proyecto auditoria

FACULTAD DE INGENIERIAESCUELA DE INGENIERIA DE SISTEMAS

AUDITORIA DE SISTEMAS

Proyecto de Auditoria de

AUTORES

• Calderon barriga Eddy

• Franco Delgado Jhonny

• Ticeran López Christopher

FACULTAD DE INGENIERIA ESCUELA DE INGENIERIA DE SISTEMAS


Proyecto de Auditoria de Información con C

barriga Eddy([email protected])

Franco Delgado Jhonny([email protected]

Ticeran López Christopher([email protected]

DOCENTE

Ing. Carlos Chávez Monzón

CHIMBOTE – PERU

2009

ESCUELA DE INGENIERIA DE SISTEMAS


con Cobit

[email protected])

[email protected])

Área de mantenimiento de la Empresa Corporación Pesquera Coishco S.A.

Ingeniería de Sistemas

Capitulo I:

1. GENERALIDADES DE LA EMPRESA

• BREVE RESEÑA HISTÓRICA

La empresa se

Monteverde Aguilar S. A.

Inicia sus operaciones en la caleta de Coishco (Chimbote) con su planta de

conservas el 12 de octubre de 1977, en recuerdo al natalicio del

emblemático empresario pesquero Ingeniero

En noviembre de 1977 cambia su razón social a Co

Coishco S. A.

En setiembre de 1996 se inicia la operación de la Planta Sechura.

El mes de diciembre de 1997 la empresa toma su actual razón Corporación

Pesquera Coishco

Se dedica a la producción de harina y aceite de pescado, y elaboración de

productos conservados para consumo humano directo.

Nuestros productos de consumo humano indirecto se dirigen totalmente al

mercado internacional.

• VISIÓN:

Ser reconocidos como u

nutrientes hidrobiológicos de alta calidad para el mercado nacional e

internacional.

• MISIÓN:

Ofrecer harina y aceite de pescado de alta calidad y máxima seguridad

alimentaria al sector industrial de elaboración

para consumo humano indirecto; y productos elaborados de alto estándar

para consumo humano directo.



GENERALIDADES DE LA EMPRESA

BREVE RESEÑA HISTÓRICA

La empresa se constituyó el año 1974 bajo la denominación Luis

Monteverde Aguilar S. A.



emblemático empresario pesquero Ingeniero Luis Banchero Rossi.

En noviembre de 1977 cambia su razón social a Compañía Conservera



Pesquera Coishco S. A.




mercado internacional.

Ser reconocidos como una empresa de alto nivel en el suministro de



alimentaria al sector industrial de elaboración de alimentos balanceados


para consumo humano directo.


Página 2

constituyó el año 1974 bajo la denominación Luis



Luis Banchero Rossi.

mpañía Conservera






na empresa de alto nivel en el suministro de



de alimentos balanceados




• OBJETIVOS - Maximizar Productividad de Plantas

- Implementar maquinarias modernas.- Capacitación al personal.

- Aceptación en los - Fomentar una cultura de trabajo en equipo y de desarrollo con nue

colaboradores internos y externos.

- Fidelización de los clientes.- Incrementar ventas.

- Confiabilidad de los clientes.

- Elaboración del producto con la más alta calidad.- Proporcionar un servicio superior a los clientes.

- Ser distintos a la competencia dando un valor agregado al cliente.- Conocer más a los clientes

• ORGANIGRAMA



Maximizar Productividad de Plantas

Implementar maquinarias modernas. Capacitación al personal.

Aceptación en los mercados. Fomentar una cultura de trabajo en equipo y de desarrollo con nuecolaboradores internos y externos.

n de los clientes. Incrementar ventas.

Confiabilidad de los clientes.

Elaboración del producto con la más alta calidad. Proporcionar un servicio superior a los clientes.

Ser distintos a la competencia dando un valor agregado al cliente.Conocer más a los clientes

ORGANIGRAMA


Página 3

Fomentar una cultura de trabajo en equipo y de desarrollo con nuestros

Ser distintos a la competencia dando un valor agregado al cliente.



• Foda de la empresa

O1. Pescado por dinamismo por la industria acuícola.O2. recursos hidrobiológicos a nivel mundialO3. subexplotadas con posibilidad de pesca todo el año(no sujeto a vedas)

FOR

TA

LE

LA

S

F1. Excelente imagen en el mercado. F2. Personal Capacitado F3. Certificaciones Obtenidas. F4. Cumplimiento de las Normas Ambientales. F5. Apropiada Ubicación Geográfica de la planta F6. Departamento de Control de Calidad de primer nivel.

Alta calidad de nuestros productos por la relación con proveen de la materia prima de alta calidad garantiza nuestros productos. Mediante la correcta interrelación entre el área de Control de Calidad y producción aseguran el sostenimiento de nuestro producto.

DE

BIL

IDA

DE

S

D1. Carencia de Embarcaciones Propias D2. Elevado costo financiero para mantener los stocks de las existencias.

La compra de la materia prima requiere mucha liquidez al no tener el área financiera garantiza una solidez para competir en el mercado de compras de M.P



Foda de la empresa

OPORTUNIDADES O1. Mayor demanda de harina de Pescado por dinamismo por la industria acuícola. O2. Mayor consumo de conservas y recursos hidrobiológicos a nivel mundial O3. El jurel y la caballa son especies subexplotadas con posibilidad de pesca todo el año(no sujeto a vedas)

A1. cambios climatológicosA2. Gobierno en el Sector Pesqueroque podrían variar en el entorno competitivo y la rentabilidad del negocio.

ESTRATEGIA FO Alta calidad de nuestros productos por la relación con socios estratégicos que proveen de la materia prima de alta calidad garantiza nuestros productos.

Mediante la correcta interrelación entre el área de Control de Calidad y producción aseguran el sostenimiento de nuestro producto.

La fuerte relación con nualiados estratégicos a pesar de la distancia nos proveen de materia prima necesaria Mediante las herramientas se puede prevenir las compras de emergencias así como las no presupuestadas.

ESTRATEGIA DO

La compra de la materia prima requiere mucha liquidez al no tener el área financiera garantiza una solidez para competir en el mercado de compras de M.P

Hacer el estudio del pronostico para prever algunos de los fenómenos naturales así como las cuotas para las subsiguientes temporadas, a fin de programar los procesos productivos.


Página 4

AMENAZAS A1. Fenómenos Naturales y cambios climatológicos A2. Cambios de Política de Gobierno en el Sector Pesquero que podrían variar en el entorno competitivo y la rentabilidad del negocio.

ESTRATEGIA FA La fuerte relación con nuestros aliados estratégicos a pesar de la distancia nos proveen de materia prima necesaria

Mediante las herramientas se puede prevenir las compras de emergencias así como las no presupuestadas.

ESTRATEGIA DA

Hacer el estudio del pronostico para prever algunos de los fenómenos naturales así como las cuotas para las subsiguientes temporadas, a fin de programar los procesos productivos.



PRINCIPALES PROCESOS DEL ÁREA DE

AREA DE TRABAJO: DE PRODUCCIÓN DE

HARINA DE PESCADO

(ELEGIDA)



PRINCIPALES PROCESOS DEL ÁREA DE MANTENIMIENTO

PRODUCCIÓN DE HARINA DE PESCADO

EMPRESA CORPORACIÓN

PESQUERA COISHCO S.A

ÁREA DE PRODUCCIÓN

HARINA DE PESCADO

(ELEGIDA)

ACEITE DE

PESCADO


Página 5



Harina de Pescado

Producto obtenido a partir de anchoveta (engraulis ringens Jennys), con alto contenido proteico, obtenido bajo altos estándares de calidad, sanitario y medio-ambiental.

Nuestro producto es utilizado en la formulación de dietas para alimentación animal (pi

Especificaciones, con selección específica según demanda del cliente:

Análisis típico:

Proteína : 64 a 69%Grasa : máx. 12%; promedio 10%Humedad : máx. 10%; promedio 7.5%Sal y arena : máx 5%; promedio 3%TVN : Rango: 55

Los análisis químicos, bacteriológicos y biológicos son efectuados por Societé Generale de Suirvillance (S.G.S.) del Perú, incluido el control de muestreo automático en línea.



Harina de Pescado

Producto obtenido a partir de anchoveta (engraulis ringens Jennys), con alto contenido proteico, obtenido bajo altos estándares de calidad,

ambiental.

Nuestro producto es utilizado en la formulación de dietas para alimentación animal (piscicultura, ganadería, avicultura).


64 a 69% máx. 12%; promedio 10% máx. 10%; promedio 7.5% máx 5%; promedio 3% Rango: 55-175 mg/100 g

Los análisis químicos, bacteriológicos y biológicos son efectuados por Societé Generale de Suirvillance (S.G.S.) del Perú, incluido el control de muestreo automático en línea.


Página 6

Producto obtenido a partir de anchoveta (engraulis ringens Jennys), con alto contenido proteico, obtenido bajo altos estándares de calidad,

Nuestro producto es utilizado en la formulación de dietas para scicultura, ganadería, avicultura).


Los análisis químicos, bacteriológicos y biológicos son efectuados por Societé Generale de Suirvillance (S.G.S.) del Perú, incluido el control



CAPÍTULO II

MARCO TEÓRICO Y CONCEPTUAL

COBIT:

� El modelo para implantar Gobierno de TI.

� Es un estándar abierto y de amplia difusión.

� Consta de 34 procesos y 220 Objetivos de Control de bajo nivel.

� Es 100 % compatible con ISO 17799, COSO I y II, y con otros estándares de menor nivel de

abstracción en los que se apoya.

� COBIT fija el Qué y los estándares de apoyo el Cómo en materia de implantación de

Gobierno de TI.

MISION:

� Investigar, desarrollar, publicar y promocionar tecnologías de la informacinegocios y auditores.

RECURSOS DE TECNOLOGÍA DE INFORMACION

Datos: Todos los objetos de información. Considera información interna y externa,

estructurada o no, gráficas, sonidos, etc.

Aplicaciones: entendido como los sistemas de información, que integran

procedimientos manuales y sistematizados.

Tecnología: incluye hardware y software básico, sistemas operativos, sistemas de

administración de bases de datos, de redes, telecomunicaciones

Instalaciones: Incluye los recursos necesarios para alojar y dar soporte a los sistemas

de información.



MARCO TEÓRICO Y CONCEPTUAL

El modelo para implantar Gobierno de TI.

Es un estándar abierto y de amplia difusión.

Consta de 34 procesos y 220 Objetivos de Control de bajo nivel.

Es 100 % compatible con ISO 17799, COSO I y II, y con otros estándares de menor nivel de

abstracción en los que se apoya.

COBIT fija el Qué y los estándares de apoyo el Cómo en materia de implantación de

Investigar, desarrollar, publicar y promocionar los objetivos de control para las tecnologías de la información que sean autorizados para el uso disponible de gestión de

y auditores.

RECURSOS DE TECNOLOGÍA DE INFORMACION

Todos los objetos de información. Considera información interna y externa,

estructurada o no, gráficas, sonidos, etc.

entendido como los sistemas de información, que integran

procedimientos manuales y sistematizados.

incluye hardware y software básico, sistemas operativos, sistemas de

administración de bases de datos, de redes, telecomunicaciones, multimedia, etc.

Incluye los recursos necesarios para alojar y dar soporte a los sistemas


Página 7

Es 100 % compatible con ISO 17799, COSO I y II, y con otros estándares de menor nivel de

COBIT fija el Qué y los estándares de apoyo el Cómo en materia de implantación de

objetivos de control para las nuevas para el uso disponible de gestión de

Todos los objetos de información. Considera información interna y externa,

entendido como los sistemas de información, que integran

incluye hardware y software básico, sistemas operativos, sistemas de

, multimedia, etc.

Incluye los recursos necesarios para alojar y dar soporte a los sistemas



PROCESOS DE

INFORMACIÓN

MMaarrccoo CCOOBB

Recurso Humano:

planear, adquirir, prestar servicios, dar soporte y mo

Información.

MARCO COBIT:

ASEGURAMIENTO DE LA INFORMACIÓN:

� El aseguramiento de la información es la base sobre la que se construye la toma de

decisiones de una organización. Sin

de que la información sobre la que sustentan sus decisiones de misión crítica es confiable,

segura y está disponible cuando se la necesita.



REQUERIMIENTOS

DE NEGOCIO

• efectividad

• eficiencia

• confidencialidad

• integridad

• disponibilidad

• cumplimiento

• confiabilidad

CRITERIOS DE

INFORMACIÓN

BBIITT

• aplicaciones

• informaci ón

• infraestructura

• personal

RECURSOS DE TI

Recurso Humano: Por la habilidad, conciencia y productividad del personal para

planear, adquirir, prestar servicios, dar soporte y monitorear los sistemas de

ASEGURAMIENTO DE LA INFORMACIÓN:

El aseguramiento de la información es la base sobre la que se construye la toma de

decisiones de una organización. Sin aseguramiento, las empresas no tienen certidumbre


segura y está disponible cuando se la necesita.


Página 8

efectividad

confidencialidad

disponibilidad

cumplimiento

confiabilidad

CRITERIOS DE

N

Por la habilidad, conciencia y productividad del personal para

nitorear los sistemas de

El aseguramiento de la información es la base sobre la que se construye la toma de

aseguramiento, las empresas no tienen certidumbre




� Aseguramiento de la Información

actividades operativas con el fin de proteger la información, los sistemas de información y

las redes, de forma de preservar la disponibilidad, la integridad, la confidencialidad, la

autenticación y el no repudio, ante el riesgo de impacto

través de comunicaciones e Internet.

� Veremos dos importantes técnicas de aseguramiento, la auto evaluación y la auditoría de

sistemas de información.

COBIT: Autoevaluación de controles

� Es una técnica gerencial que asegura

sistema de control interno del mismo es confiable.

� También asegura que los empleados son concientes de los riesgos del negocio, y que

llevan adelante revisiones proactivas periódicas de los controles.

COBIT Guías de Auditoria

� Dan una estructura simple para auditar los controles en TI.

� Son genéricas y eestructuradas

� Permiten la revisión de Procesos contra los Objetivos de Control en TI.

Se audita mediante los siguientes pasos:

� Obtener un entendimiento

las medidas de control relevantes.

� Evaluar la conveniencia

� Evaluar el cumplimiento

se espera, de manera consistente y continua.

� Justificar el riesgo de que los objetivos de control no se estén cumpliendo mediante el uso

de técnicas analíticas y/o consultando fuentes alternat

DOMINIOS:

PLANEAR Y ORGANIZAR (PO)

Este dominio cubre las estrategias y las tácticas, y tiene que ver con identificar la manera en que TI

puede contribuir de la mejor manera al logro de los objetivos del negocio. Además, la realización



Aseguramiento de la Información es la utilización de información



autenticación y el no repudio, ante el riesgo de impacto de amenazas locales, o remotas a

través de comunicaciones e Internet.

Veremos dos importantes técnicas de aseguramiento, la auto evaluación y la auditoría de

sistemas de información.

: Autoevaluación de controles

Es una técnica gerencial que asegura a todos aquellos con intereses en el negocio, que el

sistema de control interno del mismo es confiable.

También asegura que los empleados son concientes de los riesgos del negocio, y que

llevan adelante revisiones proactivas periódicas de los controles.

una estructura simple para auditar los controles en TI.

estructuradas a alto nivel.

Permiten la revisión de Procesos contra los Objetivos de Control en TI.

e audita mediante los siguientes pasos:

entendimiento de los requerimientos del negocio, los riesgos relacionados, y

las medidas de control relevantes.

Evaluar la conveniencia de los controles establecidos.

Evaluar el cumplimiento al probar si los controles establecidos están funcionando como

se espera, de manera consistente y continua.

de que los objetivos de control no se estén cumpliendo mediante el uso

de técnicas analíticas y/o consultando fuentes alternativas.

PLANEAR Y ORGANIZAR (PO)




Página 9

es la utilización de información y de diferentes



de amenazas locales, o remotas a

Veremos dos importantes técnicas de aseguramiento, la auto evaluación y la auditoría de

a todos aquellos con intereses en el negocio, que el

También asegura que los empleados son concientes de los riesgos del negocio, y que

Permiten la revisión de Procesos contra los Objetivos de Control en TI.

de los requerimientos del negocio, los riesgos relacionados, y

al probar si los controles establecidos están funcionando como

de que los objetivos de control no se estén cumpliendo mediante el uso





de la visión estratégica requiere ser planeada, comunicada y administrada desde diferentes

perspectivas. Finalmente, se debe implementar una estructura organizaciona

tecnológica apropiada.

ADQUIRIR E IMPLEMENTAR (AI)

Para llevar a cabo la estrategia d

o adquiridas así como implementadas e integradas en los procesos del negocio. Además, el cambio

y el mantenimiento de los sistemas existentes está cubierto por este dominio para garantiz

las soluciones sigan satisfaciendo los objetivos del negocio.

ENTREGAR Y DAR SOPORTE (DS)

Este dominio cubre la entrega en sí de los servicios requeridos, lo que incluye la prestación del

servicio, la administración de la seguridad y de la continuidad, el soporte del servicio a los

usuarios, la administración de los datos y de las instalaciones

MONITOREAR Y EVALUAR (ME)

Todos los procesos de TI deben evaluarse de forma regular en el tiempo en cuanto a su calidad y

cumplimiento de los requerimientos de control. Este dominio abarca la administración del

desempeño, el monitoreo del con

gobierno.

A lo largo de estos cuatro dominios, COBIT ha identificado 34 procesos de TI generalmente usados

(ver figura 22 para la lista completa). Mientras la mayoría de las empresas ha definid

responsabilidades de planear, construir, ejecutar y monitorear para TI, y la mayoría tienen los

mismos procesos clave, pocas tienen la misma estructura de procesos o le aplicaran todos los 34

procesos de COBIT. COBIT proporciona una lista completa de

para verificar que se completan las actividades y responsabilidades; sin embargo, no es necesario

que apliquen todas, y, aun más, se pueden combinar como se necesite por cada empresa.

Para cada uno de estos 34 procesos, ti

Información de cómo se pueden medir



stratégica requiere ser planeada, comunicada y administrada desde diferentes

perspectivas. Finalmente, se debe implementar una estructura organizacional y una estructura

ADQUIRIR E IMPLEMENTAR (AI)

Para llevar a cabo la estrategia de TI, las soluciones de TI necesitan ser identificadas, desarrolladas


y el mantenimiento de los sistemas existentes está cubierto por este dominio para garantiz

las soluciones sigan satisfaciendo los objetivos del negocio.

ENTREGAR Y DAR SOPORTE (DS)



usuarios, la administración de los datos y de las instalaciones operativos.

MONITOREAR Y EVALUAR (ME)



desempeño, el monitoreo del control interno, el cumplimiento regulatorio y la aplicación del


(ver figura 22 para la lista completa). Mientras la mayoría de las empresas ha definid



procesos de COBIT. COBIT proporciona una lista completa de procesos que puede ser utilizada



Para cada uno de estos 34 procesos, tiene un enlace a las metas de negocio y TI que soporta.

Información de cómo se pueden medir.


Página 10

stratégica requiere ser planeada, comunicada y administrada desde diferentes

l y una estructura

e TI, las soluciones de TI necesitan ser identificadas, desarrolladas


y el mantenimiento de los sistemas existentes está cubierto por este dominio para garantizar que





trol interno, el cumplimiento regulatorio y la aplicación del


(ver figura 22 para la lista completa). Mientras la mayoría de las empresas ha definido las



procesos que puede ser utilizada



ene un enlace a las metas de negocio y TI que soporta.



2. Modelamiento de los cuatro dominios del cobit con casos de uso del negocio, modelamiento

de caso de uso de cada dominio y diagrama de actividades para cada proceso.

DIAGRAMA DE LOS 4 DOMINIOS:



Modelamiento de los cuatro dominios del cobit con casos de uso del negocio, modelamiento


DIAGRAMA DE LOS 4 DOMINIOS:


Página 11

Modelamiento de los cuatro dominios del cobit con casos de uso del negocio, modelamiento




DIAGRAMA DEL 1º DOMINIO





Página 12



Diagrama de Actividades del primer proceso PO1





Página 13



Diagrama de Actividades del primer proceso PO





Página 14






Actividades del primer proceso PO3


Página 15








Página 16








Página 17








Página 18








Página 19








Página 20








Página 21








Página 22








Página 23






º DOMINIO


Página 24



Diagrama de Actividades del



Diagrama de Actividades del segundo proceso AI1


Página 25








Página 26








Página 27








Página 28








Página 29








Página 30








Página 31



Diagrama de Actividades del tercer dominio Ds1





Página 32






Actividades del tercer dominio Ds2


Página 33








Página 34








Página 35








Página 36








Página 37








Página 38








Página 39








Página 40








Página 41



Diagrama de Actividades del tercer









Página 42






Página 43








Página 44



Diagrama de Actividades del cuarto dominio M1







Página 45










Página 46






Página 47

proyecto auditoria

Business