Planeacion de la Auditoría ISO 9000 a los Sistemas Computacionales PDF

Preview

Summary

Plan de audi...

Description

UNIVERSIDAD DE SAN CARLOS DE GUATEMALA FACULTAD DE CIENCIAS ECONÓMICAS ESCUELA DE CONTADURIA PÚBLICA Y AUDITORIA CURSO: AUDITORIA V EDIFICIO S-3, SALON: 202 JORNADA: NOCTURNA

EJECUCIÓN DE LA AUDITORÍA A LOS SISTEMAS COMPUTACIONALES “AUDITORÍA ISO-9000”

REVISADO Y CALIFICADO POR: LIC. NELTON ESTUARDO MERIDA LIC. AUXILIAR JORGE ALVARO ARCHILA CHIPIX

GUATEMALA, 12 DE ABRIL DEL 2021

EJECUCIÓN DE LA AUDITORÍA A LOS SISTEMAS COMPUTACIONALES INTEGRANTES DEL GRUPO DE TRABAJO GRUPO No. 10 VICENTE FUENTES, NANCI JUDITH

201123779

BATEN PÉREZ, CRISTIAN ADELSO

201605527

ABREGO RAMÍREZ, LUDWIN JOSUE

201605666

GONZÁLEZ COXAJ, NELSON JULIÁN

201606044

GÁLVEZ DE LEÓN, LUIS EDUARDO (COORDINADOR)

201612688

SANDOVAL VELÁSQUEZ, WILIAN NEFTALÍ

201704832

MORALES RAFAÉL, MARCOS AMISADAY

201704910

GIRÓN GARRIDO, LUIS ENRIQUE

201710035

SAREGUDE DONIS, DULCE MARÍA

201712743

ARENALES ALVARADO, BRANDON WILFREDO

201713640

i

ii

UNIVERSIDAD DE SAN CARLOS DE GUATEMALA FACULTAD DE CIENCIAS ECONÓMICAS AUDITORIA EN SISTEMAS COMPUTACIONALES AUDITORÍA ISO-9000 A LOS SISTEMAS COMPUTACIONALES PLANEACIÓN DE LA AUDITORÍA DE SISTEMAS COMPUTACIONALES 1.

Origen de la auditoría_________________________________________________________________1

2.

Realizar una visita preliminar al área que será evaluado_____________________________________1 2.1. Alcance de la auditoría____________________________________________________________1

3.

Objetivos de la auditoría_______________________________________________________________2

4.

5.

3.1.

Objetivo general_________________________________________________________________2

3.2.

Objetivos específicos_____________________________________________________________2

Puntos para evaluar en la auditoría______________________________________________________2 4.1.

Evaluación de las funciones y actividades del personal del área de sistemas__________________2

4.2.

Evaluación de la información, documentación y registros de los sistemas____________________3

4.3.

Evaluación de los sistemas, equipos, instalaciones y componentes__________________________3

Planes y programas y presupuestos para realizar en la auditoría_________________________4 5.1. Planeación de la auditoría_________________________________________________________4 5.1.1. Programa de auditoría__________________________________________________________4 5.2.

6.

Presupuesto para realizar la auditoría_________________________________________________4

Guias, métodos, procedimientos, instrumentos y herramientas necesarios para la auditoría_______4 6.1.

Guía en la aplicación de la auditoría_________________________________________________4

6.2. Métodos en la aplicación de la auditoría______________________________________________4 6.2.1. Método científico______________________________________________________________4

7.

6.3.

Procedimientos en la aplicación de la auditoria_________________________________________5

6.4.

Instrumentos en la aplicación de la auditoría___________________________________________5

6.5.

Herramientas en la aplicación de la auditoría__________________________________________6

Recursos asignados y sistemas computacionales para la auditoría_____________________________7 7.1.

Cronograma de actividades________________________________________________________7

7.2.

Recursos humanos_______________________________________________________________7

7.3.

Recursos físicos_________________________________________________________________8

7.4.

Recursos tecnológicos____________________________________________________________9

7.5. Recursos financieros_____________________________________________________________9 7.5.1. Presupuesto de ingresos”________________________________________________________9 7.5.2. Presupuesto de egresos________________________________________________________10

DD 23

Fecha MM AA 03 2021

Hoja 1 de 10

Empresa: TICS, S.A./Ingenio Palo Gordo.

Periodo: Del 01 enero al 30 de junio de 2021

Auditor: Luis Eduardo Gálvez de León.

Área Auditada: Departamento en Sistemas y Área Financiera.

PLANEACIÓN DE LA AUDITORÍA DE SISTEMAS COMPUTACIONALES 1.

Origen de la auditoría

Una auditoria en informática se refiere a la revisión practica que se realiza sobre los recursos informáticos con que cuenta una entidad con el fin de emitir un informe o dictamen sobre la situación en que se desarrollan y se utilizan esos recursos. La presente auditoria parte de la preparación profesional del curso de Auditoria V vinculados a los trabajos de extensión universitaria, se desea realizar en su prestigiosa empresa TICS, S.A., INGENIO PALO GORDO, la práctica de auditoria basada en la ISO 9000 a los sistemas computacionales, con lo que se tratará de proporcionarles información valiosa acerca de cómo se encuentran dichos departamentos y los riesgos a los cuales está expuesta su información. La práctica es eminentemente relativa a la verificación de los controles y no pretende la realización de una auditoria de carácter financiero por lo que no será necesario que se proporcione la información de este tipo, únicamente nos concentraremos en el conocimiento de sus operaciones, equipo, procesos y actividades vinculadas al entorno informático, otros departamento o áreas que tengan que ver con el manejo o resguardo de la información, a través de sistemas de información computarizados. 2.

Realizar una visita preliminar al área que será evaluado

Con el objetivo de obtener un panorama general del área a auditar, se realizó una visita preliminar el 8 de marzo de 2021, a fin de conocer la problemática que se presentará en la auditoría. Con este conocimiento inicial se podrá diseñar las medidas necesarias para una adecuada planeación de la auditoría y se establecerá determinadas acciones concretas que serán aplicadas en el desarrollo de la evaluación. 2.1.

Alcance de la auditoría

Es evaluar los procedimientos y funciones que el departamento de informática aplica en la ejecución de sus responsabilidades asignadas, Tanto a nivel interno en la evaluación de hardware como software y en la efectividad del sistema de control que está a disposición de la empresa en el periodo de evaluación del 01 de enero al 30 de junio del año 2021.

Pág. 1

3. 3.1.

Objetivos de la auditoría Objetivo general

Evaluar y dictaminar de manera sistemática e independiente la calidad y eficiencia de los sistemas computacionales de la empresa en cuanto a los requerimientos de las normas ISO9000. 3.2.

Objetivos específicos i).

Verificar la existencia de los procedimientos, responsabilidades y recursos necesarios para que los sistemas computacionales de la empresa cumplan con el sistema de calidad.

ii).

Comprobar la existencia, aplicación y cumplimiento del plan de calidad para la certificación de los sistemas computacionales de la organización.

iii). Comprobar el seguimiento de las actividades, actualizaciones y cambio que se presentan en el área de sistemas, a fin de evaluar su apego a los requisitos de la norma ISO-9000. 4. 4.1.

Puntos para evaluar en la auditoría Evaluación de las funciones y actividades del personal del área de sistemas

La determinación de los puntos que se deben evaluar en estos aspectos se refiere a una valoración del cumplimiento de las funciones y actividades establecidas para cada uno los puestos que integran el centro de cómputo, así como de la observancia de las obligaciones de los funcionarios, usuarios o personal del área. El propósito fundamental de esta evaluación es verificar si existen o no las funciones y actividades para cada uno de los puestos del área, si se encuentran por escrito y contempladas en documentos formales o informales, si tienen la suficiente difusión, si el personal que las debe cumplir las conoce y tiene acceso a los documentos donde se encuentran, y cómo, en qué grado y de qué manera los ocupantes de esos puestos satisfacen las funciones que tienen encomendadas. También se evalúa el aprovechamiento del sistema y de sus recursos por medio del cumplimiento de estas funciones y actividades. Dentro de las actividades se tomarán en cuenta las siguientes: i).

Realizar mantenimiento correctivo, preventivo y predictivo en los equipos, optimizar el rendimiento y sintonía del sistema operativo.

ii).

Verificar la seguridad de los sistemas y mantener la privacidad de los datos de usuario.

iii). Cerciorarse que la información sea almacenada mediante copias de seguridad periódicas

Pág. 2

4.2.

iv).

Evaluar los recursos que poseen en la empresa (memoria, discos, unidad central, etc.)

v).

Evaluar los conectores de la red que interconecta a todos los departamentos de la empresa.

vi).

Evaluación de equipos, instalaciones y demás componentes.

Evaluación de la información, documentación y registros de los sistemas

Dentro de lo que se contempla en la evaluación a las áreas de sistemas se encuentra todo lo relacionado con la información, ya sea de las bases de datos y sistemas de almacenamiento, los respaldos o simple y sencillamente la forma de archivar los datos por parte de los usuarios del sistema. Precisamente con esta apreciación se busca evaluar la protección y custodia del activo más valioso de los sistemas, la información. La implantación de un (SGSI1) uno de los requerimientos que exige es el control de la documentación, de forma que se garantice la confidencialidad, integridad y disponibilidad de la información asociada a dicho sistema. Este requisito supone una correcta recopilación y elaboración de dichos documentos y registros. 4.3.

Evaluación de los sistemas, equipos, instalaciones y componentes

En esta evaluación intervienen muchos factores, tanto de la auditoría como de la propia área de sistemas, ya que se pretende dictaminar como están funcionando casi todos los componentes del sistema computacional de la empresa. En esta auditoria se dividirá en los siguientes aspectos: i). ii). iii). iv).

Evaluación de los recursos humanos del área de sistemas. Evaluación de hardware. Evaluación de software. Evaluación de otros recursos financieros. Fuente: Auditoría ISO-9000 a los Sistemas Computacionales. USAC CCEE.

5. 1

Planes y programas y presupuestos para realizar en la auditoría

SGSI: Sistema de Gestión de Seguridad de la Información

Pág. 3

5.1.

Planeación de la auditoría

Auditorías De Calidad, S.C. 5.1 Fases de la Auditoría ISO-9000 a los Sistema Computacionales 1.- Planeación de la auditoría de S.C. Del 01-01-2021 al 23-03-2021 2.- Ejecución de la auditoría de S.C. Del 23-03-2021 al 06-04-2021 3.- Dictamen de la auditoría de S.C. Del 06-04-2021 al 06-05-2021 Fuente: Auditoría ISO-9000 a los Sistemas Computacionales. USAC CCEE.

P r o g r

ama de auditoría El siguiente documento basado en la auditoría ISO-9000 a los sistemas computaciones es proporcionado en la sección de anexos PT. No. 1, de este mismo informe de planeación. 5.2.

Presupuesto para realizar la auditoría

Los costos estimados para la ejecución de esta Auditoría en Sistemas Computacionales, por el periodo del 01 enero al 30 de junio de 2021, ascienden a la Cantidad de Q20,395.20 (veinte mil trescientos noventa y cinco con 20/100) Quetzales. 6. 6.1.

Guias, métodos, procedimientos, instrumentos y herramientas necesarios para la auditoría Guía en la aplicación de la auditoría

El siguiente documento basado en la auditoría ISO-9000 a los sistemas computaciones es proporcionado en la sección de anexos PT. No. 2, de este mismo informe de planeación. 6.2.

Métodos en la aplicación de la auditoría

Los métodos que se emplearán para acceder al conocimiento de la empresa TICS, S. A. serán particulares y específicos y las técnicas son los procedimientos e instrumentos que se utilizarán y emplearán en la investigación. Dentro de la presente planeación de la auditoria de sistemas, se utilizará ciertos métodos para poder llegar al objetivo propuesto, entre los que se encuentran; el método científico, deductivo e inductivo. 6.2.1. Método científico Permitirá ordenar la información obtenida en las diferentes técnicas de recolección de datos a través de encuestas, cuestionarios y consultas bibliográficas, con esto se permitirá comprobar la hipótesis planteada y se aplicará de mejor forma los procesos de análisis, comparación, conceptualización, generalización, coherencia y diferencias de los elementos teóricos obtenidos en la investigación de campo. Las tres fases del método científico a utilizar son las siguientes: Pág. 4

a). Fase indagadora: En esta fase, se tendrá el primer contacto con la fuente primaria que en este caso es de la empresa TICS, S.A. a través de la recolección de información por medio de entrevistas y fuentes secundarias. b). Fase demostrativa: En esta fase se podrá comprobar o rechazar la hipótesis planteada a través de cuestionarios de control interno y la información obtenida de portales de internet de la Empresa TICS, S.A. c). Fase expositiva: En esta fase se conceptualizará la información y los resultados obtenidos a través de un informe final el cual se brindará al catedrático correspondiente del curso de Auditoria V. 6.3.

Procedimientos en la aplicación de la auditoria

En esta sección se procederá a conocer el objetivo de un grupo de técnicas que se utilizaran en el estudio particular de la empresa que se auditará, aplicado por la firma de auditoria consideradas como las estrategias más adecuadas a utilizar proceso que se realizará atendiendo a los protocolos contra la pandemia de Covid-19 en Guatemala. En la generalidad de aplicar estos mismos permiten:     6.4.

Obtener conocimientos de control interno de la entidad. Analizar las características del control interno. Verificar los resultados de control interno Fundamentar decisiones de la auditoria sistemática. Instrumentos en la aplicación de la auditoría

a). Observación: Es una manera de inspección, menos formal, y se aplica generalmente a operaciones para verificar como se realiza en la práctica. b). Entrevista: Esta técnica permitirá conocer más a la empresa y de sus sistemas y a la vez permite poder información de la cual se pueda observar algina deficiencia ya que sus respuestas poder ser abiertas c). Cuestionarios: Permiten medir una o más variables que servirá para obtener información necesaria, relacionada con los procedimientos del sistema de gestión de calidad y la tecnología utilizada para llevar a cabo estos procedimientos. d). Análisis: Por medio de esta técnica se hará una verificación componentes de un todo hablando de manuales, procesos, ejecución de estos y se realizará una verificación de los controles internos. e). Papeles de Trabajo Es el conjunto de documentos que contienen la información obtenida de la entidad TICS, S.A., siendo los procedimientos y pruebas aplicados, que servirán para sustentar el informe final. Pág. 5

6.5.

Herramientas en la aplicación de la auditoría a). Cuestionarios y encuestas: Elaborados con preguntas para valorar el cumplimiento de los requisitos de calidad ISO-9000 y para valorar la aceptación, rechazo o indiferencia hacia la aplicación de las normas de calidad, así como para verificar las actividades informáticas que se realizaran conforme están documentadas. Estos documentos se le proporcionaran en la sección anexos PT. No 3,4,5 y 6. b). Levantamiento de Inventarios: A fin de hacer un recuento de los bienes informáticos destinados a la certificación ISO-9000 y de la documentación de las actividades, sistemas y procedimientos para cumplir con la función informática de la organización. c). Elaboración de guía de evaluación: A fin de planear específicamente cada uno de los aspectos importantes del funcionamiento de las actividades y frecuencia de pasos de la auditoria ISO-9000. Para ello se recomendará que tomen en cuenta los procedimientos, herramientas y técnicas para certificación de calidad. Se adaptarán a las necesidades específicas de la certificación de calidad a los sistemas computacionales de la empresa d). Técnicas de revisión documental: Para revisar la documentación de los servicios y actividades y los demás documentos relacionados con la función de informática de los sistemas de la empresa, así como para revisar el cumplimiento de los requisitos, normas y procedimientos, relacionados con la certificación ISO-9000. e). Matriz de evaluación o DOFA: Según las preferencias y necesidades de revisión del auditor; con esta herramienta puede analizar las fortalezas y debilidades de la certificación de calidad, así como las áreas de oportunidad para fortalecer la calidad de los sistemas de la empresa. f). Lista de chequeo: Con esta herramienta se puede verificar el cumplimiento de todos los criterios de evaluación contemplados para la planeación de la auditoría de las normas ISO-9000. g). Modelos de simulación: Ya que con ellos es posible hacer las pruebas necesarias de calidad, documentación y de cumplimiento de la empresa de los requerimientos de la norma ISO-9000 para los servicios de sistemas; en estas pruebas simuladas, planeadas previamente, el auditor, a través de acciones premeditadas hace mal uso de actividades documentadas pudiendo hacer la pruebas tantas veces como sean necesarias con el fin de analizar su cumplimiento.

7.

Recursos asignados y sistemas computacionales para la auditoría Pág. 6

Son todos los elementos que ayudan a ejecutar un proceso de investigación que implica determinar los recursos (personales, equipos y/o materiales) y que sirven de base para alcanzar un objetivo. 7.1. Cronograma de actividades Este documento se le proporcionaran en la sección anexos Ilustración. No 1. 7.2.

Recursos humanos

Se refiere a todas las personas que participan, contribuyen o colaboran durante el ejercicio de la auditoría, siendo elementos importantes y encargados a que se logren con éxito los objetivos y también lo más importante que es la obtención de los resultados deseados. 

Catedrático titular del curso de auditoría V, Licenciado Nelton Estuardo Mérida: Asesoramiento y revisión de las diferente en el desarrollo de la auditoría en sistemas.



Catedrático auxiliar del curso de auditoría V. Licenciado Jorge Archila: Encargado de la designación y entrega de las diferentes etapas del desarrollo de la auditoria por parte de los equipos de trabajo.



Coordinador y Sub-Coordinador: Responsables, cuidadosos en la toma de decisiones, comprometidos en velar por el buen funcionamiento del equipo de trabajo.



Un equipo de redacción y ortografía: Responsables, disciplinados, con alto conocimiento en la redacción y ortografía para la revisión de los informes.



Un equipo de papeles de trabajo: Responsables, con conocimientos en la realización de estos, comprometidos a realizar los papeles de trabajo de manera razonable.

Pág. 7

A...