Boletín No. 7 Grupo No.2
Boletín No. 7 Grupo No.2
Boletín No. 7 Grupo No.2
ESCUELA DE AUDITORÍA
GRUPO NO. 2
BOLETÍN NO. 7
SI NO
ÍNDICE
Carátula ……………………………………………………………………………………. 1
Índice ……………………………………………………………………………………….. 2
Introducción…………………………………………………………………………………. 3
“Boletín 7” ……………………………………………………………………………………4
Características …………………………..……………………………………………………4
Propósito …………………………………………………………………………………… 5
Familiarización ……………………………………………………………………………… 7
Diagnostico…………………………………………………………………………………... 11
Conclusión ……………………………………………………………………………………34
Bibliografía …………………………………………………………………………………. 35
Preguntas …………………………………………………………………………………… 36
3
INTRODUCCIÓN
Por otro lado, las empresas que utilizan el PED, debido o las ventajas que ofrece, como son,
principalmente, velocidad, exactitud, oportunidad y manejo eficiente de grandes volúmenes de
datos, tienden o incorporar el mayor número de sistemas al PED en las áreas susceptibles de
automatizarse.
A diferencia de la mayoría de las operaciones que normalmente existen en una empresa, el PED
tiene algunas características especiales que no se presentan en las demás operaciones. Estas
características motivan que la Auditoría Operacional del PED incluya aspectos especiales en la
ejecución y el enfoque de algunos procedimientos.
4
Características
b) Todas las funciones realizadas dentro del centro de PED y que son necesaria para su
operación.
automatización.
misma empresa.
Un Centro de PED es la unidad organizacional dentro de una empresa donde procesan datos
computadores.
4. La custodia y control de los archivos y programas grabados en un medio legible por El equipo
5. La condición de los datos incluidos en los reportes con la formación de los documentos fuente,
especificaciones técnicas.
documentación respectiva.
Conceptos y alcance:
ejercer control de las operaciones de una empresa. Y segundo se desarrollan los sistemas o la
parte de los sistemas en que se desea utilizar el equipo de PED como una herramienta de
proceso.
Metodología:
8
El método para auditar la operación de los centros de PED que a continuación se describe, está
organizado de conformidad a la estructura de la metodología señalada en el boletín no. 2.
1.- Familiarización:
Cuáles son las principales áreas que reciben servicios del centro
Cuales sistemas están automatizados y en qué grado y cuales sistemas importantes,
susceptibles de automatizarse.
b) Los controles y aparatos para conservar la temperatura y el grado de humedad dentro de los
límites especificados por el proveedor del equipo de cómputo, dentro del área en que se
encuentro éste instalado;
d) El orden y limpieza del equipo y accesorios (discos, cintas, tarjetas disquetes, etc.,) y de la
documentación;
2. Investigación y análisis
El auditor deberá obtener y analizar objetivamente la información, la cual por la naturaleza de las
actividades de los centros de PED, es principalmente operativa. En caso que la información
solicitada no se prepare como parte de las actividades normales del centro de PED, el auditor
debe evaluar el esfuerzo requerido y la disponibilidad de datos para que se le proporcione y
solicitar su preparación cuando lo considere justificable; independientemente, en la mayoría de
los cosos, la falta de este tipo de información normalmente representa ausencia de elementos de
evolución y control de las actividades del centro de PED:
a) Presupuesto de gastos del centro de PED comparado contra los gastos reales;
b) estadísticas de tiempo extra trabajado y los rozones que lo motivaron;
c) reportes de recepción de documentos fuente que incluyan información sobre lo
documentación recibida después de los fechas y horas programados;
d) estadísticas sobre la captura de datos fuente (número de golpes por hora y errores por
operador);
e) estadísticas de uso de la unidad central de proceso y del equipo periférico que muestren:
Producción normal
Reprocesos
Corridas especiales
10
a) planear las entrevistas necesarias para obtener información sobre la ejecución práctica de
los políticas y procedimientos estudiados en lo fase de familiarización.
b) utilizar cuestionarios que sirvan como guía para obtener información sobre el centro de
PED y las actividades que en él se realizan.
c) efectuar entrevistos con el personal que el auditor ' considere conveniente y que deberán
abarcar los siguientes grupos:
Examen de Documentación
Además de los documentos estudiados en las etapas de familiarización y análisis de la
información financiera y operativa, el auditor deberá examinar otra documentación, que puede
ser:
a) descripciones de puesto;
b) evaluaciones periódicas de la actuación del personal del centro de PED. (En relación a
este punto y el siguiente deben considerarse los aspectos que sean aplicables del Boletín
de Auditoría Operacional de la Administración de Recursos Humanos).
c) Programas de entretenimiento para el personal del centro de PED y los usuarios;
d) Estudios de viabilidad para adquisición y ampliación del equipo, compra de programas
paquete y desarrollo de nuevos sistemas. En relación a los estudios para la adquisición
11
Durante la ejecución de su revisión el auditor deberá tener presente aquellos aspectos que deben
existir en un centro de PED y cuya ausencia puede afectar la eficiencia de sus operaciones, con
objeto de evaluar la información obtenida en el desarrollo de los pasos anteriores y determinar la
existencia de posibles problemas.
3. Diagnóstico
Recapitulación de Hallazgos:
Una vez estudiada y finalizada la operación, se hará un resumen de los problemas y fallas
detectados, agrupados de acuerdo con el tipo de situación que afecten. Posteriormente deberán
Debe discutirse con los involucrados el borrador del informe con el objeto de:
b) que los involucrados coincidan con su existencia, precisamente en la forma que describe en el
borrador.
Uno de los objetivos de esta discusión, es convencer a los involucrados con el fin de que hagan
8. Informe Definitivo:
curso de una Auditoria Operacional de centros de Procesos Electrónicos de Datos (PED) y servir
La utilización del computador no se lleva a cabo con base en un programa en el que se asignen
el orden de los procesos a efectuar conforme es informado por los operadores que un proceso ha
sido terminado.
proyectos, es necesario que se establezca una metodología formal para la administración de los
mismos.
Las estadísticas de uso del computador, preparadas para la auditoría, indica que el tiempo
promedio utilizado en reprocesos durante los últimos seis meses, es aproximadamente un 38%
del tiempo total disponible. Las causas principales son el uso de archivos equivocados y la falta
Debido al impacto que tiene el costo de los reprocesos en los gastos totales del centro de PED, es
conveniente reducirlos al mínimo posible. Para tal efecto, es necesario que se elaboren los
instructivos de operación faltantes y que se establezca un procedimiento para solicitar por escrito
a la biblioteca los archivos que serán usados en los procesos a efectuar diariamente.
Reportes No Utilizados
Durante entrevistas con varios usuarios se determinó que los siguientes reportes no son usados
Aunque estos reportes eran usados anteriormente, la información que contienen está incluida en
otros reportes generados por nuevos sistemas. El tiempo de proceso necesario para producir
Con objeto de eliminar el costo innecesario que representa la preparación de los reportes arriba
Aun cuando la Comisión de Auditoría Operacional no es una comisión normativa en los términos
unificación profesional sobre el tema, considerando que no deben dejarse de cumplir sin la
Jefe de
Procesamiento de
Datos
Sistema
15
Operador del
Programador
Computador Bibliotecario
la siguiente forma:
16
Descripción No. De
Cédula
Carta de notificación de la iniciación de la Auditoría A
Nombramiento para el auditor que realizará la Auditoría A1
Programa de Auditoría para realizar revisión del control interno y A2
operaciones en el Centro de Procesamiento Electrónico de Datos
Presente.
Sr. Sanabria:
Se le comunica que, conforme a plan de trabajo, se iniciará la revisión del control interno y
operaciones en el Centro de Procesamiento Electrónico de Datos. Para realizar esta actividad se ha
asignado al Sr. Juan Daniel Gutiérrez.
Atentamente,
CC. Archivo
BANCO OCTAVO SEMESTRE,S.A. P.T-A 2 1/4 FECHA
Programa Auditoría Interna Hecho por: Grupo 2 20/10/2021
al 30 de Septiembre de 2021 Revisado por: C.H.H. 29/10/2021
I. INTRODUCCIÓN
El Centro de Procesamiento Electrónico de Datos deberá contar con un espacio dentro de sus
instalaciones, que reúna las condiciones mínimas de seguridad que protejan la información, los
equipos y al personal asignado a éste.
II. OBJETIVO
Verificar el cumplimiento de los controles internos y políticas establecidas, para salvaguardar la
información, los equipos y al personal del mismo.
III. ALCANCE
Los resultados serán referidos al 23 de octubre de 2021 s e incluirán los siguientes procedimientos:
Entrevista con personal del Centro de Procesamiento Electrónico de Datos.
Revisión de la documentación, para evaluar el cumplimiento de controles internos y
políticas establecidas.
Revisión de las instalaciones para verificar la adecuada salvaguarda de los activos.
IV. PROCEDIMIENTO
CONTROLINTERNO
Revisión de control utilizado para el ingreso y egreso de equipos y personal
Se revisará la actualización de los formularios, con la siguiente información:
Fecha y hora de ingreso y egreso.
Nombre de la persona que ingresa y persona que la acompaña.
Motivo del Ingreso.
Constancia de Autorización para el ingreso de personal o egreso de equipos.
Claves de acceso
Para el control del ingreso del personal se utilizan claves de acceso y una tarjeta electrónica, se
deberá verificar lo siguiente:
Listado de usuarios habilitados para el ingreso al Centro de Procesamiento
Electrónico de Datos.
BANCO OCTAVO SEMESTRE,S.A. P.T-A 2 2/4 FECHA
Programa Auditoría Interna Hecho por: Grupo 2 20/10/2021
al 30 de Septiembre de 2021 Revisado por: C.H.H. 29/10/2021
Fecha de habilitación.
Nombre del usuario.
Fecha que expira la clave.
Fecha de último acceso.
Funcionario que autorizó la clave.
Estatus de la clave.
Verificar que la clave administradora esté siendo custodiada en sobre lacrado en
bóveda de seguridad del Banco.
Inventario de equipos
Se deberá solicitar el registro del inventario de equipos, verificando su existencia física, así como si
se está efectuando la amortización del valor de los mismos.
OPERACIONES Y PROCESOS
Seguridad para la protección de los equipos
Para verificar que la adecuada protección de los equipos se deberá verificar la existencia de los
siguientes equipos:
Cámaradevigilancia.Verificarelmediodealmacenamientodelasimágenes.
Extintores de incendios. Comprobar que la carga no esté vencida.
Aire acondicionado. Revisar cuando fue realizado el mantenimiento preventivo.
Dispositivo para evitar inundaciones.
BANCO OCTAVO SEMESTRE,S.A. P.T-A 2 3/4 FECHA
Programa Auditoría Interna Hecho por: Grupo 2 20/10/2021
al 30 de Septiembre de 2021 Revisado por: C.H.H. 29/10/2021
Pólizas de seguro
Para proteger los equipos se deben de contratar seguros que cubran el equipo y su instalación, así
mismo se deberá verificar la actualización de los nuevos equipos y la fecha de vencimiento.
Plan de contingencia
Un plan de contingencia deberá contemplar todo el proceso crítico de la organización, para
restablecer sus operaciones y deberá ser eficaz y eficiente, los aspectos legales, el impacto en el
servicio del cliente.
Deberá verificarse la actualización de los procesos, misma que se deberá realizar por lo menos una
vez al año, las pruebas para verificar su funcionalidad y la distribución al personal responsable.
2. Informe
Elaboración de informe
Se deberá preparar el informe de los hallazgos, indicando las recomendaciones que se considere
subsanarán las debilidades de control interno.
Normativa
Circular normativa No.75-2015 “Control de accesos al Centro de Procesamiento Electrónico de Datos”.
Cronograma
Para realizar esta revisión se asignan 5 días para la recolección de información, entrevistas y
elaboración del informe. La revisión deberá iniciarse el 19 de octubre de 2015 y se deberá entregar
informe el 30 de octubre, con el resultado del trabajo realizado.
BANCO OCTAVO SEMESTRE,S.A. P.T-A 2 4/4 FECHA
Programa Auditoría Interna Hecho por: Grupo 2 20/10/2021
al 30 de Septiembre de 2021 Revisado por: C.H.H. 29/10/2021
Atentamente,
Conforme plan de trabajo se procedió a verificar el control utilizado para el ingreso de personal
externo a las instalaciones del Centro de Procesamiento Electrónico de Datos. La utilización de este
control está establecida en circular normativa No. Informática 75-2021. Los resultados se presentan a
continuación.
Fecha Nombre de la Persona Motivo del Ingreso Nombre de la Hora Hora Marca de
que Ingresa persona que Ingreso Egreso Auditoría
acompaña
Revisión problemas en ❒
01-10-21 Vinicio Paz 1/
equipoAS-400
Revisión en servidor de
05-10-21 Jorge Brolo 1/ Reportes ✓
08-10-21 Juan Daniel Guitzol Revisión Servidor Ag.25 Víctor Pérez 9:55 10:56 ❒
Revisión Impresora ❒
09-10-21 María Luisa Rosales Víctor Pérez 14:25 17:05
Multifuncional
Revisión problemas en
10-10-21 Hugo Suchini 1/ servidor de Contabilidad ✓
10-10-21 Paola Madrid Auditoría Víctor Pérez 08:30 12:30 ❒
Revisión Problemas Servidor ❒
12-10-21 Mattew Pineda Víctor Pérez 15:35 16:45
Banca por Internet
Revisión de problemas en ❒
17-10-21 Ana Lorena Medina servidor de Contabilidad Víctor Pérez 08:30 11:45
29-10-21 Hugo Suchini 1/ Revisión servidor de reportes ✓
Índice de referencias
1/ Personal del departamento de Sistemas que no presentaron autorización para el ingreso al Centro
de Procesamiento Electrónico de Datos.
Conclusión y recomendación.
Los resultados obtenidos en la presente revisión se consideran aceptables, sin embargo, como se
comentó en la referencia No. 1, el personal del departamento de sistemas debe de presentar
autorización para el ingreso al Centro de Procesamiento Electrónico de Datos. Así mismo es
importante que se documenten las soluciones implementadas, para la corrección de los problemas,
para tener estadísticas sobre la recurrencia de problemas.
Conforme plan de trabajo se procedió a verificar las claves de acceso utilizadas por personal para el
ingreso a las instalaciones del Centro de Procesamiento Electrónico de Datos. La asignación y
custodia de claves de acceso está establecida en circular normativa No. Informática 80-2021. Los
resultados se presentan a continuación.
Fecha de Nombre de la Persona Fecha que Fecha de último Funcionario que Estatus de la Marca de
habilitación que tiene clave expira la acceso autorizó clave Auditoría
clave
01-01-21 Administrador 1/ Indefinida 01-06-21 N/A Activa ❒
01-01-21 Víctor Pérez 31-12-21 02-02-21 Maynor Ramos Activa ❒
06-02-21 Wendy Rivera 30-06-23 23-04-21 Maynor Ramos Activa ❒
07-06-21 María Luisa Rosales 30-06-23 10-09-21 Maynor Ramos Activa
10-10-21 Juan Carlos Gómez 2/ 31-12-23 19-10-21 Maynor Ramos Activa ❒
Nota:
Conclusión y recomendación.
Se considera importante que la clave de administrador, que es la clave con mayores privilegios, sea
custodiada en un sobre lacrado en la bóveda del Banco, actualmente únicamente el Sr. Pérez tiene
acceso a la misma. Así mismo al momento de que un colaborador termine su relación laboral con el
Banco, deberá de darse de baja al sistema, minimizando de esta forma la posibilidad de accesos no
autorizados.
Conforme plan de trabajo se procedió a verificar el control utilizado para el egreso de personal
externo, a las instalaciones del Centro de Procesamiento Electrónico de Datos. El control para el
egreso de equipos está establecido en circular normativa No. Informática 85-2021. Los resultados se
presentan a continuación.
Nota:
En todos los casos no se observó la fecha de reingreso del equipo, ni el diagnóstico final de la
reparación.
Conclusión y recomendación.
Se recomienda que se agregue una casilla al control de egreso de equipos, para que se lleve el
registro de cuando ingresan los equipos, así mismo que se adjunte la boleta que indica cuál fue el
motivo que originó el envió a reparación.
ÍNDICE DEREFERENCIA
1/ Este computador central fue sustituido el 01-01-2013, ya fue dado de baja en libros, sin embargo
no se ha trasladado del Centro PED.
2/ Este servidor corresponde a equipo de prueba perteneciente a la empresa GBM de Guatemala.
Este equipo está descontinuado, esta empresa no lo ha reclamado.
Conclusión y recomendación.
Se determinó que no se realizan inventarios, para verificar la existencia física de los equipos. Se
recomienda trasladar los equipos descritos en la referencia 1 y 2 para dar más espacio en el Centro de
Procesamiento Electrónico de Datos.
Conclusión y recomendación.
Según revisión a la circular normativa No. Informática-95-2021, se comprobó que en el mismo no
se incluye la periodicidad con la que se deberá comprobar la utilidad de las cintas de respaldo.
Únicamente se comprueban cuando se necesita restaurar un proceso. Por lo anterior es necesario
que se incluya esta verificación en el proceso de back-up de información.
Conforme plan de trabajo se procedió a verificar los equipos utilizados para proporcionar la seguridad
física, a las instalaciones del Centro de Procesamiento Electrónico de Datos, los resultados se
presentan a continuación.
Fecha de
revisión Nombre del equipo Observaciones Marca de auditoría
por parte del
proveedor
Existen 3 cámaras distribuidas de la siguiente
Cámara de vigilancia manera: al ingreso del Centro PED, monitoreando al
30-09-2020
operador de turno y el ingreso a la Cintoteca. β
Software y hardware de cámara de Este software tiene almacenado el monitoreo diario,
30-09-2020 vigilancia realizado por las cámaras de vigilancia β
Extintores de Incendios 1/ Se observó la existencia de 4 extintores distribuidos
25-10-2019 adecuadamente. β
Aire Acondicionado El aire acondicionado funciona adecuadamente.
31-12-2020 β
Los equipos están instalados a 25 centímetros del
suelo y se cuenta con un dispositivo que absorbe a
02-01-2021 Dispositivo para evitar inundaciones
su interior el agua proveniente de inundaciones. β
Alarmas detectoras de humo. 1/ Se cuenta con 2 alarmas detectoras de humo
03-01-2020 distribuidas adecuadamente. β
Para mantener la temperatura en 17 grados
Alarmas detectoras de temperatura y centígrados y prevenir daños ocasionados por
10-01-2021
humedad se cuenta con 2 alarmas detectoras. β
humedad
Los equipos están protegidos con un regulador de
voltaje así como un UPS capaz de mantener el
20-05-2021 Reguladores de voltaje y UPS
servicio por 5 horas. β
Se comprobó que para el ingreso al Centro PED, es
necesario utilizar tarjeta y un código personalizado,
el registro de estos ingresos es registrado
Software y hardware control ingreso al automáticamente y se puede consultar de manera β
18-09-2021 Centro PED cronológica.
ÍNDICE DE REFERENCIA
1/ Según especificaciones del fabricante la carga de los extintores de incendios y las alarmas
detectoras de humo, deberán de ser revisados una vez al año.
Conclusión y recomendación.
Se recomienda establecer un procedimiento escrito, en el cual se contemple la periodicidad necesaria
para el mantenimiento de los equipos, según las especificaciones de los proveedores y/o lo
establecido en los contratos de mantenimiento.
1 Copia del vigente plan de continuidad del negocio. La copia obtenida fue actualizada el20-12-2021 ❒
Se obtuvieron 2 copias que fueron distribuidas al
2 Muestra de copias distribuidas de lPCN. personal involucrado en el PCN y se observó que no
fueron copiadas del original actualizado el 20-12- ≠
2021..
Se determinó que se identificaron los procesos críticos
3 Inventario de actividades y procesos críticos. y fueron incluidos en matriz diseñada para el efecto, ¥
misma que está adjunta al PCN
Listado de Proveedores y Clientes a informar con
4 relación a la contingencia. Actualizado. ≠
Determinación de prioridades en cuanto a la Se observó que se ordenaron las actividades y se
5
restauración de operaciones. asignó prioridad. ≠
Existe sitio alterno, por una interface se realiza
6 Sitio alterno para el procesamiento de información automáticamente la réplica de todas las operaciones ≠
del sistema principal.
Según listado, se constataron los números telefónicos
Personal encargado de ejecutar el PCN del personal encargado de ejecutar el plan. £
7
Selectivamente se seleccionó al personal observando
8 Conocimientos del personal de lPCN que cuentan con conocimientos suficientes para ≠
ejecutar el PCN.
En la revisión del PCN se comprobó que debe de ser
actualizado por lo menos dos veces al año y deberá
consignarse las fechas de actualización, se ≠
9 Actualización del PCN
observaron estas actualizaciones los últimos dos años.
Conclusión y Recomendación.
Para garantizar la funcionalidad del plan de continuidad del negocio, es importante que cuando se
actualice el plan, deberán de distribuirse las copias al personal involucrado. Así mismo deberá de
realizarse pruebas para verificar la oportunidad de los procesos contenidos en este plan y
documentar los resultados.
Resultado de la evaluación
Riesgo medio Riesgo alto Riesgo leve Riesgo Medio
Categorización de Riesgo
1. Aspecto calificado con color amarillo y ningún aspecto ponderado en color rojo = riesgo leve.
2.Aspectos calificados con color amarillo y ningún aspecto ponderado en color rojo = riesgo
medio.
3. Aspectos calificados con color amarillo y un aspecto ponderado en color rojo = riesgo alto.
Conclusión
Los resultados obtenidos indican que el riego de continuidad de sistemas está siendo afectado por la
falta de pruebas al plan de continuidad del negocio y la falta de renovación al contrato de
mantenimiento del aire acondicionado y al seguro de responsabilidad civil.
3. Informe de la revisión del control interno y operaciones
Como parte del programa de trabajo anual del departamento de Auditoría Interna, adjunto encontrará
informe de la revisión efectuada a los controles existentes para salvaguardar la seguridad física del
Centro de Procesamiento Electrónico de Datos.
1. Riesgo leve
Se observaron dos equipos obsoletos ubicados en el Centro de Procesamiento Electrónico
de Datos, que ocupan espacio físico.
No se cuenta con un control de las reparaciones efectuadas a equipos, así como de la
fecha en que fueron devueltos al Centro de Procesamiento Electrónico de Datos.
BANCO OCTAVO SEMESTRE,S.A. P.T-A 12 2/3 FECHA
Informe de Auditoría Hecho por: Grupo 2 20/10/2021
al 30 de Septiembre de 2021 Revisado por: C.H.H. 29/10/2021
2. Riesgo medio
3. Riesgo alto
JPME/jdg
cc Gerente General
CONCLUSIÓN
Esto origino que la información producida por los centros de PED sea un elemento de suma
importancia para la toma de decisiones en las empresas y para el control adecuado de muchas de
sus operaciones. Normalmente, los recursos económicos destinados a la actividad de PED
représenla cantidades importantes, lo cual hace indispensable que el rendimiento obtenido sobre
dicha inversión debe ser satisfactorio, o sea, qué el aprovechamiento de la capacidad instalada en
PED (personal y equipo) debe ser el máximo posible.
BIBLIOGRAFÍA
Junio 2006
www.biblioteca.usac.edu.gt
www.monografias.com/.../boletines-auditoria-operacional/
CUESTIONARIO