EMPRESA PARA AUDITAR

TIOCAMPO

EMPRESA DEDICADA A PRODUCTOS DERIVADOS LÁCTEOS

Quienes Somos

TíoCampo Alimentos Ltda., comercializa un aplio portafolio de productos alimenticios inocuos, que sastifacen las necesidades tanto de clientes como de consumidores. Presta un servicio oportuno y competente que genera confianza y tranquilidad, cumpliendo con prácticas adecuadas de manipulación de alimentos, mediante el trabajo en equipo, motivado y capacitado en la mejora continua en nuestras actividades.

Misión

Comercializamos productos alimenticios de calidad, proporcionando nutrición y bienestar, innovando en el mercado para satisfacer las necesidades del cliente y consumidor. Propendiendo por la motivación y desarrollo de nuestros colaboradores y el entorno social donde se opera.

Visión

En el año 2014, Tío Campo Alimentos Ltda., sereconocera por servicio oportuno y competente, icorporando un amplio portafolio de productos alimenticios para satisfacción y comodidad de los clientes, a través de una mayor infraestructura, creando sedes de la empresa en sitios claves que estén al alcance de los clientes, manejando estándares de calidad apropiados que generen confianza y tranquilidad a los consumidores.

DATOS DE CONTACTO

Tel: (571) 2 222 222

Fax: (571) 2 222 222

Cel: (571) 312 2 222 222

Dir: Cll 102 # 79 - 40 - Zona Industrial

VIDEOTECA

comic auditoria de sistemas

SEGURIDAD EN LOS SISTEMAS DE INFORMACIÓN

BIBLIOGRAFIA

• Echenique,Garcia.McGraw-Hill,Auditoria en informática.
• Aguirre, C. E. (07 de 11 de 2007). Sitio académico en Contabilidad, Auditoría e Informática. Recuperado el 26 de 09 de 2012.
• Duran, M. (2010). www.itchetumal.edu.mx. Recuperado el 26 de 09 de 2012.
• El_rincon_del_vago.com. (2010). El rincon del vago.com. Recuperado el 26 de 09 de 2012, de http://html.rincondelvago.com/auditoria-de-los-sistemas-de-informacion.html
• Monografías.com. (2010). Monografías.com. Recuperado el 26 de 09 de 2012.   
• Pastor, J. R. (05 de 2004). GestioPolis. Recuperado el 26 de 09 de 2012, de http://www.gestiopolis.com/recursos2/documentos/fulldocs/ger/audisiscal.htm

CONCLUSIONES

En la actualidad la auditoria en informática es muy importante para el adecuado desempeño de los sistemas de información, debido a que nos brinda los controles suficientes y necesarios para que los sistemas sean de alta confiabilidad y con alto nivel de seguridad. Además este tipo de auditorias debe evaluar todo el sistema de información.

 

Con este tema, la primordial conclusión a la que se llega, es que toda empresa, que posea sistemas de información medianamente complejos, debe ser sometida a un control detallado con una evaluación eficiente y eficaz. En la actualidad más del noventa por ciento de las empresas cuentan con su información de forma estructurada a los sistemas informáticos, causa por la que es de vital importancia que los sistemas de información deben funcionar correctamente. Cabe mencionar que el éxito de cualquier empresa, siempre dependerá de la eficiencia de sus sistemas de información, es por tal motivo que la auditoría a estos sistemas debe ser realizada de manera correcta.

 

Podemos ejemplificar que existe una empresa que cuenta con un equipo de trabajo conformado por gente de primera, pero tiene un sistema informático propenso a errores, lento, vulnerable e inestable; si no existe un balance entre estos dos puntos, la empresa fracasará o simplemente nunca saldrá a adelante.

 

Debemos tomar en cuenta el trabajo de la auditoría, precisa de gran conocimiento de Informática, seriedad, capacidad, minuciosidad y responsabilidad; la auditoría de sistemas de información siempre debe realizarse por medio de gente con una adecuada capacitación, una auditoría de sistemas de información mal realizada puede atraer consecuencias drásticas e irreversibles para la empresa, más que nada económicas.

CAPITULO 4

EVALUACION DE LOS SISTEMAS

Los progresos realizados en un sistema deben ser medidos o evaluados para conocer las deficiencias y problemas que éste presenta. Aunque una evaluación cualitativa puede resultar útil en las etapas iniciales del desarrollo del sistema, medidas cuantitativas bajo unas mismas condiciones resultan de vital importancia para ver el progreso real del sistema y compararlo consigo mismo o con otros. Los números no aportan información si se desconoce de dónde proceden, es decir, qué representan. La evaluación de cualquier tecnología debe ir acompañada de un conjunto de medidas estándar propuestas para tal fin. La disponibilidad de bases de datos y de protocolos o procedimientos para la evaluación de estos sistemas ha sido un componente muy importante, casi fundamental, en el progreso alcanzado en este campo y ha permitido compartir nuevas ideas, e incluso compararlas con otras ya consolidadas.   La Evaluación Cuantitativa vs. Cualitativa. Una evaluación cualitativa de un sistema (p. ej. lo que parece gustar a los usuarios del sistema) puede ser animador, pero mucho más convincente para aquellos que no pueden observar el sistema son las medidas cuantitativas llevadas a cabo de forma automática. Las medidas deberían ser estandarizadas en la medida de lo posible, y ser reproducibles, para considerarlas significativas. El proceso automatizado evita errores humanos debido a fatiga, falta de atención, malas intenciones, etc. y además, permite capturar muchos más datos que en un caso manual, y sacar conclusiones sobre el funcionamiento de ciertos procesos o hechos que ocurren, con una mayor fiabilidad.

EJEMPLO DE INFORME DE AUDITORIA

INFORME DE AUDITORIA

1. Identificación del informe

Auditoria de la Ofimática

2. Identificación del Cliente

El área de Informática

3. Identificación de la Entidad Auditada

Municipalidad Provincial Mariscal Nieto

4. Objetivos

· Verificar si el hardware y software se adquieren siempre y cuando tengan la

seguridad de que los sistemas computarizados proporcionaran mayores beneficios

que cualquier otra alternativa.

· Verificar si la selección de equipos y sistemas de computación es adecuada

· Verificar la existencia de un plan de actividades previo a la instalación

· Verificar que los procesos de compra de Tecnología de Información, deben estar

sustentados en Políticas, Procedimientos, Reglamentos y Normatividad en

General, que aseguren que todo el proceso se realiza en un marco de legalidad y

cumpliendo con las verdaderas necesidades de la organización para hoy y el

futuro, sin caer en omisiones, excesos o incumplimientos.

· Verificar si existen garantías para proteger la integridad de los recursos

informáticos.

· Verificar la utilización adecuada de equipos acorde a planes y objetivos.

5. Hallazgos Potenciales

_ Falta de licencias de software.

_ Falta de software de aplicaciones actualizados

_ No existe un calendario de mantenimiento ofimatico.

_ Faltan material ofimática.

UNIVERSIDAD PRIVADA JOSE CARLOS MARIATEGUI

34

AUDITORIA DE SISTEMAS

_ Carece de seguridad en Acceso restringido de los equipos ofimaticos

y software.

6. Alcance de la auditoria

Nuestra auditoria, comprende el presente periodo 2004 y se ha realizado

especialmente al Departamento de centro de cómputo de acuerdo a las

normas y demás disposiciones aplicable al efecto.

El alcance ha de definir con precisión el entorno y los límites en que va a

desarrollarse la auditoria Ofimática, se complementa con los objetivos de

ésta.

7. Conclusiones:

· Como resultado de la Auditoria podemos manifestar que hemos

cumplido con evaluar cada uno de los objetivos contenidos en el

programa de auditoria.

· El Departamento de centro de cómputo presenta deficiencias sobre el

debido cumplimiento de Normas de seguridad.

· La escasez de personal debidamente capacitado.

· Cabe destacar que la sistema ofimatico pudiera servir de gran apoyo a

la organización, el cual no es explotado en su totalidad por falta de

personal capacitado.

8. Recomendaciones

· Se recomienda contar con sellos y firmas digitales

· Un de manual de funciones para cada puesto de trabajo dentro del área.

· Reactualizacion de datos.

· Implantación de equipos de ultima generación

UNIVERSIDAD PRIVADA JOSE CARLOS MARIATEGUI

35

AUDITORIA DE SISTEMAS

· Elaborar un calendario de mantenimiento de rutina periódico .

· Capacitar al personal.

9. Fecha Del Informe

PLANEAMIENTO EJECUCION INFORME

FECHAS 01–10–04 al 15–10-04 16-10–04 al 20–11-04 23–11–04 al 28–11-04

10. Identificación Y Firma Del Auditor

APELLIDOS Y NOMBRES CARGO

QUIÑONEZ MAYTA CARMEN AUDITOR SUPERIOR

SITUACION PRESUPUESTAL Y FINANCIERA

Consiste en medir los resultados de la gestión presupuestaria y financiera y la posibilidad de aplicar las medidas correctivas que permitan alcanzar las metas establecidas.

 

PRESUPUESTO

• Costos del departamento, desglosado por áreas y controles.
• Presupuesto del departamento, desglosado por áreas.
• Características de los equipos, numero de ellos y contratos.

RECURSOS FINANCIEROS

  
Se evalúa la situación actual de los recursos financieros que la empresa u organización tiene disponible en el momento.

ENTREVISTAS CON EL PERSONAL DE INFORMATICA

 

Puede entrevistarse a un grupo de personas elegidas, sus opiniones deben ser debidamente fundamentadas. Las opiniones determinan:

  

1. Grado de cumplimiento de la estructura organizacional administrativa.
2. Grado de cumplimiento de las políticas y los procesos administrativos
3. Satisfacción e insatisfacción
4. Capacitación
5. Observaciones generales

   
   

   
    

EVALUACION DE LOS RECURSOS HUMANOS

Patrones de evaluación y control en recursos humanos

 

La auditoria de recursos humanos puede definirse como el análisis de las políticas y prácticas de personal de una empresa y la evaluación de su funcionamiento actual, seguida de sugerencias para mejorar. El propósito principal de la auditoria de recursos humanos es mostrar como está funcionado el    programa, localizando prácticas y condiciones que son perjudiciales par la empresa o que no están justificando su costo, o prácticas y condiciones que deben incrementarse.

 

La auditoria es un sistema de revisión y control para informar a la administración sobre la eficiencia y la eficacia del programa que lleva a cabo.

 

El sistema de administración de recursos humanos necesita patrones capaces de permitir una continua evaluación y control sistemático de su funcionamiento.

 

Patrón en in criterio o un modelo que se establece previamente para permitir la comparación con los resultados o con los objetivos alcanzados. Por medio de la comparación con el patrón pueden evaluarse los resultados obtenidos y verificar que ajustes y correcciones deben realizarse en el sistema, con el fin de que funcione mejor.

Se utilizan varios patrones, esto pueden ser:

 

1) Patrones de cantidad: son los que se expresan en números o en cantidades, como número de empleados, porcentaje de rotación de empleados, numero de admisiones, índice de accidentes, etc.

2) Patrones de calidad: son los que se relacionan con aspectos no cuantificables, como métodos de selección de empleados, resultados de entrenamiento, funcionamiento de la evaluación del desempeño. Etc.,

3) Patones de tiempo: consisten en la rapidez con que se integra e personal recién admitido, la permanencia promedio del empleado en la empresa, el tiempo de procesamiento de la requisiciones de personal, etc.

4) Patones de costo: son los costos, directos e indirectos, de la rotación de personal, de los accidentes en el trabajo, de los beneficios sociales, de las obligaciones sociales, de la relación costo-beneficio del entrenamiento.

Los patrones permiten la evaluación y el control por medio de la comparación con:

 

1) Resultados finales: cuando la comparación entra el patrón y la variable se hace después de realizada la operación. La medición se realiza en términos de algo rápido y acabado, en el fin de la línea, lo cual presenta el inconveniente de mostrar los aciertos y las fallas de una operación ya terminada, una especie de partida de defunción de algo que ya sucedió.

 

2) Desempeño: cuando la comparación entre el patrón y la variable se hace simultáneamente con la operación, es decir, cuando la comparación acompaña ala ejecución de la operación. La medición es concomitante con el procesamiento de operación. A pesar de que se realiza en forma simultanea, lo que quiere decir es que es actual, la medición se realiza sobre una operación en proceso y no terminada aún.

 

La comparación es la función de verificar el grado de concordancia entra una variable u su patrón. La ARH se encarga de planear, organizar y controlar las actividades relacionadas con la vida del personal en la empresa. Parte de la ejecución de estas actividades al realizan los organismos de recursos humanos, en tantos que alguna parte de ella la realizan diversos organismos de línea. De este modo las actividades de recursos humanos planeadas y organizadas con antelación muestran durante su ejecución y control algunas dificultades y distorsiones que requieren ser diagnosticadas y superadas, con el fin de evitar mayores problemas. La rapidez con que esto se haga depende de una revisión y auditoria permanentes, capaces de suministrar una adecuada retroalimentación para que los aspectos positivos puedan mejorarse y los negativos, corregirse y ajustarse.

 

La función de auditoria no es solo señalar las fallas y los problemas, sino también presentar sugerencias y soluciones. En este sentido, el papel de la auditoria de recursos humanos es fundamentalmente educativo.

EVALUACION DE LA ESTRUCTURA ORGANICA

EVALUACION DE LA ESTRUCTURA ORGANICA

 

• Organigrama con jerarquías
• Funciones
• Objetivos y políticas
• Análisis, descripción y evaluación de puestos
• Manual de procedimientos
• Manual de normas
• Objetivos de la dirección
• Políticas y normas de la dirección

ESTRUCTURA ORGANICA

 

Los auditores deben contar con:
Independencia funcional.
Libertad de acción.
Facultad para la toma de decisiones
Negociación con los niveles gerenciales
Involucramiento en proyectos de alto impacto en el negocio


 

FUNCIONES

Evaluación, verificación e implantación oportuna de los controles y procedimientos que se requieren para el aseguramiento del buen uso y aprovechamiento de la función de informática.

Aseguramiento permanente de la existencia y cumplimiento de los controles y procedimientos que regulan las actividades y utilización de los recursos de informática de acuerdo con las políticas de la organización.

Desarrollar la auditoría en informática conforme normas y políticas estandarizadas a nivel nacional e internacional.
 

Evaluar las áreas de riesgo de la función de informática y justificar su evaluación con la alta dirección del negocio. 

Elaborar un plan de auditoria en informática en los plazos determinados por el responsable de la función.

Obtener la aprobación formal de los proyectos del plan y difundidos entre los involucrados para su compromiso.

Administrar o ejecutar de manera eficiente los proyectos contemplados en el plan de la auditoría en informática.

 

OBJETIVOS

 

• Asegurar que la función de auditoría cubra y proteja los mayores riesgos y exposiciones existentes en el medio informático en el negocio.
• Asegurar que los recursos de informática (hardware, software, telecomunicaciones, servicios, personal, etc.) sean orientados al logro de los objetivos y las estrategias de las organizaciones.

• Asegurar la formulación, elaboración y difusión formal de las políticas, controles y procedimientos inherentes a la auditoría en informática que garanticen el uso y aprovechamiento óptimo y eficiente de cada uno de los recursos de informática en el negocio.
• Asegurar el cumplimiento formal de las políticas, controles y procedimientos definidos en cada proyecto de auditoría en informática mediante un seguimiento oportuno.

 

 

ANÁLISIS DE ORGANIZACIONES

 

 

Agrupar funciones similares y relacionarlas entre sí.
Agrupar funciones que sean compatibles.
Localizar la actividad cerca de la función a la que sirva.Localizar la actividad cerca o dentro de la función mejor preparada para realizarla.

 

No asignar la misma función a dos personas o entidades diferentes.

Separar las funciones de control y aquellas que serán objeto del mismo.
Ningún puesto debe tener dos o más líneas de dependencia jerárquica.El tramo de control no debe ser exagerado, ni muy numerosos los niveles jerárquicos.
 

Principales planes que se requieren dentro de la organizacion

Principales planes que se requieren dentro de la organización

Estudio de viabilidad

 

Investiga los costos y beneficios de los usos a largo plazo de las computadoras, y recomienda cuando debe o no usarse. en caso de requerirse el uso de la computación, sirve para definir el tipo de hardware, software y el quipo periférico y de comunicación necesarios para lograr los objetivos de organización.

Planeación de cambios, modificaciones y actualización

Especifica las metas y las actividades que se deban realizar para lograr los cambios y modificaciones, su independencia, tiempos, responsables y restricciones, cuando la organización toma la decisión de hacer cambios sustanciales de software, hardware , comunicación o equipos periféricos.

Plan maestro

El plan maestro de una instalación informática define los objetivos a largo plazo y las metas necesarias para lograrlo. puede comprender cuatro subplanes:

1. el plan estratégico de la organización.
2. el plan estratégico de sistemas de información.
3. el plan de requerimientos.
4. el plan de aplicación es de sistemas.

Plan de proyectos

Es el plan básico para desarrollar determinado sistema y para asegurarse que el proyecto es consistente con las metas y objetivos de la organización y con aquellos señalados en el plan maestro.

Plan de seguridad: seguros, contingencias y recuperación encaso de siniestro

Se debe contar con una adecuada planeación sobre los seguros que se deben tener en caso de desastre, así mismo se debe tener un plan de recuperación para la instalación s encuentre en funcionamiento en el menor tiempo posible.





Recopilación de la información organizacional.

Recopilación de la información organizacional.

Una vez elaborada la planeación de la auditoría, la cual servirá como plan maestro de los tiempos, costos y prioridades, y como medio de control de la auditoría, se debe empezar la recolección de la información. Se procederá a efectuar la revisión sistematizada del área a través dela observación y entrevistas de fondo en cuanto a:    A) Estructura Orgánica  B) Se deberá revisar la situación de los recursos humanos. C) Entrevistas con el personal de procesos electrónicos. D) Se deberá conocer la situación presupuestal y financiera. E) Se hará un levantamiento del censo de recursos humanos y análisis de situación. F) Por último, se deberá revisar el grado de cumplimiento de los documentos administrativos.   Toda la información tiene un valor en sí misma, el método de obtención de información está directamente ligado a la disponibilidad, dificultad y costo. Existen ventajas y desventajas en el uso de cada una de estas herramientas, su utilidad dependerá del objetivo que se busque y los medios para llevar a cabo esa recolección de datos en tiempo y forma para su posterior análisis. EVALUACION DE LOS RECURSOS HUMANOS Patrones de evaluación y control en recursos humanos La auditoría de recursos humanos puede definirse como el análisis de las políticas y prácticas de personal de una empresa y la evaluación de su funcionamiento actual, seguida de sugerencias para mejorar. El propósito principal de la auditoria de recursos humanos es mostrar cómo está funcionado el programa, localizando prácticas y condiciones que son perjudiciales para la empresa o que no están justificando su costo, o prácticas y condiciones que deben incrementarse. La auditoría es un sistema de revisión y control para informar a la administración sobre la eficiencia y la eficacia del programa que lleva a cabo. El sistema de administración de recursos humanos necesita patrones capaces de permitir una continua evaluación y control sistemático de su funcionamiento.

CAPITULO 3

AUDITORIA DE LA FUNCION INFORMATICA

La auditoría de los sistemas de información se define como cualquier auditoria que abarca la revisión y evaluación de todos los aspectos (o de cualquier porción de ellos) de los sistemas automáticos de procesamiento de la información, incluidos los procedimientos no automáticos relacionados con ellos y las interfaces correspondientes.
Para hacer una adecuada planeación de la auditoría en informática, hay que seguir una serie de pasos previos que permitirán dimensionar el tamaño y características de área dentro del organismo a auditar, sus sistemas, organización y equipo.
 

Objetivos Generales de una Auditoría de Sistemas

• Buscar una mejor relación costo-beneficio de los sistemas automáticos o computarizados diseñados e implantados por el PAD
• Incrementar la satisfacción de los usuarios de los sistemas computarizados
•  Asegurar una mayor integridad, confidencialidad y confiabilidad de la información mediante la recomendación de seguridades y controles.
•  Conocer la situación actual del área informática y las actividades y esfuerzos necesarios para lograr los objetivos propuestos.
•  Seguridad de personal, datos, hardware, software e instalaciones
•  Apoyo de función informática a las metas y objetivos de la organización
•  Seguridad, utilidad, confianza, privacidad y disponibilidad en el ambiente informático
•  Minimizar existencias de riesgos en el uso de Tecnología de información
•  Decisiones de inversión y gastos innecesarios 
•  Capacitación y educación sobre controles en los Sistemas de Información

Tipos de Auditoria Informática

Tipos de Auditoria Informática

Auditoria Informática De Explotación: La explotación informática se ocupa de producir resultados, tales como listados, archivos soportados magnéticamente, órdenes automatizadas, modificación de procesos, etc. Para realizar la explotación informática se dispone de datos, las cuales sufren una transformación y se someten a controles de integridad y calidad. 

Auditoria Informática De Desarrollo De Proyectos O Aplicaciones: La función de desarrollo es una evaluación del llamado Análisis de programación y sistemas. Así por ejemplo una aplicación podría tener las siguientes fases:

• Prerrequisitos del usuario y del entorno
• Análisis funcional
•  Diseño
•  Análisis orgánico (pre programación y programación)
•   Pruebas
•   Explotación

     Todas estas fases deben estar sometidas a un exigente control interno, de lo contrario, pueden producirse insatisfacción del cliente, insatisfacción del usuario, altos costos, etc. Por lo tanto la auditoria deberá comprobar la seguridad de los programas, en el sentido de garantizar que el servicio ejecutado por la máquina, los resultados sean exactamente los previstos y no otros (El nivel organizativo es medio por los usuarios, se da cuenta el administrador Ej. La contabilidad debe estar cuadrada)

Auditoria Informática De Sistemas: Se ocupa de analizar la actividad que se conoce como técnica de sistemas, en todos sus factores. La importancia creciente de las telecomunicaciones o propicia de que las comunicaciones, líneas y redes de las instalaciones informáticas se auditen por separado, aunque formen parte del entorno general del sistema (Ej. De auditar el cableado estructurado, ancho de banda de una red LAN)

Auditoria Informática De Comunicación Y Redes: Este tipo de auditoría deberá inquirir o actuar sobre los índices de utilización de las líneas contratadas con información sobre tiempos de uso y de no uso, deberá conocer la topología de la red de comunicaciones, ya sea la actual o la desactualizada. Deberá conocer cuantas líneas existen, como son, donde están instaladas, y sobre ellas hacer una suposición de inoperatividad informática. Todas estas actividades deben estar coordinadas y dependientes de una sola organización (Debemos conocer los tipos de mapas actuales y anteriores, como son las líneas, el ancho de banda, suponer que todas las líneas están mal, la suposición mala confirmarlo).

Auditoria De La Seguridad Informática: Se debe tener presente la cantidad de información almacenada en el computador, la cual en muchos casos puede ser confidencial, ya sea para los individuos, las empresas o las instituciones, lo que significa que se debe cuidar del mal uso de esta información, de los robos, los fraudes, sabotajes y sobre todo de la destrucción parcial o total. En la actualidad se debe también cuidar la información de los virus informáticos, los cuales permanecen ocultos y dañan sistemáticamente los datos.