Guatemala, 18 de diciembre de 2018

A la Administración de:
Sistemas de Transportes Guatemaltecos, S.A.
Ciudad de Guatemala

Estimados señores:

Agradecemos la oportunidad que se nos brinda para conversar sobre la solicitud de

su empresa, SISTRAGUA, S.A. y sobre lo que ustedes esperan de la firma como
auditores independientes de la Compañía.

Nos complace presentarles nuestro plan de auditoría informática, basado en nuestro

entendimiento del negocio, sus expectativas y análisis de los riesgos claves a nivel
de Software y Hardware; así también, presentar un resumen de nuestro enfoque de
auditoría, informes y programación del trabajo.

El comentar nuestro plan con ustedes garantiza que los miembros de nuestro equipo
de trabajo estén al tanto de sus expectativas, que estemos de acuerdo sobre
nuestras mutuas necesidades y lo que se espera de nosotros para suministrar un
servicio de superior calidad. El enfoque del trabajo refleja nuestro interés respecto
a cubrir los riesgos que afectan a la compañía.

Atentamente,

Roxana García
Socia
G2 & ASOCIADOS AUDITORES
 PLAN DE AUDITORIA INFORMATICA

1.1. ORIGEN DE LA AUDITORIA:

La presente Auditoria se realiza en cumplimiento a la solicitud del Consejo

General de Socios de la empresa de Sistemas de Transporte Guatemalteco, S.A.
(SISTRAGUA, S.A.) Aprobada mediante Resolución de Contraloría N° 235- 2002-
CG del 15 de Diciembre del 2018.

1.2. OBJETIVOS Y ALCANCE

1.2.1. OBJETIVO GENERAL

Revisar y Evaluar los controles, sistemas, procedimientos de informática; de
los equipos de cómputo, su utilización, eficiencia y seguridad, de la
organización que participan en el procesamiento de la información, a fin de
que por medio del señalamiento de cursos alternativos se logre una
utilización más eficiente y segura de la información que servirá para una
adecuada toma de decisiones.

1.2.2. OBJETIVOS ESPECIFICOS

 Evaluar el diseño y prueba de los sistemas del área de Informática
Determinar la veracidad de la información del área de Informática
 Evaluar los procedimientos de control de operación, analizar su
estandarización y evaluar el cumplimiento de los mismos.
 Evaluar la forma como se administran los dispositivos de
almacenamiento básico del área de Informática.
 Evaluar el control que se tiene sobre el mantenimiento y las fallas de
los equipos de cómputo.
 Verificar las disposiciones y reglamentos que coadyuven al
mantenimiento del orden dentro del departamento de cómputo.
 Asegurar la protección y veracidad de la información.
1.3. ANTECEDENTES

Organización: SISTRAGUA, S.A.

Giro de la Empresa: Sector Turístico.

Observaciones: Empresa líder a nivel Centroamericano en el sector turístico

receptivo desde el año 1990, ubicada en la ciudad de Guatemala en la 19
avenida 16-70 zona 10.

Estructura organizativa del departamento de informática a auditar:

 2 Ingenieros en sistemas y telecomunicaciones.
 1 Supervisor
 1 Secretaria

Entorno de operación: Registro y control de la información de toda la

institución.

Entorno de trabajo: Diagnostico, análisis, administración de redes,

administración de material informático, actualización y mantenimiento
general del equipo de cómputo.

Aplicaciones informáticas:
 Creación de bases de datos
 Creación de ficheros
 Altas de servicios de internet
 Administración de página web oficial
 Administración de los servidores
 Diagnóstico de flujo de información.
1.4. ENFOQUE A UTILIZAR

Nuestra estrategia de auditoría inicia con el entendimiento de sus estrategias y

objetivos de negocio. Por medio de discusiones con la alta administración,
entendemos sus objetivos y riesgos. Luego de esto, nos enfocamos en el control de
la función informática, la especulación sobre el manejo de la información indexada
en los servidores de la institución.
La presente acción de control, se realiza de acuerdo con los lineamientos a evaluar
y los métodos, procedimientos y técnicas estadísticas e informáticas amparadas por
las Normas Internacionales de Auditoria (NIA); habiéndose aplicado procedimientos
de Auditoria que se consideraron necesarios de acuerdo a las circunstancias.

1.5. PERSONAL A CARGO DEL AREA A EXAMINAR

Periodo de Gestión
Nombre Cargo Correo
Del Al
José Ángel Rodríguez Supervisor 01.01.18 30.12.18 jangelr@sistragua.com
Jorge Luis Guzmán Ingeniero 01.01.18 30.12.18 jlguzman@sistragua.com
Amílcar Rene López Ingeniero 01.01.18 30.12.18 arenelopezl@sistragua.com
Jennifer García Soto Secretaria 01.01.18 30.12.18 jgarcias@sistragua.com

1.6. CRONOGRAMA DE TRABAJO

PROGRAMA DE AUDITORIA
EMPRESA: SISTRAGUA, S.A.
FASE I ACTIVIDAD HORAS ENCARGADO
VISITA PRELIMINAR
* Solicitud de manuales y documentación
8 Hrs.
* Elaboración de los cuestionarios
*
 Recopilación de la información organizacional:
estructura orgánica, recursos humanos,
presupuestos.
FASE II
DESARROLLO DE LA AUDITORIA
* Aplicación del cuestionario al personal
* Entrevistas a líderes y usuarios más relevantes
Análisis de las clases de acceso, control,
*
seguridad contabilidad y respaldo.
Evaluación de la estructura orgánica:
departamentos, puestos, funciones,
* autoridades y responsabilidades. 32 Hrs.
Evaluación de los sistemas: relevamiento de
* Hardware y Software, evaluación del diseño
lógico y de desarrollo
Evaluación del proceso de datos y de los
equipos de cómputo: seguridad de los datos,
*
control de operación, seguridad, seguridad
física y procedimientos de respaldo.

FASE III
REVISIÓN Y PRE-INFORME
* Revisión de los papeles de trabajo
* Determinación del diagnóstico e implicancias. 16 Hrs.
* Elaboración de Carta de Gerencia.
* Elaboración de borrador.
FASE IV
INFORME
4 Hrs.
* Elaboración y presentación del informe
 DIAGRAMA DE GANTT

Planificación de Auditoria de Sistemas

Plan de Trabajo de la Auditoria del Sistema de la Empresa xxxxxxx Periodo: 1 Duración del plan Inicio real % Completado Real (fuera del plan) % Completado (fuera del plan)

DURACIÓN DEL PORCENTAJE

ACTIVIDAD INICIO DEL PLAN INICIO REAL DURACIÓN REAL PERIODOS
PLAN COMPLETADO
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60
Elaboración de los
25%
cuestionarios 2 2 3 0
Recopilación de la
100%
Información 4 6 9 0
Aplicación de
35%
Cuestionarios 10 5 14 0
Entrevista a Lideres
10%
y Usuarios 15 3 17 0
Analísis de las
85%
Claves de Usuario 18 7 24 0
Evaluación de la
85%
Estructura 25 6 30 0
Evaluación de los
50%
Recursos 31 10 41 0
Evaluación de los
60%
Sistemas 41 12 51 0
Evaluación de
75%
Procesos 20 10 28 6
Evaluación de
100%
Papeles 16 9 24 7
Determinación del
60%
Diagnostico 31 14 46 0
Elaboración de la
0%
Carta 50 3 52 0
Elaboración y
50%
Presentación 54 7 60 0

1.7. DOCUMENTOS A SOLICITAR

Recursos Materiales y Técnicos: Solicitar documentos sobre los equipos,

número de ellos, localización y características.
 Estudios de viabilidad.
 Cantidad de equipos, localización y las características Fechas de
instalación de los equipos y planes de instalación.
 Contratos vigentes de compra, renta y servicio de mantenimiento.
 Contratos de seguros.
 Convenios que se tienen con otras instalaciones.
 Configuración de los equipos y capacidades actuales y máximas.
 Ubicación general de los equipos.
 Políticas de operación.
 Políticas de uso de los equipos.
1.8. EJECUCION DE LA REVISION ESTRATEGICA

1.8.1. CONOCIMIENTO INICIAL DE LA ENTIDAD

La empresa cuenta con un servidor que provee a 11 computadoras del
programa SERVRES con el cual se realiza la operación principal de la entidad.
Descripción general de los sistemas instalados y de los que estén por
instalarse que contengan volúmenes de información

1.8.2. AUTORIDADES DEL AREA INFORMATICA

Nombre Cargo

José Ángel Rodríguez Supervisor

Jorge Luis Guzmán Ingeniero
Amílcar Rene López Ingeniero

1.8.3. PRINCIPALES FUNCIONES

PROFESION FUNCIONES Y CONOCIMINETOS

2 Ingenieros en Con experiencia en el mantenimiento de bases de

Sistemas datos y mantenimiento de equipo de cómputo.
Conocimiento de productos compatibles
Experto organizador y coordinador.
1 Supervisor Especialista en el análisis de flujos de información,
con experiencia en ramas distintas.
1.8.4. ORGANIGRAMA
1.10. MARCO LEGAL APLICABLE

La base normativa empleada está compuesta por las Normas Internacionales de

Auditoría (NIA´S) 1001 “Sistemas de Microcomputadoras”, 1002 “Sistemas de
Microcomputadoras en Línea”, 1003 “Sistemas de Bases de Datos”, 1008
“Evaluación de Riesgos y Control Interno”.

1.11. SISTEMAS Y CONTROLES IDENTIFICADOS

RECURSOS INFORMATICOS EXISTENTES

Servidores (Windows 2000 Server) 1
Computadoras (Windows 10) 11
Impresoras 8
Escáner 4

1.12 OBJETIVOS:

El área de cómputo e informática orgánicamente depende del departamento de

operaciones quien el que alimenta la base datos, asumiendo la responsabilidad
de dirigir los procesos técnicos de informática.

1.12.1. ANALISIS FODA

Fortalezas
 Disponibilidad de recursos económicos.
 Personal Directivo y técnico con amplia experiencia (recursos
humanos)
 Capacidad de Convocatoria(Difusión)
Oportunidades
 Búsqueda de reducción de costos, aprovechando la aparición
de nuevas tecnologías.
 Buen servicio y trato.
 Tendencias Tecnológicas generan un amplio campo de acción
 Predisposición y voluntad de los nuevos directivos para cambio
Tecnológico

Debilidades
 Falta de planes y Programas Informáticos.
 Poca identificación del personal con la institución
 Inestabilidad laboral del personal
 Escasa capacidad de retención y voluntad del personal
 No existe programas de capacitación y actualización al personal
 La oficina del Área de computo e informática muy r educido
 Personal técnico Calificado insuficiente en el área a de computo

Amenazas
 Rotación permanente del personal imposibilitando continuidad a los
objetivos propuestos.
 Estandarizar y Uniformizar información relevante referente a los
gobiernos locales.
2.1 METODOLOGIA:

En esta auditoría se utilizará el método Checklist (lista de chequeo), el cual nos

ayudará a reunir los datos para cumplir con nuestros objetivos anteriormente
mencionados. Este método está basado en riesgos contra control y costo. Este
método constará con una serie de preguntas para posteriormente verificar y
evaluar la situación del departamento auditado.

En nuestro caso particular se ha dividido la lista de control en los siguientes

apartados:
 Conocimiento del Hardware
 Conocimiento del sistema:
- Inventario
- Software
- Pruebas
- Planes de contingencia

2.2. JUSTIFICACION

 Aumento considerable e injustificado del presupuesto

 Desconocimiento en el nivel directivo de la situación informática de la
empresa
 Falta total o parcial de seguridades lógicas y físicas que garanticen
la integridad del personal, equipos e información.
 Descubrimiento de fraudes efectuados con el computador
 Falta de una planificación informática
 Organización que no funciona correctamente, falta de políticas,
objetivos, normas, metodología, asignación de tareas y adecuada
administración del Recurso Humano
 Descontento general de los usuarios por incumplimiento de plazos
y mala calidad de los resultados
  Falta de documentación o documentación incompleta de sistemas
que revela la dificultad de efectuar el mantenimiento de los sistemas
en producción

2.3. MOTIVO O NECESIDAD DE UNA AUDITORIA INOFRMATICA:

2.3.1. Síntomas de descoordinación y desorganización:

 No coinciden los objetivos del área de Informática y de la propia

Institución.
 Los estándares de productividad se desvían sensiblemente de
los promedios conseguidos habitualmente. Puede ocurrir con
algún cambio masivo de personal, o en una reestructuración
fallida de alguna área o en la modificación de alguna Norma
importante
 Los estándares de productividad se desvían sensiblemente de
los promedios conseguidos habitualmente. Puede ocurrir con
algún cambio masivo de personal, o en una reestructuración
fallida de alguna área o en la modificación de alguna Norma
importante

2.3.2. Síntomas de mala imagen e insatisfacción de los usuarios:

 No se atienden las peticiones de cambios de los usuarios.

Ejemplos: cambios de software en los terminales de usuario,
resfriamiento de paneles, variación de los ficheros que deben
ponerse diariamente a su disposición, etc.
 No se reparan las averías de hardware ni se resuelven
incidencias en plazos razonables. El usuario percibe que está
abandonado y desatendido permanentemente.
  No se cumplen en todos los casos los plazos de entrega de
resultados periódicos. Pequeñas desviaciones pueden causar
importantes desajustes en la actividad del usuario, en especial
en los resultados de Aplicaciones críticas y sensibles.

2.3.3. Síntomas de debilidades económico-financieras:

 Incremento desmesurado de costes.

Necesidad de justificación de Inversiones Informáticas (la
empresa no está absolutamente convencida de tal necesidad y
decide contrastar opiniones).

 Desviaciones Presupuestarias significativas.

Costes y plazos de nuevos proyectos (deben auditarse
simultáneamente a Desarrollo de Proyectos y al órgano que
realizó la petición).

2.3.4. Síntomas de Inseguridad: Evaluación de nivel de riesgos

 Seguridad Lógica
 Seguridad Física