Auditoria Informatica Con COBIT 5 0 PDF
Auditoria Informatica Con COBIT 5 0 PDF
Auditoria Informatica Con COBIT 5 0 PDF
Planificación, Programa y
Pre-informe de Auditoría
Empresa EPERSA S.A.
PEP 1
30 de Mayo de 2016
ÍNDICE
V. Metodología ................................................................................................................. 3
c. Alcance .................................................................................................................. 13
d. Metodología ........................................................................................................... 14
ANEXOS .......................................................................................................................... 26
1
PLANIFICACIÓN Y PROGRAMA DE AUDITORÍA A LA EMPRESA EPERSA
S.A
Es una empresa emergente, que logró en muy poco tiempo posicionarse en la industria
Chilena, obteniendo a la fecha la capacidad de transporte y procesamiento más grande del
cono sur, con una producción de 3500 toneladas al mes y con ingresos anuales de US$ 1457,7
millones entre exportaciones y el comercio nacional.
Para cumplir con el objetivo general planteado en el párrafo anterior, se han determinado los
siguientes objetivos específicos:
2
IV. Alcance
Esta auditoría no tiene por objetivo analizar el diseño de los sistemas, recursos tecnológicos
y aplicaciones informáticas de la empresa EPERSA S.A. sino, analizar y verificar la
operacionalidad, funcionalidad y eficacia de dichos sistemas.
V. Metodología
Para cumplir con los objetivos propuestos, las actividades de evaluación y análisis de los
distintos sistemas, recursos tecnológicos y aplicaciones informáticas de la entidad, se
llevarán a cabo bajo los estándares de Cobit 5 y específicamente en los procesos del dominio
MEA (Monitor - Evaluate - Assess) y además, se realizarán una serie de procedimientos de
auditoría, los que incluyen pruebas sustantivas, pruebas de cumplimiento y pruebas analíticas
enfocadas para dar la evidencia suficiente a los auditores sobre la funcionalidad, integridad
y disponibilidad los sistemas, recursos tecnológicos y aplicaciones informáticas del área de
informática de la empresa EPERSA S.A. con el fin de emitir una opinión sobre la
razonabilidad del objeto auditado.
Lo anterior se realizará bajo un análisis crítico de los sistemas implementados en las distintas
áreas de la entidad, de manera de recabar la documentación e información para el proceso de
auditoría.
3
4. En términos informacionales, se utilizará toda la información que proporcione la
Administración de la empresa, como también, papeles de trabajo sobre auditorías
pasadas y además, toda la información que recolectemos los auditores por medio
análisis, indagación, entrevistas y observación en terreno.
EPERSA S.A.
Programa de Auditoría
Auditoría a la operacionalidad, funcionalidad y eficacia de los sistemas, recursos
tecnológicos y aplicaciones informáticas.
Fecha de inicio: 14 de marzo de 2016
Fecha de término: 30 de mayo de 2016
Auditores: Pamela Sepúlveda Matus y Jorge Venegas Calderón
4
3. Requerir perfiles de cargos del MEA01.03
personal del área informática.
4. Requerir información sobre los MEA01.03
sistemas, recursos tecnológicos y
aplicaciones informáticas que
apoyan sus actividades.
5. Requerir planes informáticos de MEA01.03
continuidad, emergencia y
contingencia.
MEA01.01
6. Requerir inventarios de
sistemas, recursos tecnológicos y
aplicaciones informáticas. MEA01.03
7. Requerir los planes
administrativos de trabajo para el
año. MEA01.04
8. Solicitar información sobre
cómo las herramientas
computacionales de TI apoyan las
labores de los usuarios de dichos
recursos.
5
7. Obtener información
documentada que evidencie la
integridad, seguridad, MEA02.02
confidencialidad y confiabilidad
del área de informática.
8. Requerir el tipo de codificación
utilizada en el sistema.
6
8. Requerir Actas de las últimas 3
sesiones del Comité de
Informática.
V. Procedimiento de auditoría
sobre la información general.
7
mediante documentación que los
procedimientos que detallan dichos
planes son puestos a prueba a Venegas MEA02.02
través de simulacros para
determinar su efectividad.
2. Corroborar mediante muestreo
aleatorio que el inventario de
sistemas, recursos tecnológicos y
aplicaciones informáticas,
demuestran fielmente el valor
libro, estado y cantidad de éstos de
acuerdo a los registros contables. Sepúlveda MEA01.04
1. Comparar el detalle de
inventario de sistemas, recursos
tecnológicos y aplicaciones
informáticas respecto a lo que la
entidad poseía en años anteriores
para analizar la inversión en esta Sepúlveda MEA01.04 /
área, las actualizaciones de sus MEA02.07
ERP y altas y bajas de estos
activos.
2. Comparar la evolución de los
planes informáticos de
continuidad, emergencia y
contingencia de la empresa
respecto a periodos anteriores para
analizar sus cambios,
actualizaciones y movimientos de
acuerdo a las necesidades del área.
Venegas MEA01.03
VI. Procedimiento de auditoría
sobre la información específica.
8
3. Verificar que el acceso físico y
lógico de los sistemas, recursos
tecnológicos y aplicaciones Sepúlveda MEA01.03 /
informáticas, esté debidamente MEA02.07
protegido y controlado según las
políticas y procedimientos
adecuados.
4. Verificar que la empresa posee Venegas MEA02.02 /
políticas sobre los procedimientos
MEA02.07
a seguir en casos de emergencia o
contingencias que puedan afectar
la funcionalidad y continuidad de
los sistemas de información.
5. Verificar que la codificación y
encriptación se está llevando a Venegas MEA01.03
cabo como un sistema de
seguridad.
03.05.2016
Pruebas Sustantivas:
9
Pruebas Analíticas: 06.05.2016
10
4. Verificar la existencia de
políticas sobre los procedimientos
a seguir en caso de vulneraciones a
los sistemas o modificaciones no
autorizadas y que éstas sean
cumplidas. Venegas
MEA02.05
5. Verificar que efectivamente se
ejecuten las capacitaciones a los
usuarios de los sistemas, recursos
tecnológicos y aplicaciones
informáticas de acuerdo a los
planes establecidos y recursos
asignados. Venegas
MEA01.03 /
Pruebas Sustantivas: 18.05.2016 MEA02.06
11
recursos tecnológicos y
aplicaciones informáticas para
analizar la periodicidad de
ocurrencia de las fallas y sus
causas.
2. Comparar las expectativas del
comité de informática sobre la
seguridad de sus sistemas respecto
a los resultados reales obtenidos en
los reportes sobre las vulneraciones
a sus sistemas por parte del
personal de la empresa o terceros
ajenos.
IX. Pre-Informe
12
PREINFORME DE LOS HALLAZGOS ENCONTRADOS EN LA EJECUCIÓN DE
LA AUDITORÍA A LA EMPRESA EPERSA S.A.
Pre-Informe
Empresa EPERSA S.A.
Auditoría a la operacionalidad, funcionalidad y eficacia de los sistemas, recursos
tecnológicos y aplicaciones informáticas.
26 de Mayo de 2016
I. ANTECEDENTES GENERALES
a. Objetivo general
b. Objetivos específicos
Para el cumplimiento del objetivo general de este informe, se consideraron los siguientes
objetivos específicos:
c. Alcance
13
Esta auditoría no tuvo por objetivo analizar el diseño de los sistemas, recursos tecnológicos
y aplicaciones informáticas de la empresa EPERSA S.A., sino, analizar y verificar la
operacionalidad, funcionalidad y eficacia de dichos sistemas.
d. Metodología
Para cumplir con los objetivos propuestos, las actividades de evaluación y análisis de los
distintos sistemas, recursos tecnológicos y aplicaciones informáticas de la entidad se llevaron
a cabo bajo los estándares de Cobit 5 y los procesos de sus dominios y además, se realizaron
una serie de procedimientos de auditoría que incluyeron pruebas sustantivas, pruebas de
cumplimiento y pruebas analíticas enfocadas para dar la evidencia suficiente a los auditores
respecto a la funcionalidad, integridad y disponibilidad los sistemas, recursos tecnológicos y
aplicaciones informáticas del área de informática de la empresa EPERSA S.A. con el fin de
emitir una opinión sobre la razonabilidad del objeto auditado.
Lo anterior se realizó bajo un análisis crítico de los sistemas implementados en las distintas
áreas de la entidad, de manera de detectar hallazgos y/o debilidades en términos de TI y
efectuar las recomendaciones pertinentes,
Finalmente, una versión preliminar de este informe fue puesta en conocimiento de los
ejecutivos de las áreas involucradas, incluyendo en el texto definitivo sus comentarios y
observaciones correspondientes.
14
● Cada uno de los sistemas desarrollados es enviado a las plantas tanto en su formato
fuente como sus compilados, junto a los manuales de sistema, de operación y de
usuarios.
15
En el punto III del presente informe, “Observaciones y Recomendaciones Detalladas” se
exponen las debilidades detectadas pero además, los riesgos asociados a ellas, las
vulneraciones a los controles y las recomendaciones pertinentes. Una positiva acogida de
éstas aportará a EPERSA S.A., beneficios que sin duda, superarán sus propios costos de
ejecución y le ayudarán a fortalecer la gestión de sus principales operaciones de negocio en
todos los niveles de su estructura organizativa.
a. Situación actual
b. Observaciones
c. Recomendaciones
16
Dotación de Personal Suficiente y Adecuada 4 e Identificar al Personal Clave
de TI5 para que además del abogado con experiencia en comercio exterior,
incluyan en las negociaciones de TI y Sistemas de Información, a un
especialista de dichas materias, con el fin de que además de realizar un buen
trato, el activo adquirido cumpla con las especificaciones de acuerdo a las
necesidades de la empresa.
a. Situación actual
Con respecto a los dispositivos de respaldo de energía, la sala cero cuenta con un Grupo
electrógeno (generador de energía eléctrica por petróleo) y una UPS (sistema ininterrumpido
de poder de baterías) que se encuentran ubicados en la bodega de las dependencias de
EPERSA S.A.
b. Observaciones
4
APO07.01
5
APO07.02
17
y por ende, provocar una explosión que signifique un incendio en las bodegas
de la empresa. Tercero, en caso de provocarse un incendio, y dado que el
Grupo Electrógeno se encuentra ubicado en el mismo lugar que la CPU del
DiongDu 340, ésta puede verse afectada, provocando pérdidas importantes en
términos materiales y de información que difícilmente pueden ser
recuperados, afectando la continuidad de las operaciones del negocio.
vii. En la situación descrita anteriormente, hemos observado claramente la
vulneración de controles de seguridad física de las bodegas de la entidad,
debido a que no están siendo utilizadas adecuadamente y no cuentan con las
características para albergar, en este caso, un dispositivo de suministro
energético.
c. Recomendaciones
6
APO07.06
7
APO07.02
8
BAI09.02
9
BAI09.04
10
BAI09.03
11
APO12.06
18
a. Situación actual
La sala cero, en la cual se encuentra la C.P.U. del DiongDu 340 AS-9-K-KR y el Grupo
Electrógeno con el U.P.S., cuenta con una restricción de acceso mediante un control de
seguridad basado en el posicionamiento de sólo un guardia de la empresa SecurOffice.
b. Observaciones
c. Recomendaciones
a. Situación actual
12
APO13
13
APO13.01
14
APO13.02
15
APO13.03
16
DSS05.05
19
b. Observaciones
c. Recomendaciones
17
EDM01.02
20
información, fijar las prioridades de los proyectos pendientes, supervisar las
actividades del departamento de informática, entre otras.
ii. Recomendamos a la alta dirección Asegurar el Establecimiento de
Mantenimiento del Marco de Referencia de Gobierno y Supervisar el Sistema
de Gobierno18 en especial al Comité de Informática, de manera que las
decisiones de éste órgano sean tomadas en conjunto por sus miembros y no
sólo por el Gerente de Informática, y además, que las decisiones finales sean
producto de la consideración de las opiniones, experiencias y puntos de vista
de todos los miembros del comité y consenso idealmente unánime.
iii. Recomendamos al Comité de Informática definir reuniones regulares por lo
menos una vez al mes para Gestionar Problemas, es decir, Identificar y
Clasificar Problemas19 a tiempo, Investigar y Diagnosticar20 las causas de los
Problemas, Resolver y Cerrar a tiempo los Problemas 21, revisar aquellos
temas relevantes ocurridos en el departamento, aplicar medidas correctivas
oportunas y tomar decisiones pertinentes en el momento preciso.
a. Situación actual
b. Observaciones
18
EDM01.03
19
DSS03.01
20
DSS03.02
21
DSS03.04
21
cuando requiere tomar decisiones debido a que su propia gerente no se
encuentra disponible para dirigir tales decisiones. Segundo, existe el riesgo
que no se le otorgue la prioridad necesaria a los asuntos del área de desarrollo
y que se pierda tiempo valioso u oportunidades que no fueron atendidas
oportunamente. Tercero, existe la posibilidad de que la Señorita Vera no
posea las facultades apropiadas para dirigir, aunque sea por un periodo breve,
la Gerencia de Explotación y que por ende, tome decisiones incorrectas que
puedan derivar en deficiencias en el departamento.
v. En la situación descrita anteriormente, hemos observado claramente la
vulneración de controles que tienen que ver con la división del trabajo,
cumplimiento de las políticas y delineamiento de las responsabilidades y
funciones que tiene cada persona en la entidad.
c. Recomendaciones
a. Situación actual
b. Observaciones
i. La empresa posee en cada una de sus plantas y su casa matriz una instalación
computacional de DiungDu 340 que no están interconectados entre sí.
22
APO07.01
23
APO07.03
24
APO07.04
22
ii. Además, la entidad decidió no contratar servicios de respaldo de sus sistemas
con proveedores o terceros.
iii. De fallar una instalación se traslada al personal necesario a la instalación más
cercana para continuar con los procesos.
iv. Según lo descrito anteriormente podemos ver que existe un alto riesgo de
pérdida de información, debido a que a pesar de contar con 3 instalaciones en
distintas partes, éstas no están interconectadas, por lo que es poco lo que se
podría hacer al trasladar al personal necesario a otra planta, esto debido a que
la información del lugar del siniestro no es compartida con las demás
instalaciones. Por lo tanto, estamos frente a una vulneración de Controles
sobre los Procedimientos y Datos., lo que podría afectar directamente al activo
más importante de EPERSA S.A., es decir, su información (DATA).
c. Recomendaciones
a. Situación actual
23
b. Observaciones
c. Recomendaciones
a. Situación actual
Cada planta y la casa matriz cuenta con operadores de trayectoria, los cuales realizan sólo
actividades referentes a los respaldos de sistemas de explotación, como por ejemplo realizar
estos respaldos, llamar al servicio técnico en caso de problemas, entre otras cosas, y además
mantener la biblioteca de respaldos de cada instalación. Sin embargo, los operadores también
cuentan con una password que les permite acceder a todos los datos con objeto de poder
efectuar correcciones, de los mismos, que estén dificultando los procesos.
32
DSS06
33
DSS06.03
34
APO07
35
APO07.01
36
APO07.02
24
b. Observaciones
c. Recomendaciones
37
DSS06
38
DSS06.03
39
APO07
40
APO07.01
41
APO07.02
42
DSS05
43
DSS05.03
44
DSS05.04
25
ANEXOS
T +56 9 83056251
De nuestra consideración:
26
El trabajo de auditoría se llevará a cabo bajo el estándar internacional Cobit 5 y sus dominios.
Cabe mencionar que toda aquella información recopilada por la auditoría propuesta, será
considerada de reserva profesional y conocida sólo por la(s) contraparte(s) que la misma
entidad estime conveniente.
Sin otro particular y esperando una pronta respuesta para dar inicio al trabajo, se despide
atentamente,
27
Anexo 2: Recepción de notificación de inicio de auditoría.
EPERSA S.A.
Andrés Bello 234
Las Condes, Santiago
De nuestra consideración:
De acuerdo a lo señalado en la referencia, nos es grato informar a usted que hemos recibido
satisfactoriamente la carta que inicio de auditoría y estamos de acuerdo con el programa
definido por Sepúlveda & Venegas Auditoría y Asesoría Ltda., presentado ya a nuestros
directivos.
Además, esta dirección pondrá a su disposición todos los recursos e información necesaria
para que su equipo de auditoría lleve a cabo de manera exitosa la auditoría solicitada.
Francisco González
Gerente General EPERSA S.A.
28
Anexo 3: Carta de resguardo de la empresa.
EPERSA S.A.
Andrés Bello 234
Las Condes, Santiago
CARTA DE RESGUARDO
Estos procedimientos fueron y seguirán siendo ejecutados por Pamela Sepúlveda Matus y
Jorge Venegas Calderón, auditores de Sepúlveda & Venegas Ltda., quien en compañía de
Víctor Correa (Gerente de Informática) y Rodrigo Vera (Programador Informático), en
representación de EPERSA S.A. procedieron en conjunto a dar inicio a la auditoría para
verificar los procedimientos utilizados por el cliente, quien nos asegura, mediante el presente
documento, haber puesto a disposición nuestra la totalidad de su información, actas, reportes
u otros bajo su responsabilidad y custodia. Asimismo, los auditores Pamela Sepúlveda Matus
y Jorge Venegas Calderón prometen que al término de la auditoría, devolverán los
documentos solicitados, a entera satisfacción, al igual que los objetos auditados.
Víctor Correa
Gerente de Informática
EPERSA S.A.
29
Anexo 4: Carta de representación.
EPERSA S.A.
Andrés Bello 234
Las Condes, Santiago
De nuestra consideración:
Francisco González
Gerente General EPERSA S.A.
30
Anexo 5: Carta de independencia.
T +56 9 83056251
Confirmo que cumplo con las normas de independencia aplicables con respecto a: EPERSA
S.A. y que he leído y comprendo las normas de independencia, incluyendo las que se
especifican a continuación:
31
10. No consideraré ninguna oferta de empleo del cliente o una entidad relacionada si la
aceptación de dicha oferta daría como resultado que Sepúlveda & Venegas deba
renunciar (Nota 2) como auditor de acuerdo con normas de independencia externas.
32