Empresa auditada: Pointer S.A.

Área auditada: Tecnología de la Información

Auditores a cargo: Wiston Darwin Uriel Solares de León

Roberto Carlos Xot
Luis Adolfo Hernández Tocay
Mildred Elisa Yoc Patzán
Mishell Estefany Sis Gutiérrez
Edgar Samuel González López
Tahiry Dallana Anzueto
Carlos Joel Sotoj Guzmán

Período a cubrir: 01 de enero al 31 de marzo del 2020.

Documentación: Papeles de Trabajo

Índice de Papeles de Trabajo
 MEMORÁNDUM RESUMEN DE LA PLANEACIÓN DE AUDITORÍA

Memo
Fecha: 10 de abril de 2020

Para: Lic. Juan Francisco Zauner Cuervo

De: Nine Group S.A.

Re: Memo de Planeación para evaluación de Controles Generales de IT.

MEMORANDO DE PLANEACIÓN PARA PRUEBAS DE CONTROLES

1. Objetivos y alcance de la Auditoría

Objetivos:

 Evaluar la efectividad de la seguridad del espacio, la seguridad humana y de los recursos que posee la empresa.
 Verificar que existan los controles necesarios para supervisar y regular las operaciones que tenga el departamento, y
velar por el cumplimiento.
 Verificar el grado de optimización de procesos en base a normas de calidad y la consecución de los objetivos
establecidos por la Dirección del Departamento.
 Verificar el nivel de seguridad y confiabilidad de los programas y aplicaciones que sean usados para determinar el
nivel de riesgo de manejo de la información.

Alcance:

Evaluar y verificar el cumplimiento de los estándares y métodos con respecto a:

- La entrada de datos y salida de información;

- La operación y manipulación de datos en el sistema;
- Y el procesamiento de la información.
A la par con la verificación oportuna de la existencia y cumplimiento de los manuales o instructivos implementados
en el área auditada y las políticas de mantenimiento preventivo y correctivo del sistema computacional.

a) Evaluar los métodos de acceso, seguridad y salvaguarda de los activos informáticos del área de sistemas.
Por la importancia que representa la pérdida de información para una organización, con esta auditoría se pretende
verificar que en se cuente con planes y programas de prevención contra contingencias en el funcionamiento de
los sistemas, información y datos de la empresa; planes contra contingencias para seguridad y protección de los
programas; y para la prevención y oportuna erradicación de virus informáticos.

b) Evaluar la estructura física del área de sistemas dentro de la empresa.

Objetivo que pretende determinar la existencia de una configuración y adecuada ubicación de las áreas físicas del
centro de cómputo en relación con aspectos como el aire acondicionado, iluminación, instalaciones y todo
componente físico necesario para el bienestar y comodidad de los usuarios del sistema, tanto del departamento
informático como de los demás departamentos de la empresa que utilicen los sistemas.
 c) Evaluar los aspectos técnicos del sistema instalado.
Objetivo que comprende el análisis y calificación del control establecido para la configuración de servidores,
terminales; control de los sistemas operativos, aplicación de normas para la instalación de sistemas
computacionales en la empresa y los métodos de prevención, control y erradicación de la contaminación
informática y la piratería.

d) Evaluar la administración de la prestación y/o recepción de los servicios outsourcing informáticos.

Se pretende determinar la existencia del contrato de servicios outsourcing informáticos, contemplando las
clausuras de servicio, seguridad, costos y demás. Analizar el cumplimiento de la actividad outsourcing de ambas
partes y la existencia de los procedimientos y estrategias que sustentan dicha actividad.

e) Evaluación de la administración de los recursos informáticos no humanos del área de sistemas

Objetivo que persigue analizar la administración del sistema computacional, en relación con el hardware, software
y con las instalaciones dedicadas a la prestación/recepción del servicio así como la administración del mobiliario,
equipo y demás bienes materiales utilizados en este servicio.

2. ACORDAR LOS TÉRMINOS DEL COMPROMISO DE AUDITORÍA

Confirmar que hemos archivado una copia de la carta de contratación firmada

Sí

Los términos del compromiso se deberán acordar con el cliente antes de iniciar partes significativas del trabajo
de campo.
FECHAS CLAVE DEL COMPROMISO

Fechas clave Fecha

Visita preliminar 13 de febrero de 2020
Visita final 03 de abril de 2020
Entrega de informe 20 de abril de 2020

3. ASIGNACIÓN DEL EQUIPO DEL COMPROMISO

Documentar el equipo del compromiso seleccionado

Años de servicio con
Nombre Nivel
el cliente
Wiston Darwin Uriel Solares de León Estudiante del noveno semestre -
Roberto Carlos Xot Roberto Carlos Estudiante del noveno semestre -
Luis Adolfo Hernández TocayLuis Adolfo Estudiante del noveno semestre -
Mildred Elisa Yoc Patzán Estudiante del noveno semestre -
Mishell Estefany Sis Gutiérrez Estudiante del noveno semestre -
Edgar Samuel González López Estudiante del noveno semestre -
Tahiry Dallana Anzueto Estudiante del noveno semestre -
Carlos Joel Sotoj Guzmán Estudiante del noveno semestre -

COMUNICACIÓN CON EL CLIENTE

Personal del Cliente al que va Tema Forma de

Dirigido
Principal Comunicación Oportunidad

Lic. Luis Antonio Patzán Reyes Auditoría en el área de Tecnología de Correo electrónico Mejoras en la estructura y manejo de
la Información la información en el área de IT
Llamadas telefónicas
4. COMPRENDER LA ENTIDAD Y SU AMBIENTE

Al realizar un Compromiso de Auditoría, debemos tener u obtener una comprensión de la entidad y su ambiente
suficiente para permitirnos identificar y comprender los eventos, transacciones y prácticas que, a nuestro juicio, puedan
tener un efecto significativo en el Compromiso de Auditoría en su conjunto.

Datos Generales de la empresa:

NIT: 9169345-6
Nombre: Pointer, S.A.
Dirección: 15-25 Zona 4 de Mixco, Guatemala, 01012
Giro del negocio: Empresa con 12 años de experiencia en el mercado de Vallas y otros medios Electrónicos
Publicitarias.

5. COMPRENDER EL AMBIENTE TI

VISTA GENERAL DE LOS SISTEMAS DE INFORMACIÓN

Ambiente TI: Las políticas y procedimientos que la Entidad implementa y la infraestructura TI (hardware, sistemas
operativos, etc.) y el software de aplicación que usa para soportar las operaciones de negocios y lograr las estrategias de
negocios.

Los dos amplios grupos de actividades de control de los sistemas de información son controles de aplicación, que
abarcan al procesamiento de aplicaciones individuales, y los controles generales TI, que son políticas y procedimientos
que se relacionan con muchas aplicaciones y soportan el funcionamiento efectivo de los controles de aplicación
ayudando a asegurar la apropiada operación continua de los sistemas de información. [NIA 315 Apéndice 1.9]

Los sistemas de información y procesos de negocios relacionados relevantes para la información financiera en entidades
pequeñas es probable que sean menos sofisticadas que en entidades grandes. [Extracto de NIA316.A85].
Áreas de Controles Generales TI
Los Controles Generales TI son políticas y procedimientos que se relacionan con muchas aplicaciones y soportan el
funcionamiento efectivo de los controles de aplicación. Estos aplican a ambientes mainframe, miniframe y usuario final.
Los Controles Generales TI que mantienen la integridad de la información y la seguridad de los datos comúnmente
incluyen controles sobre lo siguiente:

• Centro de datos y operaciones de red

• Adquisición, cambio y mantenimiento del software de sistemas

• Cambio en el programa

• Seguridad de acceso

• Adquisición, desarrollo y mantenimiento del sistema de aplicación

TI también plantea riesgos específicos para el control interno de una entidad, incluyendo, por ejemplo:

• Confianza en sistemas o programas que estén procesando datos de manera inexacta, procesando datos inexactos o
ambos

• Acceso no autorizado a datos que puede dar como resultado la destrucción de los datos o cambios incorrectos a los
datos, incluyendo el registro de transacciones no autorizadas o inexistentes, o el registro inexacto de transacciones.
Pueden surgir riesgos particulares donde múltiples usuarios tiene acceso a una base de datos común

• La posibilidad de que personal TI obtenga privilegios de acceso más allá de los necesarios para realizar sus funciones
asignadas de ese modo echando abajo la segregación de funciones

• Cambios no autorizados a los datos en los archivos maestros

• Cambios no autorizados a los sistemas o programas

• Fallas en hacer los cambios necesarios a los sistemas o programas

 • Intervención manual inapropiada

• Pérdida potencial de datos o incapacidad para acceder a los datos según se requiera. [NIA 315.A56]

¿Es realizado cualquiera de los sistemas de información (incluyendo los Sistemas de

No
Aplicación o Ambiente TI), o parte(s) de los sistemas, por una organización de servicios?

Organización y Personal de los Sistemas de Información

¿Está centralizado o descentralizado el enfoque de la Entidad acerca de los sistemas de

información y las actividades de soporte relacionadas o es una combinación? Centralizado

Para los Sistemas de Información observados arriba, mencionar los departamentos relevantes, el número aproximado de
personal en cada departamento y los nombres y puestos del personal clave.

Nombres y Puestos del Personal

Ambiente TI Departamento / Unidad de Negocios No. Aprox. de Personal
Clave
Luis Alberto Perez Mejía – Director de
Departamento de Sistemas y
Desarrollo 6 Tecnología e Información
Desarrollo
CUESTIONARIO GUIA DE ENTREVISTA

GUÍA DE ENTREVISTA PARA EVALUAR LA DOCUMENTACIÓN DE LA INFORMACIÓN, DOCUMENTACIÓN Y REGISTROS

DE LOS SISTEMAS

Como parte de nuestras pruebas sustantivas al área auditada, se llevó a cabo el día 04 de abril del corriente año una entrevista con
el jefe de dicha sección para establecer el grado en que se están tomando las medidas necesarias para salvaguardar la información,
la documentación y registro de los sistemas. Entrevista que se transcribe a continuación:

1. Presentación del entrevistador y entrevistado.

2. Introducción a los objetivos de la entrevista.

3. ¿La compañía podría no contar con una estrategia formal que defina el uso de redes sociales??

4. La compañía podría no garantizar la recuperación de la infraestructura de TI ante posibles eventualidades físicas, o

siniestros naturales.

5. La compañía podría no contar con personal específico para gestionar las actividades de TI.

6. Posible pérdida o extravío de activos (software, hardware, etc), al no contar con un inventario de los mismos.

7. La administración podría no contar con un presupuesto de personal destinado a los analistas funcionales y programadores
revisado y autorizado por el gerente financiero y administrativo.

8. La compañía podría no contar con pólizas de seguros por los activos de TI

9. La infraestructura de TI (cables, lugares físicos, etc.) podría no estar instaladas adecuadamente, según el uso respectivo.

10. La compañía podría no contar con manuales en donde se identifiquen las actividades a realizar por el personal del
departamento de TI.
 11. La empresa podría no tener un plan estratégico en el que se prevé la implementación de las nuevas tecnologías.

12. La compañía podría no contar con un estudio o análisis que demuestre que el sistema resulta factible al realizar la
comparación costo/beneficio

13. Los equipos de almacenamiento masivo podrían estar instalados en lugares no aptos (aire acondicionado, protección contra
el fuego, cerradura especial, otros) para evitar pérdidas de información y daños en los equipos

14. El personal podría no tener prohibiciones de ingerir alimentos, bebidas o incluso fumar al momento de utilizar los equipos de
la compañía.

I. PUNTOS A EVALUAR
Para poder alcanzar los objetivos de la auditoría se cubrirán las áreas descritas a continuación por cada punto a evaluar.

Organización del Centro:

 Diagrama de configuración del sistema por red.

 Control de los paquetes del software
 Existencia de reporte de todos los programas y aplicaciones en uso.

Sistemas y Medidas de Seguridad:

 Uso de gafetes de identificación

 Vigilancia y Alarmas
 Entrenamiento de personal para atender emergencias

Control de Calidad:
  Cotejo de totales entrada ver sus salidas
 Estadísticas por aplicación de errores detectados
 Normas sobre la calidad de impresión y exactitud de los datos

1. Controles Generales del Computador

A continuación se detallan las actividades de control de “Pointer, S.A.” las cuales serán cubiertas por el equipo de auditoría en sistemas:

MATRIZ DE RIESGOS

                Realizado Por:  Nine Group S.A.  

Fecha de elaboración: 01 de abril de 2020           Revisado Por:  V.M.S.  

                     

Riesgo Inherente
Probabilidad

Impacto
Establecimiento de Identificación de Procedimiento de
Área Identificación del riesgo Respuesta al Referencia
No. objetivos eventos auditoría
riesgo

Organización
1                  
del centro
La compañía podría no
Adecuado uso
Organización del Publicación en contar con una estrategia
1.1 información en redes            
centro redes sociales formal que defina el uso
sociales
de redes sociales.
La compañía podría no
Mantener la garantizar la
infraestructura de TI recuperación de la
Organización del
1.2 para dar continuidad Siniestros naturales infraestructura de TI            
centro
a las operaciones del ante posibles
negocio eventualidades físicas, o
siniestros naturales.
La compañía podría no
Organización del Marco regulatorio de Administraciòn de contar con personal
1.3            
centro gobierno de TI personal de TI especifico para gestionar
las actividades de TI.
Posible pérdida o
extravio de activos
Organización del Mantener control
1.4   (software, hardware,            
centro sobre los activos de TI
etc), al no contar con un
inventario de los mismo.
 La administración podría
no contar con un
presupuesto de personal
destinado a los analistas
Organización del Presupuesto para Disponibilidad de
1.5 funcionales y            
centro operaciones de TI recursos
programadores revisado y
autorizado por el gerente
financiero y
administrativo.
Mantener los activos
La compañía podría no
fijos de TI para dar
Organización del contar con polizas de
1.6 continuidad a las Seguro de Activos            
centro seguros por los activos de
operaciones del
TI
negocio
La infraestructura de TI
(cables, lugares físicos,
Organización del Infraestructura física etc.) podría no estar
1.7 Departamento de TI            
centro de TI instaladas
adecuadamente, según el
uso respectivo.
La compañía podría no
Mantenimiento de contar con manuales en
Organización del responsabilidades y Manual de puesto donde se identifiquen las
1.8            
centro obligaciones del en el área de TI actividades a realizar por
personal de TI el personal del
departamento de TI.
La empresa podría no
tener un plan estratégico
Organización del Plan estratégico de
1.9 Avance tecnológico en el que se prevee la            
centro las nuevas tecnologias
implementación de las
nuevas tecnologías.
La compañía podria no
contar con un estudio o
análisis que demuestre
Organización del Factibilidad de los
1.1 Costo/Beneficio que el sistema resulta            
centro sistemas
factible al realizar la
comparación
costo/beneficio
Los equipos de
almacenamiento masivo
podrían estar instalados
en lugares no aptos (aire
acondicionado,
Organización del Ubicación de los
1.11 Ambiente de TI protección contra el            
centro equipos
fuego, cerradura
especial, otros) para
evitar perdidas de
información y daños en
los equipos
1.12 Organización del Prohibiciones en el Limitaciones al El personal podría no            
centro lugar de trabajo de TI personal en el area tener prohibiciones de
de trabajo ingerir alimentos,
bebidas o incluso fumar
al momento de utilizar
 los equipos de la
compañía.
                     
Seguridad de la
2                  
información
La compañía podría
Evitar fuga de
perder información por
Seguridad de la información por Uso de aplicaciones
2.1 medio de recepción de            
información medio de unidades y equipos externos
correos en teléfonos
móviles
móviles, o trablets, etc.
Mantenimiento de Licencias de La compañía podría no
Seguridad de la
2.2 computadores sin programas de contar con un antivirus            
información
malware seguridad en cada computador.
La administración podría
Autorización de
no limitar al personal
acceso privilegiado
apropiado el uso del
(el llamado "súper
acceso privilegiado (el
usuario") en los
Seguridad de la Usuarios llamado "súper usuario")
2.3 sistemas de            
información autorizados en los sistemas de
aplicación, bases de
aplicación, bases de
datos, software de
datos, software de red y
red y comunicación y
comunicación y software
software de sistemas.
de sistemas.
Personal podría hacer uso
de sistemas o
Mantener Control de Limitación del uso
Seguridad de la computadores fuera del
2.4 trabajo fuera de de equipo y            
información horario de trabajo
horario sistemas
normal para fuga de
información.
La compáñía podría no
Brindara solicitudes y contar con un manual
Seguridad de la uso de información Manual de procesos sobre el proceso de
2.5            
información que correspondan al para la información solicitud de información
personal adecuado a usuarios internos y
externos.
La compañía podría tener
Mantener acceso
acceso libre a los puertos
Seguridad de la restringido a puertos Utilización de
2.6 USB u otros en el            
información de hardware en la equipos extraibles
hardware utlizado por el
compañía.
personal.
La compañía podría no
Controlar Reportes de mantener una bitacora
Seguridad de la
2.7 reproducción de generación de de las reproducciones de            
información
información información información que realiza
el personal.
El servidor de la
compañía se encuentra
Seguridad de la Acceso a servidor de Ingreso al área de con acceso restringido
2.8            
información la compañía TI por medio de una clave
autorizada al personal
correpondiente.
Seguridad de la Evitar pèrdidas de La compañía podría no
2.9 Backup periodicos            
información información contar con una política
 de realización de copias
de seguridad
periodicamente.
Realización de registros
Historial de
Usuarios en el sistema que no
Seguridad de la operaciones
2.1 personalizados en el puedan ser rastreables            
información realizadas en el
sistema por el usuario origen en
sistema
el sistema
La compañía no podría
respectar la
Líneas Jerarquicas
Seguridad de la Integridad de la configuración de la
2.11 para configuración            
información información generación de reportes
del sistema
de acuerdo a puestos
jerarquicos.
Documentos de
Que la falta del
lineamientos de
documento genere un
Seguridad de la seguridad Desarrollo de
2.12 mal uso del sistema, así            
información implementados para Software
como su correcto
el desarrollo del
desarrollo
software
                     

PROGRAMA DE AUDITORIA
Resumen del Plan de Pruebas de Controles para Ambientes TI

Área de los Controles Descripción de los procedimientos planeados de pruebas de

Ambiente TI Referencia
Generales TI controles que se van a realizar para D&&I y al final del período

Evaluar los métodos de acceso, seguridad y salvaguarda de los

Controles Seguridad de la información  
activos informáticos del área de sistemas.
Evaluar la estructura física del área de sistemas dentro de la
Infraestructura Organización del centro  
empresa.
Sistemas y medidas de
Información Evaluar los aspectos técnicos del sistema instalado.  
seguridad
Evaluar la administración de la prestación y/o recepción de los
Procesos Organización del centro  
servicios outsourcing informáticos.
Servicios,
Evaluación de la administración de los recursos informáticos no
infraestructura Organización del centro
humanos del área de sistemas
y aplicaciones  
ASIGNACION DE RECURSOS

Humanos

Personal especializado

Estudiantes de Auditoría del noveno semestre.

Personal de la empresa

Departamento de Tecnología e Información

Tecnológicos, físicos y materiales

Computadoras

Impresoras

Scanner

Fotocopiadoras

USB`s

Cartuchos de tinta color - blanco y negro

Físicos

Escritorios
Mesas de estudio

Salón de clases para reuniones de planeación y ejecución

Materiales

Hojas de papel bond

Bolígrafos, lápices, borradores

USB`s y CD`s

Marcadores, resaltadores

Engrapadoras

Libro de Auditoria en Sistemas computacionales, Muñoz Razo,

Libro de Metodología COBIT

Financieros

Para cubrir gastos en el transcurso de nuestra auditoria de sistemas, cada integrante aportará la cantidad de cien
quetzales (Q.100.00).

II. Presupuesto
PRESUPUESTO DE AUDITORÍA
 Cantida Informáticos y Materiales y de Costo
Humanos Costo Total
d tecnológicos consumo Unitario

Catedráticos del Curso Auditoría

2 V     Q - Q -

Estudiantes del 9no. Semestre

8 del curso de Auditoría V     Q - Q -

Personas de la empresa
2 auditada (contactos)     Q - Q -
Computadoras
8   Pórtatil (Depreciación)   Q 100.00 Q 800.00
2   Servicios Telefónicos   Q 235.00 Q 470.00
3   Planes de Datos   Q 199.00 Q 597.00
      Energía Electrica Q 200.00 Q 200.00
2     CD's regrabables Q 10.00 Q 20.00
Hojas de papel bond
25     tamaño carta Q 0.30 Q 7.50
Servicios de
      Transporte Q 500.00 Q 500.00
      Fotocopias Q 50.00 Q 50.00
  TOTAL Q2,644.50