Legajo Corriente Cedenar

AUDITORIA PARA EL MOSULO DE PERDIDAS EN EL SISTEMA DE
INFORMACIÓN COMERCIAL SIC CEDENAR SA ESP.
FREDY GUILLERMO RECALDE GUERRERO

FRANCISCO NICOLAS JAVIER SOLARTE
UNIVERSIDAD ANTONIO NARIÑO

ESPECIALIZACION EN AUDITORIA DE SISTEMAS
SAN JUAN DE PASTO
2006
INTRODUCCION
El empeño por mantener la información bajo las más estrictas

condiciones de
seguridad, control y seguimiento, para una mejor explotación, es
mas que
una tarea diaria, se convierte en una disciplina cuyos
encargados
deberán desplegarse en los más mínimos detalles cuidando, que
todo lo que
rodea a este proceso de gestión de la información sea bajo las
mas estrictas
normas que se alineen dentro de la organización y lleguen a ser
eficientes y
eficaces al momento de soportar las diferentes necesidades
que el sistema
empresarial impone.
Centrales Eléctricas de Nariño dentro de las políticas que

proyecta para la
población del municipio, esta la del suministro del servicio de
energía.
La División de Control de Pérdidas tiene como objeto el control

de los procesos de control de medida de energía y gestión de
las pérdidas de energía causadas.
La información de cada uno de los procesos es uno de los

activos más relevantes y por ello esta debe ser eficiente, eficaz,
oportuna, confiable, veraz y su tratamiento debe tener unos
parámetros de seguridad para que en el momento de que sea
requerida se pueda tomar decisiones más acertadas que den
cumplimiento a las necesidades de los clientes internos y
externos, usuarios suscriptores del sistema eléctrico de
CEDENAR S.A. E.S.P.
Razón por la cual nos vemos en la necesidad de realizar la
auditoria al Módulo de Pérdidas del Sistema Comercial sistema
SUPERNOVA a la captura y validación de los datos y los reportes
generados para cada uno de los usuarios del sistema.
JUSTIFICACION
Centrales Eléctricas de Nariño S.A. E.S.P Cedenar, para el

cumplimiento de sus objetivos enmarcada en las políticas de la
junta de socios busca que sus procesos se realicen de manera
eficiente y eficaz, y para la División de Control de Perdidas
encargada de velar la reducción del índice de perdidas de
energía le es importante el control del modulo como sistema de
información que soporta todos sus procesos, de ahí la
importancia de realizar la auditoria a cada uno de los procesos
del módulo de Pérdidas del aplicativo SUPERNOVA. Con ello la
División ha de aunarse a los objetivos empresariales de mayor
eficiencia y eficacia en la prestación de servicios de
generación, distribución y comercialización de energía.
Los beneficios que traerá la presente auditoria a la División de

control de Perdidas es la revisión de los controles existentes en
cuanto a la seguridad lógica del sistema operativo y acceso a la
base de datos para comprobar su eficiencia y eficacia,
recomendando mejoras para la protección de uno de los
principales activos de la empresa, su información.
Durante el proceso de auditoria se tratará de encontrar las

fallas o riesgos de falla a los cuales se enfrenta la empresa,
detectar las causas y consecuencias y recomendar controles
para su optimización.
OBJETIVO GENERAL
Verificar y Evaluar la funcionalidad del módulo de perdidas en

cuanto a
seguridad lógica del sistema operativo y seguridad lógica de la
base de datos en el sistema de información Comercial SIC, del
aplicativo SUPERNOVA.
OBJETIVOS ESPECIFICOS
Conocer las políticas de seguridad física y lógica del servidor y

terminales
existentes en las instalaciones de la Sede Minercol, de la
empresa CEDENAR
S.A. E.S.P.
Verificar los controles existentes para el acceso a la

información residente en
el servidor de producción del módulo de pérdidas en el sistema
SUPERNOVA.
Conocer los controles existentes en cada uno de los procesos

del módulo de
pérdidas su funcionamiento y validez.
Analizar la consistencia de la base de datos, el diseño y

funcionalidad de la
misma. Para la estructura del modulo de perdidas.
Verificación de los controles existente para protección de la

información de la
base de datos en cuanto al acceso lógico a través de cada una
de las
terminales existentes.
Proporcionar los hallazgos encontrados durante el proceso de

auditoria al
módulo de Pérdidas de la aplicación SUPERNOVA, a la base de
datos y al
sistema Operativo Solaris en la empresa CEDENAR S.A. E.S.P.
Realizar las recomendaciones que minimicen o eliminen los

riesgos presentes en cada caso.
ENTORNO AUDITABLE
Los sistemas de información, son los gestores de la información

en los diferentes lineamientos de procesos. Por esta razón es
imperioso dentro de la auditoria identificar los riesgos anexos a
su desempeño y determinar así los controles para evitar
colapsos en la organización.
Esta auditoria examinará el entorno del sistema de información

en cuanto a la
base de datos, las terminales, las políticas de registros, la
documentación del
sistema.
ALCANCE
La auditoria única y exclusivamente se centrará en el módulo de

pérdidas del
aplicativo SUPERNOVA en la División de Control de Pérdidas de
la empresa
CEDENAR S.A. E.S.P. del municipio de San Juan de Pasto, dicha
comprobación se hará durante la semana del 20 al 29 de junio
del presente año.
Entre los ítems a auditar están:
Auditoria física del edificio donde se encuentra el centro de

computo y
procesamiento de datos principal en cuanto a:
o Acceso del personal.

o Materiales de construcción.
o Entorno de instalación (niveles de iluminación, temperatura,
humedad)
o Señalización.
o Instalación eléctrica. (conmutables-circuito de apoyo).
Seguridad lógica del sistema operativo en cuanto
o Creación de grupos.
o Creación de usuarios.
o Definición de permisos.
o Definición de contraseñas.
o Copias de seguridad del sistema operativo.
o Logs del sistema.
Desempeño de las formas (formularios) para el registro de los

procesos de:
o Matriculas.
o Procesos administrativos.
o PRQ – Peticiones quejas y reclamos.
o Revisiones.
Desempeño de los reportes los reportes que generan las

formas de:
o Matriculas.
o Revisiones.
HERRAMIENTAS DE AUDITORIA
Para la auditoria planeada se utilizarán, las herramientas de:
Para el análisis y conocimiento del entorno y de procesos:
o Diagramas de flujo de procesos.

o Casos de hojas de vida.
o Diagramas entidad relación.
o Entrevistas.
o Listas de chequeo para verificar puntos de control en los
procesos.
Para verificación de procesos de la División de Control de

Perdidas:
o Listas de chequeo para verificar fundamento de la

organización.
o Listas de chequeo para verificación de puntos de control de
procesos.
Rutinas para correr en el sistema operativo.
Rutinas para correr en el motor de la base de datos y verificar

integridad
referencial.
Cuestionarios de eficiencia sobre:
o Formas.
o Reportes
Métodos de control para los procesos de:
o Matriculas.
o Revisiones.
Los controles establecidos, serán de herramienta de apoyo que

tras el análisis
permitirá determinar los puntos sensibles del entorno
informático.
PRESUPUESTO
Para la ejecución de la auditoria se ha establecido el siguiente

presupuesto.
ITEM VALOR
Papelería 20.000
Medios de almacenamiento 30.000
portables
MINI CD, DVD
Gabinete para 180.000
almacenamiento de papelería
Pago por prestación de 2.500.000
servicios de auditoria
Alquiler de 2 computadores 460.000
portátiles
Compra de Impresora lasser 320.000
Compra de tonner de tinta 180.000
sólida
Compra de cámara digital 350.000
Gastos generales de 200.000
transporte, y alimentación
Imprevistos 500.000
SUBTOTAL 4.740.000
IVA 758.400
TOTAL 5.498.400
ITEM VALOR
RECURSOS HUMANOS
Para el desarrollo de la auditoria se requiere del talento humano
y profesional así:
o Dos Ingenieros de Sistemas con conocimiento en Auditoria,

FRANCISCO SOLARTE y FREDY RECALDE.
o Personal de Centrales Eléctricas de Nariño, de la División de

Control de Pérdidas para ser parte integral en la comunicación
con el grupo auditor.
EMPRESA CEDENAR S.A. E.S.P
CRONOGRAMA DE ACTIVIDADES
ELABORO: SIS_AUDITORIUS E.A.T.
AREA AUDITABLE: Sistema de Información SIC
ACTIVIDADESJUNIO
4 5 6 9 10 11 12 13 17 29
Reunión Preliminar
Elaboración de Cuestionarios
Recolección de Información (entrevistas
y ejecución de cuestionarios)
Determinación de Hallazgos
Pruebas
Elaboración del informe
Presentación del informe final
ACTIVIDADES PROPIAS DE LA AUDITORIA
Para el desarrollo de la auditoria se desplegaran las actividades

de:
o Investigación preliminar de la organización y procesos

o Identificación y agrupación de riesgos.
o Ejecución de las pruebas de auditoria.
o Análisis de las pruebas.
o Determinación de hallazgos.
o Diseño de controles, después de la identificación y
agrupación de riesgos.
o Elaboración y envío del informe de Auditoria.
EJECUCION DEL PROGRAMA DE AUDITORIA
CUESTIONARIOS DE
CONTROL INTERNO
 Primer Objetivo
 Segundo Objetivo
 Tercer Objetivo
 Cuarto Objetivo
GUIA DE AUDITORIA
CÉDULAS RESUMEN
 Primer Objetivo
 Primer Objetivo  Segundo Objetivo
 Segundo Objetivo  Tercer Objetivo
 Tercer Objetivo  Cuarto Objetivo
 Cuarto Objetivo
Primer Objetivo
 Hallazgo 1.1 CÉDULA GENERAL
 Hallazgo 1.2
Segundo Objetivo
 Hallazgo 2.1
 Hallazgo 2.2
Tercer Objetivo
 Hallazgo 3.1
 Hallazgo 3.2
Cuarto Objetivo INFORMES
 Hallazgo 4.1  Gerencial
 Hallazgo 4.2
CUESTIONARIO DE CONTROL INTERNO
Primer Objetivo
Control 1
EMPRESA CEDENAR S.A. E.S.P R/PT

CUESTIONARIO DE CONTROL INTERNO C-1
UNIDAD AUDITABLE: SIC ELABORÓ: SIS_AUDITORIUS E.A.T.
Conocer y Verificar
PROCEDIMIENTO: de la normatividad REVISÓ: SIS_AUDITORIUS E.A.T.
vigente
No CONTROLES SI NO NA R.P/T
1 El proceso de Control de Pérdidas se direcciona de acuerdo X G-1.1
a las leyes y normas vigentes emanadas por la empresa y la
misión y visión?
2 Las leyes y normas que rigen la aplicación SIC se dan a X G-1.2
conocer y están a disposición de los funcionarios
involucrados en los procesos?
3 Las normas y leyes se fijan en sitios estratégicos para que X
sean conocidos por los funcionarios?
Segundo Objetivo
Control 2

Verificación de
PROCEDIMIENTO: controles en el REVISÓ:
SIS_AUDITORIUS E.A.T.
acceso al sistema
de información
1 Se realiza periódicamente muestreos de documentos X G-1.1
digitados en el sistema para la revisión de los formatos y
formularios en campo?
2 Se Verifica si las casillas en los formatos preimpresos son X G-1.2
diligenciadas correctamente y completamente en cada uno
de sus ítems?
3 Los usuarios y funcionarios de la empresa están conscientes X
de su responsabilidad para el correcto diligenciamiento de la
documentación preimpresa mediante la cual se hace la
recolección de información?
4 El diseño de la documentación facilita las actividades de X
diligenciamiento y captura de datos?
5 Los usuarios del sistema que hacen la captura de los datos X
conocen las opciones del sistema en caso de borrado o
modificaciones
6 Se verifica los datos diligenciados por cada uno de los X
funcionarios que manejan el sistema?
7 Se verifica si los datos registrados en el sistema están X
completamente diligenciados?
Tercer Objetivo
Control 3

Controles en los
PROCEDIMIENTO: procesos del REVISÓ:
módulo de Pérdidas SIS_AUDITORIUS E.A.T.
funcionamiento y
validez
1 Existen controles en la captura de datos en el sistema SIC? X G-1.1
2 Existe un control en la digitación de cada uno de los X G-1.2

formatos diligenciados por los funcionarios y los usuarios del
sistema?
3 Existe un administrador del sistema de información SIC? X G-1.3
4 Se registra cada una de las actualizaciones del sistema X G-1.4
cuando se ha tenido que realizar modificaciones al mismo?
5 Se hace una revisión a los reportes generados por el sistema X
de información?
6 Existe un control de acceso a la información del servidor por X
parte de los usuarios desde cada una de sus terminales?
7 Se cambia periódicamente las claves de acceso de cada uno X
de los usuarios del sistema?
Cuarto Objetivo
Control 4

Consistencia de la
PROCEDIMIENTO: base de datos en REVISÓ:
cuanto a su análisis
y diseño
1 Existe un administrador de la base de datos para el módulo X
de Perdidas?
2 Se hace copias de seguridad de la base de datos X
frecuentemente para evitar pérdidas de información?
3 Se registran las modificaciones que se ha realizado a la base X
de datos por parte de los desarrolladores?
4 Se realizan revisiones con datos extremos de prueba en los X
formatos para verificar la consistencia y validaciones que
tiene el sistema?
5 Existe en servidor alterno localizado en otro sitio en caso de X
desastres?
6 Existe un manual del diseño de la base de datos? X
7 Se tiene validado la entrada de datos al sistema? X
8 Todos los campos capturados en los formatos son X
requeridos en el momento de registro en el sistema?
Cuarto Objetivo
Control 4

Verificación de
PROCEDIMIENTO: controles existentes REVISÓ: SIS_AUDITORIUS E.A.T.
en la base de datos
1 Existe un administrador de la base de datos para el módulo X
de Perdidas, y tiene funciones asignadas específicamente?
2 Se hace cambios periódicos de las claves asignadas a los X
usuarios de la base de datos?
3 Se lleva un control de los permisos asignados a cada uno de X
los usuarios de la base de datos?
4 Las copias de seguridad están debidamente registradas y X
etiquetadas con fecha de creación, hora, responsable?
5 Se lleva un control de todos los usuarios que ingresan al X
sistema desde sitios remotos?
6 Se tiene un control de todas las transacciones (consultas, X
modificaciones, borrado, reportes) generados por los
usuarios desde cada una de las terminales del sistema?
7 Se tiene un control sobre todas las solicitudes atendidas X
debidamente, se hace copias de estos registros y se vacía la
base de datos para evitar saturación del sistema?
Principal
GUIAS DE AUDITORIA
Primer Objetivo
Guía 1.1
Referencias: C1
EMPRESA CEDENAR S.A. E.S.P. R.P/T
GUIA DE AUDITORIA G-1.2
UNIDAD AUDITABLE: SIC ELABORÓ:

PROCEDIMIENTO: Conocer y Verificar REVISÓ:

la normatividad SIS_AUDITORIUS E.A.T.
vigente
No PROCEDIMIENTO FECHA R.P/T
1 Conocer las leyes y normatividad para la aplicación SIC en la 12-06-2006 H-1.2
División de control de Pérdidas de la empresa CEDENAR S.A.
E.S.P. y verificar que cada proceso y procedimiento estén de
acuerdo a las normas establecidas.
2 Se entrevistó a los funcionarios involucrados en cada uno de los 15-06-2006
procesos, y se solicito la documentación que contiene las normas y
se verifico si estas estaban a disposición de los funcionarios
3 Se solicito información acerca del contrato de servicios de 15-06-2006
outsourcing entre la empresa CEDENAR S.A. E.S.P. y
SUPERNOVA que administra el sistema.
Principal
GUIAS DE AUDITORIA
Segundo Objetivo
Guía 1.2
Referencias: C2

PROCEDIMIENTO: Verificación de REVISÓ:

controles en el
acceso al sistema
de información
1 Se realizó entrevistas al administrador del sistema y a los analistas 20-06-2006 H-1.2
del sistema de información SIC módulo de Pérdidas para verificación
de los controles existentes en el sistema
2 Mediante muestreo se seleccionó a algunos usuarios del sistema 20-06-2006
para verificar la entrada de cada usuario, cambios de claves al
sistema y controles a usuarios.
3 Se solicitó inventarios de equipos existentes, licencias, y los 22-06-2006
responsables de cada uno de los equipos asignados a la División de
Control de Pérdidas.
Principal
GUIAS DE AUDITORIA
Tercer Objetivo
Guía 1.2
Referencias: C2

PROCEDIMIENTO: Controles en los REVISÓ:

procesos del
módulo de
Pérdidas
funcionamiento y
validez
1 Entrevistas a el Administrador y analistas del sistema SIC, para 23-06-2006 H-1.2
indagar sobre los controles que posee el sistema de información.
2 Se realizó mediante observación directa de la actividad de registro 23-06-2006
de datos al sistema para verificar las claves de usuario, los
permisos, y el nivel de capacitación en el manejo del aplicativo por
parte de los usuarios del sistema.
3 Se realizaron pruebas desde cada una de las terminales para 27-06-2006 y
verificar los controles existentes en el sistema, las pruebas se 28-06-2006
realizaron con las claves de usuario.
4 Se realizó la entrada de datos desde cada uno de los procesos que 28-06-2006
conforman el módulo para verificación de la validez de los datos y su
funcionamiento.
Principal
GUIAS DE AUDITORIA
Cuarto Objetivo
Guía 1.4
Referencias: C4

PROCEDIMIENTO: Consistencia de la REVISÓ:

base de datos en
cuanto a su
análisis y diseño
1 Se solicitó al administrador del SIC la documentación de cada 29-06-2006 H-1.2
procedimiento. Así mismo de la base de datos existentes y registros
de modificaciones desde su implantación. Para la verificación de su
existencia y conocimientos del mismo.
2 Se solicitó al administrador del sistema los respectivos listados 29-06-2006
impresos que permiten realizar las respectivas verificaciones de la
consistencia de la información contenida en la base de datos.
3 Se sacaron todos los reportes generados por el sistema para 29-06-2006
verificación de la consistencia de los datos existentes en la base de
datos
4 Se realizaron entrada de datos de prueba para verificar los formatos 29-06-2006
de entrada y sus validaciones
Principal
GUIAS DE AUDITORIA
Cuarto Objetivo
Guía 1.4
Referencias: C4


controles
existentes en la
base de datos
1 Se solicito listados que indiquen las transacciones realizadas por 29-06-2006 H-1.2
cada uno de los funcionarios del SIC, con el fin de determinar si
existe un control sobre las transacciones de cada usuario del
sistema.
2 Se realizaron pruebas para determinar los permisos que posee cada 29-06-2006
usuario de la base de datos realizando transacciones para verificar
las validaciones, tipos de datos, rangos de valores, repetición de
datos, y redundancia.
3 Verificar la existencia de copias de seguridad debidamente 29-06-2006
etiquetadas
Principal
HALLAZGOS DE AUDITORIA
Primer Objetivo.
Hallazgo 1.1
Referencias:

HALLAZGO DE AUDITORIA H-1.1

vigente
DESCRIPCION
Se observó que a pesar de que existen documentadas las normas en los respectivos manuales de la
Empresa y del sistema, estas no son aplicadas en forma correcta a cada uno de los procesos y
procedimientos implementados en la División de Control de Pérdidas. Esta debilidad ha permitido que
las actividades que involucran los procesos manejados en esta dependencia se vean afectados en su
eficiencia y eficacia en la aplicación de controles y en su ejecución.
RECOMENDACION
Que las normas establecidas por la misión de la Empresa CEDENAR S.A. E.S.P. sean divulgadas a
los funcionarios de la División y estas sean aplicadas a los procesos implementados por el
administrador del SIC.
COMENTARIO DEL AUDITADO
NIVEL DE ATENCION DEL RIESGO (Alto, Medio, Bajo) Porque?

El impacto del riesgo se ve reflejado en un nivel alto porque al no aplicarse las normas correctamente
a cada proceso que conforma el sistema SIC, genera traumas tanto para los analistas, el
administrador, y los funcionarios de la División, generando malestar en los usuarios finales del
servicio.
Principal
Primer Objetivo.
Hallazgo 1.2
Referencias:


vigente
DESCRIPCION
Se comprobó la existencia de la documentación de las normas pero estas no se encuentran
disponibles ni se conocen por los funcionarios.
RECOMENDACION
Entregar a cada funcionario la normatividad que rige actualmente en la empresa y para manejo del
sistema, la cual tiene que ser conocida y asimilada por cada funcionario.

El nivel de riesgo es bajo por cuanto la normatividad es conocida por los funcionarios y además es
aplicada por ellos en algunos casos.
Principal
Segundo Objetivo.
Hallazgo 1.1
Referencias:

PROCEDIMIENTO: Revisión contrato REVISÓ:

vigente de servicio SIS_AUDITORIUS E.A.T.
de outsourcing con
SUPERNOVA.
DESCRIPCION
Se verifico que en la División no existe copia del contrato, ni se tiene un conocimiento de las
responsabilidades de la empresa SUPERNOVA, ni de sus analistas. Así mismo se indagó sobre la
normatividad operacional del sistema y sus procedimientos en caso de caídas del sistema, o en caso
de presentarse errores en el manejo de los procesos , o por la pérdida de información. De ello se
observó que no existe un plan de contingencias para el manejo del sistema de información SIC.
RECOMENDACION
Recomendamos que el administrador del Sistema SIC y los analistas posean un manual donde se
indique el procedimiento a seguir en caso de riesgos de falla del sistema.

El nivel de riesgo que este procedimiento implica, es alto ya que no existe un plan de contingencias
en caso de fallas en el sistema, lo que ocasionaría parálisis temporal en la prestación de servicios a
los usuarios de la empresa, ya que los archivos manuales no se encuentran debidamente
organizados.
Principal
Segundo Objetivo.
Hallazgo 1.2
Referencias:

PROCEDIMIENTO: Verificación de los REVISÓ:

controles en el SIS_AUDITORIUS E.A.T.
sistema
DESCRIPCION
Se encontró que el sistema SIC está protegido de forma básica en el caso del sistema operativo,
cuenta con varios usuarios que ingresan con claves desde cada una de las terminales de red y que el
ingreso a las operaciones realizadas por cada uno de los usuarios en la base de datos no tiene
restricciones.
RECOMENDACION
Se recomienda que se establezca un plan documentado donde se consigne de manera detallada los
controles que debe tener un servidor de datos y se aplique por parte del administrador del sistema y
los analistas.

El nivel de riesgo es alto por cuanto al no tener la suficiente protección y seguridad en el sistema está
expuesto a posibles fraudes, modificación de registros, o pérdida de información ocasionando pérdida
total o parcial de información en el sistema.
Principal
Segundo Objetivo.
Hallazgo 1.3
Referencias:


cambios de claves y SIS_AUDITORIUS E.A.T.
controles a usuarios
del sistema
DESCRIPCION
Se pudo constatar que los funcionarios por lo general no hacen cambios de las claves existentes y se
tiene restricciones mediante las claves a cada uno de los procesos del sistema, pero no existe un
control adecuado de las transacciones realizadas por cada uno de los usuarios del sistema.
RECOMENDACION
Se recomienda los cambios de clave periódicos para cada uno de los usuarios que evite fraudes por
ingeniería social y así mismo se lleve un estricto control en las transacciones que realiza cada uno de
los usuraos del sistema para detectar posibles fraudes de manera rápida y saber quien o de que
Terminal se tuvo acceso.

El nivel de riesgo es medio ya que la seguridad del sistema se está adecuando de acuerdo a los
estándares sobre servidores de datos.
Principal
Segundo Objetivo.
Hallazgo 1.4
Referencias:


inventarios de SIS_AUDITORIUS E.A.T.
hardware, licencias y
responsables de
equipos.
DESCRIPCION
Se verifico que existe un inventario de los equipos asignados a la división pero en la comprobación de
dicho inventario se encontró que no existe responsable de los equipos y que no existen fichas de
hojas de vida de los equipos. El mantenimiento de los equipos se hace por parte de los analistas
asignados a la división. En cuanto a licencias se encontró que existe licencias para todos los equipos
del sistema operativo pero de programas instalados y que requieren licencias.
RECOMENDACION
Se sugiere que se haga un registro de las modificaciones en el hardware, así mismo una hoja de vida
de cada uno de los equipos asignados a los usuarios. Cada uno de los usuraos del puesto de trabajo
correspondiente deberá ser el responsable del equipo asignado y en caso de daño el deberá llamar al
técnico encargado y registrará su firma en la hoja de servicio.

El nivel de riesgo es bajo ya que los equipos se encuentran actualizados y en buen estado, a mediano
plazo el riesgo puede ser alto, además este riesgo no ocasiona traumatismos en la prestación de los
servicios a usuarios.
Principal
Tercer Objetivo.
Hallazgo 1.1
Referencias:

PROCEDIMIENTO: Controles en los REVISÓ:

procesos del módulo SIS_AUDITORIUS E.A.T.
de Pérdidas
DESCRIPCION
Se indago sobre los controles existentes en cada uno de los procesos que maneja el módulo de
Pérdidas del sistema de información SIC y se verifico desde cada una de las terminales la entrada al
sistema con la clave de usuario y el manejo de los módulos para verificación de la consistencia y
validez de los controles, al realizar la verificación se encontraron algunas inconsistencias en los
formatos de entrada, las validaciones de los datos y los reportes requeridos.
RECOMENDACION
Que el administrador del Sistema SIC módulo de Pérdidas haga un requerimiento a la empresa
SUPERNOVA donde incluya las modificaciones que se debe hacer al sistema para adecuarlo a las
condiciones de la empresa, para la prestación de servicios de calidad a los usuarios y facilite el
ingreso de los datos, la consistencia de la información registrada y la generación de nuevos reportes.

El nivel de riesgo es medio ya que se tendrá un porcentaje de error considerable en la información
registrada en el sistema se puede decir que es factible de corregir de manera fácil.
Principal
Tercer Objetivo.
Hallazgo 1.2
Referencias:

PROCEDIMIENTO: Pruebas de usuario REVISÓ:

en cada uno de los SIS_AUDITORIUS E.A.T.
procesos del módulo
de Pérdidas
DESCRIPCION
Mediante la elección de datos extremos se realizaron pruebas de usuario para verificar la consistencia
de las datos en cada campo registrado en los formularios, y se encontró que algunos de los
formularios para la captura de los datos no tienen validaciones y que en campos llaves primarias se
pueden repetir datos, además algunos de los datos en los formularios son no requeridos con lo cual
se puede grabar registros incompletos.
RECOMENDACION
Se recomienda que los analistas conjuntamente con el administrador del sistema hagan una revisión
permanente sobre los formularios de entrada de datos y en caso de requerir modificaciones que estas
sean registradas.

El nivel de riesgo es medio por que estos procesos se permite la verificación de los datos en los
reportes generados por el sistema por parte del usuario final de los servicios.
Principal
Tercer Objetivo.
Hallazgo 1.3
Referencias:

PROCEDIMIENTO: Documentación de REVISÓ:

la base de datos en SIS_AUDITORIUS E.A.T.
funcionamiento
DESCRIPCION
Se encontró que no se tiene documentación de la base de datos del sistema SIC que se encuentra en
funcionamiento, así mismo ni el administrador, ni los analistas asignados a la división tienen
conocimientos del diseño de la base de datos.
RECOMENDACION
Se recomienda que la empresa SUPERNOVA que presta el servicio de outsourcing facilite algunos
manuales donde se registre el análisis y diseño de la aplicación para facilitar las posibles
adecuaciones que debe hacerse para su funcionamiento óptimo.

El nivel de riesgo se ve reflejado en un nivel bajo ya que el mantenimiento del sistema está a cargo de
dos analistas asignados a la División.
Principal
Tercer Objetivo.
Hallazgo 1.4
Referencias:

PROCEDIMIENTO: Documentación de REVISÓ:

modificaciones de la SIS_AUDITORIUS E.A.T.
base de datos en
funcionamiento
DESCRIPCION
Se comprobó mediante entrevistas a los analistas y administrador del sistema que se han realizado
varias modificaciones a la base de datos en cuanto al tipo de campos, su longitud, nombres de los
campos, pero estos no se han registrado mediante documentos.
RECOMENDACION
Se recomienda que se levante un registro de las modificaciones realizadas a la base de datos en su
estructura y así mismo a los programas de aplicación que interactúan con ella.

El nivel de riesgo es bajo por que estas modificaciones no han influido directamente sobre el objetivo
fundamental que tiene el SIC que es la prestación de servicios a los usuarios.
Principal
Cuarto Objetivo.
Hallazgo 1.1
Referencias:


controles existentes SIS_AUDITORIUS E.A.T.
en la base de datos
DESCRIPCION
Se pudo comprobar que no existen procedimientos escritos para la adecuada entrada, corrección y
reingreso de información al archivo maestro, únicamente el administrador lo hace en forma mecánica,
mas no guiado por un protocolo que le indique la forma adecuada de realizar el procedimiento
RECOMENDACION
Establecer en forma escrita cada procedimiento para la entrada, corrección y reingreso de la
información, la cual se ha consignado en unos pasos a seguir que le indiquen al administrador del SIC
la forma secuencial en que debe ejecutarlos.
Los pasos a seguir serían:

1) Validación de datos
2) Ingreso de datos
3) Proceso de datos
4) Corrección de datos
5) Reingreso de datos corregidos

El nivel de riesgo es medio por cuanto el no disponer de un procedimiento adecuado de ejecución
conlleva a que el administrador pueda cometer errores en la secuencia de procesamiento permitiendo
inconsistencias en la información resultante así como también daños en el archivo maestro.
Principal
Cuarto Objetivo.
Hallazgo 1.1
Referencias:


controles existentes SIS_AUDITORIUS E.A.T.
en la base de datos
DESCRIPCION
Se pudo comprobar que existe claves de seguridad para ingreso al sistema por parte de los
funcionarios que manejan cada uno de los procesos, pero no existen procedimientos para llevar un
control sobre las transacciones que realizan y los permisos asignados a cada uno de ellos, se pudo
comprobar que los analistas tiene claves de súper usuario del sistema .
RECOMENDACION
Que el administrador cambie periódicamente su clave de seguridad para no permitir la entrada de los
analistas y en caso de requerirlo que se haga mediante permisos del administrador del sistema. Así
mismo se debe llevar un registro periódico de los usuarios para cambios de clave evitando ingeniería
social.

El nivel de riesgo es medio por cuanto cualquiera de los analistas pueden ocasionar daños al sistema
y la responsabilidad se descarga sobre el administrador del sistema.
Principal
Cuarto Objetivo.
Hallazgo 1.2
Referencias:


copias de seguridad SIS_AUDITORIUS E.A.T.
DESCRIPCION
Se le solicitó al administrador del SIC la revisión de las copias de seguridad existentes y se observó
que dichas copias se encuentran almacenadas de manera desorganizada y sin etiquetar, dichas
copias se encuentran bajo llave y el administrador es la persona que posee la llave.
RECOMENDACION
Se recomienda la organización de las copias de seguridad por fecha y hora, la persona que la realizó
y datos acerca de la copia. Cada copia de seguridad deberá etiquetarse debidamente.

Nivel de riesgo bajo, ya que las copias de seguridad no han tenido que ser utilizadas hasta el
momento, a medida que el volumen de información se incremente los riesgos pueden ser mayores.
Principal
: CÉDULAS RESUMEN
Primer Objetivo
REFERENCIAS: H-1

CEDULA RESUMEN 1 R-1
UNIDAD AUDITABLE: SIC ELABORO:
PROCEDIMIENTO: Conocer y verificar REVISO:

normatividad vigente SIS_AUDITORIUS E.A.T.
DESCRIPCION
Las normas existen y están documentadas pero no son aplicadas
RECOMENDACIÓN
Se sugiere la divulgación de toda la normatividad de la Empresa a los funcionarios y la aplicación de
las mismas a todos los procesos.
Principal
CÉDULAS RESUMEN
Primer Objetivo
REFERENCIAS: H-2

PROCEDIMIENTO: Conocer y verificar REVISO:

normatividad vigente SIS_AUDITORIUS E.A.T.
DESCRIPCION
Las normas se encuentran documentadas pero estas no son conocidas plenamente por los
funcionarios
RECOMENDACION
Entregar la normatividad a los funcionarios para su conocimiento
CÉDULAS RESUMEN
Segundo Objetivo
REFERENCIAS: H-1

PROCEDIMIENTO: Revisión del contrato REVISO:

outsourcing con SIS_AUDITORIUS E.A.T.
SUPERNOVA
DESCRIPCION
No existe copia de contrato en la División, El Administrador desconoce procedimientos en caso de
fallos del sistema.
RECOMENDACION
Se recomienda que se haga un plan de contingencias en caso de fallos del sistema.
CÉDULAS RESUMEN
Segundo Objetivo
REFERENCIAS: H-2

PROCEDIMIENTO: Verificación de los REVISO:

controles del sistema SIS_AUDITORIUS E.A.T.
DESCRIPCION
Se encontró la existencia de seguridad básica en el servidor y claves de acceso para cada ususario
del sistema.
RECOMENDACION
Se recomienda documentarse sobre los controles sobre servidores de datos por parte del
administrador del sistema.
CÉDULAS RESUMEN
Segundo Objetivo
REFERENCIAS: H-3

PROCEDIMIENTO: Verificación de cambios de REVISO:

clave y controles a usuraos SIS_AUDITORIUS E.A.T.
del sistema
DESCRIPCION
No se hace cambios de clave periódicos a los usuarios del sistema, no se registra la entrada de los
usuarios al sistema.
RECOMENDACION
Realizar cambios de clave periódicamente y tener un control adecuado de los usuarios que accedan
al sistema.
CÉDULAS RESUMEN
Segundo Objetivo
REFERENCIAS: H-4

PROCEDIMIENTO: Verificación de inventarios REVISO:

de hardware, licencias y SIS_AUDITORIUS E.A.T.
responsables de equipos.
DESCRIPCION
Existe inventario de equipos, pero no se cuenta con la hoja de vida de cada equipo. Existe licencias
del sistema operativo pero no de otro software que se encontró instalado.
RECOMENDACIÓN
Se sugiere hacer una hoja de vida para cada equipo y eliminar software que no sea necesario.
CÉDULAS RESUMEN
Tercer Objetivo
REFERENCIAS: H-1

PROCEDIMIENTO: Controles en los procesos REVISO:

del módulo de Pérdidas SIS_AUDITORIUS E.A.T.
DESCRIPCION
No se realiza controles sobre la entrada de datos, los procedimientos y reportes de salida del sistema.
RECOMENDACION
Elaborar un documento con las necesidades requeridas para modificaciones ha realizar en el sistema.
CÉDULAS RESUMEN
Tercer Objetivo
REFERENCIAS: H-2

PROCEDIMIENTO: Pruebas de usuario en REVISO:

cada uno de los procesos SIS_AUDITORIUS E.A.T.
del módulo de Pérdidas
DESCRIPCION
Se realizaron pruebas con datos extremos y se constato que existen fallas en los formatos y
validaciones.
RECOMENDACION
Reuniones entre el administrador y analistas para revisión de formularios de entrada y procedimientos
de validación.
CÉDULAS RESUMEN
Tercer Objetivo
REFERENCIAS: H-3

PROCEDIMIENTO: Documentación de la base REVISO:

de datos en SIS_AUDITORIUS E.A.T.
funcionamiento
DESCRIPCION
Se encontró que no existe ningún tipo de documentación de la base de datos.
RECOMENDACIÓN
Se recomienda que se solicite manuales del sistema para realizar modificaciones más fácilmente.
CÉDULAS RESUMEN
Tercer Objetivo
REFERENCIAS: H-4

PROCEDIMIENTO: Documentación de REVISO:

modificaciones de la base
de datos en
funcionamiento
DESCRIPCION
No existe documentación de las modificaciones realizadas en la base de datos
RECOMENDACION
Se recomienda que se haga el registro de cada una de las modificaciones a la base de datos.
CÉDULAS RESUMEN
Cuarto Objetivo
REFERENCIAS: H-1

PROCEDIMIENTO: Verificación de controles REVISO:

existentes en la base de SIS_AUDITORIUS E.A.T.
datos
DESCRIPCION
No se tienen implementado procedimientos para transacciones como entrada, corrección y reingreso
de datos al sistema
RECOMENDACION
Se recomienda diseñar procedimientos secuenciales que indiquen al usuario como realizar estas
transacciones.
CÉDULAS RESUMEN
Cuarto Objetivo
REFERENCIAS: H-2

PROCEDIMIENTO: Verificación de copias de REVISO:

seguridad SIS_AUDITORIUS E.A.T.
DESCRIPCION
Se comprobó que las copias de seguridad se organizan de manera inadecuada y son se etiquetan.
RECOMENDACIÓN
Se debe organizar las copias de seguridad y etiquetarse.
Principal
CEDULA GENERAL
REFERENCIAS:

CEDULA GENERAL R-G
UNIDAD AUDITABLE: Sistema operativo y base ELABORÓ:
de datos del Servidor de SIS_AUDITORIUS E.A.T.
datos SIC
PROCEDIMIENTO: Verificación de la REVISÓ:

seguridad SIS_AUDITORIUS E.A.T.
Se observa que la normatividad de la empresa no se aplica en los procesos, siendo uno de los
factores más relevantes la falta de una administración adecuada del sistema de información SIC en lo
que respecta a los controles adecuados en el sistema operativo y la base de datos respectivamente.
Hasta el momento no se han presentado fallas graves en el sistema, pero de presentarse no se

cuenta con un plan de contingencias adecuado que permita la recuperación del sistema, tampoco se
cuenta con la documentación necesaria para realizar procedimientos, ni documentación acerca del
sistema de información.
En la parte de seguridad el aplicativo le falta mayor control de filtros de acceso, entrada de datos,
reportes y consulta así como también un módulo de auditoria para revisar los rastros dejados por los
usuarios.
INFORME EJECUTIVO DE AUDITORIA
San Juan de Pasto, Julio 04 del 2006
Señores:
CENTRALES ELECTRICAS DE NARIÑO S.A. E.S.P.
Ing. Edgar Riascos Rosero
Jefe de División de Control de Pérdidas
REF: Auditoria al Módulo de Perdidas en el Sistema de Información

Comercial SIC, del aplicativo SUPERNOVA
Cordial saludo.
Se ha realizado una auditoria al Módulo de Perdidas en el Sistema de

Información Comercial SIC, del aplicativo SUPERNOVA.
Nuestros objetivos fueron enfocados a:
Verificar la seguridad lógica existente en cuanto se refiere al sistema

operativo y la base de datos, para ello se tuvo en cuenta los
conocimientos de la normatividad existente en la empresa, el
conocimiento de la misma, se realizaron entrevistas al administrador del
sistema y a los analistas, así como a los usuarios del sistema.
Además se realizaron pruebas de campo para verificar los controles

existentes y el acceso al sistema por parte de los usuarios, se realizaron
pruebas en los formularios de entrada con datos extremos, para la
verificación de la consistencia de la base de datos y las validaciones
existentes.
Específicamente interesa conocer si existe o no un control sobre el

sistema de información SIC y específicamente en el módulo de pérdidas y
que tan efectivo es.
Operaciones
Verificación de la normatividad vigente en la empresa y su aplicación.

Recolectar información documental acerca del sistema, sus
procedimientos, planes de contingencia en caso de desastres, hojas de
vida de equipos de cómputo, registros de modificaciones del sistema y la
base de datos, y etiquetas de las copias de seguridad.
Verificar la existencia de los controles de acceso al sistema y a la base de

datos y su eficiencia.
Verificar los posibles errores que se cometen el la captura de datos por

parte de los usuarios y los errores presentes en la aplicación en cuento a
la validación de datos en la entrada.
Como resultado de dicha auditoria presentamos nuestras conclusiones al

respecto.
Hallazgos y Recomendaciones:
Hallazgos:
- Se observó que a pesar de que existen documentadas las normas

en los respectivos manuales de la Empresa y del sistema, estas no
son aplicadas en forma correcta a cada uno de los procesos y
procedimientos implementados en la División de Control de
Pérdidas. Esta debilidad ha permitido que las actividades que
involucran los procesos manejados en esta dependencia se vean
afectados en su eficiencia y eficacia en la aplicación de controles y
en su ejecución.
- Se comprobó la existencia de la documentación de las normas pero

estas no se encuentran disponibles ni se conocen por los
funcionarios.
- Se verifico que en la División no existe copia del contrato, ni se

tiene un conocimiento de las responsabilidades de la empresa
SUPERNOVA, ni de sus analistas. Así mismo se indagó sobre la
normatividad operacional del sistema y sus procedimientos en caso
de caídas del sistema, o en caso de presentarse errores en el
manejo de los procesos , o por la pérdida de información. De ello se
observó que no existe un plan de contingencias para el manejo del
sistema de información SIC.
- Se encontró que el sistema SIC está protegido de forma básica en
el caso del sistema operativo, cuenta con varios usuarios que
ingresan con claves desde cada una de las terminales de red y que
el ingreso a las operaciones realizadas por cada uno de los
usuarios en la base de datos no tiene restricciones.
- Se pudo constatar que los funcionarios por lo general no hacen

cambios de las claves existentes y se tiene restricciones mediante
las claves a cada uno de los procesos del sistema, pero no existe
un control adecuado de las transacciones realizadas por cada uno
de los usuarios del sistema.
- Se verifico que existe un inventario de los equipos asignados a la

división pero en la comprobación de dicho inventario se encontró
que no existe responsable de los equipos y que no existen fichas
de hojas de vida de los equipos. El mantenimiento de los equipos
se hace por parte de los analistas asignados a la división. En
cuanto a licencias se encontró que existe licencias para todos los
equipos del sistema operativo pero de programas instalados y que
requieren licencias.
- Se indago sobre los controles existentes en cada uno de los

procesos que maneja el módulo de Pérdidas del sistema de
información SIC y se verifico desde cada una de las terminales la
entrada al sistema con la clave de usuario y el manejo de los
módulos para verificación de la consistencia y validez de los
controles, al realizar la verificación se encontraron algunas
inconsistencias en los formatos de entrada, las validaciones de los
datos y los reportes requeridos.
- Mediante la elección de datos extremos se realizaron pruebas de

usuario para verificar la consistencia de las datos en cada campo
registrado en los formularios, y se encontró que algunos de los
formularios para la captura de los datos no tienen validaciones y
que en campos llaves primarias se pueden repetir datos, además
algunos de los datos en los formularios son no requeridos con lo
cual se puede grabar registros incompletos.
- Se encontró que no se tiene documentación de la base de datos del

sistema SIC que se encuentra en funcionamiento, así mismo ni el
administrador, ni los analistas asignados a la división tienen
conocimientos del diseño de la base de datos.
- Se comprobó mediante entrevistas a los analistas y administrador

del sistema que se han realizado varias modificaciones a la base de
datos en cuanto al tipo de campos, su longitud, nombres de los
campos, pero estos no se han registrado mediante documentos.
- Se pudo comprobar que no existen procedimientos escritos para la

adecuada entrada, corrección y reingreso de información al archivo
maestro, únicamente el administrador lo hace en forma mecánica,
mas no guiado por un protocolo que le indique la forma adecuada
de realizar el procedimiento.
- Se pudo comprobar que existe claves de seguridad para ingreso al

sistema por parte de los funcionarios que manejan cada uno de los
procesos, pero no existen procedimientos para llevar un control
sobre las transacciones que realizan y los permisos asignados a
cada uno de ellos, se pudo comprobar que los analistas tiene
claves de súper usuario del sistema.
- Se pudo comprobar que existe claves de seguridad para ingreso al

sistema por parte de los funcionarios que manejan cada uno de los
procesos, pero no existen procedimientos para llevar un control
sobre las transacciones que realizan y los permisos asignados a
cada uno de ellos, se pudo comprobar que los analistas tiene
claves de súper usuario del sistema .
- Se le solicitó al administrador del SIC la revisión de las copias de

seguridad existentes y se observó que dichas copias se encuentran
almacenadas de manera desorganizada y sin etiquetar, dichas
copias se encuentran bajo llave y el administrador es la persona
que posee la llave.
Recomendaciones:
- Que las normas establecidas por la misión de la Empresa

CEDENAR S.A. E.S.P. sean divulgadas a los funcionarios de la
División y estas sean aplicadas a los procesos implementados por
el administrador del SIC.
- Entregar a cada funcionario la normatividad que rige actualmente

en la empresa y para manejo del sistema, la cual tiene que ser
conocida y asimilada por cada funcionario.
- Recomendamos que el administrador del Sistema SIC y los

analistas posean un manual donde se indique el procedimiento a
seguir en caso de riesgos de falla del sistema
- Se recomienda que se establezca un plan documentado donde se

consigne de manera detallada los controles que debe tener un
servidor de datos y se aplique por parte del administrador del
sistema y los analistas.
- Se recomienda los cambios de clave periódicos para cada uno de

los usuarios que evite fraudes por ingeniería social y así mismo se
lleve un estricto control en las transacciones que realiza cada uno
de los usuraos del sistema para detectar posibles fraudes de
manera rápida y saber quien o de que Terminal se tuvo acceso.
- Se sugiere que se haga un registro de las modificaciones en el

hardware, así mismo una hoja de vida de cada uno de los equipos
asignados a los usuarios. Cada uno de los usuraos del puesto de
trabajo correspondiente deberá ser el responsable del equipo
asignado y en caso de daño el deberá llamar al técnico encargado y
registrará su firma en la hoja de servicio.
- Que el administrador del Sistema SIC módulo de Pérdidas haga un

requerimiento a la empresa SUPERNOVA donde incluya las
modificaciones que se debe hacer al sistema para adecuarlo a las
condiciones de la empresa, para la prestación de servicios de
calidad a los usuarios y facilite el ingreso de los datos, la
consistencia de la información registrada y la generación de
nuevos reportes
- Se recomienda que los analistas conjuntamente con el

administrador del sistema hagan una revisión permanente sobre los
formularios de entrada de datos y en caso de requerir
modificaciones que estas sean registradas.
- Se recomienda que la empresa SUPERNOVA que presta el servicio

de outsourcing facilite algunos manuales donde se registre el
análisis y diseño de la aplicación para facilitar las posibles
adecuaciones que debe hacerse para su funcionamiento óptimo.
- Se recomienda que se levante un registro de las modificaciones

realizadas a la base de datos en su estructura y así mismo a los
programas de aplicación que interactúan con ella.
- Establecer en forma escrita cada procedimiento para la entrada,

corrección y reingreso de la información, la cual se ha consignado
en unos pasos a seguir que le indiquen al administrador del SIC la
forma secuencial en que debe ejecutarlos.
Los pasos a seguir serían:

1. Validación de datos
2. Ingreso de datos
3. Proceso de datos
4. Corrección de datos
5. Reingreso de datos corregidos
- Que el administrador cambie periódicamente su clave de seguridad

para no permitir la entrada de los analistas y en caso de requerirlo
que se haga mediante permisos del administrador del sistema. Así
mismo se debe llevar un registro periódico de los usuarios para
cambios de clave evitando ingeniería social.
- Se recomienda la organización de las copias de seguridad por
fecha y hora, la persona que la realizó y datos acerca de la copia.
Cada copia de seguridad deberá etiquetarse debidamente.
Esperamos que los factores causantes del riesgos sea minimizados

y que se ponga en práctica un plan de mejoramiento para el manejo
de la seguridad lógica del sistema de información SIC, módulo de
Pérdidas así como de la base de datos y control de transacciones
de usuarios por parte del Administrador de la base de datos.
Atentamente,
FRANCISCO N. SOLARTE FREDY RECALDE

Ing. Sistemas Ing. Sistemas

Legajo Corriente Cedenar

Cargado por

Copyright:

Formatos disponibles

Legajo Corriente Cedenar

Cargado por

Información del documento

Descripción original:

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Legajo Corriente Cedenar

Cargado por

Copyright:

Formatos disponibles

AUDITORIA PARA EL MOSULO DE PERDIDAS EN EL SISTEMA DE

INFORMACIÓN COMERCIAL SIC CEDENAR SA ESP.

FREDY GUILLERMO RECALDE GUERRERO

UNIVERSIDAD ANTONIO NARIÑO

El empeño por mantener la información bajo las más estrictas

Centrales Eléctricas de Nariño dentro de las políticas que

La División de Control de Pérdidas tiene como objeto el control

La información de cada uno de los procesos es uno de los

Centrales Eléctricas de Nariño S.A. E.S.P Cedenar, para el

Los beneficios que traerá la presente auditoria a la División de

Durante el proceso de auditoria se tratará de encontrar las

Verificar y Evaluar la funcionalidad del módulo de perdidas en

Conocer las políticas de seguridad física y lógica del servidor y

Verificar los controles existentes para el acceso a la

Conocer los controles existentes en cada uno de los procesos

Analizar la consistencia de la base de datos, el diseño y

Verificación de los controles existente para protección de la

Proporcionar los hallazgos encontrados durante el proceso de

Realizar las recomendaciones que minimicen o eliminen los

Los sistemas de información, son los gestores de la información

Esta auditoria examinará el entorno del sistema de información

La auditoria única y exclusivamente se centrará en el módulo de

Entre los ítems a auditar están:

Auditoria física del edificio donde se encuentra el centro de

o Acceso del personal.

Seguridad lógica del sistema operativo en cuanto

Desempeño de las formas (formularios) para el registro de los

Desempeño de los reportes los reportes que generan las

Para la auditoria planeada se utilizarán, las herramientas de:

Para el análisis y conocimiento del entorno y de procesos:

o Diagramas de flujo de procesos.

Para verificación de procesos de la División de Control de

o Listas de chequeo para verificar fundamento de la

Rutinas para correr en el sistema operativo.

Rutinas para correr en el motor de la base de datos y verificar

Cuestionarios de eficiencia sobre:

Métodos de control para los procesos de:

Los controles establecidos, serán de herramienta de apoyo que

Para la ejecución de la auditoria se ha establecido el siguiente

o Dos Ingenieros de Sistemas con conocimiento en Auditoria,

o Personal de Centrales Eléctricas de Nariño, de la División de

Para el desarrollo de la auditoria se desplegaran las actividades

o Investigación preliminar de la organización y procesos

EMPRESA CEDENAR S.A. E.S.P R/PT

UNIDAD AUDITABLE: SIC ELABORÓ: SIS_AUDITORIUS E.A.T.

EMPRESA CEDENAR S.A. E.S.P R/PT

UNIDAD AUDITABLE: SIC ELABORÓ: SIS_AUDITORIUS E.A.T.

EMPRESA CEDENAR S.A. E.S.P R/PT

UNIDAD AUDITABLE: SIC ELABORÓ: SIS_AUDITORIUS E.A.T.

2 Existe un control en la digitación de cada uno de los X G-1.2

EMPRESA CEDENAR S.A. E.S.P R/PT

UNIDAD AUDITABLE: SIC ELABORÓ: SIS_AUDITORIUS E.A.T.

EMPRESA CEDENAR S.A. E.S.P R/PT

UNIDAD AUDITABLE: SIC ELABORÓ: SIS_AUDITORIUS E.A.T.

EMPRESA CEDENAR S.A. E.S.P. R.P/T

GUIA DE AUDITORIA G-1.2

UNIDAD AUDITABLE: SIC ELABORÓ:

PROCEDIMIENTO: Conocer y Verificar REVISÓ: