Auditoria-Asesoria-Informe01
-
Upload
andrea-mendoza-falcon -
Category
Documents
-
view
92 -
download
2
Transcript of Auditoria-Asesoria-Informe01
AUDITORIA DEL SISTEMA DE INFORMACIÓN “SISTEMA DE VENTAS”
DE LA EMPRESA MEGAQUÍMICOS & COMPAÑÍA S.A.C.
EQUIPO AUDITOR:
Chiroque Prieto, Eduardo De La Cruz Berrospi, Jackeline Gilián Solano, Carlos Guibert Diaz, Fredy Medina Sandoval, Will Mendoza Falcón, Andrea
SUPERVISOR:
Díaz Sánchez, Jaime Eduardo
PERIODO DE DURACIÓN:
2012
13 Agosto hasta 28 de Setiembre“Año de la Integración Nacional y El Reconocimiento de Nuestra Diversidad”
Trujillo, 28 de Agosto de 2012SeñorJulio MuñozPropietario de la empresa “Megaquímicos & Compañía S.A.C” Ca. Micaela Bastidas 1206 - El PorvenirPresente.-
Estimado Sr. Julio Muñoz
Quiero agradecerle nuevamente que dispusiera parte de su tiempo escuchar el trabajo a realizar en la institución.
Igualmente quiero agradecerle las informaciones que me proporcionó, que estoy seguro me serán de gran utilidad, y me ayudará enormemente en mi proyecto de Auditoría y Seguridad de Sistemas de Información, también le hago llegar la propuesta técnica para el desarrollo de la misma quedando a su disposición para las consultas que estime necesarias a través de los números telefónicos 963951681 y #963951681 así como también al siguiente correo electrónico
Cordialmente,
Mendoza Falcón, AndreaEstudiante Ing. Computación y Sistemas
D.N.I. 46521308Código 000061231
Andrea Mendoza Falcón
Eduardo Chiroque Prieto
William Medina Sandoval
Carlos Gilian Solano
Fredy Guibert Díaz
Jackeline De La Cruz Berrospi
PROPUESTA TÉCNICAAUDITORÍA DEL SISTEMA DE INFORMACIÓN “SISTEMA DE VENTA” DE LA EMPRESA MEGAQUÍMICOS & COMPAÑÍA
S.A.C.
Ing. Díaz Sánchez Jaime E.14/09/12
Andrea Mendoza Falcón
Eduardo Chiroque Prieto
William Medina Sandoval
Carlos Gilian Solano
Fredy Guibert Díaz
Jackeline De La Cruz Berrospi
ÍNDICE
P.A. v1………………………………………..…………………………………………………
Andrea Mendoza Falcón
Eduardo Chiroque Prieto
William Medina Sandoval
Carlos Gilian Solano
Fredy Guibert Díaz
Jackeline De La Cruz Berrospi
ÍNDICE
ÍNDICE..............................................................................................................................................
I. DESCRIPCIÓN DE LA EMPRESA..................................................................................................
1.1. Datos de la Empresa..........................................................................................................
1.2. Descripción de la Empresa.................................................................................................
1.3. Misión...............................................................................................................................
1.4. Visión................................................................................................................................
1.5. Organigrama.....................................................................................................................
II. ALCANCE...................................................................................................................................
2.1. ÁREA DE LA ORGANIZACIÓN..............................................................................................
2.2. PERIODO DE LA AUDITORIA...............................................................................................
2.3. LIMITACIONES...................................................................................................................
III. OBJETIVOS............................................................................................................................
3.1. Objetivo General...............................................................................................................
3.2. Objetivos Específicos.........................................................................................................
ORGANZACIÓN DEL EQUIPO.........................................................................................................
IV. METODOLOGÍA.....................................................................................................................
4.1. ESTUDIO PRELIMINAR.......................................................................................................
4.2. REVISIÓN Y EVALUACIÓN DE CONTROLES Y SEGURIDADES................................................
4.3. EXAMEN DETALLADO DE ÁREAS CRÍTICAS..........................................................................
4.4. COMUNICACIÓN DE RESULTADOS.....................................................................................
V. PROGRAMAS DE TRABAJO........................................................................................................
VI. INFORMES.............................................................................................................................
VII. REQUERIMIENTOS MATERIALES............................................................................................
Andrea Mendoza Falcón
Eduardo Chiroque Prieto
William Medina Sandoval
Carlos Gilian Solano
Fredy Guibert Díaz
Jackeline De La Cruz Berrospi
VIII. CRONOGRAMA DE TRABAJO.................................................................................................
PROPUESTA TÉCNICAPARA LA AUDITORÍA DEL SISTEMA DE INFORMACIÓN “SISTEMA DE VENTAS” DE LA EMPRESA
MEGAQUÍMICOS & COMPAÑIA S.A.C.
I. DESCRIPCIÓN DE LA EMPRESA
I.1. Datos de la Empresa
Nombre: Megaquímicos & Compañía S.A.C.Ruc: 20440345906Dirección: Ca. Micaela Bastidas 1206 - El Porvenir. Tipo Empresa: Sociedad Anónima CerradaActividad Comercial: Venta y Fabricación al por menor de productos químicosDueño: Muñoz Jordan Julio EduardoGerente General: Muñoz Jordan Julio Eduardo
I.2. Descripción de la EmpresaLa empresa Megaquímicos & Compañía S.A.C. empadronada con el RUC 20440345906 se dedica a la fabricación y venta de productos químicos orientados al tratamiento del cuero y calzado, labora desde el año 2002 y se encuentra ubicada en Ca. Micaela Bastidas 1206 - El Porvenir.
Se inicia en 1998 registrando la marca en registros públicos como Megaquímicos S.R.L. nombre que posteriormente sería cambiado en el 2002 a Megaquímicos & Compañía S.A.C. teniendo como dueño a Julio Eduardo Muñoz Jordan.
I.3. MisiónVender productos químicas reconocidos en el sector del cuero y del calzado.
I.4. Visión Al 2015 consolidar la introducción de los productos en el mercado y líneas de cueros terminados.
Andrea Mendoza Falcón
Eduardo Chiroque Prieto
William Medina Sandoval
Carlos Gilian Solano
Fredy Guibert Díaz
Jackeline De La Cruz Berrospi
I.5. Organigrama
II. ALCANCE
El análisis comprende evaluar el Sistema de Ventas de Megaquímicos & Compañía S.A.C. tomando como referencia para esto la Norma ISO 12207, la guía de buenas prácticas de COBIT.
II.1. ÁREA DE LA ORGANIZACIÓNÁrea de ventas, de la empresa Megaquímicos & Compañía S.A.C
II.2. PERIODO DE LA AUDITORIA13/06/2012 - 28/09/2012
II.3. LIMITACIONES El acceso al sistema e información que sea necesario para el desarrollo del proyecto será facilitado por el administrador y el gerente general de la empresa que bajo la supervisión de los ya mencionados, dado que cuentan con información fundamental de la empresa.
Andrea Mendoza Falcón
Eduardo Chiroque Prieto
William Medina Sandoval
Carlos Gilian Solano
Fredy Guibert Díaz
Jackeline De La Cruz Berrospi
III. OBJETIVOS
III.1. Objetivo General
Evaluar el Sistema de Información de Ventas, verificando que cumple con los controles, midiendo su utilización, eficiencia y seguridad alineando los requerimientos de la compañía al manual de referencia COBIT.
A fin que por medio de cursos alternativos se logre una utilización más eficiente y segura de la información que servirá para una adecuada toma de decisiones.
III.2. Objetivos Específicos
1. Dar a conocer la magnitud de los errores encontrados o no en el sistema.(COBIT DS10)
2. Evaluar la integridad y confiabilidad de la Base de Datos.(COBIT DS11 DS5)
3. Evaluar la existencia de un plan Riesgos que concibe todos los posibles riesgos TI.(COBIT PO9 ME2)
4. Evaluar la confidencialidad de la información del sistema de ventas en Megaquímicos & Compañía S.A.C.(COBIT DS5)
5. Verificar si los reportes se emiten satisfactoriamente de acuerdo al tiempo establecido por Megaquímicos & Compañía S.A.C.(COBIT DS11 ME1)
6. Comprobar el control interno de la empresa, verificando sus puntos fuertes y débiles.(COBIT ME2)
7. Verificar el cumplimiento de las políticas, normas y procedimientos que rigen las tecnologías de información y que afectan a la empresa. (COBIT PO6 ME3)
8. Evaluar el nivel de satisfacción de los usuarios de los sistemas informáticos.(COBIT DS10)
Andrea Mendoza Falcón
Eduardo Chiroque Prieto
William Medina Sandoval
Carlos Gilian Solano
Fredy Guibert Díaz
Jackeline De La Cruz Berrospi
9. Evaluar el nivel de conocimientos del personal con respecto a los sistemas y software instalados en la entidad a ser auditada.(COBIT DS7)
ORGANZACIÓN DEL EQUIPO
NOMBRES Y APELLIDOS ROLES ID DNI
Andrea Mendoza Falcón Jefe de Equipo 000069840 70673311
Fredy Guibert Díaz Especialista en Base de Datos 000061231 46521308
Carlos Gilián Solano Especialista en Documentación 000063313 47520011
William Medina Sandoval Especialista en Desarrollo 000053881 45967105
Eduardo Chiroque Prieto Especialista en Desarrollo 000055191 45763487
Jackeline De La Cruz Especialista en Desarrollo 000044962 44702446
IV. METODOLOGÍA
La Auditoría se desarrollará en ocho fases:
Fase de Auditoría DescripciónSujeto de la auditoría Identificar el área que será auditada.
Objetivo de la auditoría Identificar el propósito de la auditoría. Por ejemplo, un objetivo podría ser determinar que los cambios al código fuente de los programas se realicen en un ambiente bien definido y controlado.
Alcance de la auditoría Identificar los sistemas específicos, la función o unidad de la organización a ser incluida en la revisión. Por ejemplo, en el ejemplo de cambios a un programa, la declaración de alcance podría limitar la revisión a un solo sistema de aplicación o a un período limitado de tiempo.
Andrea Mendoza Falcón
Eduardo Chiroque Prieto
William Medina Sandoval
Carlos Gilian Solano
Fredy Guibert Díaz
Jackeline De La Cruz Berrospi
Planeación de Auditoría Preliminar o Preauditoría
Identificar las habilidades y recursos técnicos que se necesitan.
Identificar las fuentes de información para probarlas o revisarlas tales como organigramas funcionales, políticas, estándares, procedimientos y documentos de trabajo de auditoría previa.
Identificar la ubicación o las instalaciones que serán auditadas.
Procedimientos de la Auditoría y pasos para recopilación de datos.
Identificar y seleccionar el método de auditoría para verificar y probar los controles.
Identificar una lista de personas para entrevistar.
Identificar y obtener políticas, estándares y directrices de los departamentos para su revisión.
Desarrollar herramientas y metodologías de auditoría para comprobar y verificar los controles.
Procedimientos para evaluar la prueba o revisar los resultados
Específica de la organización.
Procedimientos de la comunicación con la gerencia
Específica de la organización.
Elaboración del informe de la Auditoría
Identificar los procedimientos de la revisión de seguimiento.
Identificar los procedimientos para evaluar/probar la eficiencia y efectividad operativa.
Identificar los procedimientos para probar los controles.
Revisar y evaluar la corrección de los documentos, las políticas y los procedimientos.
V. PROGRAMAS DE TRABAJO
1. Dar a conocer la magnitud de los errores encontrados o no en el sistema.(COBIT DS10)
1.1. Realizar análisis de todas las posibles causas de los errores encontrados 1.2. Emitir una observación de los errores en la organización.
Andrea Mendoza Falcón
Eduardo Chiroque Prieto
William Medina Sandoval
Carlos Gilian Solano
Fredy Guibert Díaz
Jackeline De La Cruz Berrospi
2. Evaluar la integridad y confiabilidad de la Base de Datos.(COBIT DS11 DS5)
2.1. Verificar vulnerabilidades y amenazas de seguridad.2.2. Evaluar la satisfacción de los usuarios en cuanto a la disponibilidad de datos.2.3. Analizar el porcentaje de restauraciones exitosas de datos. 2.4. Análisis de llaves, redundancia, control, seguridad, confidencialidad y respaldos.
3. Evaluar la existencia de un plan Riesgos que concibe todos los posibles riesgos TI.(COBIT PO9 ME2).3.1. Solicitar el plan de riesgos en la organización.3.2. Identificar los eventos, riesgos y amenazas en la organización.3.3. Evaluar los riesgos existentes.3.4. Evaluar la respuesta a los riesgos encontrados.
4. Evaluar la confidencialidad de la información del sistema de ventas en Megaquímicos & Compañía S.A.C.(COBIT DS5)
4.1. Analizar si es que existe el plan de seguridad de TI de la empresa.4.2. Solicitar la lista de los usuarios existentes, los que laboran en la empresa y los que ya no lo hacen por lo menos de los últimos 2 años.4.3 Solicitar la lista de roles del sistema y la matriz de cruce.4.4. Analizar mediante pruebas y su comparación con una muestra el nivel de confiablidad de la información de la compañía.
5. Verificar si los reportes se emiten satisfactoriamente de acuerdo al tiempo establecido por Megaquímicos & Compañía S.A.C.(COBIT DS11 ME1)
V.1. Comprobar la satisfacción de los usuarios involucrados con la disponibilidad de los datos.
V.2. Realizar pruebas solicitando reportes y analizando la calidad de los mismos y su demora comparándolos con las bases y las políticas de la empresa.
6. Comprobar el control interno de la empresa, verificando sus puntos fuertes y débiles.(COBIT ME2).6.1. Analizar y medir las iniciativas para la mejora del control 6.2 Analizar y medir el número y cubrimiento de auto evaluaciones de control6.3. Monitorear y reportar la efectividad de los controles internos sobre TI6.4. Reportar las excepciones de control a la gerencia para tomar acciones sobre sus puntos débiles.
Andrea Mendoza Falcón
Eduardo Chiroque Prieto
William Medina Sandoval
Carlos Gilian Solano
Fredy Guibert Díaz
Jackeline De La Cruz Berrospi
7. Verificar el cumplimiento de las políticas, normas y procedimientos que rigen las tecnologías de información y que afectan a la empresa. (COBIT PO6 ME3)
7.1. Solicitar la documentación de los sistemas en operación (manuales técnicos, de operación, del usuario, diseño de archivos y programas).7.2. Analizarlos y contrastarlos con el registro de sanciones y el estado general de la empresa.
7.3. Medir el porcentaje de interesados que entienden el marco de trabajo de control de TI de la empresa
7.4. Medir el porcentaje de interesados que no cumple las políticas
8. Evaluar el nivel de satisfacción de los usuarios de los sistemas informáticos.(COBIT DS10)
8.1. Realizar entrevistas a los usuarios para medir el nivel de satisfacción.
9. Evaluar el nivel de conocimientos del personal con respecto a los sistemas y software instalados en la entidad a ser auditada.(COBIT DS7)
9.1. Identificar y categorizar el nivel de conocimiento del personal.9.5. Monitorear y reportar la efectividad de la evaluación.
VI. INFORMESEn el transcurso del desarrollo del proyecto se presentarán dos informes:• Informe Largo: conteniendo todas las Observaciones Efectos, Conclusiones y
recomendaciones realizadas durante los Exámenes Especiales, con sus respectivas Notas y Anexos.
• Informe Corto: conteniendo el Resumen Ejecutivo del trabajo realizado.
VII. REQUERIMIENTOS MATERIALES
Andrea Mendoza Falcón
Eduardo Chiroque Prieto
William Medina Sandoval
Carlos Gilian Solano
Fredy Guibert Díaz
Jackeline De La Cruz Berrospi
LUGAR CANTIDAD
AMBIENTE
Ambiente 01
Escritorio 01
Sillas 05
EQUIPOS CANTIDAD
EQUIPOS
Laptop Intel Core2duo 4.0Ghz (e8400), placa
INTEL DG35EC V/S/, disco duro 500GB SATA2.02
Impresora HP F380 multifuncional 01
Cámara digital LINUX 10mpg 01
TIPO CANTIDAD
MATERIALE
S Y ÚTILES
DE
ESCRITORIO
Millar - Papel Bond A4 -80gr 01Uni – Lápices 03
Uni – Lapiceros 03Uni – Borradores 03
Uni - Correctores Líquidos 02
Uni - Folder Manila 15
Cartuchos negro y colores 4
VIII. CRONOGRAMA DE TRABAJO
FASES DESCRIPCIÓN DURACIÓN FECHA
1Aceptación, Entrevista y Coordinación de actividades
para para el desarrollo del proyecto de auditoria1 semana
13/08/12-
27/08/12
2Recopilación de Información sobre el módulo
Megaquímicos & Compañía S.A.C2 semanas
27/08/12-
10/09/12
3 Elaboración del plan de auditoria 1 semana10/09/12-
17/09/12
4Desarrollo y aplicación de los Programas de Auditoria
de los sistemas de Información2 semanas
17/09/12-
28/09/12
Andrea Mendoza Falcón
Eduardo Chiroque Prieto
William Medina Sandoval
Carlos Gilian Solano
Fredy Guibert Díaz
Jackeline De La Cruz Berrospi
Andrea Mendoza Falcón
Eduardo Chiroque Prieto
William Medina Sandoval
Carlos Gilian Solano
Fredy Guibert Díaz
Jackeline De La Cruz Berrospi