Proyecto Papeles de Trabajo

Auditoria de Sistemas

Caso de Papeles de Trabajo

Auditoria de Sistemas

Durante el mes de Marzo 2019 se llevó a cabo una auditoria de sistemas de una industria
manufacturera de esta ciudad, esta auditoria pretende conocer con exactitud el funcionamiento del
control interno, sistemas de hardware, software, redes, evaluación del personal y demás sistemas
relacionados a los sistemas informáticos, para ello deberá desarrollar los programas o guías de
auditoria correspondientes, así como los instrumentos necesarios para llevar a cabo la auditoria que
se le plantea.

El caso se desarrollara en dos fases

1. Frase 1. Deberá utilizar el material condensado de papeles de trabajo para desarrollar sus
propios programas que permitirán demostrar su trabajo como auditor (Recuerde que los
datos de la auditoria ya se le proporcionan y en base a eso deberá construir sus programas)
2. Fase 2. Deberá elaborar todos los instrumentos necesarios con las preguntas
correspondientes que den aval a los resultados de la auditoria (Recuerde que los datos de
la auditoria ya se le proporcionan y en base a eso deberá construir sus programas)
3. Nuevamente reitero Las características generales del sistema y los resultados de la auditoria
ya fueron proporcionados, lo único que debe hacer es construir los programas e
instrumentos para que den soporte a los resultados de la auditoria y los datos propuestos
al inicio para su planificación
4. Este trabajo se compilará en un archivo único (1 solo archivo) Editable (Word, Excel)(y otro
en PDF ver abajo indicaciones) y se subirá a la plataforma (2 archivo por grupo) a más tardar
el día domingo 14 de abril a las 14:00 horas

Recopilación de la información:
- Se consideró para esta auditoría que una semana antes del inicio de la misma se envió
un cuestionario a los diferentes gerentes y/o responsables de las diferentes áreas de la
empresa, con el fin de conocer el equipo de cómputo que utilizan y los procesos que
realizan en ellos, es un solo cuestionario para conocer las generalidades de la empresa
- Durante el proceso de auditoria se realizaron entrevistas con los encargados y
empleados que se considere necesario.
- Se realizarán observaciones, cuestionarios, listas de chequeo y toma de inventarios
tanto de software como de hardware

Solicitudes de la Gerencia
Gerencia tiene principal inquietud en evaluar riesgos potenciales en algunos aspectos principales

- Forma de adquisición de nuevos equipos o aplicaciones de software. Los

procedimientos para adquirirlos deben estar regulados y aprobados en base a los
normativos de la institución y los requerimientos mínimos
- Se quiere evaluar huecos de seguridad del software actual y la correcta configuración y
actualización de firewall y antivirus

Universidad de San Carlos de Guatemala – CPA – Auditoria 5

 Proyecto Papeles de Trabajo
Auditoria de Sistemas

- Los accesos no autorizados a diferentes áreas especialmente a las del servidor principal
accesos físicos
- Políticas de renovación y cuidado de los equipos de computo
- Utilización de la red interna para compartir archivos de diferente índole
- Administración del uso de correos electrónicos
- Evaluación de la contratación de personal que se encargara de diseñar una aplicación
de software totalmente nueva para el área de caja, este por cierto se conectara al
sistema ERP de la institución
- Evaluación del plan de contingencia para desastres naturales, a pesar que la Empresa
no se encuentra en un área de inundaciones.
- Evaluación del uso de los computadores por parte del personal en general

A continuación se resume los usuarios directos e indirectos que se tendrán que considerar para
evaluar.

- Gerente / Director del sistema

- Subgerentes del Sistema
- Asistentes de Informática
- Técnicos de Soporte
- Personal del área de Caja, Créditos, Contabilidad, Secretarias, recursos humanos y
departamento jurídico.

Situaciones Encontradas
Después de la aplicación de instrumentos y recopilación de información, se establecieron las
situaciones encontradas siguientes.

1. La Empresa cuenta con un departamento de sistemas, encargado de velar por el

rendimiento de los equipos de cómputo y resguardo de la información, cuenta con un
servidor principal con un procesador Xeon 3.2 con 8 gigas de ram, el sistema operativo es
Windows server 2003, este se encuentra en un ambiente protegido bajo llave, sin
refrigeración y con protección de Ups por un máximo de 15 minutos. El servidor cuenta con
8 Gb de Ram, a pesar de ello en la evaluación solo se comprobó el funcionamiento de 3 Gb,
esto conllevo a la verificación del sistema operativo del servidor y se comprobó que tiene
instalado un sistema operativo de 32 bits (Windows 2003 Server)
2. El servidor actual no cuenta con discos redundantes o discos espejos, de tal manera que si
el equipo llega a fallar, la Empresa podría perder información y suspender actividades, la
restauración requerirá de por lo menos 24 horas para levantar, instalar y restaurar la
actividad normal del servidor, pero si realizan un backup diario.
3. Se cuenta con licencias originales de sistemas operativos y office para 30 equipos, de la
misma forma para los antivirus, las actualizaciones de antivirus se realizan de forma manual
por parte de los encargados del departamento de sistemas desde una máquina del
departamento.
4. No se cuenta con un plan de renovación de equipos y servidores, estos se renuevan hasta
que existe un fallo general en los mismos.

Universidad de San Carlos de Guatemala – CPA – Auditoria 5

 Proyecto Papeles de Trabajo
Auditoria de Sistemas

5. El sistema de caja nuevo se está desarrollado bajo un código ASP net, Visual Studio 2008
con un soporte de base de datos SQL 2008 r2, se logró establecer que la empresa
programadora cuenta con el licenciamiento necesario para realizar este tipo de desarrollo,
y según el representante de la empresa que instala el sistema, se realizó el correspondiente
análisis de compatibilidad con los equipos de la Empresa, por lo tanto no debería existir
problemas de considerable magnitud en su implementación completa.
6. A pesar que se cuenta con correos institucionales, los empleados siguen utilizando correos
no institucionales de Gmail u otro servidor gratuito, lo cual se considera un riesgo de
seguridad de información.
7. El cableado para la red de datos de la institución es rj45 categoría 5 no certificado, pero
cabe mencionar que las distancias del edifico no sobrepasan los 50 metros, la velocidad de
transmisión de datos por la red es de 10/100
8. El backup o respaldo de datos del sistema contable computarizado actual, es efectuado por
el encargado del departamento de informática de la Empresa, el mismo presenta las
siguientes debilidades
a. El backup es una copia de todas las bases de datos del sistema, misma que no se
extrae encriptada, al hacerlo de esta forma se podrá tener acceso a información
relevante de clientes y transacciones sin que exista registro del acceso y/o
extracción de datos. Cabe mencionar que el encargado del área comprime los
backup con clave, el backup es realizado y almacenado en un DVD y un Disco
externo del departamento de informática de forma diaria, el DVD no es almacenado
en una caja de seguridad con llave y el disco se encuentra en el escritorio de la
persona encargada del área.
9. Se verificaron las principales políticas de uso del equipo para empleados y se logró verificar
la ausencia de políticas específicas del uso del equipo de cómputo por parte del personal,
esto específicamente a conexiones, descargas, comida, bebida e instalaciones de software
y hardware por parte del usuario.
10. Los usuarios pueden utilizar una memoria usb personales para trasladar información de una
maquina a otra.
11. El 2% de los equipos de cómputo utilizan sistema operativo Windows xp estos utilizados en
el área de secretaria, el 80% de equipos cuentan con Windows 7 y el resto con 8/10,
12. El personal del área de informática realiza el mantenimiento de los equipos de forma
personal y sin contar con la orden específica, al interrogar del porque se realizaba este
proceso de la forma en que se hace, el personal indico que no necesitan ninguna orden ya
que ellos son los mismos que autorizan las ordenes de mantenimiento y limpieza, y lo
realizan cuando consideran que a un equipo se le debe dar mantenimiento
13. Se verifico que las contraseñas son seguras en un 60%, en la anterior auditoria hace 4 años
se le sugirió a los empleados utilizar como minio 6 dígitos, Letras mayúsculas y minúsculas
y números
14. Existe una carpeta en el servidor llamado ARCHIVOS GENERALES, esta es usada por todos
los empleados para poder compartir información y así no necesitan movilizarse para llevar
la información de un lugar a otro por parte de memorias USB (aunque nada les prohíbe
hacerlo)

Universidad de San Carlos de Guatemala – CPA – Auditoria 5

 Proyecto Papeles de Trabajo
Auditoria de Sistemas

15. Para la adquisición del equipo se cuenta con un proveedor específico sugerido por parte del
consejo de administración de la Empresa el cual surte todos los suministros, repuestos y
equipo necesarios para la institución.
16. Para las contingencias se cuenta con extintores de gas, no se logró verificar la fecha de
mantenimiento por ausencia del jefe del área, los empleados según entrevista con algunos
de ellos, supieron responder a las preguntas sobre el correcto uso del mismo.
17. No se verificaron zonas de humedad extrema, iluminación es la adecuada y el soporte de
los equipos también es el adecuado.
18. El equipo con contrato 028/2009 contaba con 512 gb de Ram pero se comprobó que era
problema lógico y físico
19. En el MSD-USAID COVENIO 514C-00-01-00102-00 2005 (ASUNTOS INTERNACIONALES) la maquina contaba
con un disco duro de 120 gb.
20. DONACIÓN-UNIDAD ATENCIÓN A VÍCTIMAS CONFLICTO ARMADO nunca se pudo observar este equipo, según
se argumentó la persona estaba fuera del país al momento de la auditoria

REQUERIMIENTOS

Para resolver el caso que se le presenta a continuación deberá considerar lo siguiente

1. Utilice la compilación de papeles de trabajo que se elaboró en clase, como soporte para
usar los programas e instrumentos ya elaborados.
2. Lea detenidamente el caso y use el material para adaptarlo a los resultados de la Auditoria.
3. Deberá llenar las respectivas cedulas de situaciones encontradas y situaciones relevantes
(PARA ESTE MOMENTO NO DEBER REALIZARLO AUN, ESTE PASO 3 SE REALIZARÁ EN LA
SEGUNDA FASE DEL PROYECTO AL REGRESAR DEL DESCANSO)
4. Deberá crear un informe de auditoría, dentro del mismo se espera que realice las
recomendaciones correspondientes.
5. (PARA ESTE MOMENTO NO DEBER REALIZARLO AUN, ESTE PASO 4 SE REALIZARÁ EN LA
SEGUNDA FASE DEL PROYECTO AL REGRESAR DEL DESCANSO)
6. Deberá entregar su trabajo en un solo archivo digital en dos formatos distintos Microsoft
Word y Pdf, SUBIDOS AL SERVIDOR Utilice el formulario de entrega.
7. EL NOMBRE DEL ARCHIVO DEBERA SER ASI
Seccion , Numero de Grupo, Caso de Auditoria
Ejemplo SEccion A , Grupo No. 1, Caso de Auditoria
8. Entregar el día domingo 14 de abril a más tardar a las 14 horas
9. El trabajo se realizará con el mismo grupo de trabajo.
10. Si durante el desarrollo del trabajo encuentra dificultades para reconocer algunos términos,
será necesario investigar lo necesario para reconocer la exactitud de los términos.
11. Muestreo de los equipos de cómputo que se evaluaron, según resultados de control interno

Universidad de San Carlos de Guatemala – CPA – Auditoria 5

 Proyecto Papeles de Trabajo
Auditoria de Sistemas

Registros de equipos por parte de la empresa

Capac_
Disco
Capacidad
No. Contrato Contratista Tipo Marca/Modelo Procesador Velocidad Duro GARANTIA
RAM

028/2002 DELL
OLIVETTI COLOMBIA PENTIUM
COMPUTADOR_PERSONAL OPTIPLEX 2,0 GHZ 256 MB 40 GB FINALIZADA
S.A. IV
1 GX260-270
048/2002 SOFTWARE Y COMPAQ EVO PENTIUM
COMPUTADOR_PERSONAL 1.5 GHZ 256 MB 40 GB FINALIZADA
ALGORITMOS D310V IV
2
050/2002 SOFTWARE Y
HP EVO
PENTIUM
COMPUTADOR_PORTATIL N1020V TIPO 2.4 256 40 FINALIZADA
ALGORITMOS IV
3 PORTATIL

HP COMPAQ PENTIUM
COMPUTADOR_PERSONAL 2.4 GHZ 256 MB 40 GB FINALIZADA
EVO D530 CMT IV
INFORMATICA
4
038/2003 DATAPOINT DE
COLOMBIA LTDA
HP
INTEL 76 GB
ESTACION DE TRABAJO WORKSTATION 2.8 GHZ 1 GB FINALIZADA
XEON (2X36)
XW6000
5
066/2003 DELL
PENTIUM
SISTETRONICS COMPUTADOR_PERSONAL OPTIPLEX GX- 1.8 GHZ 256 MB 40 GB FINALIZADA
IV
6 270
054/2004
AJC IT SOLUCIONES HP COMPAQ PENTIUM
COMPUTADOR_PERSONAL 2.8 GHZ 512 MB 80 GB FINALIZADA
INFORMATICAS DC 7100 CMT IV
7
AJC IT SOLUCIONES HP COMPAQ PENTIUM
067/2005 INFORMATICAS
COMPUTADOR_PERSONAL
DC 7600 CMT IV
3,0 MHZ 512 MB 80 GB FINALIZADA
8

Universidad de San Carlos de Guatemala – CPA – Auditoria 5

 Proyecto Papeles de Trabajo
Auditoria de Sistemas

INTEL
HP NX 6120
COMPUTADOR_PORTATIL PENTIUM 1,6 GHZ 512 MB 40 GB FINALIZADA
TIPO PORTATIL
M730
9
DELL INTEL
COMPUTADOR_PERSONAL OPTIPLEX 745 CORE 2 2.8 GHZ 512 MB 160 GB FINALIZADA
SFF DUO
10
111/2006 AJC IT SOLUCIONES
DELL INTEL
COMPUTADOR_PORTATIL LATITUDE D820 CORE 2 2.8 GHZ 512 MB 160 GB FINALIZADA
TIPO PORTATIL DUO
11

INTEL
HP NX 6320
33-036/2006 AJC IT SOLUCIONES COMPUTADOR_PORTATIL
TIPO PORTATIL
CORE 2 1,6 GHZ 1,0 GB 80 GB FINALIZADA
DUO T2300
12
053/2007
INFORMATICA
HP COMPAQ DUAL
DATAPOINT DE COMPUTADOR_PERSONAL 1.86 GHZ 1.0 GB 80 GB FINALIZADA
DC 7700 CMT CORE 2
COLOMBIA LTDA
13
052/2008
INFORMATICA INTEL
HP COMPAQ
DATAPOINT DE COMPUTADOR_PERSONAL CORE 2 2,66 GHZ 1.0 GB 160 GB FINALIZADA
DC 5800 CMT
COLOMBIA LTDA DUO E7300
14
028/2009
DELL INTEL
REDCOMPUTO COMPUTADOR_PORTATIL OPTIPLEX CORE 2 2.26 GHZ 4.0 GB 250 GB FINALIZADA
E5500 SERIES DUO E8400
15
INTEL
LD
COMPUTADOR_PERSONAL CORE 2 2.4 GHZ 2.0 GB 250 GB FINALIZADA
DR100pre
DUO E7200
16 COMERCIALIZADORA
095/2009 FERLAG
HP PROBOOK INTEL
COMPUTADOR_PORTATIL 2.26 GHZ 4.0 GB 250 GB FINALIZADA
6640B CORE i5
17

Universidad de San Carlos de Guatemala – CPA – Auditoria 5

 Proyecto Papeles de Trabajo
Auditoria de Sistemas

096/2009
INTEL
HP COMPAQ
COLSOF COMPUTADOR_PERSONAL CORE 2 2.93 GHZ 2.0 GB 320 GB FINALIZADA
6000 PRO
DUO E7300
18
179_034/2010
DATATAPOINT DE HP COMPAQ INTEL
COMPUTADOR_PERSONAL 2.26 GHZ 4.0 GB 320 GB VIGENTE
COLOMBIA 8100 ELITE PC CORE i3
19
179_035/2010
HP PROBOOK INTEL
SUMIMAS S.A.S. COMPUTADOR_PORTATIL 2.26 GHZ 4.0 GB 320 GB
4420s CORE i3
20 FINALIZADA

DELL INTEL
COMPUTADOR_PERSONAL 2.26 GHZ 8.0 GB 500 MB
OPTIPLEX 960 CORE i3
21 FINALIZADA
APPLE INTEL
179_039/2010 SITEC S.A.S. COMPUTADOR_PORTATIL MACBOOK CORE 2 2.8 GhZ 8.0 GB 500 MB
PRO DUO
22 FINALIZADA
DELL INTEL
ESTACIONES DE TRABAJO PRECISION XEON 2.80 Ghz 24 GB 1 TB
T3500 W3530
23 FINALIZADA

HP COMPAQ, INTEL
COMPUTADOR_PORTATIL 3,10 GHZ 4.0 GB 500 MB VIGENTE
6450B CORE i3
24
179_127/2011 COLSOF S.A.

HP COMPAQ INTEL
COMPUTADOR_PERSONAL 3,10 GHZ 4.0 GB 500 GB VIGENTE
6200 CORE i3
25

INTEL
HP COMPAQ,
179_009/2012 COLSOF S.A. COMPUTADOR_PORTATIL
6450B
CORE i5 2.50GHz 4.0 GB 500 MB VIGENTE
3210M
26

Universidad de San Carlos de Guatemala – CPA – Auditoria 5

 Proyecto Papeles de Trabajo
Auditoria de Sistemas

HP COMPAQ INTEL
COMPUTADOR_PERSONAL 3,10 GHZ 4.0 GB 500 GB VIGENTE
6200 SFF CORE i5

27

DELL INTEL
179_126/2013 MICROHARD S.A.S. COMPUTADOR_PERSONAL
OPTIPLEX 7010 CORE i7
3.4 GHz 8.0 GB 500 GB VIGENTE

28

HP COMPAQ INTEL
179_183/2013 COLSOF S.A. COMPUTADOR_PERSONAL
6300 CORE i7
3.4 GHz 8.0 GB 1 TB VIGENTE

29

QBEX LITE INTEL

SINIESTRO COMPUTADOR_PERSONAL
5500 CORE i3
2.5. GHz 2.0 GB 500 GB FINALIZADA

30
CONVENIO DE
COMODATO DDR-
INTEL
028 2007 OIM
MICROHOME COMPUTADOR_PORTATIL 4440S CORE 2 1,83 MHZ 1,0 GB 100 GB FINALIZADA
JUSTICIA Y PAZ
DUO
(MINISTERIO
PUBLICO)
CONVENIO
DONACION MSD- CASALS
USAID-PGN &ASOCIADOS COMPAQ EVO PENTIUM
COMPUTADOR_PERSONAL 1,5 GHZ 128 MB 40 GB FINALIZADA
PROYECTO SIRI INC/CONTROLES D300 IV
OS/BOG-441/2002 EMPRESARIALES
(SIRI)
MSD-USAID
DHPGN218/2003(514-
c-00-01-00102-00) COMPAQ EVO PENTIUM
AJC IT SOLUCIONES COMPUTADOR_PERSONAL 1.8 GHZ 256 MB 40 GB FINALIZADA
(DERECHOS D51S IV
HUMANOS)

Universidad de San Carlos de Guatemala – CPA – Auditoria 5

 Proyecto Papeles de Trabajo
Auditoria de Sistemas

CONVENIO
DONACION MSD-DH PENTIUM
PC MICROS COMPUTADOR_PERSONAL COMPAQ 1.5 GHZ 256 MB 40 GB FINALIZADA
2003 (SEPREDH) IV

MSD-USAID
COVENIO 514C-00-
01-00102-00 2005 AJC IT SOLUCIONES COMPUTADOR_PERSONAL HP COMPAQ PENTIUM
2.8 GHZ 512 MB 80 GB FINALIZADA
(ASUNTOS INFORMÁTICAS DC 7100 SFF IV
INTERNACIONALES)

MSD-USAID
COVENIO 514C-00-
01-00102-00 2005 AJC IT SOLUCIONES HP NX 6120 PENTIUM
(ASUNTOS COMPUTADOR_PORTATIL 1.6 GHZ 512 MB 60 GB FINALIZADA
INFORMÁTICAS TIPO PORTATIL IV
INTERNACIONALES)

CONVENIO OIM-PGN
ID-CO-O109 2005 ( HP COMPAQ PENTIUM
MENOR Y FAMILIA) MICROHOME COMPUTADOR_PERSONAL 2.8 GHZ 512 MB 80 GB FINALIZADA
DX 2000 M IV

CONVENIO DE
DONACION CICR
2006 UAO(ATENCION CONTROLES COMPAQ EVO PENTIUM
COMPUTADOR_PERSONAL 3,2 GHZ 512 MB 80 GB FINALIZADA
AL EMPRESARIALES DX 220 IV
DESPLAZAMIENTO
FORZADO)

CONVENIO
DONACION ACNUR-
C&C STAR
OPCION LEGAL 2007 PENTIUM
TECHNOLOGY LTDA. COMPUTADOR_PERSONAL HP DX 2200 2,8 GHZ 256 MB 80 GB FINALIZADA
(ATENCION IV
(CTO. 438/2006)
DESPLAZAMIENTO
FORZADO)

CONVENIO
DONACION ALTO
COMISIONADO DE
LAS NACIONES
DELL
UNIDAS PARA LOS PENTIUM
AQSERV COMPUTADOR_PERSONAL OPTIPLEX 2,8 GHZ 512 MB 80 GB FINALIZADA
DH (OACNUDH)-PGN IV
GX270
2006 (PROC. DEL.
PREVENCION EN
MATERIA DE DH Y
ASUNTOS ETNICOS)

Universidad de San Carlos de Guatemala – CPA – Auditoria 5

 Proyecto Papeles de Trabajo
Auditoria de Sistemas

CONVENIO
DONACION ALTO
COMISIONADO DE
LAS NACIONES
DELL LATITUD
UNIDAS PARA LOS PENTIUM
AQSERV COMPUTADOR_PORTATIL D60 TIPO 2,8 GHZ 512 MB 80 GB FINALIZADA
DH (OACNUDH)-PGN IV
PORTATIL
2006 (PROC. DEL.
PREVENCION EN
MATERIA DE DH Y
ASUNTOS ETNICOS)
CONVENIO
DONACION ACNUR-
OPCION LEGAL 2006 HP DC 7600 PENTIUM
MICROHOME COMPUTADOR_PERSONAL 2,8 GHZ 512 MB 80 GB FINALIZADA
(ATENCION CMT IV
DESPLAZAMIENTO
FORZADO)

CONVENIO
DONACION OIM-PGN
ID-CO-0109 2006 HP COMPAQ PENTIUM
MICROHOME COMPUTADOR_PERSONAL 3.0 GHZ 256 MB 80 GB FINALIZADA
(ATENCION DX 2000 IV
DESPLAZAMIENTO
FORZADO)

CONVENIO
DONACION INTEL
LENOVO E680
EMBAJADA CHINA- EMBAJADA DE CHINA COMPUTADOR_PORTATIL TIPO PORTATIL
CORE 2 1,66 GHZ 512 MB 60 GB FINALIZADA
PGN 2007 DUO

CONVENIO
DONACION MSD
USAID-PGN 514-C- DUAL 1 GB DDR
PC MICROS COMPUTADOR_PERSONAL HP DC 7700C 2.3 MHZ 160 GB FINALIZADA
00-06-00304-00, CTO. CORE 2 II
3.5-113-2007-B DE
30-10-2008
DONACIÓN-
PROYECTO
ASUNTOS CIVILES COMPUTADOR_PERSONAL ACER VX490G CORE i3 3.0 GHz 4.0 GB 500 GB VIGENTE

DONACIÓN-UNIDAD
ATENCIÓN A
HP 8200 (ALL IN
VÍCTIMAS COMPUTADOR_PERSONAL CORE i5 2.4 GHz 8.0 GB 500 GB VIGENTE
ONE)
CONFLICTO
ARMADO

Universidad de San Carlos de Guatemala – CPA – Auditoria 5

 Proyecto Papeles de Trabajo
Auditoria de Sistemas

Universidad de San Carlos de Guatemala – CPA – Auditoria 5