias de la Corporacin es un local alquilado donde han acoplado este edificio en la medida de distribuir uniformemente las reas. Adems de ello no existe el aire acondicionado, solo se usan ventiladores elctricos. Hallazgo # 2: existe un solo extintor en caso de incendios, el cual se encuentra ubicado en el 2 piso del local. Hallazgo # 3: el rea de atencin al cliente es de pequea proporcin, sin ventilacin. Hallazgo # 4: no se encontr ninguna sealizacin de seguridad. Hallazgo # 5: existe una sola cmara de vigilancia, y en mala ubicacin. Hallazgo # 6: la seguridad del local y el control de acceso de personas de los es realizada por personas no de confianza accionistas, los cuales portan
identificacin alguna ni la vestimenta adecuada como personal de seguridad. No se lleva un control de que
49
AUDITORA INFORMTICA
personas ingresan o salen del local. Hallazgo # 7: no existe manual, ni norma alguna que se aplique de seguridad. Hallazgo # 8: El departamento de sistemas se encuentra ubicado en el 1 piso del local, a vista y paciencia de todo el personal, al lado del bao donde todo el personal acude, la puerta de contra placada de tripley y la chapa de sta inadecuada lo cual es inseguro ya que en caso de un robo es fcil de acceder, porque es un material dbil, ante una situacin as. Hallazgo # 9: El departamento de sistemas tiene una ventana la cual sta muy cerca de la calle, con fcil acceso de personas ajenas. Hallazgo # 10: dentro del departamento de sistemas se encuentra el escritorio del jefe de sistemas, los servidores los cuales son: servidor de dominio, servidor de base de datos, servidero de seguridad, servidor de correo, los cuales se encuentran encima de un escritorio, sin proteccin, al lado de un tanque de agua mineral, y sin ventilacin alguna. Adems de ello existen computadores de escritorio inutilizables regadas por el piso de dicha rea juntamente con los cables de red. Hallazgo # 11: los compartimientos de las diferentes reas no tiene las dimensione estructurales apropiadas, ya que no tiene espacio suficiente impidiendo al personal desplazarse con comodidad y cumplir con su labro correctamente.
50
AUDITORA INFORMTICA
Hallazgo # 12: Se encontr que las copias de seguridad son guardados en memorias usb diariamente y son portados por el jefe del rea de sistemas el cual lo puede transportar al lugar que el desee. Hallazgo # 13: La Corporacin PACESA no cuenta con un plan de contingencia que establezca que se debera hacer antes, durante y despus de una eventualidad catstrofe.
51
AUDITORA INFORMTICA
Hallazgo # 14: Se encontr cables de luz descubiertos, cables de red sin pasar por canaletas convirtindose en un peligro para las personas que laboran en dichas instalaciones y as mismo un peligro para los equipos. Hallazgo # 15: cuentan con un pozo a tierra. 6.1.6 1. Conclusiones. Base normativa No cuenta con un plan de contingencia que
permita actuar ante algn tipo de eventualidad (NAGU 500-06). 2. Respecto a las sealizaciones, no existe ningn tipo de sealizaciones de zonas seguras establecido en la NTP 399.0.10-1 2004: Seales de Seguridad, la cual establece las formas en que deben de gestionarse las seales de emergencia, estipulando las distancias, los casos en que se deben de colocar y las interpretaciones de estos. 3. No se cuentan con extintores que prevenga cualquier clase de incendios como lo estipulan las normas: NTP 350.043-1:1998 y 350.043-2:1998 Extintores Porttiles (Extintores porttiles seleccin, distribucin, mantenimiento, recarga y prueba hidrosttica); la NTP 350.021:2004 Clasificacin de los Fuegos y su Representacin Grafica. 4. No se realiza un registro de visitas a las instalaciones como lo estipula la norma NTP ISO/IEC 17799 - Cdigos de Buenas Prcticas Para la Gestin de la Seguridad de la Informacin, en su apartado de Seguridad Fsica y del entorno (seguridad de oficinas, despachos y recursos).
52
AUDITORA INFORMTICA
5.
No se cuenta con gabinetes para albergar sus
equipos de comunicacin, incumpliendo con la norma: ANSI/TIA/EIA 569: Espacios y canalizaciones para telecomunicaciones en edificios comerciales. 6. No existen polticas o procedimientos que prohban el ingreso y manipulacin de informacin del personal entre oficinas sin la debida autorizacin del que las representa como lo estipula la NTP ISO/IEC 17799: en cuanto a Seguridad Fsica y del entorno, que establece en la parte de reas seguras, el objetivo es evitar accesos no autorizados, daos e interferencias contra los locales y la informacin de la organizacin. Adems se debe tener seguridad de oficinas, despachos y recursos, tomando en cuenta las regulaciones y estndares de salud y seguridad. 6.1.7 Recomendaciones. Tiempo Recomendacin: 1. Colocar las seales de seguridad necesarias para el correcto desplazamiento tanto de los trabajadores como usuarios de la institucin, ya sean seales de emergencia, se seguridad, de evacuacin, etc. 2. Reubicar cada una de las reas funcionales para mayor comodidad y optimo funcionamiento de los procesos de la Corporacin. 3. Se recomienda reubicar el departamento de informtica a la brevedad posible, par evitar el deterjo de equipos y el acceso a personas no autorizadas. 4. Desarrollar e implementar un Plan de Contingencias de la Corporacin que establezca los procedimientos a utilizarse para salvaguardar la integridad de la Responsabilidad. Perodo de
53
AUDITORA INFORMTICA
informacin y del personal ante eventualidades. 5. Colocar extintores o sistemas contra incendios que permitan responder eficazmente frente a cualquier incidente. 6. Colocar gabinetes para la seguridad de los equipos de telecomunicaciones para cumplir con las normas respectivas y asignar a un personal encargado de su mantenimiento. 7. Llevar un registro de control de las visitas.
RECOMENDADIN N 1 2
RESPONSABILIDAD LOGSTICA GERENTE DE ADMINISTRACIN GERENTE DE ADMINISTRACIN GERENTE GENERAL
PERODO DE TIEMPO 1 mes
6 meses 1 mes
3 4
DIRECTORIO GERENTE DE ADMINISTRACIN GERENTE GENERAL JEFE DEL DEPARTAMENTO DE SISTEMAS
6 meses
5
GERENTE GENERAL JEFE DEL DEPARTAMENTO DE SISTEMAS GERENTE GENERAL DIRECTORIO JEFE DEL DEPARTAMENTO DE SISTEMAS GERENTE DE ADMINISTRACIN GERENTE GENERAL VIGILANCIA GERENTE DE ADMINISTRACIN 2 semanas 3 meses 3 meses
6
7
54
AUDITORA INFORMTICA
6.1.8 Relacin intrnseca entre Hallazgos, Conclusiones y Recomendaciones de la sociedad auditora. HALLAZGO CONCLUSIN RECOMENDACIONES
55
AUDITORA INFORMTICA
6.1.9 Pruebas y/o evidencias por rea, proceso o sistema.
6.1.10 especifica. 6.1.11
Referencias de anteriores modelo de auditoria
Tipo de Evaluacin.
La Sociedad Auditora calific una vez concluida la Auditoria Fsica como Desfavorable, debido a que actualmente se infringe un gran nmero de normas legales con respecto a la seguridad fsica que pone en riesgo la infraestructura, equipos, telecomunicaciones, datos y personas 6.1.12 6.1.13 6.1.14 Sustentacin tcnica. Cronograma de control. Citar los trminos de referencia, Aspectos
tcnicos, Aspectos conceptuales empleados..
56