Professional Documents
Culture Documents
Planificacin, Programa y
Pre-informe de Auditora
Empresa EPERSA S.A.
PEP 1
Integrantes:
Profesor:
Ctedra:
30 de Mayo de 2016
NDICE
I.
II.
III.
IV.
Alcance .................................................................................................................... 3
Metodologa ................................................................................................................. 3
V.
VI.
VII.
VIII.
IX.
I.
a.
b.
c.
Alcance .................................................................................................................. 13
d.
Metodologa ........................................................................................................... 14
II.
III.
ANEXOS .......................................................................................................................... 26
I.
Objetivo general
Objetivos especficos
Para cumplir con el objetivo general planteado en el prrafo anterior, se han determinado los
siguientes objetivos especficos:
Obtener un conocimiento global del rea informtica y de sus actividades y
responsabilidades especficas.
Obtener conocimiento de los principales sistemas y recursos informticos que apoyan
las actividades de la empresa a nivel estratgico y operacional.
Verificar la funcionalidad y eficacia de los sistemas informticos de la empresa.
Verificar la confiabilidad de los sistemas informticos de la empresa en cuanto a
seguridad lgica y fsica, calidad y oportunidad de la informacin generada.
Verificar si los sistemas informticos apoyan el cumplimiento de las actividades y
objetivos de los usuarios de dichos sistemas.
Analizar los hallazgos encontrados en el rea de informtica y determinar los riesgos
a los que est expuesta la empresa y los controles que han sido o pueden ser
transgredidos al respecto.
Emitir las recomendaciones pertinentes de control interno relativas a los hallazgos
encontrados mediante un pre-informe de auditora.
IV.
Alcance
Metodologa
Para cumplir con los objetivos propuestos, las actividades de evaluacin y anlisis de los
distintos sistemas, recursos tecnolgicos y aplicaciones informticas de la entidad, se
llevarn a cabo bajo los estndares de Cobit 5 y especficamente en los procesos del dominio
MEA (Monitor - Evaluate - Assess) y adems, se realizarn una serie de procedimientos de
auditora, los que incluyen pruebas sustantivas, pruebas de cumplimiento y pruebas analticas
enfocadas para dar la evidencia suficiente a los auditores sobre la funcionalidad, integridad
y disponibilidad los sistemas, recursos tecnolgicos y aplicaciones informticas del rea de
informtica de la empresa EPERSA S.A. con el fin de emitir una opinin sobre la
razonabilidad del objeto auditado.
Lo anterior se realizar bajo un anlisis crtico de los sistemas implementados en las distintas
reas de la entidad, de manera de recabar la documentacin e informacin para el proceso de
auditora.
En forma adicional, se programaron reuniones de trabajo con el departamento de informtica
y las gerencias correspondientes para recopilar la informacin necesaria.
VI.
Programa de Auditora
Fecha
Resp.
14.03.2016
16.03.2016
Seplveda
Venegas
25.03.2016
COBIT 5
Dominio:
MEA
Anexo
18.04.2016
Anexo 1
Anexo 2
Anexo 3
22.03.2016
23.03.2016
Anexo 4
Anexo 5
Seplveda
Venegas
MEA01.03
MEA01.03
MEA01.03
MEA01.03
MEA01.03
MEA01.01
MEA01.03
MEA01.04
01.04.2016
Seplveda
Venegas
MEA01.03
MEA01.03
MEA01.03
MEA02.02
MEA02.02
MEA02.02
MEA01.03
7. Obtener informacin
documentada que evidencie la
integridad, seguridad,
confidencialidad y confiabilidad
del rea de informtica.
8. Requerir el tipo de codificacin
utilizada en el sistema.
IV. Obtencin de informacin
complementaria.
1. Requerir reportes sobre fallas de
funcionalidad y operacionalidad en
los sistemas, recursos tecnolgicos
y aplicaciones informticas dentro
de los ltimos 6 meses.
2. Requerir reportes sobre la
calidad y oportunidad de la
informacin generada por los
sistemas medida por los usuarios.
3. Requerir reportes sobre los
controles efectuados a sus sistemas
informticos y el resultado de
stos.
4. Requerir un detalle de las
nuevos recursos tecnolgicos
adquiridos e implementados en el
ltimo ao junto con su
justificacin de implementacin.
5. Requerir un reporte sobre
vulneraciones a sus sistemas o
modificaciones no autorizadas por
personal de la empresa o por
terceros ajenos ocurridas en los
ltimos 6 meses.
6. Requerir documentacin que
evidencie que los usuarios de los
sistemas, recursos tecnolgicos y
aplicaciones informticas hayan
sido debidamente capacitados.
7. Requerir un detalle de mermas
en recursos tecnolgicos e
informticos en los ltimos 6
meses.
MEA02.02
06.04.2016
Seplveda
Venegas
MEA01.03
MEA01.03
MEA02.02
MEA01.03
MEA01.03
MEA01.03
MEA01.03
MEA01.01
11.04.2016
18.04.2016
Seplveda
MEA01.02 /
MEA02.05
Venegas
MEA01.02 /
MEA01.05 /
MEA02.07
Seplveda
MEA02.01 /
MEA02.02
Venegas
MEA01.02 /
MEA01.03
Seplveda
MEA01.02
Venegas
MEA02.05
MEA02.07
MEA02.02
Seplveda
MEA01.04
Seplveda
MEA01.04 /
MEA02.07
Venegas
MEA01.03
Seplveda
MEA01.03
Venegas
MEA02.02
21.04.2016
1. Comparar el detalle de
inventario de sistemas, recursos
tecnolgicos y aplicaciones
informticas respecto a lo que la
entidad posea en aos anteriores
para analizar la inversin en esta
rea, las actualizaciones de sus
ERP y altas y bajas de estos
activos.
2. Comparar la evolucin de los
planes informticos de
continuidad, emergencia y
contingencia de la empresa
respecto a periodos anteriores para
analizar sus cambios,
actualizaciones y movimientos de
acuerdo a las necesidades del rea.
Pruebas de Cumplimiento:
Venegas
26.04.2016
Seplveda
MEA01.03 /
MEA02.07
Venegas
MEA02.02 /
MEA02.07
Venegas
MEA01.03
Venegas
MEA01.03 /
MEA02.07 /
MEA02.08
Seplveda
MEA03.01 /
MEA03.04
03.05.2016
Pruebas Analticas:
06.05.2016
Seplveda
MEA01.04
MEA02.07
Seplveda
MEA01.03 /
MEA01.05 /
MEA02.07
11.05.2016
Venegas
MEA01.03 /
MEA01.04
Seplveda
MEA01.03 /
MEA02.03
Venegas
MEA01.03 /
MEA02.07
Seplveda
MEA01.03
10
4. Verificar la existencia de
polticas sobre los procedimientos
a seguir en caso de vulneraciones a
los sistemas o modificaciones no
autorizadas y que stas sean
cumplidas.
5. Verificar que efectivamente se
ejecuten las capacitaciones a los
usuarios de los sistemas, recursos
tecnolgicos y aplicaciones
informticas de acuerdo a los
planes establecidos y recursos
asignados.
Pruebas Sustantivas:
Venegas
MEA02.05
Venegas
MEA01.03 /
MEA02.06
18.05.2016
Seplveda
MEA01.03 /
MEA01.04 /
MEA02.04
Seplveda
23.05.2016
MEA01.02 /
MEA02.04 /
MEA02.06
11
recursos tecnolgicos y
aplicaciones informticas para
analizar la periodicidad de
ocurrencia de las fallas y sus
causas.
2. Comparar las expectativas del
comit de informtica sobre la
seguridad de sus sistemas respecto
a los resultados reales obtenidos en
los reportes sobre las vulneraciones
a sus sistemas por parte del
personal de la empresa o terceros
ajenos.
VIII.
Pre-Informe
12
I.
ANTECEDENTES GENERALES
a. Objetivo general
13
Esta auditora no tuvo por objetivo analizar el diseo de los sistemas, recursos tecnolgicos
y aplicaciones informticas de la empresa EPERSA S.A., sino, analizar y verificar la
operacionalidad, funcionalidad y eficacia de dichos sistemas.
El proceso de auditora se llev a cabo en las dependencias de la entidad y se acord con la
administracin un perodo razonable para su ejecucin en terreno de once semanas a objeto
de aplicar las pruebas pertinentes y obtener las conclusiones respectivas.
d. Metodologa
Para cumplir con los objetivos propuestos, las actividades de evaluacin y anlisis de los
distintos sistemas, recursos tecnolgicos y aplicaciones informticas de la entidad se llevaron
a cabo bajo los estndares de Cobit 5 y los procesos de sus dominios y adems, se realizaron
una serie de procedimientos de auditora que incluyeron pruebas sustantivas, pruebas de
cumplimiento y pruebas analticas enfocadas para dar la evidencia suficiente a los auditores
respecto a la funcionalidad, integridad y disponibilidad los sistemas, recursos tecnolgicos y
aplicaciones informticas del rea de informtica de la empresa EPERSA S.A. con el fin de
emitir una opinin sobre la razonabilidad del objeto auditado.
Lo anterior se realiz bajo un anlisis crtico de los sistemas implementados en las distintas
reas de la entidad, de manera de detectar hallazgos y/o debilidades en trminos de TI y
efectuar las recomendaciones pertinentes,
En forma adicional, se programaron reuniones de trabajo con el departamento de informtica
y las gerencias correspondientes para recopilar la informacin necesaria.
Finalmente, una versin preliminar de este informe fue puesta en conocimiento de los
ejecutivos de las reas involucradas, incluyendo en el texto definitivo sus comentarios y
observaciones correspondientes.
II.
OPININ GENERAL
14
Cada uno de los sistemas desarrollados es enviado a las plantas tanto en su formato
fuente como sus compilados, junto a los manuales de sistema, de operacin y de
usuarios.
No obstante, hemos observado la existencia de debilidades, con un grado de riesgo
significativo, en trminos de funcionalidad, integridad, disponibilidad y eficacia asociadas al
sistema computacional DiongDu 340 y a ciertas actividades y/o prcticas desarrolladas por
el departamento de informtica, las cuales se mencionan a continuacin:
La nueva plataforma computacional fue adquirida por el fiscal de la entidad, quien
posee experiencia en comercio exterior pero no en sistemas de informacin, por ende,
el software ha sido adquirido sin evaluar y analizar en primera instancia, las
necesidades de sistemas de informacin del rea de TI o las caractersticas de este
departamento.
El suministro energtico de la entidad se encuentra ubicado en la bodega del segundo
subterrneo, lugar no apropiado para este dispositivo teniendo en cuenta que emana
mucho calor de ste y que adems, en dicha bodega se ubica la CPU del DiongDu
340.
El lugar donde se encuentra ubicada la CPU del DiongDu 340 slo se encuentra
resguardada por una guardia externa, sin que medie ningn otro tipo de seguridad que
pueda controlar el acceso al lugar.
El Comit de Informtica no posee grandes atribuciones o responsabilidades, no
realiza reuniones peridicamente para tomar decisiones y adems, stas son resueltas
casi de forma unilateral por el Gerente de Informtica.
La Gerente de Desarrollo cumple las labores propias de su departamento pero adems,
en ausencia del Gerente de Explotacin, debe reemplazarlo y asumir sus
responsabilidades, sin existir lmites de roles y funciones definidas.
La entidad cuenta con tres equipos e instalaciones computacionales DiungDu 340, no
interconectados, uno en cada planta y otra en la casa matriz. Debido a esto la entidad
dice no requerir de convenios de respaldos con proveedores o terceros.
El DiongDu 340 posee una aplicacin que permite acceder directamente a tuplas de
una Base de Datos Relacional (BDR) sin medir control de esta facilidad de acceso
que por defecto, incluye la plataforma computacional.
Los operadores de trayectoria tienen una password de acceso para efectuar
modificaciones sin mediar control alguno.
Por lo anteriormente expuesto, recomendamos a la empresa que por instrucciones de su
Directorio, instruya a las unidades pertinentes para que stas tomen las medidas necesarias y
desarrollen todas sus potencialidades y facultades para superar las deficiencias y debilidades
mencionadas de manera de gestionar a tiempo los riesgos inherentes asociados a dichos
hallazgos. Esto lo puede lograr reestructurando ciertas actividades y prcticas que en la
actualidad, conllevan a un riesgo latente y que pueden derivar en la ineficiencia de sus
operaciones e incluso, de sus sistemas de informacin. Adems, puede definir polticas y
procedimientos que en un futuro, contribuirn a que la entidad alcance la eficiencia, eficacia
y economa del negocio.
15
iii.
iv.
c. Recomendaciones
i.
DSS06
DSS06.03
3
APO07
2
16
ii.
iii.
iv.
v.
vi.
4
5
APO07.01
APO07.02
17
vii.
y por ende, provocar una explosin que signifique un incendio en las bodegas
de la empresa. Tercero, en caso de provocarse un incendio, y dado que el
Grupo Electrgeno se encuentra ubicado en el mismo lugar que la CPU del
DiongDu 340, sta puede verse afectada, provocando prdidas importantes en
trminos materiales y de informacin que difcilmente pueden ser
recuperados, afectando la continuidad de las operaciones del negocio.
En la situacin descrita anteriormente, hemos observado claramente la
vulneracin de controles de seguridad fsica de las bodegas de la entidad,
debido a que no estn siendo utilizadas adecuadamente y no cuentan con las
caractersticas para albergar, en este caso, un dispositivo de suministro
energtico.
c. Recomendaciones
i.
ii.
iii.
APO07.06
APO07.02
8
BAI09.02
9
BAI09.04
10
BAI09.03
11
APO12.06
7
18
a. Situacin actual
La sala cero, en la cual se encuentra la C.P.U. del DiongDu 340 AS-9-K-KR y el Grupo
Electrgeno con el U.P.S., cuenta con una restriccin de acceso mediante un control de
seguridad basado en el posicionamiento de slo un guardia de la empresa SecurOffice.
b. Observaciones
Segn lo apreciado y a la documentacin proporcionada por el rea de informtica de la
empresa, hemos observado lo siguiente:
i.
ii.
iii.
iv.
c. Recomendaciones
i.
a. Situacin actual
El Comit de Informtica de la entidad se encarga de la planificacin informtica y de la
creacin slo de soluciones informticas y sistemas computacionales. El Comit que es
encabezado por el Gerente de Informtica, el Seor Correa, acata todas las decisiones de ste.
12
APO13
APO13.01
14
APO13.02
15
APO13.03
16
DSS05.05
13
19
b. Observaciones
Segn lo apreciado y a la documentacin proporcionada por el rea de informtica de la
empresa, hemos observado lo siguiente:
i.
ii.
iii.
iv.
v.
vi.
c. Recomendaciones
i.
17
EDM01.02
20
ii.
iii.
a. Situacin actual
El desarrollo de sistemas se realiza en casa matriz de la empresa (oficina Santiago) bajo la
supervisin de la Gerente de Desarrollo, la Seorita Vera quien adems, asume la Gerencia
de Explotacin cuando el gerente titular de dicha rea se ausenta por su periodo de
vacaciones.
b. Observaciones
Segn lo apreciado y a la documentacin proporcionada por el rea de informtica de la
empresa, hemos observado lo siguiente:
i.
ii.
iii.
iv.
18
EDM01.03
DSS03.01
20
DSS03.02
21
DSS03.04
19
21
v.
c. Recomendaciones
i.
ii.
a. Situacin actual
La entidad cuenta con tres equipos e instalaciones computacionales DiungDu 340, no
interconectados, uno en cada planta y otra en la casa matriz. Debido a esto la entidad dice no
requerir de convenios de respaldos con proveedores o terceros.
b. Observaciones
Segn lo apreciado y a la documentacin proporcionada por el rea de informtica de la
empresa, hemos observado lo siguiente:
i.
La empresa posee en cada una de sus plantas y su casa matriz una instalacin
computacional de DiungDu 340 que no estn interconectados entre s.
22
APO07.01
APO07.03
24
APO07.04
23
22
ii.
iii.
iv.
c. Recomendaciones
i.
a. Situacin actual
El programador analista puede modificar datos e informacin de las bases de datos de
explotacin a travs del programa Dataentry, aplicacin del sistema operativo DiungDu 340
que permite acceder directamente a las columnas de una Base de Datos Real sin mediar
control de aplicaciones, lo que facilita la modificacin y consulta directa de datos.
25
DSS05
DSS05.01
27
DSS05.02
28
DSS05.04
29
DSS05.06
30
APO13
31
APO13.02
26
23
b. Observaciones
Segn lo apreciado y a la documentacin proporcionada por el rea de informtica de la
empresa, hemos observado lo siguiente:
i.
ii.
iii.
iv.
c. Recomendaciones
i.
a. Situacin actual
Cada planta y la casa matriz cuenta con operadores de trayectoria, los cuales realizan slo
actividades referentes a los respaldos de sistemas de explotacin, como por ejemplo realizar
estos respaldos, llamar al servicio tcnico en caso de problemas, entre otras cosas, y adems
mantener la biblioteca de respaldos de cada instalacin. Sin embargo, los operadores tambin
cuentan con una password que les permite acceder a todos los datos con objeto de poder
efectuar correcciones, de los mismos, que estn dificultando los procesos.
32
DSS06
DSS06.03
34
APO07
35
APO07.01
36
APO07.02
33
24
b. Observaciones
Segn lo apreciado y a la documentacin proporcionada por el rea de informtica de la
empresa, hemos observado lo siguiente:
i.
ii.
iii.
iv.
v.
c. Recomendaciones
i.
37
DSS06
DSS06.03
39
APO07
40
APO07.01
41
APO07.02
42
DSS05
43
DSS05.03
44
DSS05.04
38
25
ANEXOS
Anexo 1: Carta de inicio de auditora.
Seplveda & Venegas Ltda.
Auditora y Asesora
Picaflor 720
Maip, Santiago
T +56 9 83056251
Santiago, 14 de Marzo de 2016
Sr. Vctor Correa
Gerente de Informtica
EPERSA S.A.
PRESENTE
Ref.: Inicio de auditora
De nuestra consideracin:
De acuerdo a lo sealado en la referencia, nos es grato informar a usted que conforme al
programa definido por Seplveda & Venegas Auditora y Asesora Ltda., presentado y
aprobado por la alta direccin de EPERSA S.A., corresponde efectuar una auditora sobre
operacionalidad, funcionalidad y eficacia de los sistemas, recursos tecnolgicos y
aplicaciones informticas que apoyan los servicios de TI de la entidad, en el cual los
auditores, utilizando la metodologa y conocimientos sobre la materia, planifican, dirigen,
coordinan y ejecutan una auditora de sistemas mediante procedimientos y pruebas de
auditora.
Particularmente, el equipo de auditora, est integrado por las siguientes personas:
Pamela Seplveda Matus, Auditora de Sistemas de Informacin
Jorge Venegas Caldern, Auditor de Sistemas de Informacin
Los auditores mencionados sern los encargados de ejecutar la auditora correspondiente.
Esta auditora, est planificada para dar inicio inmediatamente luego de la recepcin de la
notificacin del inicio de la auditora por parte de Seplveda & Venegas Auditora y Asesora
Ltda y a ms tardar, el da 25 de marzo hasta el da 30 de mayo del presente ao y tiene como
objetivo general adquirir conocimiento y llevar a cabo una evaluacin crtica al rea
informtica por medio de tcnicas y procedimientos que permitan si las acciones ejecutadas
en el sistema son efectivas y se realizan de acuerdo a las normativas informticas y generales
que se encuentran establecidas en la empresa y dar las recomendaciones pertinentes a los
hallazgos.
26
El trabajo de auditora se llevar a cabo bajo el estndar internacional Cobit 5 y sus dominios.
Cabe mencionar que toda aquella informacin recopilada por la auditora propuesta, ser
considerada de reserva profesional y conocida slo por la(s) contraparte(s) que la misma
entidad estime conveniente.
Sin otro particular y esperando una pronta respuesta para dar inicio al trabajo, se despide
atentamente,
27
Francisco Gonzlez
Gerente General EPERSA S.A.
28
Vctor Correa
Gerente de Informtica
EPERSA S.A.
29
Francisco Gonzlez
Gerente General EPERSA S.A.
30
31
10. No considerar ninguna oferta de empleo del cliente o una entidad relacionada si la
aceptacin de dicha oferta dara como resultado que Seplveda & Venegas deba
renunciar (Nota 2) como auditor de acuerdo con normas de independencia externas.
Nota 1: Los familiares cercanos incluyen a cualquier miembro de la familia inmediata, un
padre, hermano o hijo que no est a cargo de la persona.
Nota 2: Los casos en los que Seplveda & Venegas estara obligada a renunciar como auditor
de acuerdo con normas de independencia externas incluyen los siguientes:
Cuando el cliente de auditora de una Firma Seplveda & Venegas se encuentra en
un territorio que es parte de la Unin Europea, si el socio de auditora fue miembro
del equipo de trabajo dentro del perodo de dos aos anterior a la aceptacin de la
oferta de empleo para ocupar un cargo con responsabilidad por la toma de decisiones
gerenciales fundamentales (como por ejemplo Director Ejecutivo o Financiero).
Para los clientes de auditora registrados en la SEC, si la persona fue miembro del
equipo de auditora o estuvo en la cadena de mando dentro del perodo de un ao
antes del comienzo de la auditora en curso y el cargo ofrecido es el de Director
Ejecutivo o Financiero, funcionario contable principal o cargo equivalente.
32