Contenido

RESUMEN........................................................................................................................................3
CAPITULO 1...................................................................................................................................4
AUDITORA INFORMTICA DE LOS SISTEMAS TECNOLGICOS DE
INFORMACIN..........................................................................................................................4
ANTECEDENTES.......................................................................................................................4
1.1.4 OBJETIVOS.....................................................................................................................8
General..............................................................................................................................................8
Especficos.........................................................................................................................................8
1.1.5 AMBIENTE DE CONTROL.................................................................................................9
2. EL PROCESO DE LA AUDITORA INFORMTICA.........................................................10
2.1. Planificacin de la auditora Informtica.............................................................................10
2.2. Ejecucin de la auditora Informtica...................................................................................13
2.3. Finalizacin de la auditora Informtica...............................................................................14
3. CLASIFICACIN DE LOS CONTROLES TI.......................................................................16
3.1. Controles de Aplicacin..........................................................................................................16
3.2. Controles Generales................................................................................................................17
CAPTULO II................................................................................................................................17
TECNOLOGIAS DE LA INFORMACION.............................................................................17
5. DOMINIOS................................................................................................................................21
5.1.1. Objetivos de Control Niveles Altos.................................................................................21
5.1.2. Adquisicin e Implementacin........................................................................................21
5.1.3. Soporte y Servicios...........................................................................................................21
CAPTULO III...............................................................................................................................22
ESTUDIO DEL MODELO TI EN LA EMPRESA COMPU SAHA Y GUZAMAN.NET. . .22
6. SITUACIN ACTUAL DE LA ENTIDAD........................................................................22
6.1. Conocimiento y compresin de las actividades del departamento de TI....................23
6.1.2 Estructura Organizativa del rea de Sistemas...............................................................24
6.1.3. Base de Datos....................................................................................................................25
6.1.4. Servidores..........................................................................................................................25
7. APLICACIN DE TI, A LA EMPRESA COMPU SAHA Y GUZMAN.NET...............27
8. OBJETIVOS............................................................................................................................27
8.1.2 OBJETIVOS ESPECFICOS..............................................................................................27
8.1.4. MTODO DE TRABAJO Y PROCEDIMIENTOS A EJECUTAR............................29
8.1.5. PRODUCTOS A ENTREGAR........................................................................................29
8.1.6. HERRAMIENTAS A UTILIZAR................................................................................29
9. DESCRIPCIN DEL TRABAJO EFECTUADO...................................................................30
10. RESULTADOS, INFORME DE LAS RECOMENDACIONES........................................31
INFORME DETALLADO............................................................................................................31
CAPITULO VI...............................................................................................................................32
CONCLUSIONES Y RECOMENDACIONES........................................................................32
BIBLIOGRAFIA........................................................................................................................33
CARTA DE PRESENTACION DE LA AUDITORIA REALIZADA.........................................33
RESUMEN

E l presente trabajo, describe la Auditora Informtica de los Sistemas de

Tecnologa e Informacin, realizada en la empresa COMPU SAHA Y GUZMAN.NET,

una herramienta desarrollada para, ayudar a los administradores de negocios a entender y
administrar los riesgos asociados con la implementacin de nuevas tecnologas, estn
enfocadas en el ambiente de control ptimo que debe tener una empresa para de esta
manera lograr una alineacin efectiva entre TI y los objetivos de negocio. El fin de esta
revisin tcnica es identificar debilidades y emitir recomendaciones que permitan
minimizar riesgos.
Para llevar a cabo la presente Auditora, se realizaron las siguientes
actividades:

- Entregar un listado de requerimientos a la entidad a ser auditada.

- Revisar la documentacin entregada al Equipo de Auditora.

- Se formularon preguntas, con el fin de aclarar ciertos puntos de la

documentacin.
- Se elaboraron encuestas al personal de la entidad.

- En base a los resultados obtenidos, se llevaron a cabo las entrevistas que

constituye un mtodo de auditora personalizada, para profundizar en la
indagacin.
- Tomando como base las encuestas y las entrevistas, se elaboraron las pruebas
sustantivas (checklist) y se recopilaron evidencias.
- De acuerdo a los resultados obtenidos en las encuestas, entrevistas y pruebas
sustantivas y, alineando todos estos resultados con cada objetivo de control, se
presentaron las observaciones y recomendaciones.
CAPITULO 1

AUDITORA INFORMTICA DE LOS SISTEMAS TECNOLGICOS DE

INFORMACIN
1.1 GENERALIDADES

1.1.1 DESCRIPCIN GENERAL DEL PROYECTO

ANTECEDENTES

Los sistemas informticos, estn integrados a la gestin empresarial; por

ello, las normas y estndares informticos deben estar alineados e
implantados previa la aprobacin de la Direccin de Sistemas de la
organizacin, misma que se encargar de la implementacin de controles de
acceso a la informacin, que se maneja en los diversos procesos de la
empresa COMPU SAHA Y GUZAMAN.NET; en consecuencia, se debe
destacar que, las organizaciones informticas forman parte de la gestin de
la empresa y se constituyen en un elemento de apoyo en la toma de
decisiones

Actualmente, la informacin institucional, se ha convertido en un activo

fijo real invaluable, similar a la materia prima, sin embargo, debemos
considerar que, a pesar de la capacidad que pueden tener los miembros de
la Direccin de Sistemas de la empresa COMPU SAHA Y
GUZAMAN.NET;la cantidad de trabajo, centrado mayormente en el
desarrollo de sistemas y redes, sin el personal suficiente hace que,
necesariamente se tomen alternativas rpidas para ganar tiempo, afectando
de esta manera, la calidad de los productos que se desean entregar, para
 servicio del cliente interno en este caso.

1.1.2 JUSTIFICACIN E IMPORTANCIA

El desarrollo tecnolgico que enfrenta la empresa COMPU SAHA Y

GUZAMAN.NET, con el manejo de diversos sistemas de informacin y
automatizacin en sus procesos, necesita corregir fallas, ejecutar procesos de
calidad y, entregarlos en el momento oportuno; detectar los errores mediante
una Auditora Informtica, realizada y ejecutada, que proponga soluciones
efectivas, para minimizar riesgos y mejorar el empleo de la tecnologa de
informacin en la organizacin.
La evaluacin de los sistemas de informacin, deber cubrir aspectos de planificacin,
organizacin, procesos, ejecucin de proyectos, seguridades, equipos, redes y
comunicaciones, con el objeto de determinar los riesgos a los que se encuentra
expuesta la empresa COMPU SAHA Y GUZAMAN.NET y recomendar
procedimientos que permitan minimizarlos o eliminarlos.
El anlisis de los Objetivos de Control, debe ser de carcter objetivo e
independiente, crtico, basado en evidencias, sistemtico, bajo normas y metodologas
aprobadas a nivel internacional, que seleccione polticas, normas, prcticas, funciones,
procesos, procedimientos e informes relacionados con los sistemas de informacin
computarizados, que permiten obtener una opinin profesional e imparcial, enfocada
en aspectos como:
Criterios de informacin y prcticas requeridas, que ayuden a determinar con eficiencia,
el uso de los recursos informticos, la validez de la informacin y efectividad de los
controles establecidos.

Como parte del sistema de la empresa COMPU SAHA Y GUZAMAN.NET, se hace

evidente la necesidad de evaluar y valorar el uso de los recursos de TI, para de esta
manera, justificar su costo y determinar medidas que permitan su racional
aplicacin, eficiencia y efectividad.
La situacin actual por la que atraviesa la Direccin de Sistemas de la empresa COMPU
SAHA Y GUZAMAN.NET, requiere que, mediante el uso de un conjunto de
procedimientos y tcnicas, se proceda a evaluar y controlar los sistemas de informacin
y el ambiente informtico, con el fin de constatar si sus procesos y actividades son
correctos y, se encuentran enmarcados y en conformidad con las mejores normativas
informticas y generales de la organizacin.

1.1.3 ALCANCE DEL PROYECTO

El presente proyecto de plan de tesis AUDITORA INFORMTICA DE

COMPU SAHA Y GUZAMAN.NET, est orientado a la revisin del
control interno informtico del Departamento de Sistemas de la empresa
COMPU SAHA Y GUZAMAN.NET.
Los mdulos en los que se ejecuta este proyecto, abarcan los siguientes
aspectos:

Identificacin de Soluciones Automatizadas: donde se utilizaran criterios

de informacin sobre efectividad y eficiencia en los procesos del
negocio, requeridos para la Cooperativa Alianza del Valle y, as satisfacer
los requerimientos de los usuarios. Las prcticas de control que se
utilizan en este mdulo estn directamente involucrados con los recursos
de TI, siendo estos:
Conocimiento de soluciones existentes en el mercado,
Metodologas de adquisicin e implementacin,
Involucramiento del usuario en el proceso de compra.

Adquisicin y Mantenimiento Del Software de Aplicacin: los criterios de

informacin que se aplican, se enmarcan sobre parmetros de efectividad,
eficiencia, integridad, cumplimiento y confiabilidad; llegando a proporcionar
funciones automatizadas que soporten efectivamente los procesos Del negocio y la
especificacin de los requerimientos funcionales y operacionales. Las prcticas de
control que se aplican son:
Niveles de aceptacin y pruebas funcionales,
Requerimientos de seguridad y controles de la aplicacin,
 Documentacin requerida,
Ciclo de vida del software,
Arquitectura de la informacin empresarial.

Adquisicin y Mantenimiento de la Infraestructura Tecnolgica: definidos sobre

los criterios de informacin de efectividad, eficiencia e integridad, proveyendo al
proceso de las plataformas apropiadas a las aplicaciones Del negocio. La forma de
lograrlo se dirige a una adquisicin apropiada de hardware y software,
estandarizacin de software y, un consistente sistema de administracin. Las
prcticas de control que se definen en esta etapa son:
Cumplimiento de las directrices estndares de la
infraestructura tecnolgica,
Evaluacin tecnolgica,
Instalacin, mantenimiento y control de cambios.
Actualizaciones, conversiones y, planes de migracin.
El uso de infraestructura y/o recursos internos y externos.
Responsabilidades de los proveedores y la relacin con los mismos.
Administracin de cambios.
Costo total de propiedad.
Seguridad del software.

Desarrollo y Mantenimiento de Procesos: manejaremos algunos criterios de

informacin, guiados sobre la efectividad, eficiencia, integridad, cumplimiento,
confiabilidad; llegando a que el proceso del negocio asegure el uso apropiado de las
aplicaciones y la infraestructura existente, con la sustentacin de manuales
estructurados de usuarios y operacionales, materiales de entrenamiento y
requerimientos de servicio. Las prcticas de control.
1.1.4 OBJETIVOS

General

Realizar una Auditora Informtica del Sistema de Informacin la empresa

COMPU SAHA Y GUZAMAN.NET a fin de identificar debilidades y emitir
recomendaciones que permitan eliminar o minimizar los riesgos en la
organizacin.

Especficos

Evaluar y describir la planeacin, organizacin y situacin actual de

los Sistemas de Informacin de la empresa COMPU SAHA Y
GUZAMAN.NET,enfocndose en las estrategias, tcticas e
infraestructura tecnolgica de informacin, que contribuyen al logro de
los objetivos del negocio.
Evaluar la adquisicin e implementacin de las TI, los procesos en los
que estas se desenvuelven, cambios y mantenimiento realizado a los
sistemas existentes, as como la verificacin de la calidad y suficiencia
de los procesos de la Institucin y, el monitoreo de los requerimientos
de control.
Evaluar la entrega de los servicios requeridos, desde las operaciones
tradicionales hasta el entrenamiento al personal que interfiere
directamente con las Tecnologas de Informacin, abarcando
aspectos de seguridad, continuidad del negocio, revisin del
procesamiento de los datos por sistemas de aplicacin,
frecuentemente clasificados como controles de aplicacin.
Emitir recomendaciones que permitan asegurar una mayor integridad,
confidencialidad y confiabilidad de la informacin, en base a un
estudio y aplicacin de metodologas, a los procesos de la
empresa COMPU SAHA Y GUZAMAN.NET.
1.1.5 AMBIENTE DE CONTROL

El ambiente de control se determina por el conjunto de circunstancias que enmarcan

el accionar de una entidad, organizacin o empresa, desde una perspectiva de control
interno y que son determinantes para el cumplimiento de las metas y objetivos de la
organizacin en que los principios y polticas actan, sobre las conductas
y los procedimientos organizacionales.
El sistema de control interno est relacionado directamente con las actividades
operativas y de procedimiento dentro de la organizacin y, existen por razones
empresariales fundamentales y, a que estos fomentan la eficiencia, reducen el riesgo
de prdida de valor de los activos y, ayudan a garantizar la fiabilidad de los estados
financieros y el cumplimiento de las leyes y normas vigentes.
El ambiente control se puede definir como un proceso, efectuado por el personal
de una organizacin, diseado para conseguir objetivos especficos. La definicin es
amplia y cubre todos los aspectos de control de un negocio, pero al mismo tiempo,
permite centrarse en objetivos especficos.
Los auditores deben considerar factores que influyen en la organizacin y que
garantizan el xito de sus procesos internos, siendo los ms importantes los siguientes:
La filosofa y el estilo de la direccin y gerencia.
La estructura Del plan organizacional, los reglamentos y los manuales de
procedimientos.
La integridad, los valores ticos, la competencia profesional y el
compromiso de todos los colaboradores de la organizacin, as como su
adhesin a las polticas y objetivos establecidos.
Las formas de asignacin de responsabilidades, de administracin y desarrollo
del personal.
El grado de documentacin de polticas, decisiones y de formulacin de
programas que contengan metas, objetivos e indicadores de
rendimiento.
Cada uno de estos factores ayudan a que las organizaciones crezcan y cumplan sus
principales objetivos, que permiten el xito o fracaso de las mismas, siendo estos criterios:
 Eficacia y eficiencia de las operaciones.
Fiabilidad de la informacin financiera.
Cumplimiento de las leyes y normas aplicables.
De acuerdo a estos factores, es necesario realizar evaluaciones al ambiente de control que
permitan identificar los riesgos y definir los controles adecuados para neutralizarlosy ,a
que el ncleo principal de control son las personas, mismas que, si no tienen una
integridad probada, valores ticos y competencias, el resto de procesos
posiblemente no funcionarn, por lo cual, debe establecerse un adecuado ambiente
de control sobre el que se desarrollan las operaciones de la organizacin evaluada.

2. EL PROCESO DE LA AUDITORA INFORMTICA

El proceso de la auditora informtica es similar al que se lleva a cabo a los de

estados financieros, en el cual, los objetivos principales son: salvaguardar los activos,
asegurar la integridad de los datos, la consecucin de los objetivos gerenciales y, la
utilizacin racional de los recursos, con eficiencia y eficacia, para lo que se realiza la
recoleccin y evaluacin de evidencias.
Para que una auditora sea exitosa, debe tomar en cuenta muchos de los aspectos tratados
en el punto anterior. A continuacin se muestra un grafico que muestra cmo actan
conjuntamente todos los componentes, tanto de la empresa como del auditor, para que se
genere una auditora efectiva y eficaz.

Muchos de los componentes de la pirmide nacen de un proceso de auditora, el cual se

detalla a continuacin y al cual hemos dividido en 3 etapas:

Planificacin de la auditora Informtica

Ejecucin de la auditora Informtica
Finalizacin de la auditora Informtica

2.1. Planificacin de la auditora Informtica

 En esta fase se establecen las relaciones entre auditores y colaboradores de
la organizacin, para determinar el alcance y objetivos. Se hace un bosquejo de la
situacin de la entidad, acerca de su organizacin, sistema contable, controles
internos, estrategias y dems elementos que le permitan al auditor elaborar el
programa de auditora que se llevar a efecto.
Elementos Principales de esta Fase:
1. Conocimiento y Comprensin de la Entidad
2. Objetivos y Alcance de la auditora
3. Anlisis Preliminar del Control Interno
4. Anlisis de los Riesgos
5. Planeacin Especfica de la auditora
6. Elaboracin de programas de Auditora

1. Conocimiento y Comprensin de la Entidad a auditar.

Previo a la elaboracin del plan de auditora, se debe investigar y analizar

todo lo relacionado con la entidad a auditar, para poder elaborar el plan en
forma objetiva. Este anlisis debe contemplar: su naturaleza operativa, su
estructura organizacional, giro del negocio, capital, estatutos de
constitucin, disposiciones legales que la rigen, sistema contable que
utiliza, volumen de sus ventas y, todo aquello que sirva para
comprender exactamente cmo funciona la organizacin.
Para el logro del conocimiento y comprensin adecuados de la entidad, se
deben establecer diferentes mecanismos o tcnicas que el auditor deber
dominar, siendo entre otras:

a) Visitas al lugar
b) Entrevistas y encuestas
c) Anlisis comparativos de Estados Financieros
d) Anlisis FODA (Fortalezas, oportunidades, debilidades,
amenazas)
e) Anlisis Causa-Efecto o Espina de Pescado
f) rbol de Objetivos.- Desdoblamiento de Complejidad.
2. Objetivos y Alcance de la auditora.

Los objetivos indican el propsito para el cual es contratada la firma de

auditora, qu se persigue con el examen, para qu y por qu. Si es con el
objetivo de informar a la gerencia sobre el estado real de la empresa, o si
es por cumplimiento de los estatutos que mandan efectuar auditoras
anualmente, en todo caso, siempre se cumple con el objetivo de informar a
los socios, a la gerencia y resto de interesados sobre la situacin encontrada
para que sirvan de base para la toma de decisiones.
El alcance de una auditora ha de definir con precisin el entorno y los
lmites, en que va a desarrollarse la auditora informtica, se complementa
con los objetivos de sta.
Por otro lado, el alcance tambin puede estar referido al perodo a
examinar: puede ser de un ao, de un mes, de una semana y, podra ser
hasta de varios aos.
3. Anlisis Preliminar Del Control Interno

Este anlisis es de vital importancia en esta etapa, porque de su resultado

se comprender la naturaleza y extensin del plan de auditora y, la
valoracin y oportunidad de los procedimientos a utilizarse durante el
examen.
4. Anlisis de los Riesgos

El Riesgo en auditora, representa la posibilidad de que el auditor

exprese una opinin errada en su informe, debido a que los estados
financieros o la informacin suministrada a l estn afectados por una
distorsin material o normativa.

El riesgo de control, est relacionado con la posibilidad de que los controles

internos imperantes no prevean o detecten fallas que se estn dando en sus
sistemas y que se pueden remediar con controles internos ms efectivos.
El riesgo de deteccin, est relacionado con el trabajo del auditor y, es que
 ste en la utilizacin de los procedimientos de auditora, no detecte errores
en la informacin que le suministran.

5. Planeacin Especfica de la Auditora.

Para cada auditora que se va a practicar, se debe elaborar un plan. Esto lo

contemplan las Normas para la ejecucin. Este plan debe ser tcnico y
administrativo.
El plan administrativo debe contemplar todo lo referente a clculos
monetarios a cobrar, personal que conformarn los equipos de auditora,
horas hombres, etc.
6. Elaboracin de Programa de Auditora

Cada miembro del equipo de auditora, debe tener en sus manos, el

programa detallado de los objetivos y procedimientos de auditora, objeto
de su examen.

Ejemplo: si un auditor va a examinar el efectivo y otro va a examinar las

cuentas por cobrar, cada uno debe tener los objetivos que se persiguen con
el examen y los procedimientos que se corresponden para el logro de esos
objetivos planteados.

Es decir, que debe haber un programa de auditora para la auditora del

efectivo y un programa de auditora para la auditora de cuentas por cobrar
y, as sucesivamente. De esto se deduce que un programa de auditora debe
contener dos aspectos fundamentales: Objetivos de la auditora y
Procedimientos a aplicar durante el examen de auditora.

Tambin se pueden elaborar programas de auditora no por reas

especficas, sino por ciclos transaccionales.

2.2. Ejecucin de la auditora Informtica

 La ejecucin de la auditora informtica, constituye la recopilacin de la mayor
cantidad de informacin necesaria, como son documentos y evidencias que permitan
al auditor fundamentar sus comentarios, sugerencias y recomendaciones, con
respecto al manejo y administracin de TI.
Para la recoleccin de informacin, se pueden aplicar las siguientes tcnicas:

Entrevistas
Simulacin
Cuestionarios
Anlisis de la informacin documental entregada por el auditado
Revisin y Anlisis de Estndares
Revisin y Anlisis de la informacin de auditoras anteriores

Toda la informacin entra luego en un proceso de anlisis, el cual debe ser

realizado utilizando un criterio profesional por parte de los auditores y el equipo
a cargo del proceso de Auditora, toda la informacin recopilada debe ser
clasificada de manera que nos permita ubicarla fcilmente y adems permita,
luego del anlisis respectivo, justificar de manera correcta las recomendaciones.
La evidencia se clasifica de la siguiente manera:
a) Evidencia documental.
b) Evidencia fsica.
c) Evidencia analtica.
d) Evidencia testimonial.

Una vez que tenemos informacin real y confiable, procedemos a evaluar y

probar la manera en la que han sido diseados los controles en la organizacin,
para el mejoramiento continuo de la misma, para esto el equipo de Auditora
utilizara medios informticos y electrnicos que permitan obtener resultados
reales

2.3. Finalizacin de la auditora Informtica

Para finalizar un proceso de Auditora Informtica, se debe presentar un informe

que contenga conclusiones y recomendaciones, necesarias para que una empresa
este en mejoramiento continuo, esta documentacin debe ser redactada por el
equipo de Auditora y entregarse a la Alta Direccin de la empresa para su
evaluacin y anlisis.

Luego, en conjunto la Alta Direccin de la empresa y auditores, evaluaran los

resultados del proceso; los auditores defendern su punto de vista basndose en las
evidencias recolectadas durante todo el proceso.
El informe que presenta el grupo de Auditores debe contener como obligatorios los
siguientes puntos:
Debe hacer constar el perodo de tiempo que abarc la evaluacin.
Indicar el equipo de auditora que intervino en la evaluacin, se
detallan los integrantes y su experiencia en el campo de auditora.
Indicar los objetivos que se propusieron alcanzar con el proceso de
auditora.
Tambin se debe indicar, en base a que se realiz la auditora, se debe
especificar el dominio que fue utilizado para la evaluacin, esto debe
especificarse claramente en el plan de trabajo que tambin debe ser
entregado a la administracin.
Se debe indicar el criterio sobre el cual se est evaluando los riesgos y el
de objetivos de control.
Se detalla la condicin inicial en la que se encontr la empresa u
Organizacin.

Se describen las causas que generaron el diagnstico inicial, adems, se

debe detallar las consecuencias que puede traer si la empresa continua
manejndose de la misma forma.
Detallar explicativamente las recomendaciones que se hacen a la Alta
Direccin y qu medidas se deberan adoptar para poder cumplir con los
objetivos propuestos desde el inicio y, la organizacin deje de ser
afectada por circunstancias que fueron encontradas en la
situacin inicial.
Dentro de los informes tambin incluye las opiniones y puntos de
 vista de la administracin, debe especificarse si la organizacin va a
adoptar o no las recomendaciones propuestas por el grupo de auditores.
El informe final se lo debe entregar a la Alta Direccin de la organizacin y
como detallamos inicialmente, debemos presentar las evidencias de percances ms
importantes que se encontraron durante el proceso de Auditora.

3. CLASIFICACIN DE LOS CONTROLES TI

Al momento de realizar un proyecto de auditora, se desarrollan una gran variedad de

actividades de control para verificar la exactitud, integridad y autorizacin de las
transacciones. Estas actividades pueden agruparse en dos grandes conjuntos de controles
de los sistemas de informacin, los cuales son: controles de aplicacin y los controles
generales de la computadora. Sin embargo, estos dos conjuntos de controles se
encuentran estrechamente relacionados, puesto que, los controles generales de la
computadora, son normalmente necesarios para soportar el funcionamiento de los
controles de aplicacin, adems de la efectividad de ambos depende el aseguramiento del
procesamiento completo y preciso de la informacin.

3.1. Controles de Aplicacin

Los controles de aplicacin son procedimientos manuales o automatizados que

operan tpicamente a nivel de los procesos de la organizacin. Los controles de
aplicacin pueden ser de naturaleza preventiva o de deteccin y estn diseados
para asegurar la integridad de la informacin que se procesa en ellos. Debido a lo
cual, los controles de aplicacin se relacionan con los procedimientos utilizados para
iniciar, registrar, procesar e informar las transacciones de la organizacin. Estas
actividades de control ayudan a asegurar que las transacciones ocurridas, estn
autorizadas y completamente registradas y procesadas con exactitud.
Debido al tamao y complejidad de varios sistemas, no siempre se los podr revisar
a todos, por lo que es necesario evaluar los sistemas de aplicacin para considerar
en el plan de auditora los sistemas de aplicacin que tienen un efecto significativo
en el desarrollo de las operaciones de la organizacin, con el fin de realizar un
 anlisis ms profundo de estos sistemas. Existen varios parmetros que se deben
considerar para calificar los sistemas de aplicacin, siendo los siguientes:

- Importancia de las transacciones procesadas.

- Potencial para el riesgo de error incrementado debido a fraude.
- Si el sistema slo realiza funciones sencillas, como acumular o resumir
informacin.
Se debe incluir los controles implantados, para verificar la validez del ingreso de
datos dentro de los sistemas, controles que podemos evaluar mediante el
seguimiento manual de los informes de excepcin o la correccin en el punto de
entrada de datos.

3.2. Controles Generales

Los controles generales son polticas y procedimientos que se relacionan con

muchos sistemas de aplicacin y, soportan el funcionamiento eficaz de los
controles de aplicacin, ayudando a asegurar la operacin continua y apropiada
de los sistemas de informacin. Los controles generales mantienen la integridad de
la informacin y la seguridad de los datos. Es por esto que antes de realizar una
evaluacin de los controles de aplicacin, normalmente se actualiza la
comprensin general de los controles del ambiente de procesamiento de la
computadora y se emite una conclusin acerca de la eficacia de estos controles.

CAPTULO II
TECNOLOGIAS DE LA INFORMACION

La tecnologa de la informacin (TI, o ms conocida como IT por su significado en ingls:

information technology) es la aplicacin de ordenadores y equipos de telecomunicacin
para almacenar, recuperar, transmitir y manipular datos, con frecuencia utilizado en el
contexto de los negocios u otras empresas. El trmino es comnmente utilizado como
sinnimo para los computadores, y las redes de computadoras, pero tambin abarca otras
tecnologas de distribucin de informacin, tales como la televisin y los telfonos.
Mltiples industrias estn asociadas con las tecnologas de la informacin, incluyendo
hardware y software de computador, electrnica, semiconductores, internet, equipos de
telecomunicacin, e-commerce y servicios computacionales.

Frecuentemente los trminos TI y TIC suelen ser confundidos en su uso. Es importante

sealar la diferencia entre ambos: TI hace referencia a Tecnologas de la Informacin,
mientras que TIC implica las Tecnologas de la Informacin y la Comunicacin. Ambas
sostienen una amplia relacin, sin embargo, sealan reas diferentes. El trmino TI es un
trmino ms amplio y abarca a las TIC, siendo ste un trmino que indica una subcategora
de aquel. "Las TI abarcan el dominio completo de la informacin, que incluye al hardware,
al software, a los perifricos y a las redes. Un elemento cae dentro de la categora de las TI
cuando se usa con el propsito de almacenar, proteger, recuperar y procesar datos
electrnicamente"

4. Objetivos de Control

Un Objetivo de Control en TI, es la definicin del resultado o propsito que

se desea alcanzar siguiendo procedimientos de control especficos dentro de una
Actividad de Control de TI. Los Objetivos de Control de las TI son los
requerimientos mnimos que debe cumplir un control de cada proceso de TI, para
que sea definido como efectivo.

4.1 Gua o Directriz de Auditora

Las Guas de Auditora indican pautas y recomendaciones, mediante las

que la gerencia de la entidad auditada puede cumplir de una manera ms ptima
con los Objetivos de Control.
4.2. Prcticas de Control

Las Prcticas de Control proveen guas para disear controles y cmo

implementarlos, puesto que ayudan al personal encargado de disear e
implementar controles especficos a administrar riegos en proyectos de TI.

Adems las Prcticas de Control ayudan a mejorar el rendimiento de TI ya que

 definen mejores prcticas para evitar el incumplimiento o mal uso de controles
internos.
4.3. Guas de Administracin

Las Guas de Administracin o directrices gerenciales, contienen modelos de

madurez asociado al gobierno de TI, que sirven para determinar en qu posicin se
encuentra la organizacin. Tambin las Guas de Administracin proveen factores
crticos de xito especfico, indicadores claves por objetivo e indicadores clave de
desempeo, que son las mejores prcticas administrativas para alcanzar los Objetivos
de Control en TI

Grfica 1: Principios bsicos de TI

En donde los requerimientos de informacin del negocio, deben adaptarse a

ciertos criterios de informacin, para que la misma permita cumplir con los
objetivos de la organizacin, los cuales son:

Efectividad: la informacin relevante y pertinente al proceso Del

negocio existe y es entregada a tiempo, correcta, consistente y utilizable.
Eficiencia: es la optimizacin (ms econmica y productiva) de los
recursos que se utilizan para la provisin de la informacin.
Confidencialidad: es relativo a la proteccin de informacin sensitiva de
acceso y divulgacin no autorizada.
Integridad: se refiere a lo exacto y completo de la i n f o r m a c i n ,
 as Como a su validez de acuerdo con las expectativas Del negocio.
Disponibilidad: accesibilidad a la informacin para los procesos Del
negocio en el presente y en el futuro, tambin salvaguardar los recursos y
capacidades asociadas a los mismos.
Cumplimiento: son las leyes, regulaciones, acuerdos contractuales a los
que el proceso del negocio est sujeto.
5. DOMINIOS

5.1. Planificacin y Organizacin:

Cubre las estrategias, las tcticas y la manera de identificar la forma

en que TI puede contribuir al logro de los objetivos del negocio.
5.1.1. Objetivos de Control Niveles Altos

Planificacin y Organizacin

5.1.2. Adquisicin e Implementacin

Cubre las estrategias de TI, las soluciones de TI necesitan ser identificadas,

desarrolladas o adquiridas as como la implementacin e integracin en los
procesos del negocio.
5.1.3. Soporte y Servicios

Incluye los procesos de entrega o distribucin, desde las operaciones tradicionales

hasta el entrenamiento, tomando en cuenta aspectos de seguridad y continuidad de
las operaciones. Con el fin de entregar servicios. En donde se incluye el
procesamiento de datos, los sistemas de aplicacin, clasificados de forma
frecuente como controles de aplicacin.

5.1.4. Evaluacin y Seguimiento

Se debe evaluar de forma regular los procesos de control independientes, los

mismos que son definidos por auditoras externas e internas o por fuentes
alternativas. Tambin abarca la administracin del desempeo, el monitoreo del
control interno, el cumplimiento regulatorio y la aplicacin del gobierno de TI.
 CAPTULO III
ESTUDIO DEL MODELO TI EN LA EMPRESA COMPU SAHA Y
GUZAMAN.NET

6. SITUACIN ACTUAL DE LA ENTIDAD

Compu saha y Guzaman.net, es una empresa que naci hace 3 aos con el fin de
colaborar con el bienestar de la comunidad y, es gracias a mi socio y asociados
que ha logrado convertirse en una empresa slida con visin de liderazgo.
Compu saha y Guzman.net es una empresa de venta, accesorios, reparacin de
computadoras que presta sus servicios a la comunidad ofreciendo sobre todo buena
atencin al cliente y confianza, que le han convertido en Su empresa amiga.

Misin: Satisfacer las necesidades y expectativas de nuestros clientes, ofrecindoles

productos y servicios de reparacin, de calidad, contando con una estructura slida y
con personal con visin social

Visin: Mantenernos como una empresa Slida, con mayor participacin en el

mercado, que brinda productos y servicios de reparacin, para impulsar el desarrollo de
la comunidad con responsabilidad social.

Valores de la Empresa

Equidad: A travs de un ambiente de justicia y transparencia para el otorgamiento

de productos y servicios.

Honestidad: Con los clientes, y los productos que existen en ella, stos sern
utilizados con absoluta rectitud e integridad organizacional.
6.1. Conocimiento y compresin de las actividades del departamento de TI.

El Departamento de TI tiene a su cargo las siguientes actividades

principales:
- Asesorar en el desarrollo e implementacin de nuevas
herramientas informticas, que sirvan de instrumento para agilitar,
simplificar, mejorar el desempeo de las actividades de los usuarios
operativos y administrativos, salvaguardando la integridad, confiabilidad y
disponibilidad de la informacin de la empresa.
- Apoyar, computacionalmente, las actividades de todos las
Direcciones, Departamentos y otras unidades de la empresa.

- Mantener y administrar las redes, sistemas y equipos

computacionales de la Empresa Compu Saha y Guzman.net.
- Prestar soporte a usuarios en todo lo relativo a la plataforma
computacional de la Empresa Compu Saha y Guzman.net.
- Proponer los planes y presupuestos para la adquisicin de recursos
de tecnologas de informacin, requeridos para asegurar la renovacin
tecnolgica e implantacin de los proyectos de Tecnologa de
Informacin.
- Atender e implementar las medidas correctivas, recomendadas por el
Departamento de Auditora Interna y los organismos de control externo.
Cargos

Grfica 2: Ocupaciones
6.1.2 Estructura Organizativa del rea de Sistemas

Jefe de
informtica y
TI

Administrado Analista de Administrado

r de TI produccin r de un data
center

Analista de Operador
programador

Programador

Grfica 3: Estructura organizacional del rea de sistemas

En la empresa Compu saha y Guzman.net, al rea tecnolgica se la conoce como el

Departamento de Tecnologa e informacin, donde detallaremos los cargos principales
que constituyen este departamento.
- Administrador de TI: Administrar proyectos de software que
satisfagan las necesidades de mejoramiento y calidad de los procedimientos
y actividades institucionales, con la implementacin de sistemas
automatizados.
- Analizar los requerimientos enviados por el administrador de TI y apoyar
en la mejora de estos.
- Administrador del Centro de Cmputo: Administrar los recursos
tecnolgicos monitoreando el buen desempeo de los equipos servidores,
supervisar que las redes de telecomunicaciones estn operativas en su
 totalidad, controlar inventario del hardware y software licenciado.
- Operador: Ejecutar procesos diarios, mantener la operatividad de los
equipos tecnolgicos y servicios relacionados al rea.
- Analista Programador: Analizar los requerimientos enviados por el
administrador de ti y apoyar en la mejora de estos.

- Programador: Desarrollar software que cumpla con los

requerimientos institucionales.

6.1.3. Base de Datos

La empresa cuenta con una Base de Datos un Servidor Adaptive Server

Enterprise de Sybase.
La Empresa cuenta con un plan de contingencia y continuidad del servidor de
Base de Datos y tienen configurado el Sistema de Contingencia o Standby
mediante la Recopilacin Sybase.
Para el buen funcionamiento de la base y evitar prdidas de informacin o
cadas en la conexin el departamento de Sistemas asigna 2 procesadores y
discos con la suficiente capacidad para soportar el nmero de transacciones
diarias.
Los usuarios se conectan directamente a la base de datos.

A continuacin se describe la arquitectura del Sistema de Base de

Datos y Replicacin.

6.1.4. Servidores

La empresa cuenta con servidores (Branch) de Produccin, un

Servidor central y uno de Transacciones.

El servidor central es el que controla toda la informacin importante de

ventas de la empresa Compu Saha y guzman.net.
 Los servidores Branch , se encuentran en la empresa, estos son los que se
conectan directamente a la oficina del gerente, para el intercambio y
actualizacin de informacin.
6.1.5. Microsoft Visual Source Safe

Es una herramienta que dentro de la empresa se utiliza para el control de

acceso a los programas fuentes y ejecutables; cabe destacar que, solamente el
personal del rea de desarrollo tiene acceso de administrador o gerente,
permitindoles tener todos los privilegios necesarios para poder realizar
cambios sea en lnea de cdigo o configuracin del sistema ejecutable.

Claro que para poder realizar cualquier cambio en el software, existe una
poltica de administracin, en la cual se debe especificar con que intensin o
beneficio se realiza el cambio.
6.2. RED

Equipos de Comunicaciones cableado.

Se compone de dos concentradores de red que se podran
denominar como principales, su red es plana, utilizando equipos de
comunicaciones tales como.

El primero es un SWITCH 3COM de 24 y 12 Puertos a 100 MBPS que

controla los puntos de red que desde el servidor estn interconectados en un
rack en la sala de mquinas del rea de sistemas; desde este sitio se distribuye
la red a todos los, para su gestin.
En cuanto a la distribucin de los puntos de red, estos han sido realizados
mediante cableado tipo par trenzado UTP categora 5e, mismo que permite
una transmisin entre 100 BT 100 MBPS y que se ha extendido bajo canaleta
de plstico.
7. APLICACIN DE TI, A LA EMPRESA COMPU SAHA Y GUZMAN.NET

Para la realizacin de esta auditora, la TI es un conjunto de herramientas de ayuda, que

permite a los administradores, tener en cuenta y asociar los conceptos de requerimientos
de control, consideraciones tcnicas y riesgos del negocio.
Este conjunto de las mejores prcticas permiten evaluar la seguridad, eficacia, calidad y
eficiencia de las TI., mediante esto se determinan los riesgos, tener una gestin efectiva
de los recursos, medir el desempeo y cumplimiento de metas y, de manera principal,
medir el nivel de madurez de los procesos de la organizacin.
Tomando en cuenta los requerimientos del negocio.
Mediante el modelo de procesos, organiza las actividades de TI.
Identifica los recursos de TI prioritarios a ser utilizados.
Definiendo los controles de TI.
Garantizando la relacin entre los Planes de Negocio y TI.
Asegurando que TI entregue todos los beneficios
pronosticados en la estrategia.
Administrando los Recursos crticos.

8. OBJETIVOS

8.1. OBJETIVOS GENERALES

Realizar una Auditora Informtica de los Sistemas de

Informacin Tecnolgicos de la empresa Compu Saha y Guzman.net, en los
dominios de Planificacin y organizacin, Adquisicin e implementacin,
Soporte y servicios, Evaluacin y seguimiento, mediante la revisin del
ambiente de control, implementado en los procesos automatizados y en el
gerenciamiento de los mismos, a fin de identificar debilidades y emitir
recomendaciones que permitan eliminar o minimizar los riesgos.
8.1.2 OBJETIVOS ESPECFICOS

Evaluar la situacin actual de la organizacin y su infraestructura

tecnolgica.
Identificar la forma en que el uso adecuado de la tecnologa de la informacin,
puede contribuir al logro de los objetivos de la organizacin.
Evaluar la eficiencia y eficacia con que los Sistemas de Informacin, apoyan
en la toma de decisiones a la Alta Direccin de la organizacin, considerando el
nivel de detalle provisto por los "Objetivos de Control".

8.1.3 ALCANCE

El alcance viene dado por la metodologa, en los dominios de Planificacin y

Organizacin y, Evaluacin y Seguimiento; que nos indica la forma de
utilizar la tecnologa de la informacin para lograr los objetivos del negocio; y
su evaluacin paulatina para verificar su calidad y suficiencia, en cuanto a los
requerimientos de control.

Como primera actividad se espera recoger, agrupar y evaluar evidencias, para

determinar si el sistema informtico mantiene la integridad de los datos y,
principalmente si lleva a cabo eficazmente los fines de la organizacin,
utilizando eficientemente los recursos.

Este trabajo se ejecutar en la empresa Compu Saha y Guzman.net para lo cual

se realizar la revisin de controles establecidos dentro de la empresa,
aplicando el modelo de nuevas TI. El proyecto que tendr una duracin de 30
semanas, al final de las cuales se espera obtener recomendaciones en base a las
falencias detectadas, las cuales nos permitirn generar recomendaciones que
quedarn planteadas en el informe final para que puedan ser aplicadas segn el
criterio de las autoridades.
8.1.4. MTODO DE TRABAJO Y PROCEDIMIENTOS A EJECUTAR

Durante la auditora, se debe recopilar informacin til y necesaria, misma que luego
analizarla, permiten obtener conclusiones, que luego derivan en recomendaciones para el
mejoramiento de la organizacin.

o Indagar y confirmar
o Inspeccionar

o Observar
o Recalcular y analizar
o Recolectar y analizar evidencia automatizada

8.1.5. PRODUCTOS A ENTREGAR

En base a la revisin llevada a cabo, se identificarn las debilidades de

control en el Departamento de Recursos Informticos, se elaborar un informe
preliminar, el cual ser presentado al Departamento y a la Gerencia General,
para posteriormente emitir un informe final, el cual ser presentado a la
Gerencia General de la empresa.

Las recomendaciones emitidas en base a las debilidades identificadas

dependiendo de la factibilidad y posibilidad de la empresa, debern ser
implementadas en un lapso no superior a cinco meses y una vez que se
haya realizado las correcciones en el departamento de Recursos Informticos,
este deber ser evaluado.
8.1.6. HERRAMIENTAS A UTILIZAR

La auditora informtica, se basa en una serie de anlisis que se realiza con tres
mtodos base escogidos para la realizacin de este trabajo:
o Encuestas de evaluacin acerca del uso de la tecnologa
 o Simulaciones de los procesos y casos
o Aplicacin de escenarios tecnolgicos.

9. DESCRIPCIN DEL TRABAJO EFECTUADO

Una vez analizada y conocida de la situacin actual de la entidad y, definido el

enfoque de auditora a ser utilizado, as como los responsables de la parte
tecnolgica y del negocio; en esta etapa se realizarn las siguientes actividades:

Detallar la manera en que se probar cada una de las actividades de

control, sealadas en el enfoque de auditora, tanto en su implementacin,
Como en su eficacia operativa.

Determinar la documentacin necesaria, para probar

cada actividad de control identificada en el enfoque de auditora.

Disear y elaborar el informe de auditora, donde por cada

Objetivo de Control se detallar:

Verificar y discutir con la administracin de la entidad, todas las

oportunidades de mejora encontradas, con la finalidad de conocer su
opinin al respecto.

Despus de discutidas las conclusiones y recomendaciones, con la

administracin de la entidad, indicar en el informe su respuesta a cada una.

Emitir el informe final de auditora, en el cual a ms de lo indicado

anteriormente, se adjuntar la respuesta de la administracin para cada una
de las recomendaciones emitidas.
10. RESULTADOS, INFORME DE LAS RECOMENDACIONES

En conformidad con la AUDITORA INFORMTICA DE LA EMPRESA COMPU

SAHA Y GUZMAN.NET, se analiz cada uno de los controles referentes a los dominios
en estudio, Planificacin y Organizacin, implementacin, Soporte y servicios, Evaluacin
y seguimiento en la empresa Compu Saha y Guzman.net, de la que se detallan a
continuacin las observaciones y recomendaciones resultantes de la revisin, en base a la
aplicacin.

INFORME DETALLADO
ANTECEDENTES:

La e m p r e s a Compu Saha y Guzman.net, ha solicitado a travs del

departamento de auditora interna y de la gerencia tecnolgica. La
ejecucin de una auditora informtica, misma que se realizo desde el 1 de
Agosto del 2017 al 14 de Diciembre del 2017.
El Equipo de Auditora, estuvo conformado por egresados de la
Carrera de Tecnologia en Sistemas e Informtica del Instituto Tecnologico
Superior San Gabriel
En base a los lineamientos Del Marco de Referencia de las TI.
Se desarroll el trabajo, para el efecto se cumplieron visitas a las agencias,
se aplicaron encuestas y entrevistas al personal.

Cabe indicar que Durante la evaluacin, las debilidades

detectadas, fueron puestas en conocimiento del Asistente de la empresa y
gerente de Informtica y Comunicaciones.
OBJETIVO:

Realizar una Auditora Informtica de los Sistemas de

Informacin Tecnolgicos de la empresa Compu Saha y Guzman.Net,
mediante la revisin del ambiente de control implementado en los procesos.
 GRUPO DE TRABAJO:

Tlga. Samantha Trujillo (Jefe de

Proyecto)
Tlga. Byron Guzman (Consultor)
PERIODO DE EJECUCION:

1 Agosto 2017 14 Diciembre 2017

MARCO DE REFERENCIA UTILIZADO

El Marco de referencia de procesos y objetivos de control TI que pueden ser

implementados para controlar, auditar y administrar la organizacin TI. Este
Marco de referencia est basado en las mejores prcticas y sistemas de
informacin de auditora y control.

Esto en particular aspira a ayudar a los lderes empresariales a entender y

administrar los riesgos relacionados con la tecnologa de la Informacin
y la relacin entre los procesos de administracin, las preguntas tcnicas, la
necesidad de controles y los riesgos.
Los recursos de TI y los criterios de la informacin requeridos para asegurar el
xito son tambin identificados para cada proceso TI

CAPITULO VI
CONCLUSIONES Y RECOMENDACIONES

Al culminar el proyecto de la evaluacin tcnica e informtica de los sistemas

tecnolgicos de informacin, de la empresa Compu Saha y Guzman. Net se han cumplido
con los objetivos de la auditoria.
- Para el desarrollo de una Auditora Informtica de los Sistemas
de Informacin es de principal importancia contar con la gua de un marco
de referencia. Para este proyecto se ha escogido el modelo de las
nuevas tecnologias, el cual a travs de sus 4 dominios ofrece una serie de
 objetivos de control que permiten evaluar eficientemente el ambiente de
control de una entidad, garantizando que TI est alineada con el negocio y
que los riesgos de TI se administren apropiadamente.
- Durante el anlisis y evaluacin del ambiente de control en la
entidad aplicando los dominios propuestos por las TI se logro
identificar debilidades obteniendo observaciones y recomendaciones para
ser emitidas en el informe final, para llevar a cabo el proceso de la
Auditora es de suma importancia contar con el compromiso y apertura a la
Auditora Informtica de los sistemas de informacin.
- La Auditora de Ti en la empresa propone mejoras a los controles
existentes en la misma, pues sabiendo que si los controles facilitan la
rendicin de cuentas mediante la evidencia; al mejorar los controles que
estn fallando se lograr mitigar los riesgos. La Administracin debe
identificarse y conocer plenamente los controles.
BIBLIOGRAFIA
http://www.monografias.com/trabajos14/auditorasistemas/auditorasiste
mas.shtml
Auditora Informtica, Gonzalo Alonso Rivas, 2013 ediciones Daz de
Santos ISBN 84-87189-13.

CARTA DE PRESENTACION DE LA AUDITORIA REALIZADA

Tecnlogo y Tecnloga
Byron Guzmn y Samantha Trujillo
Gerentes del rea Informtica
COMPU SAHA Y GUZMAN.NET

Es grato considerar nuestra considerar nuestra propuesta para la prestacin de servicios

profesionales de auditoria informtica. El propsito en particular es poder servir a la
empresa Compu Saha y Guzman.Net.
Nos ha solicitado que auditemos el ambiente del sistema de las nuevas tecnologas, la
auditoria ser realizada con el objetivo que expresamos una opinin sobre lo adecuado y lo
inadecuado de los controles o procedimientos revisados.
Efectuaremos la auditoria de acuerdo con las normas de auditoria de acuerdo con la
auditoria de sistemas requiere que planeemos y desempeemos la auditoria para obtener un
certeza razonable sobre:
CLAUSULAS
OBJETO
El auditor se obliga a prestar al cliente los servicios de auditoria en informtica para llevar a cabo
la evaluacin de la direccin informtica de las nuevas tecnologas de la informacin y el sistema
que detallan en la propuesta.
Evaluacin de la direccin de la informtica en lo que corresponde a :
- Su organizacin
- Estructura
- Recursos humanos
- Normas y polticas
- Capacitacin
- Planes de trabajo
- Estndares
Evaluacin del sistema
- Evaluacin de los diferentes sistemas en operacin (flujo de informacin,
procedimientos, organizacin de archivos, estndares de programacin de los
sistemas)
- Opinin de los usuarios sobre los dems productos y el sistema.
- Evaluacin de prioridades y recursos asignados (recursos humanos y equipo de
cmputo).
- Seguridad lgica y fsica delos sistemas confidencialidad y respaldos
Evaluacin de equipos
- Capacidades
- Utilizacin
- Nuevos proyectos
A continuacin precisamos nuestros servicios profesionales el rea de auditoria informtica
conforme a sus deseos y necesidades de la empresa, estaremos atentos a solucionarlos.
Atentamente

Samantha Trujillo, Byron Guzmn

GERENTES DE LA EMPRESA