PROGRAMA DE AUDITORA

OBJETIVO DEL PROGRAMA: Analizar y verificar el sistema de informacin

adoptado cumpla con las caractersticas especficas y de seguridad para la
compaa, la administracin y el procesamiento de datos.
ALCANCE DEL PROGRAMA:
Analizar cada componente del sistema de informacin de la empresa con el fin de
determinar los riesgos informticos y financieros que pueden ocurrir por falencias
del sistema.

1.
2.
3.
4.
5.
6.
7.

METODOLOGA
Inspeccin
Anlisis
Visita
Observacin
Confirmacin
Revisin analtica (anlisis de datos)
Informe final (hallazgos y recomendaciones)
ANTECEDENTES
Almacn ABC LTDA
Es una compaa fundada en el ao 2005 en la ciudad de Cali y su actividad
principal es la comercializacin de papelera y artculos para el hogar al por mayor
y detal. Caracterizndose por un buen surtido y precios al alcance de los hogares
caleos.
Sus ingresos en el ao 2015 fueron alrededor de $ 495 millones de pesos y sus
mayores proveedores aliados son Cristar S.A. y Legis S.A., con los cuales ha
sostenido relaciones comerciales desde el inicio, en el ltimo ao las compras a
estos dos proveedores representaron el 52% de las compras totales.
Dentro de sus mayores clientes encontramos a Cacharrera la sptima S.A.S. y
Depsito general de occidente Ltda., los cuales representan el 40% de sus ventas
alrededor de $ 190 millones de pesos.
Para el manejo de sus activos corrientes (efectivo), poseen cuentas bancarias y
alianzas financieras con el Banco BBVA y Bancolombia, donde se encuentran sus
cuentas corrientes para manejo financiero como pagos y consignaciones por
ventas. Actualmente maneja un crdito con Bancolombia por valor de $ 80
millones de pesos a un plazo de 36 meses.
Mantiene un sistema de inventario permanente, el cual tiene un acceso en tiempo
real al sistema informtico integrado General Business 2.0, el cual contiene toda la
informacin concerniente a los inventarios de mercanca, financiero, nmina y
activos fijos. Este programa es el que va a ser auditado por nosotros, verificando
que todos los datos que estn all consignados sean reales, que los
procedimientos realizados para cada una de las funciones realizadas por los
empleados estn registradas dentro del manual de procedimientos y funciones.

TEMAS A AUDITAR
No
.

TEMA A TRATAR

REFERENCIAS

ENCARGADOS

REVISIN DE
REQUERIMIENTOS

PLAN DE
AUDITORA

EQUIPO
AUDITOR

DISEO

PLAN DE
AUDITORA

EQUIPO
AUDITOR

MANUALES

PLAN DE
AUDITORA

EQUIPO
AUDITOR

PRUEBAS

PLAN DE
AUDITORA

EQUIPO
AUDITOR

CAPACITACIONES

PLAN DE
AUDITORA

EQUIPO
AUDITOR

VERSIN DEL PROGRAMA

PLAN DE
AUDITORA

EQUIPO
AUDITOR

OPERACIN

PLAN DE
AUDITORA

EQUIPO
AUDITOR

LINEAMIENTOS Y NORMAS

PLAN DE
AUDITORA

EQUIPO
AUDITOR

Los documentos a solicitar son los siguientes:

Registro nico Tributario (RUT).

Escritura de la constitucin de la sociedad.
Nmina actualizada de socios, directores y jefes administrativos.
Copia del Registro Mercantil.
Certificaciones bancarias.
Certificaciones comerciales (proveedores).
Planillas de historial de mantenimientos de los programas informticos.
Planillas de historial de mantenimientos de equipos de cmputo y otros.
Estados financieros con corte al ltimo ao.
Manual de control interno.
Manual de funciones por cargo.
MARCO REFERENCIAL

Los temas a tener en cuenta se realizaron teniendo como referencia el marco de

auditora COBIT. 1996. Estndar de control y auditora ISACA Y AICPA.
RECURSOS: Humanos, encuestas, tecnolgico, fsicos.
RIESGO FISICO Y LOGICO
Cuenta con un dispositivo de almacenamiento de datos de ltima tecnologa.
Manejan plan de contingencia.
Cuenta con un sistema para fallas elctricas.
Presenta medida de seguridad contra el sabotaje.

RIESGOS QUE AFECTAN LOS SISTEMA LGICOS.

Maneja un antivirus y cortafuegos, para la seguridad de la red, correspondiente a
sus necesidades.
Maneja un sistema contra hacker.
Maneja un control de acceso a las pginas web desde el servidor y dems
equipos.

RIESGOS QUE AFECTAN LA INFORMACIN.

Aplica la normativa Tempest y cristales apropiados en las ventanas.
Utiliza un canal seguro de transmisin de datos transmitida mediante criptografa.
Utiliza un sistema sofisticado para la gestin de claves de acceso y cifrado en la
base de datos.

RIESGOS ASOCIADOS A LAS PERSONAS

Est capacitado su personal para el manejo de la informacin.
Posee la vigilancia suficiente sobre su capital humano.
Cuenta con unos sistemas de almacenamiento de ltima generacin.

Presenta un plan de contingencia al momento de una amenaza natural.

Dispone de un sistema de seguridad con respecto a la presencia de problemas
elctricos y electromagnticos.
Cuenta con alguna medida de seguridad contra el sabotaje.
Dispone de un equipo alternativo o Plan de contingencia
RIESGOS QUE AFECTAN LOS SISTEMA LOGICOS.
Dispone de variedad de productos para la seguridad de la red
Dispone de un sistema contra hacker
Dispone de un sistema de herramientas de engao que proteja la informacin
Posee un programas de aislamiento
Soporte de infraestructura de las TI
Tiene el control de la totalidad de sus equipos.
Cuenta con un buen antivirus o uno que corresponda a sus necesidades.
Posee programas de proteccin para copias ilegales.
Cambia con frecuencia los programas de proteccin contra copias ilegales.
Posee software de proteccin y de rastreo de cadenas de bits
Est separados el servidor de correo electrnico o de pginas web de la red de
la Intranet del usuario.
Cuenta con restricciones para la visita de pginas web desde los equipos.
Posee programas de anlisis del log del sistema para detectar transacciones
no autorizadas.
RIESGOS QUE AFECTAN LA INFORMACION.
Cuenta con cristales para la prevencin de captura electromagntica.
En la organizacin se utiliza un canal seguro de transmisin de datos.
Cuenta con un sistema sofisticado para la gestin de claves.
RIESGO HUMANO
Est capacitado su personal para el manejo de la informacin.
Posee la vigilancia suficiente sobre su capital humano.

DOCUMENTACION
posee inventario del hardware
Inventario del software
Diagramas de red
Evaluacin del sistema por parte de auditora externa
Soporte de mantenimiento y control de seguridad TI
PUNTOS DE CONTROL INTERNO

Evaluar los mecanismos que dispone la administracin para velar por la

estabilidad y eficiencia de la empresa
DOCUMENTACION
Organigrama
Manual de puestos
Inventario de aplicativos
Inventario de archivos con su descripcin
Diagrama de red
Plan de capacitacin personal
Polticas y normas que regulen la administracin de las TI
Plan de trabajo
Polticas de respaldo del sistema
SERVICIOS A TERCEROS
existe contratos de servicio
existen controles para el servicio
existen plizas de seguro
AREAS
Documentacin tcnica
Control de entradas y salidas

Comercio electrnico
Seguridad informtica
RIESGOS TECNOLOGICO
Existen normas o polticas para al administracin de riesgo tecnolgico
Quienes identifican y miden el riesgo tecnolgico
Que controles para el aspecto de confidencialidad
Que procedimientos y mecanismos poseen para identificacin y autenticacin
de los usuarios de la red
AREAS ACTIVIDADES
Verificar la seguridad en las transacciones enviadas o recibidas
Verificar si se han recibido ataques internos o externos a los sistemas
informticos
Verificar el cumplimiento de beneficios propuestos tales como:
Rapidez y agilidad en las transacciones
Tiempo de respuesta razonable
Costo de transaccin ms bajos
Accesos a nuevos mercados
Seguridad en las transacciones
Servicio sin restriccin de tiempo
Acceso desde cualquier parte
RIESGOS DEPENDENCIA TECNOLOGICA
Verificar que el software sea de arquitectura abierta
Clusulas de servicio
Verificar periodos de vigencia
Verificar disposicin de los proveedores al realizar el cambio de plataforma
Verificar si existe disposicin de acceso a los datos
RIESGO LEGALES

Verificar si existen litigios pendientes de ser resueltos asociados a la

tecnologa
Verificar si el tratamiento que se da a los riesgos leales en los nuevos
productos a lanzar al mercado
RIESGOS DE REPUTACION
Verificar la disposicin de polticas y procedimientos , respecto al manejo de
imagen o reputacin de la empresa

Existe monitoreo del comportamiento de funcionarios y empleados que se

relacionan con las licitaciones y compras de equipo tecnolgico
Existe un control de reclamos del pblico, respecto a fraudes realizados por
medios informatices
Existe un manual de polticas para subsanar los reclamos del publico