FACULTAD DE CIENCIAS CONTABLES O

AUDITORIA FINANCIERA

AUDITORIA Y CONTROL DE SISTEMAS DE

INFORMACION
MEMORANDUM DE PLANIFICACION DE
AUDITORIA
INTEGRANTES:

Jorge Leigue Vaca

Vidal Fernández zamorano

DOCENTE: MARIO PINTO

 Empresa:

Informe de Auditoría de la
Seguridad del Sistema de
Información

De la Empresa: <TERBOL S.A.>

Experto/a auditor/a encargado del proyecto :…………………………………

Firma: …………………………….
 Informe de Auditoria de la seguridad de la Información del
Sistema de Información
Santa cruz 07 de Julio 2022

Gerencia General

Empresa Terbol S.A.

Presente. -

Hemos Auditado la seguridad de la información del sistema de Información de la Empresa Terbol

S.A.

De acuerdo a carta enviada, con el objeto de evaluar y analizar el uso y funcionamiento del
sistema de seguridad de la Información de la empresa, los hechos presentes en el área, así como el
uso, mantenimiento y programación del sistema son responsabilidad de los trabajadores de la
empresa respectivamente.

Hemos conducido la auditoria de acuerdo a las normas y guías de auditoria del sistema de
información.

emitidas por la Asociación de Auditorias y Control de Sistemas de Información por sus siglas en
inglés (ISACA) y los lineamientos de las normas Internacionales de Auditoria (NIAS). Adoptando
Normas generales para la ejecución de nuestro trabajo. Estas normas requieren planear y efectuar
el proceso de auditoría para obtener seguridad razonable con el propósito de informar si los
hechos a revisar presentan riesgos significativos.

Esta evaluación incluye pruebas selectivas utilizadas para respaldar situaciones de los hechos.
Consideramos que la auditoria suministra una base razonable para nuestra opinión.

 Se realizó una revisión general del ambiente de la información para conocer el estado
actual de la seguridad del Sistema de Información.
 Se evaluó el servicio de la seguridad de información de acuerdo a cuestionarios de estudio
o seguimiento.

Es responsabilidad de la Administración de la Empresa Terbol S.A.

El seguimiento y ejecución de las recomendaciones.

Atentamente,

Jorge Leigue Vaca

 Auditoria Externa
Confidencialidad del Documento

Este documento es confidencial y su confidencialidad consiste en:

- La no divulgación de dicha información confidencial a terceros,

- La no reproducción de la llamada información confidencial, excepto con el

acuerdo del organismo auditado,

- No beneficiar ni transmitir a terceros el contenido de esta información en

términos de conocimientos técnicos,

- Considerar toda la información relativa a la producción y el sistema de

información del organismo auditado declarada Confidencial.
OBJETIVO DE LA AUDITORIA

 El objetivo de la auditoria es revisar y evaluar la seguridad de la Información del

sistema de Información de la empresa.

Objetivos Específicos

 Planificar la auditoria que permita identificar las condiciones actuales de la

seguridad de información del sistema de información.

 Aplicar los procesos de auditoria teniendo en cuenta el COBIT como herramienta

de apoyo en el proceso de inspección de los Sistemas de seguridad física y lógica
de la empresa.
 Verificar la confidencialidad del sistema de información.

 Analizar y evaluar los controles y la seguridad de los sistemas de información

 Identificar las soluciones para la construcción de planes de mejoramiento a la

seguridad de la información del sistema de información de acuerdo a los
resultados obtenidos en la etapa de aplicación de la auditoria.

Alcance

Nuestro examen comprendió el análisis de la seguridad de la información del sistema de

información que maneja la empresa tales como software, información, base de datos
además del funcionamiento del control interno de la empresa.

Procedimientos

1.-Solicite los siguientes documentos a la empresa:

 Organigrama y manual de funciones.
 Políticas, estándares, normas y procedimientos
 Plan de Seguridad y continuidad
2.- Diseñe y aplique un cuestionario a las áreas que intervienen y tienen acceso a los
sistemas de información.

3.- En base al cuestionario aplique pruebas de cumplimiento a las respuestas positivas y

diseñe la planilla de deficiencia para las respuestas negativas.

4.- Evalué el conocimiento y preparación del personal acerca del manejo del sistema de
información.

5.- Realice entrevistas al personal del área, así mismo a los encargados y a los usuarios del
sistema de información.

6.- Analicé y evalué las claves y/o contraseñas de acceso al sistema de los diferentes
usuarios.

7.- Solicite el informe técnico del experto sobre la valoración de los riesgos del sistema de
información de seguridad física y lógica.

8- En base a los resultados obtenidos de los puntos anteriores prepare un informe inicial o
preliminar con respaldo correspondiente.

Hallazgos

 El personal no tiene claridad acerca de las políticas de seguridad de la Información

con las que cuenta la empresa.

 No existe un control preventivo sobre el sistema de información.

 Según el análisis realizado hemos encontrado falencias, en la actualización de

Usuarios y contraseñas

 La empresa no cuenta con un manual instructivo para el uso del software

informático.
  Los activos de Información no se encuentran bien resguardado, ni con copias de
almacenamiento lo cual representa una situación crítica para el sistema de
seguridad de la información (SGSI).

Conclusiones

Derivado de la revisión de los procedimientos y normativa interna y tomando en

consideración los riesgos detectados, se obtuvieron las siguientes conclusiones:

Durante el desarrollo de esta auditoría, podemos observar que en la empresa TERBOL las
tecnologías de información no han sido controladas por su Órgano de Control Interno, y debido a
la creciente dependencia de toda organización en su activo informático más importante “ la
seguridad de información”, ésta debe ser correctamente gestionada, controlada y asegurada por
medio de controles que prevengan la ocurrencia de situaciones de riesgo para la organización y
que a su vez asegure su integridad, disponibilidad y confidencialidad tanto de los datos como de
los procesos, asimismo, contar con mecanismos de recuperación.

Recomendaciones

 Se recomienda reforzar las herramientas básicas de seguridad de la información.

 Se recomienda que el área de sistema programe medidas en la cual mensualmente
o trimestralmente el sistema le solicite al Usuario la Actualización de la clave de
acceso.
 Se recomienda capacitar a los empleados acerca de las políticas de seguridad de la
información, con las que ya cuenta la empresa para garantizar el cumplimiento de
la misma.
 Se deben actualizar de los permisos de los Usuarios de acuerdo al cargo que
desempeñan, también se debe desactivar los permisos de aquellos Usuarios que ya
no se encuentran dentro de la empresa.
 Considerar la recomendación que han realizado en las auditorias anteriores para
realizar el análisis, evaluación de los riesgos encontrados, establecer un sistema de
 control adecuado al sistema de información y trabajar en la documentación del
proceso.

MEMORANDUN DE PLANIFICACION DE AUDITORIA

ANTECEDENTES

Terapéutica Boliviana S.A. (TERBOL) nace en Santa Cruz de la sierra, Bolivia, en 1980 como
un resultado de un emprendimiento familiar y la revisión de un grupo de profesionales
que mantuvieron durante años el claro objetivo de fabricar los productos terapéuticos y
medicinales de alta calidad para el consumo de la población a precios competitivos. Desde
sus inicios, TERBOL mantiene su razón social como TERAPEUTICA BOLIVIANA S.A.
TERBOL posee actualmente más de 250 empleados, tiene como marca su nombre propio y
una imagen muy especial para nuestra empresa.
En la actualidad TERBOL y sus nuevos proyectos mantienen firme la idea de invertir en el
país, consolidando la industria farmacéutica nacional con una apreciación tecnológica
creciente con el fin de satisfacer la demanda interna y regional.

OBJETIVO GENERAL

El objetivo de la auditoria es revisar y evaluar la seguridad de la Información del sistema

de Información de la empresa.

OBJETIVOS ESPECIFICOS

 Planificar la auditoria que permita identificar las condiciones actuales de la

seguridad de información del sistema de información.

 Aplicar los procesos de auditoria teniendo en cuenta el COBIT como herramienta

de apoyo en el proceso de inspección de los Sistemas de seguridad física y lógica
de la empresa.

 Identificar las soluciones para la construcción de planes de mejoramiento a la

seguridad de la información del sistema de información de acuerdo a los
resultados obtenidos en la etapa de aplicación de la auditoria

 Verificar la confidencialidad del sistema de información

 Analizar y evaluar los controles y la seguridad de los sistemas de información

ALCANCE:

Nuestro examen comprenderá del análisis de la seguridad de la información del sistema

de información que maneja la empresa tales como software, información, base de datos
además del funcionamiento del control interno de la empresa.

Los puntos a evaluar serán los siguientes:

Del software se evaluará:

 si cuenta con licencia sus programas

 si cuenta con programas de antivirus
 si cuentan con software actualizados
De la información se evaluará:

 Si cuenta con licencia el programa

 Si cuenta con programa de antivirus
 Si cuenta con software actualizados

Recursos humanos

La auditoría se realizará por una comisión de auditores especializados en sistemas con

asesoría y supervisión metodológica.

Dicha comisión está conformada por los siguientes profesionales:

NOMBRE Y APELLIDO CARGO

Vidal Fernández Auditor
Jorge Leigue Experto
Evo Morales Asesora legal
Angélica Sosa Directora general

Recursos financieros

la comisión tendrá los siguientes honorarios:

NOMBRE Y APELLIDO PRESUPUESTO EN BS

Vidal Fernández 6.000
Jorge Leigue 7.000
Evo Morales 7.000
Angélica Sosa 7.000

TOTALES 27.000

Presupuesto del tiempo

La planificación del tiempo para la auditoria es la siguiente:

NOMBRES Y Cargo Planificación Ejecución Informe TOTAL

APELLIDOS en Hrs. en Hrs en Hrs Hrs
Vidal Fernández Auditora 12 24 18 54
Jorge Leigue Experto 12 24 33
Evo Morales Asesor 6 6
legal
Angélica Sosa directora 6 3

TOTALES 36 48 18 102
 PROGRAMA DE AUDITORIA

EMPRESA: TERBOL Hecho por: REF:

AUDITORIA: A la Seguridad de la Información Fecha:

AREA: Informática

OBJETIVO GENERAL

El objetivo de la auditoria es revisar y evaluar la seguridad de la Información del sistema

de Información de la empresa

PROCEDIMIENTO REF HECHO FECHA

PT POR

1.- Solicite los siguientes documentos a la empresa:

 Organigrama y manual de funciones.

 Políticas, estándares, normas y procedimientos
 Plan de Seguridad y continuidad

2.- Diseñe y aplique un cuestionario a las áreas que

intervienen y tienen acceso a los sistemas de información.

3.- En base al cuestionario aplique pruebas de cumplimiento

a las respuestas positivas y diseñe la planilla de deficiencia
para las respuestas negativas.

4.- Evalué el conocimiento y preparación del personal acerca

del manejo del sistema de información.

5.- Realice entrevistas al personal del área, así mismo a los

encargados y a los usuarios del sistema de información.

6.- Analicé y evalué las claves y/o contraseñas de acceso al

sistema de los diferentes usuarios.

7.- Solicite el informe técnico del experto sobre la valoración

de los riesgos del sistema de información de seguridad física
y lógica.

8- En base a los resultados obtenidos de los puntos

anteriores prepare un informe inicial o preliminar con
respaldo correspondiente.
 CUESTIONARIO DE AUDITORIA
EMPRESA:
FUNCIONARIO:
CARGO: FECHA
N° PREGUNTA SI NO NA OBSERVACION
¿La empresa cuenta con un
1 departamento de Informática?
¿Se ejerce un control preventivo del
2 sistema informático de la empresa
¿Cuenta el sistema con claves de
3
seguridad?
¿Existe un periodo máximo de vida de
4
las contraseñas?
¿Se realiza un adecuado
5 mantenimiento al sistema
informático?
¿Se mantiene en vigilancia las 24
6
horas al departamento informático?
¿Existe un instructivo para el uso del
7
software informático?
¿El sistema cuenta con el personal
8 técnico que ayude cuando se
produzcan inconvenientes?
¿Se cuenta con copias de los archivos
9 en un lugar distinto al de la
computadora?
¿Los interruptores de energía están
10 debidamente protegidos, etiquetados
y sin obstáculos para alcanzarlos?
¿Existe el personal de vigilancia en la
11
institución?
¿Son controladas las visitas en el
12 centro de cómputo?
¿El personal cuenta con al menos una
13 computadora para desempeñar su
trabajo?
¿Se actualiza al personal
14 periódicamente ante algún cambio en
el sistema?
¿Se cuenta con licencia oficial y
15
actualizada de los antivirus?
PLANILLA DE DEFICIENCIA

CONDICION CRITERIO CAUSA EFECTO RECOMENDACIÓN DISPOSICION

DE
AUDITORIA
1.- Se ha Por afectar el Se recomienda a
evidenciado desconocimiento sistema de gerencia general a
que no existe del funcionario seguridad tomar medida en
un control en temas de física y lógica. cuanto a
preventivo control implementar
sobre el preventivo. controles de
sistema del seguridad para
software y poder
hardware. salvaguardar los
bienes
informáticos de la
entidad.
2.- Se ha Por No tener un Se recomienda a
evidenciado desconocimiento control claro gerencia general
que no existe del funcionario sobre la tomar medidas en
un periodo de en temas de importancia de cuanto al personal
actualización actualización del las responsable del
de los usuarios sistema actualizaciones área de sistema.
y contraseñas. informático. puede afectar
al sistema,
debe
actualizarse
cada 6 meses.
3.- Se ha Por Demora en el Se recomienda a
evidenciado desconocimiento aprendizaje de gerencia elaborar
que no existe del funcionario los nuevos un manual de
un instructivo en temas de funcionarios procedimientos o
para el uso del elaboración del que instructivos del
software manual de aprenderán uso del sistema
informático. procedimientos empíricament informático.
e instructivos. e además de la
posibilidad de
cometer
errores por el
mal manejo.
4.- Se ha Por Está afectando Se recomienda a
evidenciado desconocimiento la seguridad gerencia general
que no cuenta del encargado física y lógica de exigir a los
con copias de de sistema de de la funcionarios
los archivos en crear una copia institución. encargados de
un lugar de seguridad de sistema crear una
distinto de las los datos más copia de
computadoras importantes. seguridad de los
. datos lo más
pronto posible
5.- Se ha Por Aumenta la Se recomienda a
evidenciado desconocimiento probabilidad gerencia general
que el del funcionario de error en el tomar medidas en
personal en temas de trabajo de los cuanto al personal
carece de actualización del funcionarios responsable del
capacitación personal en el además de área de sistema.
y/o manejo del realizar el
actualización sistema trabajo
ante cualquier informático.
modificación
en el manejo
del sistema de
información.
PRUEBAS DE CUMPLIMIENTO

Prueba de cumplimiento N°1

Se ha evidenciado que la empresa cuenta con un departamento de informática o centro de

procesamiento de datos (CPD). Se verifico que el CPD cuenta con un equipamiento aceptable y
está en un área específica separada de las demás con toda las medidas y condiciones
recomendables para evitar el sobrecalentamiento de los procesadores.

Prueba de cumplimiento N°2

Se logró evidenciar que el sistema cuenta con claves de seguridad para cada usuario
independientemente y los mismos se recomiendan, alternado datos alfanuméricos lo que eleva la
seguridad de las mismas.
Prueba de cumplimiento N°3

Se pudo evidenciar que existe un adecuado mantenimiento al sistema informático cada 3 meses,
además de realizar mantenimiento periódico cada 6 meses a los equipos de computación de todo
el personal. Además, que el personal realiza limpieza superficial a sus equipos (monitor, mouse,
teclado) cada semana debido a la acumulación acelerada de polvo en el ambiente.
Prueba de cumplimiento N°4

Se pudo evidenciar que se mantiene en vigilancia las 24 hrs al sistema informático o CPD mediante
cámaras colocadas en un extremo del pasillo y en direcciones opuestas las cuales brindan una
excelente vista del ingreso al CPD y cámaras dentro de la habitación asignada al CPD.

Prueba de cumplimiento N°5

Se pudo evidenciar que la empresa cuenta con el personal técnico que ayuda cuando se producen
inconvenientes y realizan una oportuna intervención. Los inconvenientes más comunes son: la
caída del sistema informático.
Prueba de cumplimiento N°6

Se pudo evidenciar que el sistema de interruptores de energía y sus elementos se encuentran

debidamente protegidos, etiquetados y sin obstáculos para alcanzarlos en caso requieran ser
cambiados. Cuentan con un sistema de desbloqueo con llave al cual solo tiene acceso el encargado
del sistema informático.

Prueba de cumplimiento N°7

Se pudo evidenciar que existe personal de seguridad trabajando en el ingreso de las instalaciones
que se encargan de recepcionar, informar, tomar la temperatura y demás medidas para descartar
el COVID 19, y registrar y controlar el ingreso y salida de todas las personas que transitan en la
empresa.

En el interior observamos que existe otro guardia que se encarga de realizar rondas alrededor de
las instalaciones.
Prueba de cumplimiento N°8

Se pudo evidenciar que son controladas las visitas en el centro de cómputo en lo cual en la puerta
de ingreso a esta área existe un aviso que indica que solo personal autorizado puede ingresar,
además de contar con cámaras en el corredor frente a la entrada al CPD.

Prueba de cumplimiento N°9

Se evidencio que cada funcionario tiene acceso al sistema a través de una computadora de mesa,
los cuales se componen de un CPU, Monitor, Teclado y Mouse. También evidenciamos que cada
departamento cuenta al menos con dos impresoras y una fotocopiadora para uso masivo de
impresiones y fotocopias.
 PRUEBAS SUSTANTIVAS

Prueba N° 1 ¿Se ejerce un control preventivo del sistema informático de la empresa ?

R.- Se ha evidenciado que no existe un control preventivo sobre el sistema del software y
hardware.

Prueba N°2 ¿Existe un periodo máximo de vida de las contraseñas?

R.-Se ha evidenciado que no existe un periodo de actualización de los usuarios y
contraseñas.

Prueba N°3 ¿Existe un instructivo para el uso del software informático?

R.- Se ha evidenciado que no existe un instructivo para el uso del software informático

Prueba N°4 ¿Se cuenta con copias de los archivos en un lugar distinto al de la
computadora?
R.- Se ha evidenciado que no cuenta con copias de los archivos en un lugar distinto de las
computadoras.

Prueba N°5 ¿Se actualiza al personal periódicamente ante algún cambio en el sistema?
R.- Se ha evidenciado que el personal carece de capacitación y/o actualización ante
cualquier modificación en el manejo del sistema de información.
 TABLA DE EVALUACION DE RIESGO

Pruebas
Riesgo Potencial Objetivo de Control Tec. O Proc. De Ctrl. Observaciones
S C
1.-Se ha evidenciado
que no existe un
control preventivo
 A
sobre los sistemas
del software y
hardware.
   
2.-Se ha evidenciado
que No se realiza la
actualización de los
usuarios y  B
contraseñas.

   
 3.-Se ha evidenciado
que no existe un
instructivo para el
 C
uso del software
informático.
   
 4.-Se ha evidenciado
que no cuenta con
copias de los
archivos en un lugar
distinto al de las  D
computadoras.

   
 5.-Se ha evidenciado
que el personal
carece de
capacitación y/o
actualización ante
cualquier
 E
modificación en el
manejo de los
sistemas
informáticos.

   
ANEXO
PRUEBA (A) Se ha evidenciado que no existe un control preventivo sobre los sistemas del software
y hardware.
Tec. O Proc. De Ctrl. –

PRUEBA (B) Se ha evidenciado que no existe un periodo de actualización de los usuarios y

contraseñas.

Tec. O Proc. De Ctrl.

PRUEBA (C) Se ha evidenciado que no existe un instructivo para el uso del software informático.

Tec. O Proc. De Ctrl.

PRUEBA (D) Se ha evidenciado que no cuenta con copias de los archivos en un lugar distinto al de
las computadoras.

Tec. O Proc. De Ctrl. -

PRUEBA (E) Se ha evidenciado que el personal carece de capacitación y/o actualización ante
cualquier modificación en el manejo de los sistemas informáticos.

Tec. O Proc. De Ctrl. –

MATRIZ DE RIESGO

1. Se ha evidenciado que no existe un control preventivo sobre los sistemas de software y

hardware.

MATRIZ DE RIESGO

Riesgo
A M B
Ctrl.

Opinión del Auditor

Riesgo
A M B
Ctrl

B
MATRIZ DE RIESGO

2. Se ha evidenciado que no existe actualización de los usuarios y contraseñas.

MATRIZ DE RIESGO

Riesgo
A M B
Ctrl

Opinión del Auditor

Riesgo
A M B
Ctrl

B
MATRIZ DE RIESGO

3. Se ha evidenciado que no existe un instructivo para el uso del software informático.

MATRIZ DE RIESGO

Riesgo
A M B
Ctrl

Opinión del Auditor

Riesgo
A M B
Ctrl

B
MATRIZ DE RIESGO

4. Se ha evidenciado que no cuenta con copias de los archivos en un lugar distinto al de las
computadoras.

MATRIZ DE RIESGO

Riesgo
A M B
Ctrl

Opinión del Auditor

Riesgo
A M B
Ctrl

B
MATRIZ DE RIESGO

5. Se ha evidenciado que el personal carece de capacitación y/o actualización ante cualquier

modificación en el manejo de los sistemas de información.

MATRIZ DE RIESGO

Riesgo
A M B
Ctrl

Opinión del Auditor

Riesgo
A M B
Ctrl

B
 TABLA DE EVALUACION DE AREAS CRITICAS

PREGUNTAS 100% 80% 60% 40% 20%

Excelencia Bueno Regular Mínimo No Cumple
1.-¿La empresa cuenta con
un Departamento de
informática?
2.-¿Cuenta el sistema con
claves de seguridad?
3.-¿Se realizó un adecuado
mantenimiento al sistema
informático?
4.-¿Se mantiene en
vigilancia al departamento
de informática?
5.-¿El sistema cuenta con
personal técnico que
ayude cuando se
produzcan
inconvenientes?
6.-¿los interruptores de
energía están
debidamente protegidos
etiquetados y sin
obstáculo para
alcanzarlos?
7.-¿Existe personal de
vigilancia en la institución?
8.-¿Son controladas las
visitas en el centro de
cómputo?
9.-¿El personal cuenta con
al menos una
computadora para
desempeñar su trabajo?
10.-¿Se cuenta con licencia
oficial y actualizada de los
antivirus?