FACULTAD DE INGENIERA

CARRERA DE INGENIERA EN SISTEMAS COMPUTACIONALES

INFORME DE AUDITORA

Trabajo de Investigacin del curso:

Gestin y Auditora de Tecnologas de Informacin

Integrante:
Franz Kaiser Alba Meja

Docente:
Carlos Enrique Castillo Diestra

TRUJILLO PER
2017-2
 INFORME DE AUDITORA

PLAN DE AUDITORIA INFORMTICA

I. ANTECEDENTES
Las actividades que realiza la institucin son:
Brindar asistencia tcnica por correo electrnico o por telfono sobre
problemas relacionados con la informtica, ya sea a nivel de hardware o
software.

Los asuntos que sern examinados en la accin de control al Plan de Sistemas:

Cumplimiento de las actividades programadas en el Plan de Sistemas.

Existencia de un adecuado mantenimiento del sistema informtico.
Cumplimiento y desempeo de las funciones de cada uno de los integrantes por
rea de la Empresa.

II. OBJETIVOS

Los objetivos establecidos para la ejecucin de este Examen Especial son:

1. Comprobar si el rea de Sistemas cumple las actividades programadas en el Plan

de Sistemas.
2. Comprobar si el rea de Sistemas ha cumplido con la ejecucin de un adecuado
mantenimiento del sistema informtico.
3. Determinar si los integrantes de las reas de la Institucin han cumplido con la
ejecucin de sus funciones.

III. ALCANCE

El alcance de la auditora comprender la revisin de las acciones realizadas por el

Departamento de Informtica por el perodo comprendido desde el 1/1/2007 al
30/11/2007.
 INFORME DE AUDITORA

IV. TRABAJO REALIZADO

Descripcin de la Estructura Funcional del Departamento de Informtica de la
Empresa Recaudadora S.A.
Entrevistas aplicadas al personal del Departamento de Informtica de la Empresa
Recaudadora S.A.
Revisin del plan de mantenimiento de equipos en el ao 2007.
Revisin de la situacin actual del plan de sistemas.
Anlisis del ambiente de seguridad fsico.
Anlisis de la confidencialidad, disponibilidad e integridad de la informacin
existente en la institucin.
Evaluacin de los recursos informticos existentes.
Identificar los proyectos que apoyen a los procesos de recaudacin.
Identificacin y anlisis de los mecanismos de comunicacin con los clientes.

V. CONCLUSION GENERAL
Como resultado de la auditoria podemos manifestar que se ha cumplido con evaluar
cada uno de los controles plasmados en el plan de auditora, la auditora revel que
controles implementados no se aplicaron en forma adecuada.

Evaluando el departamento de informtica se evidencia que el personal con el que

cuenta no se abastece para cumplir las actividades planificadas. Asimismo, no se
cuenta con mecanismos para estimar el rendimiento de este.

El rea de soporte tcnico actualmente no cuenta con un inventariado de las partes

de una PC, es decir, est inventariado como un todo. Adems, no se lleva un registro
de control de fallas de los equipos y tampoco cuenta con un control de las
actualizaciones de los Sistemas Operativos.
 INFORME DE AUDITORA

Existe acceso al centro de procesamiento de manera estricta y a otras reas no tan

estricta, ya que todo el personal del departamento tiene llave de la oficina.
Una vez determinada la viabilidad de la auditora se lleg a la conclusin que debido
al crecimiento de la empresa sera de gran importancia que se contrate personal
capacitado para asegurar el cumplimiento de las actividades planificadas en las
diferentes reas de la empresa.

VI. RESULTADOS OBTENIDOS, CONCLUSIONES ESPECIFICAS Y RECOMENDACIONES

Nuestro examen permiti identificar las situaciones de riesgo potencial que se
detallan a continuacin:

Situacin 1:
Falta de Recursos Humanos en las diversas reas del Departamento de
Informtica:

No se cuenta con el personal suficiente para cumplir los requerimientos y roles

asignados por su rea, lo que ocasiona retrasos en las actividades del plan de
sistemas.

Segn la norma N1NCI-500-01, en el inciso 01 nos dice: Cada entidad debe

establecer las lneas que orienten el proceso de organizacin del rea de
informtica, aspecto que implica la definicin de actividades a cumplir, las funciones
y responsabilidades del personal.

Sugerencia:
Se recomienda estudiar la posibilidad de contratar personal capacitado para
abastecer todas las actividades.
 INFORME DE AUDITORA

Situacin 2:
Incumplimiento de la implementacin de un mdulo para la gestin de
conocimientos dentro de las administraciones tributarias

A lo largo del ao 2007 no se dio inicio a esta actividad a pesar que fue programada
en el plan de sistemas debido a la falta de recursos.

Segn la norma ISOIEC17799 en el inciso 10.3.1 nos dice: El uso de recursos debe
ser monitoreado y las proyecciones hechas de requisitos de capacidades adecuadas
futuras para asegurar el sistema de funcionamiento requerido

Sugerencia:
En paralelo al plan de sistemas se debe elaborar el presupuesto destinado a cada
rea considerando un monto extra en caso de algn riesgo.

Situacin 3:
No se realiz la migracin de data de los sistemas actuales al nuevo sistema
integrado SIAT
Se realiz el 20% de esta actividad debido a que existieron ajustes al modelo de
datos por cambios de requisitos.
Segn la norma N2 ISOIEC 17799, en el inciso 6.2.2 nos dice que debe de haber
procedimientos para determinar si ha ocurrido algn incremento del riesgo de los
activos.

Sugerencia:
Se recomienda la elaboracin de un plan de riesgos, en donde se debe establecer
las medidas preventivas ante las posibles situaciones de cambios de requisitos.
 INFORME DE AUDITORA

Situacin 4:
No se implement el Sistema Integrado de Administracin Tributaria Municipal -
SIAT
Solo se desarroll la mitad de dicha implementacin debido a que en los requisitos
planteados por los usuarios existieron cambios.

Segn la norma N1NCI-500-02, en el inciso 02 nos dice que la elaboracin de

objetivos y estrategias del sistema de informacin que sirva de base para apoyar la
misin y los objetivos de la entidad.

Sugerencia:
Se recomienda tener un plan de objetivos bien establecido para llegar a realizarlos.

Situacin 5:

Plan de Contingencias

Hemos evidenciado que no existe un procedimiento formal por escrito y coordinado

que evidencie la preparacin de los sectores ante alguna posible contingencia. Solo
se ha evidenciado un programa de los mantenimientos efectuados a algunos
equipos.

La norma N1NCI-500-06 nos dice que el rea de informtica debe elaborar el plan
de contingencias de la entidad que establezca los procedimientos a utilizarse para
evitar interrupciones en la operacin del sistema de cmputo.

Sugerencia:
Realizar un Plan de Contingencia que permita considerar los siguientes objetivos:
 INFORME DE AUDITORA
Realizar el anlisis de impacto en el negocio determinando los sistemas crticos
que se debern recuperar en caso de contingencia.
Analizar el ambiente de informtica para identificar los activos necesarios para
recuperar los sistemas crticos.
Identificar las diferentes alternativas de recuperacin de los sistemas crticos y
las ventajas y desventajas de cada una.
Desarrollar el plan de recuperacin para la alternativa seleccionada.
Recomendar procedimientos de Respaldo y recuperacin bajo un tratamiento
comn para todas las agencias y sucursales.

Situacin 6:

Inventario de Hardware

Hemos observado que no se encuentra un inventario que contenga informacin

necesaria para poder realizar actividades de control.

Segn la norma N2 ISOIEC17799, en el inciso 15.2.2, nos dice que La comprobacin

de la conformidad tcnica implica examinar los sistemas operacionales con el fin de
asegurar que los controles de hardware y software han sido implementados
correctamente.

Sugerencia:
Con respecto a los Equipos de Cmputo se debera realizar oportunamente los
inventarios especificando la marca, serie, modelo de los equipos y sus componentes
internos y externos, adems de sealar las partes que son extradas de los equipos
como son (Discos, Memorias, Mainboards) que podran ser utilizados por otro
equipo.
 INFORME DE AUDITORA

Situacin 7:

Carencia de un registro de control de fallas de los equipos

Segn la noma ISOIEC1799 en el inciso 9.2.4 nos dice: Los equipos deberan
mantenerse adecuadamente para asegurar su continua disponibilidad e integridad

Sugerencia:
Se deberan registrar documentalmente todos los fallos o sospechados, as como
todo el mantenimiento preventivo y correctivo de los equipos.

Situacin 8:

Carencia de un control de las actualizaciones de los Sistemas Operativos

Segn la norma ISOIEC1799 en el inciso 15.5.2 nos dice: Se deberan realizar y

probar las aplicaciones del sistema cuando se efecten cambios para asegurar que
no impacten adversamente en el funcionamiento o en la seguridad

Sugerencia:
Revisar procedimientos de control de la aplicacin y de la integridad para
asegurar que los cambios en el sistema operativo no han sido comprometidos.
Garantizar que el plan de soporte anual y el presupuesto cubran las revisiones y
las pruebas del sistema que requieran los cambios del sistema operativo.
 INFORME DE AUDITORA

VII. ANEXO