Universidad de Santiago de ChileFacultad de Administracin y Economa.Departamento de Contabilidad y Auditoria

Programa de auditora informticaEmpresa EPERSA.

Realizado por Isadora Fuentes Jerez y Loreto Torres Riquelme.07/05/2015

Conocimiento General de EPERSA

EPERSA es una empresa dedicada a la captura y procesamiento de cardmenes en las costas de Arica hasta Talcahuano, cuenta con dos plantas de gestin tcnica-cientfica y procesamiento de harina de pescado en los puertos de Iquique y Talcahuano, y una oficina administrativa, de Gerencia, comercializacin y distribucin a Santiago.Es una empresa emergente, que logr en muy poco tiempo posicionarse en la industria Chilena, obteniendo a la fecha la capacidad de transporte y procesamiento mas grande del cono sur, con una produccin de 3500 toneladas al mes y fon ingresos anuales de US$ 1457,7 millones entre exportaciones y el comercio nacional.Para el procesamiento de la informacin y controles automticos de procesos de fabricacin, tanto para su casa matriz como para sus plantas elaboradoras, cuenta con una completa instalacin computacional marca Diong-Du de procedencia Norcoreana, recientemente adquiridas por el fiscal, abogado de vasta experiencia en comercio exterior, mediante una directa y personal negociacin tcnico comercial en Buenos Aires con los representantes de Diong-Du en Argentina para toda Latinoamrica.Objetivos generales

El objetivo del presente trabajo consiste en tomar conocimiento y evaluar la gestin estructural informtica en termino de incorporacin, adquisicin y uso de Tecnologas de la Informacin de carcter corporativo, como as mismo de la gestin tctica y operacional de la gestin integral, su eficacia como sistema de informacin de gestin estratgica de apoyo a la industria pesquera, calidad y oportunidad de la informacin por l generada, adems de evaluar el grado de satisfaccin de los usuarios directos e indirectos del sistema bajo auditora, para as lograr emitir una opinin sobre la razonabilidad de dichos mbitos.Objetivos Especficos

El cumplimiento del objetivo general de este trabajo consider lograr los siguientes objetivos especficos: Verificar la eficiencia en la administracin y organizacin para la gestin de riesgos y recursos de EPERSA Analizar verificar si existe un manejo y correccin en los procesos y su posterior concordancia con el objetivo de la entidad. Verificar si se tiene y se cumple una poltica clara para la adquisicin de nuevas tecnologas. Evaluar los cargos descritos por la organizacin para las funciones desarrolladas por el personal, para as cerciorarse de que el personal sea el ptimo para la empresa. Verificar si existe un informe de construccin, procedimientos y mantencin de la sala cero para toda la organizacin. Verificar la existencia de procedimientos para el flujo de la informacin en la organizacin (entre sucursales), esto para comprobar la existencia de confidencialidad, custodia, confiabilidad, consistencias, continuidad y cumplimiento de la informacin. Verificar que las tecnologas de informacin existan de acuerdo a los registros y si las transacciones realizadas se han registrado satisfactoriamente segn los parmetros establecidos en los sistemas. Verificar si todos los TI estn certificados, documentados y acorde con las normas informticas y legislativas vigentes.

Alcance

Conforme a los objetivos especficos antes sealados, nuestro trabajo centr su atencin, en primera instancia, en los, objetivos, estructuras y funcionalidades del desarrollo del CPD (Centro de Procesamiento de Datos), para luego enfocarse en la revisin de los antecedentes tcnicos de diseo, modelamientos de datos y funcionalidad, proporcionados tanto por el area de sistemas de informtica de EPERSA como por los usuarios ejecutivos de Iquique, Talcahuano y Santiago. Se ha acordado una fecha aproximada entre el 05 de Febrero al 05 de Abril de 2015, como un perodo razonable para la realizacin de la auditora en terreno y adems de la solicitud de todos los antecedentes necesarios para su realizacin.Con posterioridad se deber comenzar a analizar la documentacin y con una fecha acordada con el cliente para el 7 de Mayo de 2015, para realizar la entrega de un pre-informe de las debilidades visualizadas con sus respectivas explicaciones y recomendaciones.Metodologa

La presente auditoria consistir en la obtencin de informacin referente al plan estratgico implementado por EPERSA, para evaluar su continuidad dentro de la organizacin, adicionalmente se requerir su planificacin para formar una opinin respecto a la optimizacin de la empresa y de su control.Lo anterior se realizara gracias a un anlisis crtico de los antecedentes implementadas en las distintas reas involucradas y de la administracin gerencial de la empresa, los cuales entregaran documentacin e informacin oportuna y necesaria sobre los procedimientos, adems de otros documentos necesarios para la auditoria, los cuales se podrn solicitar en el transcurso de esta, enfocndonos con las pruebas de cumplimiento, sustantivas y analticas.

En forma adicional se programarn reuniones con los encargados de los departamentos de la entidad de las distintas reas, para evaluar la informacin y realizar tomas de decisiones para su gestin.EPERSAPrograma de Trabajo Auditoria a la gestin integral de los sistemas informticos CPDFecha de inicio: 5 de Febrero de 2015.Auditores: Isadora Fuentes Jerez y Loreto Torres Riquelme.

Fecha ObservRespCobitISO 27000

I Gestin de inicio de Auditoriaa) Carta de inicio de Auditoria b) Recepcin de notificacin de inicio de auditoria c) Carta de resguardo de la empresad) Carta de responsabilidad

II Obtencin de informacin General

1 Solicitar plan estratgico de la EPERSA referido al rea informtica.

2 Solicitud del plan informtico de EPERSA actualizado por sucursal.

3. Solicitar actas de reuniones relacionadas con la toma de decisiones de Gerencia sobre temas tecnolgicos e informticos y de seguridad lgica y fsica de algunos periodos.

4. Documento de constitucin de comit informtico e integrantes

5. Solicitar perfiles de cargos del personal del rea informtica.

6. Solicitar polticas de informtica.

7. Documentacin de los planes de contingencia, emergencia y seguridad de la gestin y servicios informticos.

8. Actas de los ltimos 3 meses de las sesiones del Comit de informtica.

9. Solicitar los presupuestos de los planes informticos realizados y a realizar.

10. Solicitar polticas y procedimientos de compras de los soportes informticos y/o tecnolgicos.

11. Solicitar inventarios de computadores personales, software y redes de comunicacin. 12. Solicitar informe tcnico de la creacin del rea de Centro de Procesamiento de Datos.

13. Obtener informacin sobre la integridad, seguridad, confidencialidad y confiabilidad del CPD y la informacin entre las sucursales.

14. Otros antecedentes estratgicos-informticos relacionados con la continuidad y seguridad de las operaciones.

15. Solicitar el diseo lgico, esquema administrativo de trabajo, formularios, niveles de autorizacin y flujo de informacin vinculado al sistema computacional.

16. informacin sobre el control de acceso de los sistemas.

17. codificacin utilizada en el sistema.

18. solicitar la descripcin del apoyo computacional y herramientas utilizadas por los usuarios de las TI.

Antecedentes legales y normativos:

1. Antecedentes legales que regulen la adquisicin de bienes y servicios computacionales y tecnolgicos.

2. Solicitar normas internas de elaboracin de sistemas.

3. Antecedentes legales emitidos por Sernapesca, que regulen las restricciones pesqueras, los cuales afecten los presupuestos y gastos.

4. Solicitar normas de metodologas de desarrollo.

Visita en Terreno:

1. Manejo ptimo de los TI por parte de los usuarios.

2. La distribucin y eficacia de los servicios computacionales.

3. Dotacin del personal adecuado y necesario para las operaciones en el rea informtica de la empresa.

4. Estado de los software y hardware de la entidad.

5. Sistemas de respaldos de informacin.

Procedimientos de Auditora:

Pruebas Sustantivas:

1. Evaluar la eficiencia de las polticas desarrolladas para la organizacin, manejo, gestin y recursos de TI en la empresa.

2. Evaluar la trascendencia del comit de informtica en la administracin para evaluar que realicen sus labores de forma eficiente, eficaz y ptima.

3. Indagar la frecuencia de cadas en las comunicaciones, programas, sus modificaciones y existencia de registros de eventos para saber quin, qu, cundo, dnde y porqu se ocasionaron los fallos.

4. Revisar si todas las mantenciones peridicas, contratos de soporte, programas de obsolescencia y eficiencia del proveedor de conectividad estn funcionando correctamente y hayan sido revisados, autorizados e implementados por el personal competente y correcto, as mantener la integridad de la empresa.

5. Mediante muestreo aleatorio probar que los accesos lgicos a los equipos e instalaciones sean nicos para cada empleado, que ste sea apropiado para las funciones realizadas por cada uno y resguarde la informacin correctamente, impidiendo la malversacin de datos importantes para la continuidad de la empresa, consecuencia de conflictos de intereses de sus miembros.

Pruebas de Cumplimientos:

1. Verificar que existan las polticas de adquisicin de nuevas tecnologas que estn documentadas y sean conocidas tanto por el departamento de informtica como para el rea que autoriza la salida del dinero, as no incurrir en gastos innecesarios y su transparencia en las compras de las tecnologas para cada proyecto, comprobando as su adecuado cumplimiento.

2. Observacin, revisin de la estructura y acceso del lugar fsico donde se encuentra la sala cero para evitar daos fsicos y lgicos de los equipos que almacenan la informacin de la empresa, verificando su adecuado funcionamiento.

3. Verificar la existencia y calidad de adecuados controles de datos, que en todos los casos sean autorizados, completos y exactos para asegurar el cumplimiento de los flujogramas establecidos en la empresa.

4. Verificar la existencia de un plan estratgico y su aplicacin en el rea de informtica para la gestin de recursos de TI con sus estrategias y prioridades del negocio. Adems, a travs de entrevistas comprobar que son conocidas y aplicadas por todo el personal necesario.

5. Verificar si todos los activos TI estn debidamente certificados y documentados acorde a las normativas informticas y legislativas vigentes para as evitar multas o fallas de los equipos computacionales.

6. Verificar que la empresa posea un sistema de seguimiento de incidentes que asistan a los usuarios de los sistemas de informacin ayudando a asegurar la calidad del software integrado en la empresa. Realizando preguntas concretas verificar adems que las personas que lo manejan conzcanlos cdigos y sus procedimientos.

7. Comprobar la existencia, aplicacin y cumplimiento de manuales y/o controles preventivos, detectivos y correctivos frente a siniestros y eventos en torno al rea de informtica, asegurando los datos de ms relevancia en el momento de un catastro que pueda ser perjudicial para la entidad.

8. Comprobar que existe una estructura organizacional, conocida por los empleados, con sus respectivos niveles de autoridad en el rea de informtica mediante la observacin en terreno de las diferentes plantas y controles individuales, para as evitar la mala segregacin de funciones y comunicacin interna en la organizacin.

9. Comprobar si existe y se cumple un reglamento interno de trabajo y manual de seguridad, los cuales son requeridos por instituciones reguladoras.

10. Evaluar el adecuado cumplimiento de la metodologa de desarrollo de sistemas, especialmente en la confeccin del diseo fsico.

Pruebas analticas

1. Mediante la comparacin de informes de auditoras de sistemas de informacin de aos anteriores, solicitados previamente a la gerencia, obtener datos sustentables y observar el comportamiento histrico y correcciones de hallazgos informados, para obtener conocimiento de la evolucin de la empresa en trminos tecnolgicos.

2. Evaluar los procedimientos de ejecucin de presupuestos y proyectos elaborados, mediante entrevistas, conocer cules fueron los parmetros o criterios utilizados, quienes y como participaron en su desarrollo y quienes lo aprobaron, adems de registros o respaldos de la implementacin de las tecnologas para conocer los controles internos de seguridad, ver su planteamiento para as dar una opinin razonable.

3. Evaluar los procesos de facturacin y volmenes para determinar una muestra de informacin para la revisin de la eficiencia en la conexin y funcionamiento del sistema entre la matriz y sus sucursales, adems de las caractersticas tecnolgicas en cada planta de los equipos y as verificar una concordancia con las exigencias requeridas por la empresa.

Preparacin Informe Preliminar

1. Objetivo General2. Objetivos Especficos.3. Alcance de la Auditoria4. Metodologa aplicada 5. Opinin General 6. Observaciones detalladas con debilidades y recomendaciones 7. Conclusin.

10