Location via proxy:   [ UP ]  
[Report a bug]   [Manage cookies]                

Boletín No. 7 Grupo No.2

Descargar como docx, pdf o txt
Descargar como docx, pdf o txt
Está en la página 1de 38

1

UNIVERSIDAD DE SAN CARLOS DE GUATEMALA

FACULTAD DE CIENCIAS ECONÓMICAS

ESCUELA DE AUDITORÍA

LIC. CARLOS HUMBERTO HERNÁNDEZ PRADO

AUX. EVER OBED VELÁSQUEZ AYALA

GRUPO NO. 2

BOLETÍN NO. 7

AUDITORÍA OPERACIONAL DE CENTRO DE PROCESO ELECTRÓNICO


DE DATOS

NOMBRE No. DE CARNÉ TRABAJO LO INDICADO

SI NO

Johanna González 8810188 X

Mónica Suhul 9110081 X

Karen Córdova 201605732 X

Yenifer Carranza 201712415 X

Gloria de León 201713454 X


2

ÍNDICE

Carátula ……………………………………………………………………………………. 1

Índice ……………………………………………………………………………………….. 2

Introducción…………………………………………………………………………………. 3

“Boletín 7” ……………………………………………………………………………………4

Características …………………………..……………………………………………………4

Propósito …………………………………………………………………………………… 5

Concepto y Alcance .…………………………………………………………………..........6

Metodología …………. ………………………………………………………………………7

Familiarización ……………………………………………………………………………… 7

Investigación y Análisis …………………………….. …………………………………… 9

Diagnostico…………………………………………………………………………………... 11

Caso Práctico …. …………………………………………………………………………… 14

Conclusión ……………………………………………………………………………………34

Bibliografía …………………………………………………………………………………. 35

Preguntas …………………………………………………………………………………… 36
3

INTRODUCCIÓN

El avance de la tecnología y el consecuente abatimiento de los costos de los equipos de proceso


electrónico de datos (PED), ha originado que cada vez sea mayor el número de empresas que
utilizan estos equipos como uno herramienta para el proceso de información.

Por otro lado, las empresas que utilizan el PED, debido o las ventajas que ofrece, como son,
principalmente, velocidad, exactitud, oportunidad y manejo eficiente de grandes volúmenes de
datos, tienden o incorporar el mayor número de sistemas al PED en las áreas susceptibles de
automatizarse.

A diferencia de la mayoría de las operaciones que normalmente existen en una empresa, el PED
tiene algunas características especiales que no se presentan en las demás operaciones. Estas
características motivan que la Auditoría Operacional del PED incluya aspectos especiales en la
ejecución y el enfoque de algunos procedimientos.
4

Características

1. Concentración del proceso de información en una función de la empresa.


Los computadores son usados para procesar información de muchos tipos,
independientemente del departamento, área, localidad, etc., de lo empresa donde se
generen los datos fuente o se necesiten los reportes.
2. Descentralización de la supervisión del proceso de información
En los casos de sistemas automatizados, parte del proceso es realizado en el centro de PED, el
cual es una unidad administrativa diferente a aquellas en donde se generan los datos fuente y se
utiliza la información,
3. El centro de PED es solo parte del flujo total de los sistemas.
En la mayoría de los sistemas hay algunos procedimientos que no es posible o práctico
automatizar, originando que existan partes manuales y partes automatizadas.

El alcance de este boletín, se limita se limita de la siguiente forma:

1.- Aspectos que incluye:

a) Los centros de proceso electrónico de datos que forma parte de la organización

administrativa de la empresa y que solamente proporcionan servicio a otras

divisiones, áreas o departamentos de la misma empresa.

b) Todas las funciones realizadas dentro del centro de PED y que son necesaria para su

operación.

2.- Aspectos que excluyen:


a) El PED solo incluye una parte de los sistemas en los que existe algún grado de

automatización.

b) Centro de servicios, debido a que su operación incluye algunos aspectos que no

existen cuando en el centro de PED forma parte de la organización dentro de la


5

misma empresa.

c) Debido a la aparición en el mercado de minicomputadores cada vez más poderosos

el auditor debe evaluar en cada caso particular, las características de la organización

y operación relacionada con el mini-computador, con objeto de determinar los

procedimientos a seguir en su revisión.

d) Estudios de viabilidad para la adquisición de equipos de cómputo electrónico, ya que

su revisión detallada requiere de procedimientos diferentes y conocimientos más

profundos de los necesarios para la auditoría Operacional de centros de PED.

Un Centro de PED es la unidad organizacional dentro de una empresa donde procesan datos

mediante la utilización de computadores.

a) Se realizan actividades de proceso de datos, mediante la utilización de uno o más

computadores.

b) Se desarrollan los sistemas o la parte de los sistemas en que se desea utilizar.

El equipo de PED como una herramienta de proceso.

Propósitos y actividades que realiza:

1. La recepción y control de los documentos fuente: la verificación de que cumplan con

requisitos establecidos en cuanto a su integridad, legibilidad y autorizaciones;

2. El proceso de los datos mediante la operación, programación y control de las diferentes

unidades que constituyen el equipo de PED.

3. El manejo de archivos de datos grabados en un medio legible por El equipo de PED,

4. La custodia y control de los archivos y programas grabados en un medio legible por El equipo

de PED. Así como la documentación que los ampara.


6

5. La condición de los datos incluidos en los reportes con la formación de los documentos fuente,

cuando sea aplicable y la distribución de los reportes.

6. La identificación y control de las transacciones erróneas detectadas durante El proceso,

7. El establecimiento y prueba de procesamientos de respaldo y recuperación del equipo de PED

los archivos de datos, los programas y la documentación.

8. El establecimiento y prueba de procedimientos de respaldo y recuperación del equipo de PED

los archivos de datos, los programas y la documentación.

9. El desarrollo de nuevos sistemas susceptibles de automatizarse (o la conversión de sistemas

manuales o mecánicos), incluyendo el estudio preliminar, la definición de requerimientos y

especificaciones técnicas.

10. El mantenimiento (modificaciones a los sistemas y programas existentes y el desarrollo de la

documentación respectiva.

11. El desarrollo, establecimiento y documentación de política, procedimientos y estándares

relacionados con las actividades del Centro.

Objetivos de la auditoria operacional de centros de PED

Es examinar críticamente las actividades indicadas en el apartado anterior, con la finalidad de


detectar problemas que estuviesen obstaculizando la eficiencia en su manejo o pudiera poner en
riesgo su operación.

Conceptos y alcance:

Un centro de PED es la unidad organizacional dentro de una empresa de donde: primero se


realizan actividades de proceso de datos, mediante la utilización de uno o mas computadores y
otros equipos auxiliares relacionados, para producir información para la toma de decisiones y
7

ejercer control de las operaciones de una empresa. Y segundo se desarrollan los sistemas o la
parte de los sistemas en que se desea utilizar el equipo de PED como una herramienta de
proceso.

Actividades que abarca el centro de PED:

 La recepción y control de los documentos fuente; la verificación de que cumplan con


requisitos establecidos en cuanto a su integridad, legibilidad y autorizaciones.
 El proceso de los datos mediante la operación, programación y control de las diferentes
unidades.
 El manejo de archivos de datos grabados en un medio legible por el equipo de PED y la
actualización de los mismos.
 La custodia y control de los archivos y programas grabados en un medio legible por el
equipo de PED.
 La conciliación de los datos incluidos en los reportes.
 La identificación y control de las transacciones erróneas detectadas
 El establecimiento y prueba de procedimientos de respaldo y recuperación del equipo de
PED, los archivos de datos, los programas y la documentación.
 El desarrollo de nuevos sistemas susceptibles de automatizarse
 El mantenimiento o modificaciones a los sistemas y programas existentes
 El desarrollo, establecimiento y documentación de políticas, procedimientos y estándares
relacionados con las actividades del centro.

Objetivos de la Auditoria Operacional de centros de PED

El objetivo de la Auditoria Operacional de centros de PED, es examinar críticamente las


actividades indicadas en el apartado anterior, con la finalidad de detectar problemas que
estuviesen obstaculizando la eficiencia en su manejo o pudiera poner un riesgo su operación.

Metodología:
8

El método para auditar la operación de los centros de PED que a continuación se describe, está
organizado de conformidad a la estructura de la metodología señalada en el boletín no. 2.

1.- Familiarización:

El auditor debe familiarizarse con el centro de PED mediante el esturdió de:

a. La estructura de organización del centro de PED y su ubicación dentro de la


organización
b. Los planes a corto y largo plazo relacionados con el PED y su coordinación con los
planes y objetivos generales de la empresa.
c. Los manuales de políticas y procedimientos de las diferentes actividades desarrolladas en
el centro de PED.
d. Los informes resultantes de revisiones efectuadas anteriormente por auditores internos y
externos y consultores.
e. Los antecedentes de centro de PED en la relación a su origen, desarrollo, equipo de
proceso de datos original y sus modificaciones.
f. Los estados financieros de la empresa y el impacto que tienen os costos y gastos del
centro de PED.
Asimismo, el auditor deberá conocer:

 Cuáles son las principales áreas que reciben servicios del centro
 Cuales sistemas están automatizados y en qué grado y cuales sistemas importantes,
susceptibles de automatizarse.

Visita a las instalaciones


Deberán visitarse las instalaciones correspondientes al centro de PED, incluyendo los lugares en
donde se guardan los archivos de respaldo y hacer observaciones sobre;

a) Lo adecuado de su ubicación y de la distribución de las áreas de trabajo y las medidas para


restringir el acceso al personal no autorizado;
9

b) Los controles y aparatos para conservar la temperatura y el grado de humedad dentro de los
límites especificados por el proveedor del equipo de cómputo, dentro del área en que se
encuentro éste instalado;

c) Los medidos establecidos para la detección y contención de incendios (detectores de humo,


prohibición de fumar, sistemas de extinción de fuego, etc.,);

d) El orden y limpieza del equipo y accesorios (discos, cintas, tarjetas disquetes, etc.,) y de la
documentación;

e) Las condiciones ambientales (luz, ventilación, etc.),

f) Las relaciones de trabajo entre jefes y subordinados y de estos entre sí.

2. Investigación y análisis

Análisis de la información financiera y operativa

El auditor deberá obtener y analizar objetivamente la información, la cual por la naturaleza de las
actividades de los centros de PED, es principalmente operativa. En caso que la información
solicitada no se prepare como parte de las actividades normales del centro de PED, el auditor
debe evaluar el esfuerzo requerido y la disponibilidad de datos para que se le proporcione y
solicitar su preparación cuando lo considere justificable; independientemente, en la mayoría de
los cosos, la falta de este tipo de información normalmente representa ausencia de elementos de
evolución y control de las actividades del centro de PED:
a) Presupuesto de gastos del centro de PED comparado contra los gastos reales;
b) estadísticas de tiempo extra trabajado y los rozones que lo motivaron;
c) reportes de recepción de documentos fuente que incluyan información sobre lo
documentación recibida después de los fechas y horas programados;
d) estadísticas sobre la captura de datos fuente (número de golpes por hora y errores por
operador);
e) estadísticas de uso de la unidad central de proceso y del equipo periférico que muestren:

 Producción normal
 Reprocesos
 Corridas especiales
10

 Pruebas y compilaciones de nuevos programas


Cuando sea aplicable deberá obtenerse el detalle a nivel de participación;
f) reportes de actividad por terminal
g) estadísticas de mantenimiento por cada unidad de equipo
h) estadísticas de entregas de reportes a usuarios con datos sobre calidad, oportunidad y
necesidades de reproceso por errores;
i) reportes de tiempo incurrido y grado de avance, comparados contra presupuestos, por los
diferentes proyectos de desarrollo de nuevas aplicaciones y mantenimiento de las
existentes;
j) estadísticas de ocupación de personal, mostrando tiempo productivo, de entrenamiento,
vocaciones, rotación.
Entrevistas
Se deberá:

a) planear las entrevistas necesarias para obtener información sobre la ejecución práctica de
los políticas y procedimientos estudiados en lo fase de familiarización.
b) utilizar cuestionarios que sirvan como guía para obtener información sobre el centro de
PED y las actividades que en él se realizan.
c) efectuar entrevistos con el personal que el auditor ' considere conveniente y que deberán
abarcar los siguientes grupos:
Examen de Documentación
Además de los documentos estudiados en las etapas de familiarización y análisis de la
información financiera y operativa, el auditor deberá examinar otra documentación, que puede
ser:
a) descripciones de puesto;
b) evaluaciones periódicas de la actuación del personal del centro de PED. (En relación a
este punto y el siguiente deben considerarse los aspectos que sean aplicables del Boletín
de Auditoría Operacional de la Administración de Recursos Humanos).
c) Programas de entretenimiento para el personal del centro de PED y los usuarios;
d) Estudios de viabilidad para adquisición y ampliación del equipo, compra de programas
paquete y desarrollo de nuevos sistemas. En relación a los estudios para la adquisición
11

ampliación de equipo y compra de programas paquete, el auditor únicamente deberá


examinar que la documentación sea adecuada y que los elementos de juicio, las
conclusiones y recomendaciones sean razonables.
e) Manuales de estándares de análisis, diseño y documentación de sistemas, de
programación y de operación;
f) Documentación de algunos sistemas importantes;
g) Registros de flujo de documentos y datos dentro del centro de PED;
h) Registros de datos erróneos con datos sobre su corrección y reincorporación al proceso;
i) Programas de uso de equipo
j) Bitácoras de uso del equipo (manuales o automatizadas);
k) Procedimientos de custodia, retención y reconstrucción de archivos y programas;
l) Planes de acción en caso de siniestros o fallas prolongadas del equipo.

Durante la ejecución de su revisión el auditor deberá tener presente aquellos aspectos que deben
existir en un centro de PED y cuya ausencia puede afectar la eficiencia de sus operaciones, con
objeto de evaluar la información obtenida en el desarrollo de los pasos anteriores y determinar la
existencia de posibles problemas.

3. Diagnóstico

Recapitulación de Hallazgos:

Una vez estudiada y finalizada la operación, se hará un resumen de los problemas y fallas

detectados, agrupados de acuerdo con el tipo de situación que afecten. Posteriormente deberán

visualizarse las posibles causas y efectos de los problemas detectados.

7. Discusión del borrador con los involucrados:

Debe discutirse con los involucrados el borrador del informe con el objeto de:

a) asegurarse que se trata de hallazgos reales, y


12

b) que los involucrados coincidan con su existencia, precisamente en la forma que describe en el

borrador.

Uno de los objetivos de esta discusión, es convencer a los involucrados con el fin de que hagan

frente común con el auditor al presentar el diagnóstico definitivo a la alta gerencia.

8. Informe Definitivo:

Se incluyen algunos ejemplos de hallazgos, y sus interpretaciones que podrían hacerse en el

curso de una Auditoria Operacional de centros de Procesos Electrónicos de Datos (PED) y servir

de base para la elaboración del informe final.

No se prepara un programa diario para la utilización del computador.

La utilización del computador no se lleva a cabo con base en un programa en el que se asignen

prioridades y tiempos estimados de proceso. En la práctica, el Jefe de Operación es quien decide

el orden de los procesos a efectuar conforme es informado por los operadores que un proceso ha

sido terminado.

No existen estándares para la documentación del desarrollo de sistemas y sus modificaciones.

Con el objeto de controlar y evaluar adecuadamente el esfuerzo humano invertido en los

proyectos, es necesario que se establezca una metodología formal para la administración de los

mismos.

Tiempos De Reproceso Excesivos

Las estadísticas de uso del computador, preparadas para la auditoría, indica que el tiempo

promedio utilizado en reprocesos durante los últimos seis meses, es aproximadamente un 38%

del tiempo total disponible. Las causas principales son el uso de archivos equivocados y la falta

de instrucciones de operación para algunos sistemas.


13

Debido al impacto que tiene el costo de los reprocesos en los gastos totales del centro de PED, es

conveniente reducirlos al mínimo posible. Para tal efecto, es necesario que se elaboren los

instructivos de operación faltantes y que se establezca un procedimiento para solicitar por escrito

a la biblioteca los archivos que serán usados en los procesos a efectuar diariamente.

Reportes No Utilizados

Durante entrevistas con varios usuarios se determinó que los siguientes reportes no son usados

para ningún propósito:

Nombre del reporte Periodicidad Usuario

Ventas por zona geográfica Mensual Depto. de Ventas

Materiales de importación Semanal Depto. de Producción

Relación de cobro Diario Depto. de Cobranzas

Cuentas por pagar vencidas Mensual Depto. de Contabilidad

Aunque estos reportes eran usados anteriormente, la información que contienen está incluida en

otros reportes generados por nuevos sistemas. El tiempo de proceso necesario para producir

dichos reportes representa un 4% del total mensual disponible.

Con objeto de eliminar el costo innecesario que representa la preparación de los reportes arriba

indicados, se sugiere que su elaboración sea suspendida.

Aun cuando la Comisión de Auditoría Operacional no es una comisión normativa en los términos

estatutarios, la gran responsabilidad que significa la Auditoría Operacional para la profesión, la

hacen recomendar el cabal cumplimiento de sus recomendaciones o bien de la urgente

unificación profesional sobre el tema, considerando que no deben dejarse de cumplir sin la

presencia de circunstancias que claramente obliguen a ello.


14

CASO PRÁCTICO DE UNA AUDITORÍA EFECTUADA AL CENTRO DE

PROCESAMIENTO ELECTRÓNICO DE DATOS DE UNA INSTITUCIÓN BANCARIA

Para dar a conocer la forma de efectuar una Auditoría Operacional al Centro de


Procesamiento Electrónico de Datos de una institución bancaria, a continuación,
se presentan los aspectos fundamentales que el auditor debe contemplar.

Antecedentes del caso práctico


El análisis efectuado se realizó en el Banco O c t a v o S e m e s t r e , S. A.
A continuación, se presentan los datos del Banco:

➢ Datos del Banco Guatemalteco de Finanzas, S. A.


El Banco Octavo Semestre, S. A. es un Banco privado que inició sus operaciones
en el año de 1975. Las oficinas centrales están ubicadas en la zona 10 de la
ciudad de Guatemala. La dirección del Banco está a cargo del Consejo de
Administración.

➢ Estructura organizativa del Banco


Para administrar adecuadamente un Centro de Procesamiento Electrónico de
Datos de una institución bancaria es necesario realizar la división del personal de

Jefe de
Procesamiento de
Datos
Sistema

15
Operador del
Programador
Computador Bibliotecario
la siguiente forma:
16

Aplicación del caso práctico


El caso práctico presentará la evaluación de los principales riesgos que afectan el
Centro de Procesamiento Electrónico de Datos, que contiene la computadora central
(mainframe) y el sistema principal de la entidad bancaria (software). Así mismo se
encuentran las impresoras de alto volumen, cableado de comunicaciones, las cintas
de uso diario y demás equipos y documentación que por sus características debe de
estar custodiadas para evitar accesos no autorizados.
Los objetivos de control interno a observar tienen la finalidad de asegurar que el
Centro de Procesamiento Electrónico de Datos cuente con un ambiente que resguarde
la información, los equipos y el personal que los administra.
La recopilación de información se realizará con entrevistas y observación. Las
técnicas a utilizar serán el examen, la inspección, la comparación, la revisión
documental y lista de chequeo (checklist). A continuación, se presenta la guía a utilizar
para realizar el caso práctico:
17

Guía del Caso Práctico

BANCO OCTAVO SEMESTRE,S.A. P.T- I FECHA


ÍNDICE DE PAPELES DE TRABAJO Hecho por: Grupo 2 20/10/2021
AL 30 DE SEPTIEMBRE DE 2021 Revisado por: C.H.H. 29/10/2021

Descripción No. De
Cédula
Carta de notificación de la iniciación de la Auditoría A
Nombramiento para el auditor que realizará la Auditoría A1
Programa de Auditoría para realizar revisión del control interno y A2
operaciones en el Centro de Procesamiento Electrónico de Datos

Procedimientos a utilizar en el desarrollo del trabajo.


Revisión del control interno
Revisión del control utilizado para el ingreso de personal externo al Centro A4
de Procesamiento Electrónico de Datos
Revisión de las claves utilizadas para el ingreso al Centro de Procesamiento A5
Electrónico de Datos
Revisión del control de egreso de equipos del Centro de A6
Procesamiento Electrónico de Datos
Revisión del inventario de equipos A7
Verificación selectiva del inventario de cintas de respaldo A8
Revisión de procesos
Revisión de la seguridad física de las instalaciones del Centro de A9
Procesamiento Electrónico de Datos
Revisión de los contratos de mantenimiento A10
Análisis de las pólizas de seguro A11
Verificación de la existencia y funcionalidad del plan de continuidad del A12
negocio
Matriz de riesgo operacional A13
Informe de Auditoría A14
18

Papeles de trabajo del caso práctico

BANCO OCTAVO SEMESTRE,S.A. P.T-A FECHA


Carta de Notificación Hecho por: Grupo 2 20/10/2021
al 30 de Septiembre de 2021 Revisado por: C.H.H. 29/10/2021

CARTA DE NOTIFICACIÓN DE LA REALIZACIÓN DE REVISIÓN DEL CONTROL


INTERNO Y OPERACIONES EN EL CENTRO DE PROCESAMIENTO ELECTRÓNICO DE
DATOS

Sr. Carlos Sanabria


Jefe de Procesamiento de Datos

Presente.

Sr. Sanabria:

Se le comunica que, conforme a plan de trabajo, se iniciará la revisión del control interno y
operaciones en el Centro de Procesamiento Electrónico de Datos. Para realizar esta actividad se ha
asignado al Sr. Juan Daniel Gutiérrez.

Del resultado de la evaluación se enviará informe, con los hallazgos y recomendaciones.

Agradecemos su acostumbrada colaboración.

Atentamente,

Carmen María fuentes


Auditora Interna

CC. Archivo
BANCO OCTAVO SEMESTRE,S.A. P.T-A 2 1/4 FECHA
Programa Auditoría Interna Hecho por: Grupo 2 20/10/2021
al 30 de Septiembre de 2021 Revisado por: C.H.H. 29/10/2021

PROGRAMA AUDITORÍA INTERNA PARA REALIZAR REVISIÓN DEL CONTROL


INTERNO Y OPERACIONES EN EL CENTRO DE PROCESAMIENTO ELECTRÓNICO DE
DATOS

I. INTRODUCCIÓN
El Centro de Procesamiento Electrónico de Datos deberá contar con un espacio dentro de sus
instalaciones, que reúna las condiciones mínimas de seguridad que protejan la información, los
equipos y al personal asignado a éste.

II. OBJETIVO
Verificar el cumplimiento de los controles internos y políticas establecidas, para salvaguardar la
información, los equipos y al personal del mismo.

III. ALCANCE
Los resultados serán referidos al 23 de octubre de 2021 s e incluirán los siguientes procedimientos:
 Entrevista con personal del Centro de Procesamiento Electrónico de Datos.
 Revisión de la documentación, para evaluar el cumplimiento de controles internos y
políticas establecidas.
 Revisión de las instalaciones para verificar la adecuada salvaguarda de los activos.

IV. PROCEDIMIENTO

Para la revisión del control interno y operaciones se revisará lo siguiente:

CONTROLINTERNO
 Revisión de control utilizado para el ingreso y egreso de equipos y personal
Se revisará la actualización de los formularios, con la siguiente información:
 Fecha y hora de ingreso y egreso.
 Nombre de la persona que ingresa y persona que la acompaña.
 Motivo del Ingreso.
 Constancia de Autorización para el ingreso de personal o egreso de equipos.

 Claves de acceso
Para el control del ingreso del personal se utilizan claves de acceso y una tarjeta electrónica, se
deberá verificar lo siguiente:
 Listado de usuarios habilitados para el ingreso al Centro de Procesamiento
Electrónico de Datos.
BANCO OCTAVO SEMESTRE,S.A. P.T-A 2 2/4 FECHA
Programa Auditoría Interna Hecho por: Grupo 2 20/10/2021
al 30 de Septiembre de 2021 Revisado por: C.H.H. 29/10/2021

 Fecha de habilitación.
 Nombre del usuario.
 Fecha que expira la clave.
 Fecha de último acceso.
 Funcionario que autorizó la clave.
 Estatus de la clave.
 Verificar que la clave administradora esté siendo custodiada en sobre lacrado en
bóveda de seguridad del Banco.

 Inventario de equipos
Se deberá solicitar el registro del inventario de equipos, verificando su existencia física, así como si
se está efectuando la amortización del valor de los mismos.

 Control de egreso de equipos


Se deberá verificar la existencia de un control para el egreso de equipos, que deberá contener
como mínimo los siguientes aspectos:

 Fecha del egreso.


 Nombre del equipo.
 Motivo del egreso.
 Nombre de la persona que recibe el equipo.
 No. de inventario.

 Inventario de cintas de respaldo


Para verificar la existencia física de las cintas de respaldo de información se solicitará el inventario de
cintas de respaldo. Así mismo se deberá verificar la periodicidad con que se realizan los back- up de
información, así como si se está efectuando las pruebas para comprobar su funcionalidad.

OPERACIONES Y PROCESOS
 Seguridad para la protección de los equipos
Para verificar que la adecuada protección de los equipos se deberá verificar la existencia de los
siguientes equipos:
 Cámaradevigilancia.Verificarelmediodealmacenamientodelasimágenes.
 Extintores de incendios. Comprobar que la carga no esté vencida.
 Aire acondicionado. Revisar cuando fue realizado el mantenimiento preventivo.
 Dispositivo para evitar inundaciones.
BANCO OCTAVO SEMESTRE,S.A. P.T-A 2 3/4 FECHA
Programa Auditoría Interna Hecho por: Grupo 2 20/10/2021
al 30 de Septiembre de 2021 Revisado por: C.H.H. 29/10/2021

 Alarmas detectoras de humo y temperatura. Verificar que se realicen las pruebas


periódicamente.
 Reguladores de voltaje y UPS.
 Software y hardware para el control de accesos al Centro de Procesamiento Electrónico
de Datos.
 Contratos de mantenimiento
El mantenimiento periódico a los equipos es necesario para mantenerlos en óptimas condiciones, se
deberá verificar el cumplimiento y actualización de estos contratos. Así mismo verificar la suficiencia
de los mismos.

 Pólizas de seguro
Para proteger los equipos se deben de contratar seguros que cubran el equipo y su instalación, así
mismo se deberá verificar la actualización de los nuevos equipos y la fecha de vencimiento.

 Plan de contingencia
Un plan de contingencia deberá contemplar todo el proceso crítico de la organización, para
restablecer sus operaciones y deberá ser eficaz y eficiente, los aspectos legales, el impacto en el
servicio del cliente.

Deberá verificarse la actualización de los procesos, misma que se deberá realizar por lo menos una
vez al año, las pruebas para verificar su funcionalidad y la distribución al personal responsable.

2. Informe

 Elaboración de informe
Se deberá preparar el informe de los hallazgos, indicando las recomendaciones que se considere
subsanarán las debilidades de control interno.

 Normativa
Circular normativa No.75-2015 “Control de accesos al Centro de Procesamiento Electrónico de Datos”.

 Cronograma
Para realizar esta revisión se asignan 5 días para la recolección de información, entrevistas y
elaboración del informe. La revisión deberá iniciarse el 19 de octubre de 2015 y se deberá entregar
informe el 30 de octubre, con el resultado del trabajo realizado.
BANCO OCTAVO SEMESTRE,S.A. P.T-A 2 4/4 FECHA
Programa Auditoría Interna Hecho por: Grupo 2 20/10/2021
al 30 de Septiembre de 2021 Revisado por: C.H.H. 29/10/2021

 Presentación de los resultados


Se deberá presentar los resultados del trabajo realizado al Auditora Interna. Previo a presentar este
informe se deberá de exponer los resultados al Jefe del Centro de Procesamiento Electrónico de
Datos, indicando las observaciones y recomendaciones que se considere ayudarán a fortalecer el
entorno de control interno, así mismo se deberá obtener el compromiso para la implementación de las
recomendaciones.
 Envío de informe
Luego de que se presenten los resultados se deberá enviar el informe dirigido al Jefe del Centro de
Procesamiento Electrónico de Datos. Se deberá copiar el informe a los siguientes puestos: Consejo
de Administración, gerente general, gerente de la división de Medios Informáticos y jefe del
departamento de Infraestructura Tecnológica.

Atentamente,

Carmen María Fuentes


Auditoría Interna
BANCO OCTAVO SEMESTRE,S.A. P.T-A-4 FECHA
Revisión de Control Utilizado Hecho por: Grupo 2 20/10/2021
al 30 de Septiembre de 2021 Revisado por: C.H.H. 29/10/2021

REVISIÓN DEL CONTROL UTILIZADO PARA EL INGRESO DE PERSONAL EXTERNO AL


CENTRO DE PROCESAMIENTO ELECTRÓNICO DE DATOS

Conforme plan de trabajo se procedió a verificar el control utilizado para el ingreso de personal
externo a las instalaciones del Centro de Procesamiento Electrónico de Datos. La utilización de este
control está establecida en circular normativa No. Informática 75-2021. Los resultados se presentan a
continuación.

Fecha Nombre de la Persona Motivo del Ingreso Nombre de la Hora Hora Marca de
que Ingresa persona que Ingreso Egreso Auditoría
acompaña
Revisión problemas en ❒
01-10-21 Vinicio Paz 1/
equipoAS-400
Revisión en servidor de
05-10-21 Jorge Brolo 1/ Reportes ✓

08-10-21 Juan Daniel Guitzol Revisión Servidor Ag.25 Víctor Pérez 9:55 10:56 ❒
Revisión Impresora ❒
09-10-21 María Luisa Rosales Víctor Pérez 14:25 17:05
Multifuncional
Revisión problemas en
10-10-21 Hugo Suchini 1/ servidor de Contabilidad ✓
10-10-21 Paola Madrid Auditoría Víctor Pérez 08:30 12:30 ❒
Revisión Problemas Servidor ❒
12-10-21 Mattew Pineda Víctor Pérez 15:35 16:45
Banca por Internet
Revisión de problemas en ❒
17-10-21 Ana Lorena Medina servidor de Contabilidad Víctor Pérez 08:30 11:45
29-10-21 Hugo Suchini 1/ Revisión servidor de reportes ✓

Índice de referencias

1/ Personal del departamento de Sistemas que no presentaron autorización para el ingreso al Centro
de Procesamiento Electrónico de Datos.

Conclusión y recomendación.

Los resultados obtenidos en la presente revisión se consideran aceptables, sin embargo, como se
comentó en la referencia No. 1, el personal del departamento de sistemas debe de presentar
autorización para el ingreso al Centro de Procesamiento Electrónico de Datos. Así mismo es
importante que se documenten las soluciones implementadas, para la corrección de los problemas,
para tener estadísticas sobre la recurrencia de problemas.

Juan Daniel Gutiérrez Vo. Bo. Carmen María Fuentes


Auditor Asistente Auditora Interna
BANCO OCTAVO SEMESTRE,S.A. P.T-A-5 FECHA
Revisión de las Claves Hecho por: Grupo 2 20/10/2021
al 30 de Septiembre de 2021 Revisado por: C.H.H. 29/10/2021

REVISIÓN DE LAS CLAVES UTILIZADAS PARA EL ACCESO AL CENTRO DE PROCESAMIENTO


ELECTRÓNICO DE DATOS

Conforme plan de trabajo se procedió a verificar las claves de acceso utilizadas por personal para el
ingreso a las instalaciones del Centro de Procesamiento Electrónico de Datos. La asignación y
custodia de claves de acceso está establecida en circular normativa No. Informática 80-2021. Los
resultados se presentan a continuación.

Fecha de Nombre de la Persona Fecha que Fecha de último Funcionario que Estatus de la Marca de
habilitación que tiene clave expira la acceso autorizó clave Auditoría
clave
01-01-21 Administrador 1/ Indefinida 01-06-21 N/A Activa ❒
01-01-21 Víctor Pérez 31-12-21 02-02-21 Maynor Ramos Activa ❒
06-02-21 Wendy Rivera 30-06-23 23-04-21 Maynor Ramos Activa ❒
07-06-21 María Luisa Rosales 30-06-23 10-09-21 Maynor Ramos Activa
10-10-21 Juan Carlos Gómez 2/ 31-12-23 19-10-21 Maynor Ramos Activa ❒

Nota:

1/ Se observó que la contraseña administradora no está siendo custodiado en un sobre lacrado en


bóveda de seguridad del Banco.
2 / La clave corresponde a ex-empleado, misma que no se ha dado de baja del sistema.

Conclusión y recomendación.
Se considera importante que la clave de administrador, que es la clave con mayores privilegios, sea
custodiada en un sobre lacrado en la bóveda del Banco, actualmente únicamente el Sr. Pérez tiene
acceso a la misma. Así mismo al momento de que un colaborador termine su relación laboral con el
Banco, deberá de darse de baja al sistema, minimizando de esta forma la posibilidad de accesos no
autorizados.

Juan Daniel Gutiérrez Vo. Bo. Carmen María Fuentes


Auditor Asistente Auditora Interna
BANCO OCTAVO SEMESTRE,S.A. P.T-A-6 FECHA
Revisión Control Egresos Equipo Hecho por: Grupo 2 20/10/2021
al 30 de Septiembre de 2021 Revisado por: C.H.H. 29/10/2021

REVISIÓN DEL CONTROL DE EGRESO DE EQUIPOS DEL CENTRO DE


PROCESAMIENTO ELECTRÓNICO DE DATOS

Conforme plan de trabajo se procedió a verificar el control utilizado para el egreso de personal
externo, a las instalaciones del Centro de Procesamiento Electrónico de Datos. El control para el
egreso de equipos está establecido en circular normativa No. Informática 85-2021. Los resultados se
presentan a continuación.

Nombre de la No. De Inventario Marca de


Fecha Nombre del Equipo Motivo del Egreso persona que recibe Auditoría

02-10-2021 Cámara de vigilancia Reparación del monitor Juan Zepeda PED-20 ®


06-10-2021 Servidor de Compensación Cambio de memoria Hugo López PED-254 ®
06-10-2021 Servidor de Compensación Cambio de memoria y disco Manuel Poz PED-254
duro ®
08-10-2021 Servidor de Bitácoras Cambio de fuente de poder Juan Zepeda PED-258 ®
23-10-2021 Servidor de Internet y Correo Cambio de disco duro Manuel Poz PED-261
Electrónico ®

Nota:

En todos los casos no se observó la fecha de reingreso del equipo, ni el diagnóstico final de la
reparación.

Conclusión y recomendación.

Se recomienda que se agregue una casilla al control de egreso de equipos, para que se lleve el
registro de cuando ingresan los equipos, así mismo que se adjunte la boleta que indica cuál fue el
motivo que originó el envió a reparación.

Juan Daniel Gutiérrez Vo. Bo. Carmen María Fuentes


Auditor Asistente Auditora Interna
BANCO OCTAVO SEMESTRE,S.A. P.T-A-7 FECHA
Inventario de Equipo de Computo Hecho por: Grupo 2 20/10/2021
al 30 de Septiembre de 2021 Revisado por: C.H.H. 29/10/2021

INVENTARIO DE EQUIPOS DE CÓMPUTO UBICADOS EN EL CENTRO DE


PROCESAMIENTO ELECTRÓNICO DE DATOS

Conforme plan de trabajo se procedió a verificar el inventario de equipos ubicados en el Centro de


Procesamiento Electrónico de Datos. Este inventario fue realizado comparando los registros en libros
según la conciliación de saldos de la cuenta 110101.02 Mobiliario y Equipo. Los resultados se
presentan a continuación.
Fecha Ingreso Nombre del Equipo Encargado del Observaciones Marca de
Equipo Auditoría
01-01-2018 Computador central AS-4001/ Víctor Pérez No. InventarioPED-1 ©
01-01-2019 Computador centralAS-400 Víctor Pérez No. InventarioPED-250 ©
01-01-2019 Firewall Víctor Pérez No. InventarioPED-251 ©
01-01-2019 IPS (equipo de prevención de intrusos) Víctor Pérez No. InventarioPED-252
©
01-01-2019 Servidor de Red Víctor Pérez No. InventarioPED-253 ©
01-01-2019 Servidor de Compensación Víctor Pérez No. InventarioPED-254 ©
01-01-2019 Servidor de Contabilidad Víctor Pérez No. InventarioPED-255 ©
01-01-2019 Cintoteca Víctor Pérez No. InventarioPED-256 ©
01-01-2019 Servidor de Respaldo Víctor Pérez No. InventarioPED-257 ©
01-02-2019 Servidor de Bitácoras Víctor Pérez No. InventarioPED-258 ©
Servidor de Reportes e Históricos Víctor Pérez No. InventarioPED-259
01-04-2019 ©
01-04-2016 Servidor de Cajeros Automáticos Víctor Pérez No. InventarioPED-260
©
01-05-2019 Servidor de Internet y Correo Electrónico Víctor Pérez No. InventarioPED-261
©
06-06-2019 Impresora multifuncional Canon Víctor Pérez No. InventarioPED-500 ©
31-12-2020 Servidor de Banca por Internet Víctor Pérez No. InventarioPED-262 ©
S/F Servidor Marca IBM Serie 52- 251500 2/
©

ÍNDICE DEREFERENCIA
1/ Este computador central fue sustituido el 01-01-2013, ya fue dado de baja en libros, sin embargo
no se ha trasladado del Centro PED.
2/ Este servidor corresponde a equipo de prueba perteneciente a la empresa GBM de Guatemala.
Este equipo está descontinuado, esta empresa no lo ha reclamado.
Conclusión y recomendación.
Se determinó que no se realizan inventarios, para verificar la existencia física de los equipos. Se
recomienda trasladar los equipos descritos en la referencia 1 y 2 para dar más espacio en el Centro de
Procesamiento Electrónico de Datos.

Juan Daniel Gutiérrez Vo. Bo. Carmen María fuentes


Auditor Asistente Auditora Interna
BANCO OCTAVO SEMESTRE,S.A. P.T-A-8 FECHA
Verificación del Inventario Hecho por: Grupo 2 20/10/2021
al 30 de Septiembre de 2021 Revisado por: C.H.H. 29/10/2021

VERIFICACIÓN DEL INVENTARIO


DE CINTAS DE RESPALDO (REVISIÓN SELECTIVA)
Conforme plan de trabajo se procedió a verificar el inventario de cintas de respaldo de información
ubicadas en las instalaciones del Centro de Procesamiento Electrónico de Datos. El control de las
cintas de respaldo está establecido en circular normativa No. Informática 95 2021. Los resultados
se presentan a continuación.

Fecha Nombre de la persona que Fecha de verificación Nombre de quien Marca de


Proceso de Información Almacenada realizó la copia de la funcionalidad revise auditoría
cinta
Archivo maestro de
01-10-20 operaciones realizadas en Sebastián Pérez No se ha realizado Wendy Guzmán ✓
agencia No.5
Archivo maestro de Clientes
07-01-21 al30-11-15 Martin Foster Gómez 08-01-2021 Marvin Poz Φ
Archivo maestro de tarjetas de
23-12-20 crédito al22-12-2015 Sebastián Pérez 24-12-2020 Wendy Guzmán Φ
Archivo maestro de saldos
07-01-21 al06-01-2016 Martin Foster Gómez 08-01-2021 Marvin Poz Φ
Archivo maestro de
10-01-21 operaciones realizadas en Axel Rivera 14-01-2021 Wendy Guzmán Φ
agencia No.5

Conclusión y recomendación.
Según revisión a la circular normativa No. Informática-95-2021, se comprobó que en el mismo no
se incluye la periodicidad con la que se deberá comprobar la utilidad de las cintas de respaldo.
Únicamente se comprueban cuando se necesita restaurar un proceso. Por lo anterior es necesario
que se incluya esta verificación en el proceso de back-up de información.

Juan Daniel Gutiérrez Vo. Bo. Carmen María Fuentes


Auditor Asistente Auditora Interna
BANCO OCTAVO SEMESTRE,S.A. P.T-A-9 FECHA
Revisión Seguridad Física Hecho por: Grupo 2 20/10/2021
al 30 de Septiembre de 2021 Revisado por: C.H.H. 29/10/2021

REVISIÓN DE LA SEGURIDAD FÍSICA DE LAS INSTALACIONES DEL CENTRO DE


PROCESAMIENTO ELECTRÓNICO DE DATOS

Conforme plan de trabajo se procedió a verificar los equipos utilizados para proporcionar la seguridad
física, a las instalaciones del Centro de Procesamiento Electrónico de Datos, los resultados se
presentan a continuación.

Fecha de
revisión Nombre del equipo Observaciones Marca de auditoría
por parte del
proveedor
Existen 3 cámaras distribuidas de la siguiente
Cámara de vigilancia manera: al ingreso del Centro PED, monitoreando al
30-09-2020
operador de turno y el ingreso a la Cintoteca. β
Software y hardware de cámara de Este software tiene almacenado el monitoreo diario,
30-09-2020 vigilancia realizado por las cámaras de vigilancia β
Extintores de Incendios 1/ Se observó la existencia de 4 extintores distribuidos
25-10-2019 adecuadamente. β
Aire Acondicionado El aire acondicionado funciona adecuadamente.
31-12-2020 β
Los equipos están instalados a 25 centímetros del
suelo y se cuenta con un dispositivo que absorbe a
02-01-2021 Dispositivo para evitar inundaciones
su interior el agua proveniente de inundaciones. β
Alarmas detectoras de humo. 1/ Se cuenta con 2 alarmas detectoras de humo
03-01-2020 distribuidas adecuadamente. β
Para mantener la temperatura en 17 grados
Alarmas detectoras de temperatura y centígrados y prevenir daños ocasionados por
10-01-2021
humedad se cuenta con 2 alarmas detectoras. β
humedad
Los equipos están protegidos con un regulador de
voltaje así como un UPS capaz de mantener el
20-05-2021 Reguladores de voltaje y UPS
servicio por 5 horas. β
Se comprobó que para el ingreso al Centro PED, es
necesario utilizar tarjeta y un código personalizado,
el registro de estos ingresos es registrado
Software y hardware control ingreso al automáticamente y se puede consultar de manera β
18-09-2021 Centro PED cronológica.

ÍNDICE DE REFERENCIA
1/ Según especificaciones del fabricante la carga de los extintores de incendios y las alarmas
detectoras de humo, deberán de ser revisados una vez al año.
Conclusión y recomendación.
Se recomienda establecer un procedimiento escrito, en el cual se contemple la periodicidad necesaria
para el mantenimiento de los equipos, según las especificaciones de los proveedores y/o lo
establecido en los contratos de mantenimiento.

Juan Daniel Gutiérrez Vo. Bo. Carmen María Fuentes


Auditor Asistente Auditora Interna
BANCO OCTAVO SEMESTRE,S.A. P.T-A-10 FECHA
Verificación del Plan de Continuidad Hecho por: Grupo 2 20/10/2021
al 30 de Septiembre de 2021 Revisado por: C.H.H. 29/10/2021

VERIFICACIÓN DEL PLAN DE CONTINUIDAD DEL NEGOCIO (PCN)


Conforme plan de trabajo se procedió a verificar el plan de continuidad del negocio, los resultados se
presentan a continuación.

No. Proceso Observaciones Marca de Auditoría

1 Copia del vigente plan de continuidad del negocio. La copia obtenida fue actualizada el20-12-2021 ❒
Se obtuvieron 2 copias que fueron distribuidas al
2 Muestra de copias distribuidas de lPCN. personal involucrado en el PCN y se observó que no
fueron copiadas del original actualizado el 20-12- ≠
2021..
Se determinó que se identificaron los procesos críticos
3 Inventario de actividades y procesos críticos. y fueron incluidos en matriz diseñada para el efecto, ¥
misma que está adjunta al PCN
Listado de Proveedores y Clientes a informar con
4 relación a la contingencia. Actualizado. ≠
Determinación de prioridades en cuanto a la Se observó que se ordenaron las actividades y se
5
restauración de operaciones. asignó prioridad. ≠
Existe sitio alterno, por una interface se realiza
6 Sitio alterno para el procesamiento de información automáticamente la réplica de todas las operaciones ≠
del sistema principal.
Según listado, se constataron los números telefónicos
Personal encargado de ejecutar el PCN del personal encargado de ejecutar el plan. £
7
Selectivamente se seleccionó al personal observando
8 Conocimientos del personal de lPCN que cuentan con conocimientos suficientes para ≠
ejecutar el PCN.
En la revisión del PCN se comprobó que debe de ser
actualizado por lo menos dos veces al año y deberá
consignarse las fechas de actualización, se ≠
9 Actualización del PCN
observaron estas actualizaciones los últimos dos años.

Para verificar la funcionalidad del PCN está establecido


que se realice una prueba al año, anotando la fecha y
10 resultados de ésta. En la presente revisión se ✓
Pruebas a lPCN observó que el año 2020 no se
realizó esta actividad.

Conclusión y Recomendación.
Para garantizar la funcionalidad del plan de continuidad del negocio, es importante que cuando se
actualice el plan, deberán de distribuirse las copias al personal involucrado. Así mismo deberá de
realizarse pruebas para verificar la oportunidad de los procesos contenidos en este plan y
documentar los resultados.

Juan Daniel Gutiérrez Vo. Bo. Carmen María Fuentes


Auditor Asistente Auditora Interna
BANCO OCTAVO SEMESTRE,S.A. P.T-A-11 FECHA
Matriz de Riesgo Operacional Hecho por: Grupo 2 20/10/2021
al 30 de Septiembre de 2021 Revisado por: C.H.H. 29/10/2021

MATRIZ DE RIESGO OPERACIONAL


Para representar el nivel de riesgo de cada aspecto evaluado en la presente auditoría e impacto en
las operaciones del Banco, a continuación, se presenta una matriz de impacto en la cual se utilizaron
colores para representar niveles de riesgo de la siguiente forma: verde (sin riesgo), amarillo (riesgo
medio) y rojo (alto riesgo).

Área de control Controles Activos de Dependencia de Dependencia de Fiabilidad de


información activos personal interno Sistemas

Control de acceso físico


Amarillo Verde Amarillo Verde
Back-up de información Amarillo
Amarillo Verde Amarillo
Inventario de equipos
Continuidad de Amarillo Amarillo Verde Verde
Contratos de mantenimiento y
sistemas
seguros Amarillo Rojo Verde Verde
Plan de continuidad de
negocios Verde Rojo Verde Amarillo

Resultado de la evaluación
Riesgo medio Riesgo alto Riesgo leve Riesgo Medio

La combinación de un riesgo alto con un riesgo medio incrementa la posibilidad de la materialización de


una contingencia de importancia. Derivado de esta premisa se considera la siguiente categorización de
riesgo:

Categorización de Riesgo
1. Aspecto calificado con color amarillo y ningún aspecto ponderado en color rojo = riesgo leve.
2.Aspectos calificados con color amarillo y ningún aspecto ponderado en color rojo = riesgo
medio.
3. Aspectos calificados con color amarillo y un aspecto ponderado en color rojo = riesgo alto.
Conclusión
Los resultados obtenidos indican que el riego de continuidad de sistemas está siendo afectado por la
falta de pruebas al plan de continuidad del negocio y la falta de renovación al contrato de
mantenimiento del aire acondicionado y al seguro de responsabilidad civil.
3. Informe de la revisión del control interno y operaciones

BANCO OCTAVO SEMESTRE,S.A. P.T-A 12 1/3 FECHA


Informe de Auditoría Hecho por: Grupo 2 20/10/2021
al 30 de Septiembre de 2021 Revisado por: C.H.H. 29/10/2021

Para: Jefe del Centro de Procesamiento Electrónico de Datos


De: Auditoría Interna
Asunto Revisión de la seguridad física de las instalaciones del Centro de
Procesamiento Electrónico de Datos.
Fecha: 30 de octubre de 2021

Como parte del programa de trabajo anual del departamento de Auditoría Interna, adjunto encontrará
informe de la revisión efectuada a los controles existentes para salvaguardar la seguridad física del
Centro de Procesamiento Electrónico de Datos.

4. Resultados del caso práctico

CONCLUSIONES DEL CASO PRÁCTICO


Derivado de la revisión de los procedimientos y normativa interna y tomando en consideración la
matriz de impacto de riesgos detectados, se obtuvieron las siguientes conclusiones:

1. Riesgo leve
 Se observaron dos equipos obsoletos ubicados en el Centro de Procesamiento Electrónico
de Datos, que ocupan espacio físico.
 No se cuenta con un control de las reparaciones efectuadas a equipos, así como de la
fecha en que fueron devueltos al Centro de Procesamiento Electrónico de Datos.
BANCO OCTAVO SEMESTRE,S.A. P.T-A 12 2/3 FECHA
Informe de Auditoría Hecho por: Grupo 2 20/10/2021
al 30 de Septiembre de 2021 Revisado por: C.H.H. 29/10/2021

2. Riesgo medio

 Se establecieron accesos no autorizados de analistas programadores del sistema al Centro


de Procesamiento Electrónico de Datos, por incumplimiento de normativa interna.
 Se observó una clave de acceso al Centro de Procesamiento Electrónico de Datos
habilitada perteneciente a ex empleado del Banco.
 Se determinó falta de custodia de clave Administrador de software de control de acceso al
Centro de Procesamiento Electrónico de Datos.
 Se comprobó falta de pruebas para verificar la funcionalidad de las cintas de respaldo de
información.

3. Riesgo alto

 Se observó que el contrato se mantenimiento del aire acondicionado y el de seguro de


responsabilidad civil están vencidos, por ausencia de un control en la fecha de
vencimiento.
 Se determinó que las copias del Plan de Continuidad del Negocio vigentes no fueron
distribuidas al personal responsable de implementarlo, así como ausencia de pruebas para
verificar la funcionalidad del Plan.

RECOMENDACIONES DEL CASO PRÁCTICO

1. Es conveniente realizar inventarios periódicos a efecto de verificar la existencia física de


los equipos en el Centro de Procesamiento Electrónico de Datos. Así mismo trasladar los
equipos que no figuran en libros del Banco a donde corresponda.

2. Se sugiere implementar un control para dejar constancia la fecha de ingreso de los


equipos en caso de reparaciones, así como el diagnóstico por el cual se originó el egreso
del Centro de Procesamiento Electrónico de Datos.

3. Se recomienda fortalecer los controles a efecto de cumplir lo establecido en la normativa


interna, referente a los ingresos de personal externo, depuración de claves de acceso de
ex colaboradores y custodia de clave Administrador del Software para el control de
acceso al Centro de Procesamiento Electrónico de Datos.
BANCO OCTAVO SEMESTRE,S.A. P.T-A 12 3/3 FECHA
Informe de Auditoría Hecho por: Grupo 2 20/10/2021
al 30 de Septiembre de 2021 Revisado por: C.H.H. 29/10/2021

4. Se recomienda establecer por escrito la periodicidad con la que se deberán


realizar las pruebas a las cintas de respaldo de información, para verificar
su funcionalidad.

5. Es oportuno contar con un control de la fecha de vencimiento de los


contratos de mantenimiento, las cuotas y los derechos y obligaciones
contraídos.

6. Se considera necesario que al realizar la actualización del Plan de


Continuidad del Negocio, se asegure distribuir las copias del Plan
actualizado al personal involucrado, así como dejar por escrito la
periodicidad de las pruebas a este Plan y documentar los resultados para
analizarlos.

Carmen María Fuentes Auditora Interna

JPME/jdg
cc Gerente General
CONCLUSIÓN

Esto origino que la información producida por los centros de PED sea un elemento de suma
importancia para la toma de decisiones en las empresas y para el control adecuado de muchas de
sus operaciones. Normalmente, los recursos económicos destinados a la actividad de PED
représenla cantidades importantes, lo cual hace indispensable que el rendimiento obtenido sobre
dicha inversión debe ser satisfactorio, o sea, qué el aprovechamiento de la capacidad instalada en
PED (personal y equipo) debe ser el máximo posible.
BIBLIOGRAFÍA

LIBRO DE AUDITORÍA OPERACIONAL

Autor Víctor Manuel Sipac

Instituto Mexicano de Contadores Públicos

Comisión de Auditoría Operacional

Junio 2006

 www.biblioteca.usac.edu.gt

 www.monografias.com/.../boletines-auditoria-operacional/
CUESTIONARIO

1.- Cuáles son las características del Boletín 7?


2.- Cuales son los dos alcances de este boletín?

3.- Cuáles son los propósitos de este boletín?


4.- Dígame que actividades abarca en el centro de PED?
5.- Cuál es el objetivo de la auditoría operacional en los centros de PED?
6.- Cuál es la metodología que utiliza este boletín?
7.- Al visitar las instalaciones que lugares se deben visitar también?
8.- Qué otra documentación deberá examinar el auditor?
9.- Qué hace el diagnostico en la auditoria operacional en el centro de PED?
10.- Cuál es el objeto de discutir el borrado con los involucrados?

También podría gustarte