Programa de auditoría informática Empresa EPERSA. Realizado por Isadora Fuentes Jerez y Loreto Torres Torres Riquelme.
2 Universidad de Santiago de Chile Facultad de Administración y Economía. Departamento de Contabilidad y Auditoria
Conocimiento General de EPERSA EPESA es una empresa dedicada a la captura y procesamiento de card!menes en las costas de Arica hasta "alcahuano# cuenta con dos plantas de gestión t$cnica%cientí&ica y procesamiento de harina de pescado en los puertos de '(ui(ue y "alcahuano# y una o&icina administrativa# de )erencia# comerciali*ación y distribución a Santiago. Es una empresa emergente# (ue logró en muy poco tiempo posicionarse en la industria Chilena# obteniendo a la &echa la capacidad de transporte y procesamiento mas grande del cono sur# con una producción de +,-- toneladas al mes y &on ingresos anuales de US /0,1#1 millones entre e2portaciones y el comercio nacional. Para el procesamiento de la in&ormación y controles autom3ticos de procesos de &abricación# tanto para su casa matri* como para sus plantas elaboradoras# cuenta con una completa instalación computacional marca Diong%Du de procedencia 4orcoreana# recientemente ad(uiridas por el &iscal# abogado de vasta e2periencia en comercio e2terior# mediante una directa y personal negociación t$cnico comercial en 5uenos Aires con los representantes de Diong%Du en Argentina para toda 6atinoam$rica.
!"eti#os $enerales El ob7etivo del presente traba7o consiste en tomar conocimiento y evaluar la gestión estructural in&orm3tica en termino de incorporación# ad(uisición y uso de "ecnologías de la 'n&ormación de car3cter corporativo# como así mismo de la gestión t3ctica y operacional de la gestión integral# su e&icacia como sistema de in&ormación de gestión estrat$gica de apoyo a la industria pes(uera# calidad y oportunidad de la in&ormación por $l generada# adem3s de evaluar el grado de satis&acción de los usuarios directos e indirectos del sistema ba7o auditoría# para así lograr emitir una opinión sobre la ra*onabilidad de dichos 3mbitos.
!"eti#os Espec%&cos El cumplimiento del ob7etivo siguientes ob7etivos especí&icos8 •
•
•
general de este traba7o consideró lograr los
9eri&icar la e&iciencia en la administración y organi*ación para la gestión de riesgos y recursos de EPESA Anali*ar veri&icar si e2iste un mane7o y corrección en los procesos y su posterior concordancia con el ob7etivo de la entidad. 9eri&icar si se tiene y se cumple una política clara para la ad(uisición de nuevas tecnologías.
3 Universidad de Santiago de Chile Facultad de Administración y Economía. Departamento de Contabilidad y Auditoria •
•
•
•
•
Evaluar los cargos descritos por la organi*ación para las &unciones desarrolladas por el personal# para así cerciorarse de (ue el personal sea el óptimo para la empresa. 9eri&icar si e2iste un in&orme de construcción# procedimientos y mantención de la sala cero para toda la organi*ación. 9eri&icar la e2istencia de procedimientos para el &lu7o de la in&ormación en la organi*ación :entre sucursales;# esto para comprobar la e2istencia de con&idencialidad# custodia# con&iabilidad# consistencias# continuidad y cumplimiento de la in&ormación. 9eri&icar (ue las tecnologías de in&ormación e2istan de acuerdo a los registros y si las transacciones reali*adas se han registrado satis&actoriamente seg!n los par3metros establecidos en los sistemas. 9eri&icar si todos los "' est3n certi&icados# documentados y acorde con las normas in&orm3ticas y legislativas vigentes.
Alcance Con&orme a los ob7etivos especí&icos antes se
ayo de =-/,# para reali*ar la entrega de un pre%in&orme de las debilidades visuali*adas con sus respectivas e2plicaciones y recomendaciones.
'etodolo$%a 6a presente auditoria consistir3 en la obtención de in&ormación re&erente al plan estrat$gico implementado por EPESA# para evaluar su continuidad dentro de la organi*ación# adicionalmente se re(uerir3 su plani&icación para &ormar una opinión respecto a la optimi*ación de la empresa y de su control. 6o anterior se reali*ara gracias a un an3lisis crítico de los antecedentes implementadas en las distintas 3reas involucradas y de la administración gerencial de la empresa# los cuales entregaran documentación e in&ormación oportuna y necesaria sobre los procedimientos# adem3s de otros documentos necesarios para la auditoria# los cuales se
4 Universidad de Santiago de Chile Facultad de Administración y Economía. Departamento de Contabilidad y Auditoria podr3n solicitar en el transcurso de esta# en&oc3ndonos con las pruebas de cumplimiento# sustantivas y analíticas. En &orma adicional se programar3n reuniones con los encargados de los departamentos de la entidad de las distintas 3reas# para evaluar la in&ormación y reali*ar tomas de decisiones para su gestión. EPERSA
Programa de Trabajo Auditoria a la gestión integral de los sistemas in&orm3ticos CPD Fecha de inicio8 , de Febrero de =-/,. Auditores8 'sadora Fuentes ?ere* y 6oreto "orres i(uelme. Fecha ' )estión de inicio de Auditoria a; Carta de inicio de Auditoria b; ecepción de noti&icación de inicio de auditoria c; Carta de resguardo de la empresa d; Carta de responsabilidad '' @btención de in&ormación )eneral / Solicitar plan estrat$gico de la EPESA re&erido al 3rea in&orm3tica. = Solicitud del plan in&orm3tico EPESA actuali*ado por sucursal.
de
+. Solicitar actas de reuniones relacionadas con la toma de decisiones de )erencia sobre temas tecnológicos e in&orm3ticos y de seguridad lógica y &ísica de algunos periodos. 0. Documento de constitución de comit$ in&orm3tico e integrantes ,. Solicitar per&iles de cargos del personal del 3rea in&orm3tica. . Solicitar políticas de in&orm3tica. 1. Documentación de los planes de contingencia# emergencia y seguridad de la
@bserv
esp
Cobi t
'S@ =1---
5 Universidad de Santiago de Chile Facultad de Administración y Economía. Departamento de Contabilidad y Auditoria gestión y servicios in&orm3ticos. B. Actas de los !ltimos + meses de las sesiones del Comit$ de in&orm3tica. . Solicitar los presupuestos de los planes in&orm3ticos reali*ados y a reali*ar. /-. Solicitar políticas y procedimientos de compras de los soportes in&orm3ticos yo tecnológicos.
//. Solicitar inventarios de computadores personales# so&tare y redes de comunicación. /=. Solicitar in&orme t$cnico de la creación del 3rea de Centro de Procesamiento de Datos. /+. @btener in&ormación sobre la integridad# seguridad# con&idencialidad y con&iabilidad del CPD y la in&ormación entre las sucursales. /0. @tros antecedentes estrat$gicos% in&orm3ticos relacionados con la continuidad y seguridad de las operaciones. /,. Solicitar el dise
Antecedentes legales y normativos8
6 Universidad de Santiago de Chile Facultad de Administración y Economía. Departamento de Contabilidad y Auditoria /. Antecedentes legales (ue regulen la ad(uisición de bienes y servicios computacionales y tecnológicos. =. Solicitar normas internas de elaboración de sistemas. +. Antecedentes legales emitidos por Sernapesca# (ue regulen las restricciones pes(ueras# los cuales a&ecten los presupuestos y gastos. 0. Solicitar normas de metodologías de desarrollo.
9isita en "erreno8 /. >ane7o óptimo de los "' por parte de los usuarios. =. 6a distribución y e&icacia de los servicios computacionales. +. Dotación del personal adecuado y necesario para las operaciones en el 3rea in&orm3tica de la empresa. 0. Estado de los so&tare y hardare de la entidad. ,. Sistemas de respaldos de in&ormación. Procedimientos de Auditoría8 Pruebas Sustantivas8 /. Evaluar la e&iciencia de las políticas desarrolladas para la organi*ación# mane7o# gestión y recursos de "' en la empresa. =. Evaluar la trascendencia del comit$ de in&orm3tica en la administración para evaluar (ue realicen sus labores de &orma e&iciente# e&ica* y óptima. +. 'ndagar la &recuencia de caídas en las
7 Universidad de Santiago de Chile Facultad de Administración y Economía. Departamento de Contabilidad y Auditoria comunicaciones# programas# sus modi&icaciones y e2istencia de registros de eventos para saber (ui$n# (u$# cu3ndo# dónde y por(u$ se ocasionaron los &allos. 0. evisar si todas las mantenciones periódicas# contratos de soporte# programas de obsolescencia y e&iciencia del proveedor de conectividad est$n &uncionando correctamente y hayan sido revisados# autori*ados e implementados por el personal competente y correcto# así mantener la integridad de la empresa. ,. >ediante muestreo aleatorio probar (ue los accesos lógicos a los e(uipos e instalaciones sean !nicos para cada empleado# (ue $ste sea apropiado para las &unciones reali*adas por cada uno y resguarde la in&ormación correctamente# impidiendo la malversación de datos importantes para la continuidad de la empresa# consecuencia de con&lictos de intereses de sus miembros.
Pruebas de Cumplimientos8 /. 9eri&icar (ue e2istan las políticas de ad(uisición de nuevas tecnologías (ue est$n documentadas y sean conocidas tanto por el departamento de in&orm3tica como para el 3rea (ue autori*a la salida del dinero# así no incurrir en gastos innecesarios y su transparencia en las compras de las tecnologías para cada proyecto# comprobando así su adecuado cumplimiento. =. @bservación# revisión de la estructura y acceso del lugar &ísico donde se encuentra la sala cero para evitar da
8 Universidad de Santiago de Chile Facultad de Administración y Economía. Departamento de Contabilidad y Auditoria todos los casos sean autori*ados# completos y e2actos para asegurar el cumplimiento de los &lu7ogramas establecidos en la empresa. 0. 9eri&icar la e2istencia de un plan estrat$gico y su aplicación en el 3rea de in&orm3tica para la gestión de recursos de "' con sus estrategias y prioridades del negocio. Adem3s# a trav$s de entrevistas comprobar (ue son conocidas y aplicadas por todo el personal necesario. ,. 9eri&icar si todos los activos "' est$n debidamente certi&icados y documentados acorde a las normativas in&orm3ticas y legislativas vigentes para así evitar multas o &allas de los e(uipos computacionales. . 9eri&icar (ue la empresa posea un sistema de seguimiento de incidentes (ue asistan a los usuarios de los sistemas de in&ormación ayudando a asegurar la calidad del so&tare integrado en la empresa. eali*ando preguntas concretas veri&icar adem3s (ue las personas (ue lo mane7an conó*canlos códigos y sus procedimientos. 1. Comprobar la e2istencia# aplicación y cumplimiento de manuales yo controles preventivos# detectivos y correctivos &rente a siniestros y eventos en torno al 3rea de in&orm3tica# asegurando los datos de m3s relevancia en el momento de un catastro (ue pueda ser per7udicial para la entidad. B. Comprobar (ue e2iste una estructura organi*acional# conocida por los empleados# con sus respectivos niveles de autoridad en el 3rea de in&orm3tica mediante la observación en terreno de las di&erentes plantas y controles individuales# para así evitar la mala segregación de &unciones y
Universidad de Santiago de Chile Facultad de Administración y Economía. Departamento de Contabilidad y Auditoria comunicación interna en la organi*ación. . Comprobar si e2iste y se cumple un reglamento interno de traba7o y manual de seguridad# los cuales son re(ueridos por instituciones reguladoras. /-. Evaluar el adecuado cumplimiento de la metodología de desarrollo de sistemas# especialmente en la con&ección del dise
Pruebas analíticas /. >ediante la comparación de in&ormes de auditorías de sistemas de in&ormación de a
! " Universidad de Santiago de Chile Facultad de Administración y Economía. Departamento de Contabilidad y Auditoria
Preparación 'n&orme Preliminar /. =. +. 0. ,. .
@b7etivo )eneral @b7etivos Especí&icos. Alcance de la Auditoria >etodología aplicada @pinión )eneral @bservaciones detalladas con debilidades y recomendaciones 1. Conclusión.
