UNIVERSIDAD DEL QUINDÍO FACULTAD DE INGENIERÍA PROGRAMA DE INGENIERÍA DE SISTEMAS Y COMPUTACIÓN AUDITORÍA A MERCAPLAZA AUTOSERVICIO Auditores: 1. 2. 3. 4.
Oscar D Oscar David Zuluaga Zuluaga Natal atalia Cardona Paula ula A ndrea Vargas Laura Alejandra Al ejandra Pinill ini llaa
cc. cc. 1.094.883.116 cc. cc. 1.096.033.706 cc. cc. 1.094.905.921 cc. cc. 1.094.906.272
Objetivos de la Auditoria Objetivo General R eal ealizar una auditoría ditoría informá informática tica al supermercado upermercado Mercaplaza autoservicio que qu e permita a través de l a recol recolección, agr upación upación y evalu evaluación ación de evidencias, determinar si l a emp empresadesarroll resadesarrollaa actividades l as cuales persigu ersiguen mantener l a integridad de l os datos, el cumplimiento plimiento eficaz de l os objetivos de l a organización, el uso eficiente de los recu recursos, entre otras, que que afecten o puedan pu edan afectar a futuro el desemp desemp eño y resul resultados tados obtenidos de l a misma. misma. Se S e pretende evalu evaluar ar llos flujos lujos de información y el uso u so de l os recu recursos, basad as ados os en el conocimiento y en la aplicación pl icación de métodos y metodol metodo logías (como p or ejempl ejemplo o el COBIT) l os cuales permitan establ establecer l os cambios que que se deberían real realizar como izar como estrategia y plan plan preventivo p ara el cumplimiento pl imiento de su misión y sus objetivos. objetivos.
Objetivos Específicos
Determinar si l as normativas general generales e informáticas de la organización son adecu adecuadas, así se asegu asegurará la integridad y segu seguridad de los datos. datos.
valuar ar si si Evalu
Vigil igi lar y ar y emitir recomendaciones emitir recomendaciones quefaci quefacilliten el cumplimiento plimiento de los fines de l a organización, esp especial ecialmente su misión y sus objetivos. objetivos.
Velar p ar por l or l a existencia de mecanismos de control contro l , determinar si determinar si estos son adecu adecuados para el cumplimiento plimiento de l os objetivos y/o y/o estrategias que que pueden pu eden poneren riesgo la misión de l a organización, establ estableciendo l os cambios que que se l e deberían real realizar a izar a los mismos. mismos.
Recomendar l ecomendar la impl im plementación ementación o modificación de normas, políticas, procedimientos, control controles, etc. etc.
Recomendar directrices que que permitan el manejo eficaz y eficiente de l os recu recursos de la organización, de tal tal manera que qu e se asegu asegure l a confiabil confiabilidad, integridad y segu seguridad de l a información. información .
Aplicar Aplicar metodol metodo logías como el COBIT que que nos orienten de forma organizada en l a detección de áreas a mejorar, basándonos en ello, ll o, para imp im partir l artir l as recomendaciones que que sean necesarias basados en l a evidencias recol recolectadas. ectadas.
Prop roporcionar un anál análisis, evalu evaluaciones, aciones, recomendaciones, asesoría e información rel relacionada con las actividades revisadas. revisadas .
existen y si son adecu adecuados l os control contro les y procedimientos procedimientos manejados al interior de l a organización
F c
a
r
1. Auditor der Laura
ea
ra Pini a Buitra
cc. .094.906.272
Repre entar iderar guiar al equip auditor a alar la e idencia la auditor ia.
Establecer junto
cor dar con el cliente para que la infor ación los espacios requer idos por par te del equipo auditor respecto a la or g anización, puedan ser adquir idos, de tal manera que se le asegure al equipo auditor el acceso a la infor mación necesar ia para la realización de un adecuado pr oceso de auditor a.
Apr obar
Velar porque
Preocupar se porque la infor mación recolectada sea veraz, opor tuna recomendaciones per tinentes de la auditor ia.
Revisar apr obar continuamente los papeles de trabajo, para que la infor mación recolectada sea apr opiada en el alcance el tipo de auditor a que la evidencia recolectada sea acor de con lo planteado en los papeles de trabajo.
Tomar decisiones
Planear reuniones con los auditores que hacen par te del pr o ecto, así hacer posible llegar a conclusiones de las par tes auditadas.
Velar porque
Apo
Identificar apr obar junto con el equipo auditor las áreas de mejora potencial.
los resultados obtenidos pr oducto de
al cliente el alcance de la auditor ia
todo tipo d e documentos pr oducto de la auditor ia, desde la definiciones d e objetivos recolección administración de evidencias, hasta el infor me final de auditor a.
alcance,
el cumplimiento del cr onograma planteado para la auditor ia culmine satisfactor iamente en las fechas estipuladas. clara para justificar las
per tinentes junto con el equipo auditor , en la for ma como es recolectada la infor mación, de tal manera que se obser ven, estudien e involucren opor tunamente las áreas deter minadas en el alcance de la auditor ia.
el alcance de la auditor ia sea cumplido como fue pactado inicialmente.
ar trabajar junto al equipo auditor en todas las actividades que involucre la auditor ia infor mática.
2.
Auditores
Oscar avid uluaga Natalia ar dona Paula Andrea Var g as
cc. .094.883.116 cc. 1.096.033.706 cc. 1.094.905.921
Auditar todos
Descr ibir claramente
Llenar los
Ver ificar
Ver ificar que
Asegurar se
Preocupar se porque la relación e istente entre papeles de trabajo no sea ambigua o equivocada, velar por el buen pr oceso de auditor í a, uso de metodologí as pr ocedimientos.
Asegurar que
Asegurar se
Par ticipar en la definición de objetivos, delimitación de la auditor ia, presentación del infor me de auditor í a demás decisiones actividades del equipo auditor.
Evaluar los
Evaluar la
los pr ocesos involucrados dentr o del pr o ecto, recolectando evidencia per tinente para las futuras conclusiones o recomendaciones. todos los aspectos involucrados en la auditor ia calificarlos de acuer do a la evidencia adquir ida, ver ificando la e istencia la aplicación de los pr ocesos, contr oles, nor matividad de la empresa. papeles de trabajo de for ma adecuada de tal for ma que la infor mación obtenida sea lo más completa posible. la e istencia de reglamento, pr ocedimientos, contr ol pr oceso de auditor í a. los papeles de trabajo sea clar os cumplan a cabalidad con la realidad.
demás que pue dan involucrar se en el
debidamente diligenciados
que los aspectos evaluados
que la auditor ia no salga de lo limitado o pactado
dentr o del pr oceso de auditor í a se estén haciendo uso de modelos, nor mas, estándares de tal for ma que todo ello afecte positivamente la especificación de las conclusiones. que la documentación sea completa deben sopor tar la evaluación de chequeo.
opor tuna, además las evidencias deben ser acor des
pr ocesos infor máticos de la empresa.
gestión de la empresa, según el alcance de la auditor ia, or ientadas a mejorar la gestión.
de esta manera emitir sugerencias
Fina idad de a Auditoria La
auditor ia tiene por finalidad ayudar a la gerencia general en el cumplimiento de sus funciones, responsabilidades, pr oporcionándole en base a la evidencia recolectada una evaluación a par tir del análisis, que per mita pr oveer recomendaciones y todo tipo de comentar ios per tinentes sobre los pr ocesos e aminados. a.
Ver ificar que se
haga uso de métodos tanto lógicos como físicos que aseguren la integr idad y segur idad de los datos manejados por la empresa.
b. Revisar que dentr o de la empresa se haga buen uso de los medios tecnológicos como estrategia para ir tras el cumplimiento de sus objetivos.
Alcance de la Auditoria Tomando
como modelo el OBIT los pr ocesos a ser auditados en el super mercado Autoser icio del municipio de Tebaita en el Depar tamento del Quindio son:
ercapla a
AI 2 Adquisición y mantenimiento del
oftware e infraestructura tecnológica AI 3 Adquisición y mantenimiento de la infraestructura tecnológica DS5 Garantizar la segur idad del Sistema. DS9 Administración de los datos. DS9 Administración de la onfiguración DS11 Administración de las Instalaciones
ada uno corresponde a los pr ocesos que serán auditados en Mercapla a Autoser icio. Donde AI. Adquisición e Implementación y DS.
Prestación y Sopor te
Cronograma Actividad
Pr imer encuentr o entre el equipo auditor y el auditado. Reunión Inicial Dise
o de las papeles de trabajo ( uestionar io de contr ol Inter no, Guí as de auditor í a y listas de ver ificación o chequeo). a Mercapla a a utose rvi cio para recoger evidencia a través de los papeles de trabajo dise ados previamente. Reunión del equipo auditor para analizar la evidencia recolectada y ver ificación de los papeles de trabajo por par te del auditor líder. Realizar las cedulas de hallazgo o comentar io según la reunión y la evidencia recolectada Visita
Revisión de los h allazgos y comentar ios planteados y desarr ollo del infor me final Reunión final en Mercaplaza autoser vicio.
oviem re de 20 10
15 16 17 18 19
20 22 23
cursos
Re
Los recur sos que serán
-
utilizados durante el desarr ollo de esta auditor ía son:
El
modelo OBIT que ser virá como guí a para deter minar los pr ocesos a ser evaluados y super visados dentr o de la auditor ia. Los papeles de trabajo que nos ayudaran a definir y encaminar los aspectos que serán evaluados en la auditor ia, teniendo en cuenta la infor mación suministrada por las per sonas de la empresa y por la obser vación.
-
ados esperados
Result
Desde
nuestr o punto de vista como ingenier os de sistemas y basándonos en los conocimientos sobre modelos como el OBIT y EL MECI, esperamos desarr ollar una estrategia durante el pr oceso de auditor ía que nos per mita recolectar la suficiente evidencia que sir va de sopor te para analizar y con ello generar las obser vaciones y sugerencias per tinentes a la empresa en cuanto al manejo de los recur sos tecnológicos, con el fin de dejar planteadas inquietudes que pueden ser mejoradas por la misma con el fin de optimizar sus pr ocesos en pr o del cumplimiento de sus objetivos y su misión.
Actividades a realizar Las
actividades a realizar durante el pr oceso de auditor ía a Mercapl aza autoservicio son: 1. 2. 3. 4.
5. 6. 7.
Reunión Inicial en Mercaplaza autoservicio. Elaboración de los papeles de los papeles de trabajo que ser virán de sopor te para recolectar la evidencia per tinente. Visita a la Empresa Mercaplaz a autoservicio con el fin de llenar las listas de ver ificación y chequeo desarr olladas en base al alcance que tendrá la auditor ia. Revisar y apr obar por par te del auditor líder la per tinencia de la infor mación recolectada Analizar la infor mación recolectada y emitir en base a la evidencia, recomendaciones o sugerencias a la empresa Mercaplaza autoservicio. Realizar el infor me Final de Auditor i a Reunión final en la empresa Mercaplaza autoservicio.
UNIVERSIDAD DEL QUINDIO FACULTAD DE INGENIERIA PROGRAMA DE INGENIERIA DE SISTEMAS Y COMPUTACION
INFORME FINAL DE AUDITORIA
Motivo La auditoria tiene por finalidad ayudar a la gerenciageneral en el cumplimiento de sus funciones, responsabilidades, proporcionándole en base a la evidencia recolectada una evaluación a partir del análisis, que permita proveer recomendaciones y todo tipo de comentarios pertinentes sobre los procesos examinados. a. Verificar que se aga uso de métodos tanto lógicos como físicos que aseguren la integridad y seguridad de los datos manejados por la empresa. b. Revisar que dentro de la empresa se aga buen uso de los medios tecnológicos como estrategia para ir tras elcumplimiento de sus objetivos.
Objetivo Realizar una auditoría informática al supermercado Mercaplaza autoservicio que permita a través de la recolección, agr upación y evaluación de evidencias, determinar si la empresa desarrolla actividades las cuales persiguen mantener la integridad de los datos, el cumplimiento eficaz de los objetivos de la organización, el uso eficiente de los recursos, entre otras, que afecten o puedan afectar a futuro el desempeño y resultados obtenidos de la misma. Se pretende evaluar los flujos de información y el uso de los recursos, basados en el conocimiento y en la aplicación de métodos y metodologías (como por ejemplo el COBIT) los cuales permitan establecer los cambios que se deberían realizar como estrategia y plan preventivo para el cumplimiento de su misión y sus objetivos.
Alcance Tomando como modelo el COBIT los procesos a ser auditados en el supermercadoMercaplaza Autoservicio del municipio de Tebaita en el Departamento del uindio son:
AI 2 Adquisición y mantenimientodel Software e infraestr uctura tecnológica AI 3 Adquisición y mantenimiento de la infraestr uctura tecnológica DS5 Garantizar la seguridad del Sistema. DS9 Administración de los datos. DS9 Administración de la Configuración DS11 Administración de las Instalaciones
Cada uno corresponde a los procesos que serán auditados enMercaplaza Autoservicio. Donde AI. Adquisición e Implementación y DS. Prestación y Soporte
Resultados NOTA: Mercaplaza autoser vicio hace uso del sistema llamado RENTAPOS.
Aspectos positivos El
sistema per mite la creación de diferentes cuentas para que estas sean utilizadas por los empleados al inter ior de la or ganización El acceso al sistema requiere de nombre de usuar io y contrase a Las cuentas del sistema según el r ol poseen deter minados ser vicios activos. El sistema pr ovee infor mación como hora, fecha, nombre de usuar io y demás al momento de efectuar se un registr o en el sistema. Este tipo de infor mación puede ser vital para la or ganización. Los registr os de las ventas y los datos de inventar ios almacenados en la base de datos son utilizados como medio para conocer la demanda de los pr oductos. Son realizadas copias de segur idad diar iamente, sin embar go estas deben ser e traídas del ser vidor , prefer iblemente en medios e traíbles, con su respectiva clave de acceso y etiquetados de for ma estándar para su fácil encontrabilidad. Son utilizados lectores electr ónicos de códigos de barras, lo cual reduce los err ores al registrar los pr oductos (ya sea para inventar io o venta). Se utilizan cámaras como medio de segur idad, sin embar go debe quedar evidencia de las mismas, para detectar posibles anomalí as y con ello desarr ollar estrategias necesar ias.
Aspectos a mejorar NOTA: Como infor mación general de la empresa fue solicitado la Misión, Visión y or ganigrama,
per o se desconoce su ubicación dentr o de la documentación.
Desarr ollar políticas
donde la empresa e ija y requiera de una planificación para evaluar los requer imientos funcionales de los sistemas que serán implementados en ocasiones futuras e igualmente para eventuales actualizaciones en la infraestructura tecnológica de la or ganización. Desarr ollar pr ocedimientos que e ijan que sean realizados per iódicamente mantenimientos preventivos físicos y lógicos a la infraestructura tecnológica de la or ganización. Desarr ollar un mantenimiento correctivo al sistema (en donde dentr o de los cambios a realizar se considere el doble ingreso de los precios en los pr oductos). Desarr ollar un plan que per mita evaluar si se cumplen o no condiciones físicas que per mitan pr oteger la infraestructura tecnológica de la or ganización y con ello desarr ollar un plan de mejoramiento que per mita evitar posibles anomalí as futuras. (reestructuración en la distr ibución y ubicación de recur sos tecnológicos.) Definir políticas para que la infraestructura tecnológica y los sistemas sean constantemente evaluados y sean aplicadas las correcciones per tinentes, teniendo en cuenta siempre los requisitos del negocio y los planes de e pansión del mismo. Definir políticas para que se realicen per iódicamente mantenimientos preventivos lógicos y físicos de toda la infraestructura tecnológica de la or ganización.
Definir políticas
que aseguren que per iódicamente sean realizadas copias de segur idad, que estas requieran de clave para su lectura y escr itura, además que sean realizadas en medios e traíble, etiquetadas de for ma estándar y almacenadas en un lugar segur o. Implementar políticas que impliquen el uso de pr ocedimientos o estrategias para mantener contr ol sobre el inventar io de los recur sos tecnológicos de la or ganización - Grabación de los videos, copias de segur idad y almacenamiento - Minutas de inventar ios que involucren los recur sos tecnológicos. Incorporar dentr o del per sonal un car go que se ocupe de administrar los recur sos tecnológicos de la or ganización - Monitoreo de los recur sos tecnológicos - Desarr ollo de planes de mejoramiento tanto en la infraestructura física como lógica - Administración de los datos (copias de segur idad, acceso a la infor mación) - Otras que se crean consideradas como per tinentes según los requer imientos del negocio.
Auditores:
Natalia Cardona cc. 1.096.033.706
Paula Andrea Vargas cc. 1.094.905.921
Auditor der:
Laura
Alejandra Pinilla Buitrago cc. 1.094.906.272
Oscar David Zuluaga cc. 1.094.883.116