Академический Документы
Профессиональный Документы
Культура Документы
Trabajo de Auditoría
Caso EPERSA
2 Objetivos generales
El objetivo del presente trabajo consiste en tomar conocimiento y evaluar la gestión
estructural informática en termino de incorporación, adquisición y uso de Tecnologías de la
Información de carácter corporativo, como así mismo de la gestión táctica y operacional de
la gestión integral, su eficacia como sistema de información de gestión estratégica de apoyo
a la industria pesquera, calidad y oportunidad de la información por él generada, además de
evaluar el grado de satisfacción de los usuarios directos e indirectos del sistema bajo
auditoría, para así lograr emitir una opinión sobre la razonabilidad de dichos ámbitos.
3 Objetivos Específicos
Para cumplir con el objetivo general planteado en el párrafo anterior, se han determinado
los siguientes objetivos específicos:
● Obtener conocimiento de los principales sistemas y recursos informáticos que apoyan las
actividades de la empresa a nivel estratégico y operacional.
4 Alcance de la auditoría
Conforme a los objetivos específicos anteriormente señalados, esta auditoría centrará su
atención en el área de informática de la empresa EPERSA S.A. como también, en los
principales sistemas de información y recursos tecnológicos empleados para apoyar sus
actividades operacionales y estratégicas, basándose en el estándar internacional de Cobit 5
y específicamente en los procesos del dominio MEA (Monitor - Evaluate - Assess).
Esta auditoría no tiene por objetivo analizar el diseño de los sistemas, recursos
tecnológicos y aplicaciones informáticas de la empresa EPERSA S.A. sino, analizar y
verificar la operacionalidad, funcionalidad y eficacia de dichos sistemas.
EPERSA
Programa de Trabajo
Auditoria a la gestión integral de los sistemas informáticos CPD
Fecha de inicio: 14 de Mayo de 2019
Auditores: Diego Paillal y Vaihiare Ruiz
ISO
Fecha Observ Resp Cobit
27000
I Gestión de inicio de Auditoria
a) Carta de inicio de Auditoria
b) Recepción de notificación de inicio
de auditoria
c) Carta de resguardo de la empresa
d) Carta de responsabilidad
II Obtención de información General
1 Solicitar plan estratégico de la EPERSA
referido al área informática.
2 Solicitud del plan informático de
EPERSA actualizado por sucursal.
3. Solicitar actas de reuniones
relacionadas con la toma de decisiones de
Gerencia sobre temas tecnológicos e
informáticos y de seguridad lógica y
física de algunos periodos.
4. Documento de constitución de comité
informático e integrantes
5. Solicitar perfiles de cargos del personal
del área informática.
6. Solicitar políticas de informática.
7. Documentación de los planes de
contingencia, emergencia y seguridad de
la gestión y servicios informáticos.
8. Actas de los últimos 3 meses de las
sesiones del Comité de informática.
9. Solicitar los presupuestos de los planes
informáticos realizados y a realizar.
10. Solicitar políticas y procedimientos
de compras de los soportes informáticos
y/o tecnológicos.
11. Solicitar inventarios de computadores
personales, software y redes de
comunicación.
12. Solicitar informe técnico de la
creación del área de Centro de
Procesamiento de Datos.
13. Obtener información sobre la
integridad, seguridad, confidencialidad y
confiabilidad del CPD y la información
entre las sucursales.
14. Otros antecedentes estratégicos-
informáticos relacionados con la
continuidad y seguridad de las
operaciones.
15. Solicitar el diseño lógico, esquema
administrativo de trabajo, formularios,
niveles de autorización y flujo de
información vinculado al sistema
computacional.
16. información sobre el control de
acceso de los sistemas.
17. codificación utilizada en el sistema.
18. solicitar la descripción del apoyo
computacional y herramientas utilizadas
por los usuarios de las TI.
Antecedentes legales y
normativos:
1. Antecedentes legales que regulen la
adquisición de bienes y servicios
computacionales y tecnológicos.
Visita en Terreno:
5. Sistemas de respaldos de
información.
Procedimientos de Auditoría:
Pruebas de Cumplimientos
Pruebas Sustantivas
1. Mediante la comparación de
informes de auditorías de sistemas de
información de años anteriores,
solicitados previamente a la gerencia,
obtener datos sustentables y observar el
comportamiento histórico y correcciones
de hallazgos informados, para obtener
conocimiento de la evolución de la
empresa en términos tecnológicos.
2. Evaluar los procesos de facturación y
volúmenes para determinar una muestra
de información para la revisión de la
eficiencia en la conexión y
funcionamiento del sistema entre la
matriz y sus sucursales, además de las
características tecnológicas en cada
planta de los equipos y así verificar una
concordancia con las exigencias
requeridas por la empresa.
3. Evaluar la eficiencia de las políticas
desarrolladas para la organización,
manejo, gestión y recursos de TI en la
empresa.
Pruebas Analíticas
7.4 Metodología
Para cumplir con los objetivos propuestos, las actividades de evaluación y análisis de los
distintos sistemas, recursos tecnológicos y aplicaciones informáticas de la entidad se
llevaron a cabo bajo los estándares de Cobit 5 y los procesos de sus dominios y además, se
realizaron una serie de procedimientos de auditoría que incluyeron pruebas sustantivas,
pruebas de cumplimiento y pruebas analíticas enfocadas para dar la evidencia suficiente a
los auditores respecto a la funcionalidad, integridad y disponibilidad los sistemas, recursos
tecnológicos y aplicaciones informáticas del área de informática de la empresa EPERSA
S.A. con el fin de emitir una opinión sobre la razonabilidad del objeto auditado. Lo anterior
se realizó bajo un análisis crítico de los sistemas implementados en las distintas áreas de la
entidad, de manera de detectar hallazgos y/o debilidades en términos de TI y efectuar las
recomendaciones pertinentes.
Finalmente, una versión preliminar de este informe fue puesta en conocimiento de los
ejecutivos de las áreas involucradas, incluyendo en el texto definitivo sus comentarios y
observaciones correspondientes.
8 Opinión general
Recientemente, la empresa EPERSA S.A. ha adquirido para el procesamiento de
información y controles automáticos de procesos de fabricación, tanto para su casa matriz
ubicada en Santiago, como para sus plantas ubicadas en los puertos de Iquique y
Talcahuano, una completa instalación computacional marca DiongDu 340 AS-9-K-KR de
procedencia norcoreana.
En lo específico y en relación al objetivo general de esta auditoría, valoramos
positivamente aspectos elementales de funcionamiento, tales como:
● El lugar donde se encuentra ubicada la CPU del DiongDu 340 sólo se encuentra
resguardada por una guardia externa, sin que medie ningún otro tipo de seguridad
que pueda controlar el acceso al lugar.
9 Hallazgos y recomendaciones
1) Debilidad
Procesos descentralizados
La información de las sucursales debe centralizarse en la casa matriz, por lo tanto, la
información que se presenta no es del todo completa y esto ocasiona que las decisiones que
se toman en el momento sean equivocadas y erróneas.
Controles transgredidos
Los controles transgredidos son controles generales, debido a que ahí es donde se
implementan los sistemas, y lo que es una debilidad en este punto, es el sistema
descentralizado entre la casa matriz y las sucursales.
Recomendaciones
Contratar convenios de respaldo con proveedores o terceros, para una mayor seguridad de
la información y tener un sistema y equipos interconectados para toda la compañía para una
comunicación más fluida de la información y tener una mayor seguridad con el cruce de la
información
.
2) Debilidad
Conflictos de interés, debido a que el experto en informática a cargo del área de informático
a nivel de la empresa, el Sr. Correa (Gerente de Informática), es a su vez parte del Comité
de Informática, lo cual no puede ser posible.
Controles transgredidos
Los controles transgredidos son los controles generales debido que hay claramente una
inexistencia de segregación de funciones.
Recomendaciones
El gerente de informática solo tiene derecho a voz, por lo tanto, Carlos Correa no debiese
encargarse de esa función que tiene adquirida que es la de desarrollar, explotar y mantener
los sistemas de información, sino más bien el comité de informática.
3) Debilidad
Riesgo en la jerarquización de responsabilidades y autoridades, debido a que el comité de
informática acata las decisiones del gerente de informática, siendo que por normativa
debería ser de manera inversa.
Controles transgredidos
Los controles transgredidos son los controles generales debido a que se presenta una
inexistencia de segregación en la estructura orgánica de la empresa.
Recomendación
Reevaluar la jerarquización de responsabilidades, para determinar de manera óptima, y bajo
lo estipulado en la norma la autoridad y el alcance del comité de informática y del gerente
de informática.
4) Debilidad
Riesgo en la segregación de funciones, distribución y asignación del personal especializado
para el área de informática, esto debido a que la encargada de supervisar el desarrollo de los
sistemas se encuentra también a cargo de asumir la gerencia Explotación en ausencia del
gerente de está, realizando el trabajo de dos áreas de gran importancia, de igual manera se
puede ver que el programador analista además de realizar las mantenciones a los sistemas
tiene múltiples funciones más a su cargo.
Controles transgredidos
Los controles transgredidos son los controles generales ya que como se dijo en el hallazgo
anterior no hay una segregación de personal dentro de la estructura orgánica de la empresa,
además son también transgredidos los controles de aplicación debido a que los controles de
aplicación tienen relación con la segregación pero de las funciones del negocio,y se puede
observar que hay una persona que está a cargo de 2 áreas de gran importancia en la
empresa, situación que no se puede dar en una organización por el conflicto de intereses
que esto puede generar.
Recomendación
Establecer un sistema óptimo de segregación de funciones, estableciendo bajo una política
o normativa las responsabilidades y obligaciones de cada cargo dentro de la organización.
5) Debilidad
En las sucursales no existe área de desarrollo de sistemas (área en donde se desarrollan las
actividades de mantención) obstaculizando el desarrollo óptimo de los sistemas en las
plantas de producción.
Controles transgredidos
En este punto los controles transgredidos son los generales, y los de aplicación, en cuanto a
los de aplicación se ven transgredidos los controles preventivos, los controles correctivos, y
los controles detectivos, debido que no hay mantención de los sistemas.
Recomendación
En cada sucursal debe instaurarse un área de desarrollo de sistemas, debido a que es aquí
donde se puede transgredir la seguridad de la información, que es el principal activo de la
empresa.
6) Debilidad
La adquisición de los nuevos sistemas computacionales fue hecha por un abogado no
experto en sistemas de información, que tiene conocimiento en comercio exterior.
Controles transgredidos
Los controles transgredidos son los controles generales debido a que estos controles tienen
relación con la implementación de los sistemas de información.
Recomendación
Establecer la asignación de cargos y responsabilidades según las habilidades y capacidades
del personal, estipulándolo en la normativa interna de la organización.
7) Debilidad
Riesgo en que los dispositivos de respaldo de energía, y del ambiente de control físico se
encuentra en la bodega del segundo subterráneo junto a la C.P.U. del DiongDu 340, debido
que ante cualquier siniestro ya sea de incendio o inundación estos dispositivos de tan
importancia para el funcionamiento de la empresa quedan expuestos y sin resguardo.
Controles transgredidos
Los controles transgredidos son los controles generales, que tienen relación con la
infraestructura, más específicamente atenta contra la continuidad del negocio en caso de
catástrofe.
Recomendación
Cambiar de lugar físico de los respaldos de energía, del ambiente de control y la C.P.U. del
DiongDu 340 a un lugar externo u otro que no sea el subterráneo.
Establecer una política de seguridad para un mayor resguardo de los equipos y la C.P.U de
la empresa.