AUDITORIA INFORMATICA

REVISIN DE CONTROLES GENERALES Y SEGURIDAD DEL CIS

AUDITORES:
MILENA PATERNINA GONZLEZ
LEONI BENITEZ HERNANDEZ

DOCENTE:
CRISTO PANTOJA ALGARIN
CONTADOR PUBLICO

UNIVERSIDAD DE CARTAGENA
CONTADURIA PBLICA DIURNA
VIII SEMESTRE
JUNIO 2 DE 2015

TABLA DE CONTENIDO

1.
2.
3.
4.
5.
6.

Taller de auditora.
Nuestra firma de auditores.
Misin, Visin y Valores corporativos
Organigrama general.
Empresa a auditar.
Informe de auditora.
6.1 Introduccin.
6.2 Objetivo general.
6.3 Objetivos especficos.
6.4 Objetivos de las pruebas de cumplimiento.
6.5 Objetivos de las pruebas sustantivas.
6.6 Pruebas, alcance y oportunidad.
6.7 Revisin y evaluacin del Control Interno.
6.8 Alcance de la auditora.
6.9 Planeacin.
6.10 Procedimientos.
6.11 Calificacin de riesgos por rea y total.
6.12 Diagnostico.
6.13 Conclusin.
6.14 Recomendaciones.
6.15 Personal.
6.16 Recursos.
6.17 Cronograma.
6.18 Presupuesto.
6.19 Papeles de Trabajo.
7. Informe final.

1. TALLER DE AUDITORIA
Hoja de condiciones y requisitos.

1. Objetivo
Hacer una auditora de Revisin de controles generales y seguridad del CIS del
sistema de informacin computarizado de la entidad (preferiblemente, una
empresa donde labore alguno de los integrantes), para lo cual pueden conformar
equipos de hasta tres (3) auditores, todos los cuales deben ser estudiantes
matriculados en la asignatura Auditora Informtica.
2. Requerimientos
a) El equipo de trabajo debe simular la integracin de una firma de auditores
e indicar los cargos de cada uno de sus miembros.
b) Deben hacer un programa de auditora especfico para cada ente/sistema
auditado.
c) Para la revisin y evaluacin de los controles y la seguridad, pueden hacer
uso de las tcnicas de auditora que consideren necesarias.
d) Deben efectuar las pruebas y aplicar los procedimientos que permitan
alcanzar los objetivos de la auditora.
e) Es indispensable aplicar las normas de auditora generalmente aceptadas
en todas y cada una de las etapas del trabajo.
3. Puntos a evaluar
a) Presentacin y organizacin, segn normas sobre presentacin de
trabajos escritos.
b) Programa de auditora y respuestas al cuestionario suministrado. Deben
responder todas las preguntas; y en caso de preguntas que no sean
aplicables deben indicar por qu no aplican, de lo contrario dichas
preguntas no se consideran respondidas.
c) Papeles de trabajo.
d) Calificacin de riesgos por rea y total (tema de investigacin).
e) Informe de auditora, el cual debe incluir:

Alcances.

Diagnstico.

Conclusiones y/u opinin.

Recomendaciones.

Al informe de auditora deben adjuntar todos los soportes que permitan

revisar y evaluar el trabajo realizado, incluyendo esta hoja.

2. NUESTRA FIRMA DE AUDITORES

NOMBRE: M y B Asociados.
Funcionarios:
Milena Paternina Gonzlez
Leoni Bentez Hernndez

3. MISION Y VISIN
MISION
Somos una organizacin que apuesta a la capacitacin continuada de sus
funcionarios. Ponemos al servicio de personas naturales y

jurdicas nuestros conocimientos en auditora y consultora de negocios,

en todos sus campos de aplicacin, proveemos servicios personalizados de
auditora, contabilidad y consultora a empresas.
Prestamos asesora y damos acompaamiento con independencia mental
y tica profesional, buscamos maximizar el valor
de las empresas de nuestros clientes y de nuestra Firma dedicada a satisfacer las
necesidades de nuestros clientes, apoyndolos en la bsqueda de sus ventajas
diferenciales y xito empresarial, y agregado valor, para su beneficio. Contamos
con recurso humano experto en diferentes reas de
la administracin que aplica las mejores
prcticas buscando siempre generar valor agregado a nuestros clientes.

VISION
Para el ao 2017, ser una firma lder a nivel nacional en proveer atencin
personalizada de servicios de Auditoria, contabilidad y consultora a empresas. Ser
el soporte principal de las decisiones empresariales de nuestros clientes.
Respaldadas en las ms alta calidad tcnica de nuestros profesional que ejecutan
su trabajo con tica profesional, a fin de contribuir al logro de los objetivos a corto,
mediano y largo plazo, y de esta forma contribuir al desarrollo econmico y humano
de las empresas y el pas.
NUESTROS VALORES

Confianza.

Honestidad.

Objetividad.

Integridad.

Confidencialidad.

Cumplimiento y compromiso con cliente.

4. ORGANIGRAMA GENERAL.

5. EMPRESA A AUDITAR
NOMBRE: Hotel Regatta Cartagena.
DIRECCIN: Cra 1 N 5-82, Bocagrande, 130015 Cartagena de Indias, Colombia.

6. INFORME DE AUDITORA
6.1.

INTRODUCCION

Debido a los enormes cambios sufridos por el mercado en los ltimos aos con la
incorporacin de tecnologas informticas que facilitarn la administracin de los
datos, con el fin de ofrecer mejoras en la toma de decisiones gerenciales, en la
actualidad todas las empresas, incluso las Pymes, requieren de la implementacin
de un sistema de informacin que colabore con los procesos de gestiones
empresariales.
Con el fin de mejorar la productividad y el rendimiento de una organizacin
competitiva, es fundamental evaluar las tcnicas actuales y la tecnologa
disponible para desarrollar sistemas que brinden eficiencia y eficacia de la gestin
de la informacin relevante. La implementacin de sistemas de informacin en una
compaa, brindan la posibilidad de obtener grandes ventajas, incrementar la
capacidad de organizacin de la empresa, y tornar de esta manera los procesos a
una verdadera competitividad.
Para ello, es necesario un sistema eficaz que ofrezca mltiples posibilidades, un
sistema eficiente que mantenga la integridad de la informacin, permitiendo
acceder a los datos relevantes de manera frecuente, oportuna y que aporte con el
desarrollo de los objetivos de la entidad.
La naturaleza especializada de la auditoria de los sistemas de informacin y las
habilidades necesarias para llevar a cabo este tipo de auditoras, requieren el
desarrollo y la promulgacin de Normas Generales para la auditoria de los
Sistemas de Informacin.
La auditora de los sistemas de informacin se define como cualquier auditoria que
abarca la revisin y evaluacin de todos los aspectos (o de cualquier porcin de
ellos) de los sistemas automticos de procesamiento de la informacin, incluidos
los procedimientos no automticos relacionados con ellos y las interfaces
correspondientes.
La Informtica es la gestin integral de la empresa, y por eso las normas y
estndares informticos deben estar, sometidos a la empresa debido a su

importancia en el funcionamiento de una empresa, Debe comprender la evaluacin

de los equipos de cmputo en conjuncin con un sistema evaluando entradas,
procedimientos, controles, archivos, seguridad y obtencin de informacin en
cuanto a procedimientos en especfico ya que proporciona los controles
necesarios para que los sistemas sean confiables y con un buen nivel de
seguridad, este nivel se enfoca la proteccin a la integridad del ente econmico,
los recursos tecnolgicos, las operaciones, la informacin y dems resultados del
procesamiento de datos, contra errores, daos fortuitos o provocados y desastres
naturales.

6.2. OBJETIVO PRINCIPAL

La firma de auditores M y B Asociados, pretende durante desarrollo de su
operacin dentro de la empresa, evaluar y/o revisar las estructuras de control que
sustentan los componentes del rea informtica del Hotel Regatta Cartagena, al
igual que los controles internos en torno a la incorporacin y uso de nuevas
tecnologas de informacin en el hotel para satisfacer los requerimientos
tecnolgicos presentes y futuros en forma integral. Las actividades se realizarn
en trminos de examinar las principales caractersticas que sustentan su
organizacin y sus controles internos asociados al rea informtica de la empresa
mediante la verificacin de la existencia, calidad y aplicacin de polticas, normas
y procedimientos especficos asociados.
6.3.

OBJETIVOS ESPECIFICOS

Para llevar a cabo el cumplimiento del objetivo general de la auditoria, la firma de

auditores M y B Asociados, se ha propuesto una serie de objetivos especficos.
Dichos objetivos sern expuestos a continuacin:

Evaluar la seguridad de la informacin del hotel, tanto de documentacin

fsica como el resguardo informtico de informacin relevante, es decir, de los
medios magnticos.

Verificar la confiabilidad de la seguridad fsica, controles para accesibilidad

e identificacin del personal en reas restringidas para algn personal.

Evaluar la eficiencia y eficacia de la asistencia tcnica recibida por parte de

entidades externas.

Verificar el cumplimiento de las normas, polticas y procedimientos vigentes

en el rea de informtica.

Revisar la existencia de procedimientos para prevenir la utilizacin de

software contaminado.


Verificar el cumplimiento de las funciones que estn especificadas en la
empresa de acuerdo a la estructura jerrquica del rea de informtica.
6.4.

OBJETIVOS DE LAS PRUEBAS DE CUMPLIMIENTO

Su objetivo principal es determinar y comprobar la efectividad del sistema del

control interno que el hotel haya implementado, por lo tanto en el momento de
analizar las pruebas escogidas se debe verificar si los procedimientos son los
adecuados, si se estn ejecutando y si se estn ejecutando se est realizando de
la manera correcta.
1. Determinar si el departamento de sistemas tiene un plan de trabajo
establecido y si este es adecuado y aplicado.
2. Verificar si hay personas autorizadas para realizar modificaciones a los
sistemas informticos, y si estos cumplen con los requerimientos y
conocimientos para realizar las respectivas modificaciones.
3. Comprobar si el software instalado son utilizados conforme a las polticas
del departamento de sistemas.
4. Comprobar si se realiza un contrato en el momento de adquirir o arrendar
un activo informtico y/o suministro.
5. Comprobar que los procedimientos de seguridad establecido por la
empresa se aplique adecuadamente.
6. Determinar si las polticas establecidas por la empresa para los controles
de acceso al rea informtica son adecuados.
7. Comprobar si mantiene limpia y ordenada el rea de procesamiento de
datos.
8. Determinar si los procedimientos de aseo y mantenimiento establecidos por
la entidad son los adecuados.
9. Determinar si las medidas de aseo y mantenimiento se aplican de la
manera ms adecuada de acuerdo a las polticas de la empresa.
10. Comprobar si las polticas que existen para asegurarse de remover
inmediatamente empleados despedidos y/o retirados son las ms
convenientes para el ente.

11. Verificar si en la organizacin existe un programa educativo continuo

respecto a las medidas de seguridad.
12. Determinar si hay computadores de respaldo disponibles y donde estn
ubicados cada uno de estos.
13. Comprobar si se ha desarrollado un plan de implantacin del sistema
respaldo del ente.
14. Cumplimiento de objetivos en la planeacin
15. Verificar los controles y procedimientos
16. Revisar cambios a programas y sistemas
17. Revisar el sistema para identificar controles
18. Determinar los datos o archivos crticos de apoyo se guardan en las
dependencias de las empresas, dentro de una ubicacin a prueba de fuego
19. Verificar si la instalacin de respaldo ha sido aprobada por el personal de
seguridad de la empresa y si en esta existe capacidad suficiente para
procesar las aplicaciones crticas.
20. Verificar si el plan de implantacin que se desarroll dentro de la
organizacin se revisa y prueba con regularidad.
21. Comprobar si los datos o archivos crticos de apoyo se guardan en Lejos
de las dependencias, en una ubicacin a prueba de fuego.

El propsito es reunir evidencia suficiente para analizar si el control interno

funciona efectivamente y si est logrando sus objetivos por lo que generalmente
se refiere a la inspeccin de documentos.

6.5.

OBJETIVOS DE LAS PRUEBAS SUSTANTIVAS

1. Conocer e identificar la razn social de la entidad, su estructura

organizacional y administrativa.
2. Conocer los cargos existentes en el Departamento de Sistemas, sus
respectivas funciones y nombre de los funcionarios de dicho departamento.
3. Verificar si se tiene conocimiento de las caractersticas de los equipos de
computacin tales como: tamao, cantidad y marca.

4. Determinar si se conocen las caractersticas de cada centro de

procesamiento de datos como son: unidad central de procesos (CPU),
capacidad de memoria instalada, capacidad de almacenamiento en disco,
perifricos, sistema operacionales en disco, entre otros
5. Determinar si el software instalado son utilizados.
6. Verificar si el software utilizado tienen las licencias correspondientes y si
estos satisfacen las necesidades de la entidad y si se exige identificacin.
7. Comprobar si el acceso al centro de computacin est restringido solo a
personas autorizadas y adems si se utilizan llaves, cerraduras de cdigos,
lectores de carnet u otros dispositivos de seguridad para controlar el
acceso.
8. Determinar si las terminales estn localizadas en reas seguras y si
incluyen dispositivos de cierre para prevenir el acceso a las mismas por
usuarios no autorizados.
9. Verificar si el acceso a los archivos de datos y a los programas de
aplicacin estn restringidos.
10. Verificar si el personal de seguridad esta adiestrado y cuenta con la
capacidad de reaccionar ante cualquier amenaza.
11. Comprobar si hay polticas establecidas para impedir que empleados
despedidos representen amenazas para el centro de computacin.
12. determinar si los empleados que tienen acceso al computador, son
requeridos para firmar peridicamente reportes de seguridad, indicando
que su trabajo es de propiedad de la empresa, que ellos mantienen
informacin confidencial de la compaa.
13. Determinar si hay computadores de respaldo disponibles y donde estn
ubicados cada uno de estos.
14. Comprobar si se ha desarrollado un plan de implantacin del sistema
respaldo del ente.
15. Determinar los datos o archivos crticos de apoyo se guardan en las
dependencias de las empresas, dentro de una ubicacin a prueba de
fuego.
16. Revisar las transacciones realizadas y de archivos.
17. Realizar procedimientos de revisin analtica.

18. Analizar errores en el software.

6.6.

REVISIN Y EVALUACIN DEL CONTROL INTERNO

El estudio y evaluacin del control interno se efecta con el objeto de cumplir con
la norma de ejecucin del trabajo que requiere que: "El auditor debe efectuar un
estudio y evaluacin adecuado del control interno existente, que te sirva de base
para determinar el grado de confianza que va a depositar en l y le permita
determinar la naturaleza, extensin y oportunidad que va a dar a los
procedimientos de auditora".
El objetivo es controlar que todas las actividades relacionadas a todos los
sistemas de informacin automatizados se realicen cumpliendo las normas,
estndares, procedimientos y disposiciones legales establecidas interna y
externamente.
Esta fase constituye el inicio de la planeacin, aunque sea preparada con
anterioridad; sus resultados son los que generan la verdadera orientacin de las
subsiguientes fases del proceso, sin ser excluyentes, se deben considerar los
siguientes aspectos:
Administrativos:
Conocer a que se dedica la entidad objeto de la auditoria, conocer y analizar las
operaciones a las cuales se dedica el negocio, como se encuentra estructurada
en el organigrama; tambin conocer quines son los administradores de las
diferentes reas, el sistema interno de autorizaciones, firmas, formularios
utilizados, cul es el proceso de las operaciones y otros aspectos que estn
relacionados con la utilizacin del sistema informtico.

Verificar si existe un manual de procedimiento de funcionamiento para los

usuarios que utilizan los sistemas informticos en el desempeo de sus
labores.

Verificar que el personal que ha sido contratado para el rea de sistemas

cumpla con los requerimientos del cargo y con los manuales y estatutos de
la entidad.

Verificar si la administracin capacita constantemente al personal del rea

de sistemas.

Verificar que las instalaciones estn debidamente adecuadas para que los
empleados no corran peligro.

El presente examen se realizara de conformidad con las normas de auditoria

generalmente aceptadas. Practicndose los siguientes procedimientos:
ANLISIS Y ESTUDIO DEL REA INFORMTICA:

Entorno Software general, programas y aplicaciones.

Entorno Hardware, equipos y accesorios.
Anlisis FODA; Fortalezas, Oportunidades, Debilidades y Amenazas.

ANLISIS DE LA DOCUMENTACIN PROPORCIONADA:

Polticas, Manuales y Procedimientos.

Inventarios y listado de registros de los equipos.

ENTREVISTAS Y CUESTIONARIO CONCERTADOS:

A miembros del personal laboral del departamento de sistemas.
REQUERIMIENTOS DE INFORMACIN:

Informacin general del servicio de sistemas.

Descripcin del hardware
Sistemas de seguridad

6.7.

TCNICAS DE AUDITORA PARA LA OBTENCIN DE EVIDENCIAS.

DESCRIPTIVO
La documentacin utilizada durante la auditora, ser en primer lugar de tipo
descriptiva o sea basada en la narracin verbal de los procedimientos, la cuales
son conocidas como cdulas narrativas.

CUESTIONARIO
En segundo lugar, los procedimientos se documentarn a travs de la pre
elaboracin de preguntas, contestadas personalmente por los lderes de la
empresa o por el personal encargado de los sistemas informticos y por algunos
usuarios dentro de la empresa que tenga relacin con el mismo.

6.8.

ALCANCE DE LA AUDITORIA

La firma de auditores M y B Asociados, ha decidido que la presente auditora

comprender el presente periodo 2015 y se realizar en el rea de informtica del
Hotel Regatta Cartagena con sujecin a las Normas de Auditora Generalmente
Aceptadas y dems disposiciones aplicables.
ANLISIS Y ESTUDIO DEL REA INFORMTICA
Entorno Software general: programas y aplicaciones.
Entorno Hardware: equipos y accesorios.
Anlisis FODA: Fortalezas, Oportunidades, Debilidades y Amenazas.
ANLISIS DE LA DOCUMENTACIN PROPORCIONADA
-

Por el responsable de los equipos de cmputo

Polticas, manuales y procedimientos.
Inventarios y listado de registros de los equipos.

REQUERIMIENTOS DE INFORMACIN

Informacin general del servicio de Sistemas.

Descripcin del hardware.
Sistemas de seguridad.
Aplicaciones.

ACLARACIONES PREVIAS SOBRE EL ALCANCE DE LA AUDITORA

La auditora realizada, ha sido enfocada a un anlisis interno.
DURACION DE LA AUDITORIA: La firma ha informado a la empresa que el tiempo
de duracin de la auditoria ser de 36 das, iniciando el da 15 de Abril de 2015,
finalizando el da 20 de Mayo del mismo ao.
PERSONAL INVOLUCRADO: El equipo de trabajo escogido por la firma, para la
preparacin y ejecucin de la auditoria consta de 2 auditores:
Leoni Bentez Hernndez AUDITOR RESPONSABLE.
Milena Paternina Gonzlez AUDITOR ASISTENTE.
ENTREGA DEL INFORME FINAL: La entrega de dicho informe se ha acordado
que es el da 2 de Junio de 2015.
6.9.

PLANEACIN

OBJETIVOS: Al obtener una clara comprensin de la entidad, se fijan las metas

tanto a corto plazo como la general que se espera alcanzar al ejecutar la
auditora; se establece el eje sobre el cual deben girar todos los procedimientos y
fases de que consta para llevarse a cabo de forma eficaz y efectiva.
RUBROS A EXAMINAR: Consiste en descomponer las partes integrantes del
Sistema Informtico, en secciones manejables, facilitando con ello el anlisis
integral y exhaustivo, con el propsito de obtener resultados correctos y claros en
cada uno de sus niveles operativos del sistema informtico.
PRIMERA DESCOMPOSICIN: Hardware, software, personal, instalaciones
elctricas, seguridad.
SEGUNDA DESCOMPOSICIN O DETALLE: Computadores, perifricos, software
de uso general, software de uso especfico, personal del rea de informtica,
usuarios del sistema informtico, red elctrica, seguridad fsica de los sistemas
informticos, seguridad lgica del sistema, seguridad del personal, seguridad de
la informacin y las bases de datos, seguridad en el acceso y uso del software,
seguridad en la operacin del hardware, seguridad en las telecomunicaciones.
TERCERA DESCOMPOSICIN: Las reas de mayor riesgo, son descompuestas
en sus subdivisiones ms significativas, por lo cual se debe validar el
funcionamiento de ellos mediante un examen operativo y el respectivo
cumplimiento de las polticas institucionales en cuanto a su uso y aplicacin.
CUARTA DESCOMPOSICIN: Esta ltima se refiere al examen propio de cada
una de las reas especficas, con el fin de asegurar el buen funcionamiento de
cada uno de los componentes del sistema informtico, estos casos requerirn su
validacin.
COMPARACIONES: Se establecern comparaciones sobre el actual
funcionamiento de los sistemas informticos y las especificaciones de sobre cmo
deberan funcionar, para establecer si se les est dando el uso adecuado y si se
est obteniendo los mximos resultados de la aplicacin de dichos sistemas.
EXAMEN DOCUMENTAL: se consolida como la base de la auditora y el enlace
entre la investigacin y la emisin de una opinin e informe, la inspeccin de los
documentos anexos a cada operacin del sistema informtico, cuando por la
naturaleza de las mismas exista un documento que ampare las operaciones.

MARGEN DE IMPORTANCIA: Dentro de este apartado, se deben analizar y

sealar aquellos conceptos cuyo impacto de su inclusin, exclusin o revelacin
textual pueda modificar la opinin sobre ellas. Ello requiere de parte del auditor, la
capacidad de generar opiniones similares a la suya, entre los usuarios de los
sistemas informticos.
RIESGOS: Toda auditora se encuentra impregnada por la posibilidad de que los
aspectos a evaluar contengan errores o irregularidades de importancia no
detectados, cuyo conocimiento haga cambiar la opinin sobre ellos. (Entindase
como error, la ocurrencia u omisin de datos originados en circunstancias no
voluntarias por parte de los encargados del funcionamiento de los sistemas
informticos; y las irregularidades, son las circunstancias voluntarias por parte del
mismo). Estos riesgos se clasifican de la siguiente manera:
RIESGO INHERENTE: Asociado con la generacin de estimaciones sobre la
existencia de hechos, lo anterior es de criterio potencial por parte del auditor, y
pueden ser identificados como eventos presuntos, su anlisis parte de la
naturaleza del negocio, naturaleza de los sistemas de control de informacin, de
los mismos sistemas informticos y otros.
RIESGO DE CONTROL: Este se disminuye a medida que se eleva la confianza
en los mtodos de control interno adoptados, y se define como la posibilidad de
que el control interno no detecte o evite oportunamente errores o irregularidades
de importancia.
RIESGO DE DETECCIN: Vinculado directamente con la funcin de auditora, y
se conoce como la mayor o menor capacidad de efectividad de los procedimientos
de la misma para descubrir errores o irregularidades que en condiciones normales
deberan ser visualizadas.
ELABORACIN DE CUESTIONARIO DE CONTROL INTERNO: Para conocer el
funcionamiento del departamento de informtica dentro de la entidad, se disear
un cuestionario de control interno, en el cual se harn en su mayora preguntas
cerradas, con el propsito de conocer las actividades a las cuales se dedica la
institucin, quienes las efectan, en qu momento se realizan los procesos y por
quienes se realizan, con el fin de detectar posibles fallas y con base en ello,
detectar la clase de riesgo que presenten cada una de las operaciones y
procedimientos. Dichos datos servirn en su conjunto para la realizacin de la
correspondiente planilla de decisiones preliminares y el programa de auditora.
6.10. PROCEDIMIENTOS

En realidad, no existen procedimientos especficos para la auditora, ms

bien, el auditor toma y adapta las tcnicas, procedimientos y herramientas
tradicionales del anlisis de sistemas de informacin.
Al utilizar estas herramientas en la auditora, lo que hace es sacar el mejor
provecho de ellas para adecuarlas a las necesidades especficas de
evaluacin requeridas en el ambiente de sistemas.
Estos mtodos no solo se utilizan en la evaluacin del rea de informtica,
sino tambin en la evaluacin de cualquier rea ajena al ambiente de
sistemas. Es por ello que el auditor debe saber cmo utilizarlas.
Inventario de software: Los procedimientos de auditora de software deben
comenzar con un inventario de todo el software asignado a una organizacin
con un gestor asignado de datos en el control de la gestin del software. El
software debe mantenerse en un rea centralizada segura con los controles
ambientales adecuados. Si una organizacin no tiene un rea centralizada
para todos los programas de software, la auditora revelar la discrepancia.
Interrogacin de activos: es un procedimiento de auditora que inspecciona
fsicamente los equipos para el software OEM original y las licencias. Los
programas de auditora de software se pueden insertar en cualquier sistema
informtico para comprobar el nmero de registro del software mediante la
comparacin de las claves principales en el registro que almacena el nmero
de licencia del software que se examina. Los procedimientos de auditora de
software afirman que si el software no coincide con la clave de la licencia, el
software debe ser investigado y eliminado.
Problemas de licencia: revisar los contratos de licencia para ver si las
licencias son actuales y adecuadas para apoyar las operaciones comerciales.
Software de utilidad: Los procedimientos de auditora se dirigen a las
herramientas adecuadas de utilidad para eliminar el software, la creacin de
cortafuegos a travs del firmware para detener los ataques de intrusos
externos y la pericia del personal para implementar y mantener un programa
de seguridad de software.
Y utilizando un conjunto de tcnicas tales como:
Entrevistas: recopilacin de informacin que se realiza en forma directa, cara
a cara y a travs de algn medio de captura de datos.
Observacin: mtodos de observacin que permiten recolectar directamente
la informacin necesaria sobre el comportamiento del sistema, del rea de

sistemas, de las funciones, actividades y operaciones del equipo procesador

o de cualquier otro hecho, accin o fenmeno del mbito de sistemas.
Muestreo: seleccionar sistemticamente elementos representativos de una
poblacin. Cuando estos elementos seleccionados son examinados de cerca,
se supone que el anlisis revelar informacin til acerca de la poblacin
como un todo.
EFECTUAR VISITA A TERRENO:
1. Conocer la organizacin y el servicio computacional.
2. Verificar dotacin de recursos humanos asignados al rea de informtica.
3. Conocer plataforma y configuracin del sistema.
4. Polticas de Software y hardware.
5. Sistemas de respaldo de datos.
NORMAS Y ENTIDADES REGULATORIAS:
1. Solicitar normas internas que se ajusten a la normativa legal y regulatoria
en materia tecnolgica e informtica.
ANALISIS DE LA INFORMACIN RECOPILADA:
1. Evaluar aplicabilidad de polticas informticas acorde a la estrategia del
negocio.
2. Evaluar el control interno del rea informtica.
3. Evaluar conocimiento y aplicacin del plan de contingencia.
4. Comprobar existencia y funcionamiento de unidad de respaldo energtico.
5. Verificar existencia de controles preventivos, detectivos y correctivos en el
rea informtica.
6. Evaluar sistemas de comunicaciones remotos (redes, internet, etc.
7. Evaluar el grado de satisfaccin de los usuarios respecto a los servicios
computacionales del rea informtica.
DETALLE A CONSIDERAR EN LA REVISIN:
1. Existencia de reas restringidas
2. Sistemas detectores de humo, incendios y cambios de temperatura

3. Revisin de piso y cielo

4. Ubicacin y distribucin de cables y conexiones.
5. Ubicacin y distribucin de servidores, computadores personales,
impresoras.
6. Bitcora de procesos
7. Sistema de control de versiones de programas.
8. Procedimiento y mecanismo de respaldos magnticos.
9. Soporte tcnico y mantencin de equipos.
10. Entrenamiento y capacitacin del personal en situaciones de siniestros
11. Luces de emergencia
12. verificar cumplimiento de normativa interna respecto al rea informtica.
13. Licencia de software
14. Software antivirus.

6.11. CALIFICACIN DE RIESGOS POR REA Y TOTAL.

Bajo Riesgo = 1 6 (verde)

Medio Riesgo = 8 9 (amarillo)
Alto Riesgo = 12 16 (rojo)

RIESGO TOTAL: El riesgo es alto, ya que la entidad es muy grande y a pesar que
se toman medidas, muchas veces no son suficientes.

6.12.

DIAGNOSTICO

El sistema de informacin del hotel es integrado, se trabaja conjuntamente en todo

el hotel, este sistema cumple con todos los requisitos de seguridad necesarios
para su buen funcionamiento, la informacin se encuentra protegida, ya que el
software de seguridad est bien administrado, el diagnostico es bueno.

6.13. CONCLUSIN
A modo de conclusin, podemos decir que es un sistema excelente para el hotel,
se encuentra en perfecto funcionamiento y cumple con todos los requerimientos
del CIS, sin embargo, por se est una entidad con tanto personal y muy grande,
tiene riesgos que los administrativos o los jefes de seguridad muchas veces no
pueden controlar, por lo que se hace necesario tomar medidas para evitar dichos
riesgos en el futuro.
6.14. RECOMENDACIONES

La recomendacin sera aumentar el personal de vigilancia, las cmaras ocultas,

reforzar la seguridad del sistema de informacin, hacer cambios permanentes de
contraseas para el acceso a los CIS, adoptar cobertura de seguridad para CIS, es
decir, tomar medidas fuertes para la seguridad de la informacin que se le
proporciona al personal.

6.15. PERSONAL:
PERSONAL
AUDITOR RESPONSABLE
AUDITOR ASISTENTE

CARGO
LEONI BENITEZ HERNNDEZ
MILENA PATERNINA GONZLEZ

6.16. RECURSOS:
DESCRIPCION
Lpices
Papelera
Computador

CANTIDAD
8
1 resma
2

6.17. CRONOGRAMA DE TRABAJO

SEMANAS
1

ACTIVIDADES
Planificacin general para determinar los elementos del
Programa de Auditora

Planeacin especfica para determinar los procedimientos

especficos de auditora

Realizacin de los respectivos cuestionarios para aplicarlos

en las encuestas y entrevistas
X
Breve recorrido por las instalaciones

Realizacin de entrevista y encuesta

Levantamiento y anlisis de informacin recopilada

Aplicacin de otros procedimientos de auditoria

Recopilar papeles de trabajo

Elaboracin de propuesta de informe

Revisin y correccin de papeles de trabajo

Correccin y Entrega de Informe final

6.18. PRESUPUESTO
ACTIVIDADES Y OTROS
COSTES
1.

Actividades

1.1
1.2
1.3

Actividad 1
Actividad 2
Actividad 3
Subtotal

2.

Inversiones

2.1
2.2
2.3

Papelera
Lpices
Materiales
Subtotal

3.

TOTAL

$20.000
$20.000
$20.000
$60.000
$55.000
$5.000
$10.000
$70.000

Funcionamiento

3.1
Gastos de personal
3.1.1 Transporte
3.1.2 Refrigerios
Subtotal
TOTAL

$50.000
$20.000
$70.000
$200.000

6.19. PAPELES DE TRABAJO

-

CUESTIONARIO DE CONTROL INTERNO

CUESTIONARIO DE CONTROL INTERNO
ASPECTOS RELACIONADOS AL REA DE INFORMTICA.
SI NO N/A

Existe dentro de la empresa un rea de informtica?

SI LA RESPUESTA FUE SI:
Ante quin rinden cuentas de su gestin?
Se ha nombrado un gerente para esta rea?
Est identificada dicha rea dentro del organigrama general de
la empresa?
Se tiene un organigrama especfico de dicha rea?
Hay un manual de organizacin y funciones aplicables a dicha
rea?
Estn delimitadas las funciones de cada integrante del rea de
informtica?
Cada empleado del rea de informtica conoce la persona ante
la que tiene que rendir cuentas de su labor?
Los gerentes y otros funcionarios de nivel superior pueden dar
rdenes directas a cualquier empleado del rea de informtica?
Cada empleado del rea de informtica es especialista en
aspectos distintos de programacin?
ASPECTOS RELACIONADOS AL HARDWARE
En alguna ocasin se ha extraviado alguna laptop o algn
proyector de can propiedad de la empresa?
En alguna ocasin se ha extraviado algn perifrico (bocinas,
audfonos, teclado, mouse, teclado numrico, etc.) de una
computadora?

SISTEMAS

Si hay vigilante, Revisa ste que los empleados no lleven

artculos que no son de su propiedad?
En alguna ocasin le han quemado discos o guardado
informacin en los equipos de la entidad?
Cada componente de su computadora y perifricos tiene la
numeracin respectiva del inventario?
ASPECTOS RELACIONADOS AL SOFTWARE
Se utilizan programas como el Office de Microsoft u otros
programas para los que la empresa haya comprado las licencias
correspondientes?
Los empleados pueden utilizar el equipo informtico de la
entidad para elaborar documentos o diseos para uso personal?
Hay una persona nombrada como responsable de resguardar
el software comprado por la empresa?
Para el resguardo de los diversos discos de programas, se
tiene un archivadero adecuado?
El software comprado por la entidad le facilita su trabajo?
Los programas antes mencionados son justo lo que necesita
para sus actividades laborales?
Existen programas diseados y elaborados por el rea de
informtica, con los procedimientos especficos para las
actividades que la entidad desarrolla?
Los programas fueron creados bajo estricta normas de
seguridad para evitar que puedan ser revendidos a otras
empresas que se dediquen a la misma actividad econmica?
Los diversos softwares se guardan en un lugar libre de
humedad o con calor excesivo?
Los programas creados por los empleados del rea de
informtica son funcionales y responden a las necesidades de la
organizacin?
ASPECTOS RELACIONADOS AL PERSONAL
(Ser conveniente que algunas preguntas sean resueltas por los empleados del
rea de informtica)
Cuntos aos tiene laborando para la empresa?
Se siente satisfecho de laborar para la empresa?
En el ltimo ao, ha renunciado algn empleado de este
departamento?
Cules considera que fueron las razones de la renuncia?
__________________________________________
Se permite que el personal lleve trabajo y accesorios a su
casa?

Han recibido capacitaciones en el ltimo ao?

Las capacitaciones recibidas, a que aspectos han sido
enfocadas?
Se ha capacitado en su momento a los usuarios de los
sistemas informticos?
En alguna ocasin ha visto que algn empleado de la empresa
est haciendo algn trabajo muy personal en el equipo provisto
por la empresa y en horas laborales?
INSTALACIONES ELECTRICAS
Cada cuanto, personal idneo revisa las instalaciones
elctricas?__________________
En el ltimo ao se han revisado todas las instalaciones
elctricas?
En alguna ocasin se ha generado algn corto circuito dentro
de las instalaciones?
Las tomas en los que conectan los equipos estn polarizados?
Tiene la empresa contratado un electricista?
ASPECTOS RELACIONADOS A LA SEGURIDAD
Considera usted que hay demasiada humedad o excesivo
calor, lo cual pueda deteriorar los computadores?
En alguna ocasin usted ha estado trabajando en una
aplicacin y de pronto cuando la est ejecutando se ha
cambiado y le ha generado una cosa diferente a lo que
esperaba?
En alguna ocasin un empleado se ha enfermado y le ha dicho
el mdico que es resultado del uso de algn aparato elctrico?
Tiene la empresa en algn lugar diferente al negocio, copias de
seguridad de los software y documentacin importante que al
darse un siniestro pueda afectar a la organizacin?
Le han dado clave para ingresar al sistema?
La clave que ha recibido le da acceso a documentos y archivos
con base en la autoridad que tiene dentro de la empresa?
Alguna vez su equipo no ha funcionado y al verificar algn
accesorio ha estado desconectado?
El acceso a internet es para todos los empleados?
Alguna vez por casualidad ha abierto algn documento que
solo debi ser abierto por funcionarios de nivel superior?
Alguna vez al insertar su contrasea el sistema le ha dado
mensaje de error y aun cuando lo escribe correctamente, el
mensaje se ha repetido?

CUESTIONARIO DE AUDITORIA
CONTROLES GENERALES

REVISION

DE

CUESTIONARIO SUMARIO
RIESGO DE AUDITORIA I:
La estructura de la organizacin y los procedimientos de
operacin del CIS pueden no resultar en un ambiente de
procesamiento de datos que conduzca a la preparacin de
informacin financiera-contable confiable.
OBJETIVO DE CONTROL
Comprobar que CIS puede ser organizado y operado de manera
que restrinja a los empleados del departamento para ejecutar funciones incompatibles.

II.A. Existe una apropiada segregacin de funciones en las funciones de

procesamiento de datos?
R/ Si.
II.B. Existen adecuadas polticas de personal para la funcin CIS?
R/ Si.
II.C. Existen procedimientos adecuados para asegurar que los requerimientos
de procesamiento de datos futuros pueden ser cubiertos? *
R/ Si.
III.A. Existen procedimientos establecidos para minimizar el riesgo de que
procesos y programas no autorizados sean ejecutados?
R/ No.
III.B. Existen procedimientos adecuados para asegurar el uso correcto de
archivos en cintas, discos y/o cualquier otro medio de almacenamiento de
archivos?
R/ Si.

III.C. Es apropiada para las instalaciones la supervisin del personal de

operacin del computador?
R/ No.
III.D. Existen adecuados controles para asegurar que los errores de los
sistemas (lgicos y fsicos) son detectados, reportados y corregidos en un tiempo
razonable?
R/ Si.
III.E. Existe un adecuado control del software del sistema?
R/ Si.
IV.C Existe un control adecuado sobre el acceso a las salas de computadores
y al centro de datos?
R/ Si.
IV.D. Se toman adecuadas medidas para prevenir daos fsicos a los equipos
de computacin?
R/ Si.
IV.E. Existe un adecuado control sobre el acceso fsico a las cintas, discos,
otros medios de almacenamiento y documentos negociables?
R/ Si.
IV.F. Existe una adecuada cobertura de seguros para las funciones CIS?
R/ No.
V.A. Existen controles adecuados para permitir satisfactoriamente el reinicio y
la recuperacin del software del sistema y los sistemas de aplicacin?
R/ Si.
V.B. Son adecuadas las tcnicas de planeacin para prever la continuacin del
procesamiento en la eventualidad de una contingencia?
R/ No.
RIESGO DE AUDITORIA II:
Los programadores pueden realizar cambios incorrectos o no autorizados al
software de aplicacin, los cuales disminuirn la confiabilidad de la informacin
financiera procesada a travs del sistema.
OBJETIVO DE CONTROL

Cerciorarse de que los procedimientos han sido establecidos para que a los pro gramadores de la aplicacin se les prohiba efectuar cambios no autorizados a los
programas.
VI.A. Existen controles adecuados para la programacin, prueba, implantacin y
aprobacin de nuevos sistemas de aplicacin y modificaciones a los sistemas
existentes?
R/ Si.
VI.B. Existen procedimientos adecuados sobre la transferencia y la ejecucin de
los programas en el medio de produccin?
R/ No.
RIESGO DE AUDITORIA III:
Personas no autorizadas (empleados y/o extraos) pueden tener
acceso a los archivos de datos o a programas de aplicaciones
usados para procesar transacciones, habilitndolos a realizar
cambios no autorizados a los datos o programas.
OBJETIVO DE CONTROL
Verificar que el acceso al sistema se encuentra restringido a
personas autorizadas.

IV.A. Existen polticas y procedimientos apropiados y una organizacin para

administrar efectivamente la seguridad de los datos?
R/ Si.
IV.B. Estn los archivos de datos y programas adecuadamente protegidos?
R/ Si.
ENTIDAD / CENTRO DE CMPUTO:
I.

INFORMACION GENERAL:
A. FORMULARIO SOBRE INFORMACION DE LA INSTALACION

ENTORNO DE HARDWARE

Servidor

Las caractersticas de hardware del servidor son de una calidad superior a la de

losdems computadores usados por el personal correspondiente, por lo que eldes
empeo del equipo que hace de servidor es ptimo.
La recomendacin es aumentar la capacidad, mejorar las caractersticas de
memoria y la velocidad del procesador en el equipo de Rayos X, ya para evitar
posibles fallas al momento de administrar la gran cantidad de informacin que se
genera en ese departamento.
-

Programas y utilitarios

A continuacin se muestran algunas observaciones respecto a programas

necesarios que deberan ser optimizados para agilizar los procesos y evitar
prdidas de tiempo:
UTILITARIOS IMPORTANTES

ESTADO

OBSERVACIONES

Office 2007: Word, Excel,

Project.
Internet.

Bueno.

Mantenimiento frecuente.

Bueno.

Antivirus.

Bueno.

Se debe evitar la
descarga de archivos
pesados.
Actualizado.

B.PRESUPUESTO ANUAL DEL PROCESAMIENTO DE DATOS:

Presupuesto total: $149.900.000
Distribucin del presupuesto (si es apropiado):
Personal: $42.000.000

Software: $14.000.000

CPU's: $ 21.600.000

Software del sistema: $700.00

Almacenamiento
Masivo: $6.000.000
$40.000.000

Comunicacin

Terminales: $8.000.000

Otros: $______________

Computadores
Personales: $15.600.000

Aplicaciones: $2.000.000

C.
FORMULARIO
APLICACIONES

SOBRE

INFORMACION

de

datos:

DE

LAS

Obtenga la informacin requerida para todas las aplicaciones que

generen datos significativos en los estados financieros.

Office (powerpoint, word, excel).

Pdf.
Antivirus.
Software (zeus).
Sistema operativo (windows 7).

D. SERVICIOS EXTERNOS DE SISTEMAS (SERVICE):

Complete cuando se utilicen o proporcionen servicios de o para
otras componas.
Proveedor/ sistema de:

usuario

aplicacin

D.1 Tiempo compartido

_________ __________
_________ __________
_________ __________

D.2 Procesamiento en batch

_________ __________
_________ __________

D.3 RJE (Remote Job Entry)

_________ __________

_________ __________
_________ __________

D.4 Entrada de datos

_________ __________
_________ __________
_________ __________

D.5 Otros servicios

_________

__________

_________ __________
_________ __________

R/ No aplica porque la empresa no contrata servicios externos.

II.

CONTROLES ADMINISTRATIVOS Y DE GERENCIA:

II.A. Existe una apropiada segregacin de funciones en la funcin de

procesamiento de datos?
R/ Si. Cada usuario en cada departamento tiene funciones delimitadas de
acuerdo a su cargo y en cada departamento cada usuario maneja su propia clave
de acceso con el fin de registrar bajo dicho usuario los movimientos que se
generen en el da.

1. Existe una apropiada segregacin de funciones entre las siguientes tareas:

programacin/anlisis, operacin, control de entradas y sali das, disipacin de
datos y biblioteca?
R/ Si. Cada usuario en cada departamento, ya sea programacin o anlisis,
operacin, control de entradas y salidas, procesamiento de datos y
mantenimiento, tienen funciones delimitadas de acuerdo a su cargo y en cada
departamento cada usuario maneja su propia clave de acceso, hacindolo
responsable de todo lo que haga.
2. Qu restricciones y controles existen para la puesta en marcha y operacin

del computador por analistas/programadores, inclusive durante la etapa de

pruebas?
R/ Como es un prototipo se van a seleccionar cierto nmero de personas, para
probar el software y se almacenaran un nmero de datos para ver cmo funciona
el software.
3. Describa los procedimientos para entrenamiento cruzado y rotacin peridica
de tareas del personal.
R/ Una persona que toma un cargo puede tomar otro cargo, este sirve para
capacitar al personal.
4. Qu impide al personal de CIS iniciar y/o autorizar transacciones?
R/ El software tiene que pasar con una etapa de madures, cuando las cosas
marchen bien y los errores ya no existan, se puede hacer una migracin, es una
etapa de prueba, puede durar aos, esto es lo que se lo impide.
II. B. Existen adecuadas polticas de personal para la funcin CIS?
R/ SI.
1. Qu tipo de comprobaciones se efectan sobre las
referencias de todo nuevo empleado?
Datos personales (edad, residencia, permiso de conducir, movilidad
geogrfica, etc).
Formacin (titulacin requerida, idiomas, informtica, etc).
Experiencia (especificar aos de experiencia, conocimientos, reas
profesionales, etc).
Caractersticas: fuerte orientacin hacia las metas, constancia y
persistencia, destrezas interpersonales, administracin del tiempo,
visualizacin de la meta, discreta, confiable, fuerte sentido de pertenencia
por su trabajo, adaptacin, resistencia, inteligencia emocional, capacidad
de comunicacin, usa las nuevas tecnologas, esta al da con la
informacin de su carrera, industria y mercado, alimentan y enriquecen su
mente y sus habilidades.

2. Los empleados que tienen acceso al computador, son requeridos para firmar
peridicamente un reporte de seguridad, indicando que su trabajo es de
propiedad de la empresa, que ellos mantienen informacin confiden cial de la
compaa, etc.
R/ Todo empleado que ingrese a la empresa debe tener una buena confiabilidad
porque la empresa debe tener sus datos bajo seguridad y es necesaria tal
confiabilidad.
3. Todos los empleados que realizan procesamiento de datos toman vacaciones
continuas al menos una vez al ao? Las actividades de la persona ausente son
ejecutadas por otro empleado durante este tiempo?
R/ Si. Las actividades son ejecutadas por otro empleado de total confianza y con
suficiente experiencia para tomar el cargo.
4. Existen procedimientos escritos y seguidos para:
Emisin y entrega de llaves y escarapelas (ejemplo, tarjetas llave,
combinaciones de cerraduras, etc.).
Retiro y/o cambio de llaves y escarapelas en caso de terminacin de
contratos de trabajo o traslados de personal.
Determinacin de quien tiene acceso al centro de cmputo
R/ Por escrito no, a cada quien se le dicen sus funciones de manera verbal.

5. Qu polticas existen para asegurarse de remover inmediatamente

empleados despedidos y/o retirados?
Se cambian las claves.
Se integra personal calificado para desempear la funcin del servidor que
se ah retirado del hotel.
Cuando un usuario se retira definitivamente del hotel o cambia de puesto, el jefe
inmediato debe reportarlo al departamento de informtica utilizando el formulario
de altas, bajas y cambios con 2 das de anticipacin, para que se eliminen o
cambien sus niveles de acceso y seguridad o para realizar backup de archivos.
6. Son apropiadas las medidas de seguridad tomadas despus de que los
contratos de trabajo son terminados, tales como cambio de passwords para
terminales en lneas, combinaciones de puertas, nmeros telefnicos, u otras?

R/ Si.
II.C. Existen procedimientos adecuados para asegurar que requerimientos de
procesamiento de datos futuros pueden ser cubiertos?
R/ Si. Se guarda la informacin en un soporte removible ya sea dvd, cds, usb,
disco duro externo, en fsico y en el software. Tambin se programa una copia de
seguridad directamente. Instalar un servidor (para ms de 5 pc) permite disminuir
el riesgo de prdida de archivos. El servidor cuenta con un lector de banda
magntica que se encarga de copiar y proteger informacin todos los das.
1. La planeacin a largo plazo identifica las necesidades futuras de
procesamiento de datos y los proyectos de negocios estratgicos?
R/Si.
2. Describa el tipo de planeacin de capacidad para asegurar
suficiente poder de proceso.
R/ Proteger la informacin es proteger el funcionamiento adecuado de la
empresa, sobre todo en casos de fallo informtico. As mismo, la proteccin de la
informacin permite evitar prdidas financieras provocadas por la desaparicin de
archivos, bases de datos, balances financieros, etc.
Las copias de seguridad son automticas y estn encriptados. Se
proporciona a los colaboradores las claves de acceso a los archivos
almacenados en el servidor
Se protege el software y los equipos con contraseas, usando contraseas
seguras.
Se limita el acceso de los usuarios.
Mantener los datos libres de modificaciones no autorizadas.
Se tiene una copia de seguridad de los datos.
Permanentes actualizaciones.
Los software de seguridad son indispensables.
Cifrar informacin en el pc y usb.
Los planes de seguridad deberan ser desarrollados con miembros del
equipo de asesora jurdica o alguna forma de consultora general.
El uso de firewalls y programas antivirus
.
Navegacin segura.
Una vez creado un plan de accin, este debe ser aceptado e implementado
activamente. Cualquier aspecto del plan que sea cuestionado durante la
implementacin activa lo ms seguro es que resulte en un tiempo de respuesta

pobre y tiempo fuera de servicio en el evento de una violacin. Aqu es donde los
ejercicios prcticos son invalorables. La implementacin del plan debera ser
acordada entre todas las partes relacionadas y ejecutada con seguridad, a menos
que se llame la atencin con respecto a algo antes de que el plan sea colocado
en produccin.

3. Histricamente el CIS ha sido provisto con suficientes recursos financieros

para desempear apropiadamente sus funciones?
R/Si.
4.Si la acumulacin de aplicaciones es considerada significativa (por la empresa
o por nosotros), que se est haciendo para resolver el problema?
R/ No aplica, no hay acumulacin de aplicaciones, porque es un sistema
integrado.
III.

CONTROLES DE OPERACION:

III.A Existen procedimientos establecidos para minimizar el riesgo de que

procesos y programas no autorizados sean ejecutados?
R/ Si.
1. Qu tipo de informacin est disponible para asistir a la administracin del CIS
en determinar que ste o el personal estn operando apropiadamente (Ej: Logs de
consola, job accounting, reportes SMF System Management Facility (OS/360),
T.O.S.
Reportes de ocupacin.

Informe de gerencia (muestra informacin detallada de los ingresos del

hotel).

Forcat (informe que muestra la proyeccin de ocupacin, tarifa

promedio, porcentaje de ocupacin)

Auditoras internas (muestra el resumen de venta y las formas de

pago).
los estados financieros, flujos de efectivo.
movimiento de banco diario.

2. Describa las revisiones que efecta la administracin sobre los reportes que
determinan qu problemas operativos o de procesamiento han ocurrido.
R/ Mediante un formato de novedades que elabora el auditor nocturno, en la
revisin del movimiento operativo la administracin toma las decisiones de los
casos que se presenten.
3. Cmo son supervisados los operadores de computadores para verificar la
adhesin a los procedimientos operativos?
R/ Adems de la auditora interna constante que se le realiza a los procesos, se
cuenta con cmaras de seguridad que supervisan a los operadores de
computadores.
4. Se realizan comparaciones entre la programacin de trabajos y el LOG del
sistema y cmo son conciliadas las diferencias?
R/ Mantenimiento debe cronograma de trabajo tener un, se maneja un
presupuesto, al final del periodo la informacin contable debe estar igual o por
debajo al presupuesto. (Que no se pasen los rubros pres).
5. Qu tcnicas son usadas para asegurar que
apropiadamente programados y ejecutados?

todos los procesos son

R/ A cada personal se le asignan funciones, las cuales son su responsabilidad

cumplir, cada persona est debidamente capacitada para realizar el trabajo
asignado.
III.B. Existen procedimientos adecuados para asegurar el uso correcto de
archivos en cinta, discos y/o cualquier otro medio de almacenamiento?
R/ Si. Cada persona, dependiendo de cul sea su trabajo a realizar, debe guardar
la informacin en un medio para asegurar la informacin que se le haya
asignado, ya sea dvd, cds, usb, disco duro externo, en fsico, en el software y en
el programa una copia de seguridad directamente.
1. Los labels o etiquetas externas contienen nicamente la informacin necesaria
para el procesamiento respectivo (Ej: si ellos contienen nombres de archivos o
descripciones del contenido, ellos pueden ayudar a personal no autorizado a
localizar cintas/discos especficos)?

R/ No, cada personal cuenta con una contrasea que le permite nicamente
contar con su informacin suministrada y ser responsable de ella.
2. Es suficiente la informacin contenida en los labels internos de encabezado
que asegure el procesamiento correcto (Ej: los labels de encabezado
generalmente contienen el nombre del archivo, nmero del volumen, fecha de
creacin y fecha de expiracin)?
R/ Si.
3. Los programas de aplicacin y/o los sistemas de operacin chequean que los
archivos de cinta o disco utilizados son los correctos (Ej: chequeo de labels
internos)?
R/ Si.
4. Describa los procedimientos que prohben a los operadores pasar por alto
chequeos del sistema operativo o programas de aplicacin sobre labels
internos. Si no hay prohibiciones, qu controles son efectivamente llevados
para detectar estas omisiones?
R/ cada operador es responsable de su funcin, primero hay que tener en cuenta
que label representa una etiqueta para un elemento en una interfaz de usuario.
Este puede estar asociado con un control ya sea mediante la utilizacin del
atributo por, o ubicando el control dentro del elemento label. Tal control es
llamado "el control etiquetado" del elemento label, por lo tanto este hace los
controles. Para que el usuario no pase por alto esto se toman las siguientes
medidas de control:
Se describen los criterios y polticas que se deben considerar en la
ejecucin del procedimiento.
En un formato se debe describir la actividad detalladamente con sus
requisitos, controles y documentos.
Se debe describir el nombre y rol del encargado de realizar la actividad.
El responsable de cada proceso debe identificar los documentos de origen
externo que apliquen a los procesos de la entidad y decidir, si se trata de
documentos legales y/o documentos que ofrecen orientacin para la
aplicacin de la normatividad, con el fin de actualizar el programa.
Se revisa que el documento cumpla con los aspectos formales
establecidos en el presente documento. Se asigna el cdigo, nmero de
versin y fecha de acuerdo con las directrices establecidas.
Se elabora acto administrativo para aprobar el documento.

III.C. Es la supervisin del personal de operacin del computador apropiada

para las instalaciones?
R/ No.
1. Describa las responsabilidades de supervisin y reportes en vigencia para
todos los turnos del CIS. Existe un programa para la operacin del centro de
datos? Hay un supervisor del procesamiento de datos todo el tiempo?
R/ Si.
TIPO DE
DOCUMENTO

ELABORACIN

PROCEDIMIENTOS.
RESERVAS.
MAPA DE
RIESGOS.
FORMATOS.
GUAS.
PROGRAMAS.
PLANES

GESTOR DE
CADA
PROCESO Y/O
SERVIDORES
PBLICOS
ASIGNADOS
POR EL
RESPONSABLE
DEL PROCESO.

REVISIN

APROBACIN

REPRESENTANTE RESPONSABLE
DE LA DIRECCIN DEL PROCESO.
PARA EL CIS

2. Describa los procedimientos para el cambio de turno.

R/ En la entrega de turno se dejan los pendientes del da, ms las novedades que
hayan ocurrido y se entrega todo.
Ejemplo: el recepcionista tiene una bitacora, ste es un libro o una hoja en el
sistema, donde se reportan las novedades del da.
Procedimiento del area de recepcion
recepcin el procedimiento se inicia en el momento que llega a recepcin el
personal para iniciar turno detrabajo, y se llevan a cabo las siguientes acciones.
recepcionista que toma el turno revisa la bitcora, sealando las acciones que
tiene que realizar en su turno, como es entregar paquetes a clientes o al personal

del hotel, etc. Si tiene dudas le pregunta al personal que le entrega para
disiparlas.
recepcionista que toma el turno recibe la caja, (fondo), revisando que monto este
completo, firmando de recibido en bitcora y el dinero lo regresa a la caja.
recepcionista que toma el turno revisa en el sistema la ocupacin del hotel,
verificando que coincidan con las llaves y registros.
Recepcionista que toma el turno revisa las salidas hay para ese da, para
preparar los egresos. (checkout).
Recepcionista que toma el turno revisa cuantas entradas de huspedes se tienen
programadas para ese da y preparar ingresos. (check in).
Recepcionista que toma el turno registra su clave de acceso al sistema de
cmputo y toma su turno en recepcin.
3. Existen procedimientos adecuados para asegurar que el equipo y el software
de sistemas estn seguros en das y horas no hbiles?
R/No.
4. Describa el tipo de documentacin que posee el operador para realizar el
trabajo. Determine si provee informacin suficiente y necesaria para operar el
computador.
R/ Registro hotelero, al momento de hacer el cheq in (esto se lo elaboran junto
con la documentacin que le piden al husped).
III.D. Existen adecuados controles para asegurar que los errores de los sistemas
(lgicos y fsicos) son detectados, reportados y corregidos en un tiempo
razonable?
R/ Si. Se realizan auditorias permanentes.
1. Los controles existentes aseguran que los errores del equipo y/o del software
de los sistemas han sido detectados, reportados y corregidos en un tiempo
razonable (Ej: revisin de los logs de consola, job accounting reports, etc.)?
R/Si.

2. Se han presentado problemas de equipo y/o del software del sistema

significativo durante el ao corriente? Si es as, describa brevemente e indique si
fueron resueltos.
R/ No.
3. La cantidad de cadas del sistema es razonable? Cul es el
promedio de cadas del sistema por ao?
R/ Las cadas son razonables, generalmente pasa cuando hay bajones elctricos
o sobre saturacin de informacin, se cae alrededor de 5 veces al ao.
III.E. Existe un adecuado control del software del sistema?
R/Si.
1. Describa los procedimientos completos de la funcin de administracin y
control del software del sistema.
R/ el rea de administracin tiene como funcin:
Establecer y documentar las responsabilidades de la organizacin en
cuanto a seguridad de informacin.
Mantener la poltica y estndares de seguridad de informacin de la
organizacin.
Identificar objetivos de seguridad y estndares del banco (prevencin de
virus, uso de herramientas de monitoreo, etc.)
Definir metodologas y procesos relacionados a la seguridad de
informacin.
Comunicar aspectos bsicos de seguridad de informacin a los empleados
del banco. Esto incluye un programa de concientizacin para comunicar
aspectos bsicos de seguridad de informacin y de las polticas del banco.
Desarrollar controles para las tecnologas que utiliza la organizacin. Esto
incluye el monitoreo de vulnerabilidades documentadas por los
proveedores.
Monitorear el cumplimiento de la poltica de seguridad del banco.
Controlar e investigar incidentes de seguridad o violaciones de seguridad.
Realizar una evaluacin peridica de vulnerabilidades de los sistemas que
conforman la red de datos del banco.
Evaluar aspectos de seguridad de productos de tecnologa, sistemas o
aplicaciones utilizados en el banco.
Asistir a las gerencias de divisin en la evaluacin de seguridad de las
iniciativas del hotel.

 Coordinacin de todas las funciones relacionadas a seguridad, como

seguridad fsica, seguridad de personal y seguridad de informacin
almacenada en medios no electrnicos.
Desarrollar y administrar el presupuesto de seguridad de informacin.
Reportar peridicamente a la gerencia de administracin y operaciones.
Controlar aspectos de seguridad en el intercambio de informacin con
entidades externas.
Monitorear la aplicacin de los controles de seguridad fsica de los
principales activos de informacin.
Es el responsable de la administracin diaria de la seguridad en los sistemas
tiene las siguientes responsabilidades:
Administrar accesos a nivel de red (sistema operativo).
Administrar accesos a nivel de bases de datos.
Administrar los accesos a archivos fsicos de informacin almacenada en
medios magnticos (diskettes, cintas), pticos (cds) o impresa.
Implementar controles definidos para los sistemas de informacin,
incluyendo investigacin e implementacin de actualizaciones de
seguridad de los sistemas (service packs, fixes, etc.) En coordinacin con
el rea de seguridad informtica.
Desarrollar procedimientos de autorizacin y autenticacin.
Monitorear el cumplimiento de la poltica y procedimientos de seguridad en
los activos de informacin que custodia.
Investigar brechas e incidentes de seguridad.
Entrenar a los empleados en aspectos de seguridad de informacin en
nuevas tecnologas o sistemas implantados bajo su custodia.
Asistir y administrar los procedimientos de backup, recuperacin y plan de
continuidad de sistemas.

2. Cmo es la autorizacin, modificacin, prueba y documentacin de la

ejecucin de modificaciones recomendadas por proveedores?
R/ Una vez se tiene la recomendacin, el representante de la direccin para el
cis, examina las pruebas y la documentacin proporcionada y define si es preciso
ejecutar la modificacin, si se procede a la modificacin, se debe llenar el
siguiente cuadro para su debido control.
TEM DEL
CAMBIO

CAMBIO
REALIZADO

MOTIVO DEL
CAMBIO

FECHA DEL
CAMBIO

NOMBRE DE
QUIEN
MODIFICA

3. Cuando el cliente modifica sustancialmente el software del sistema, describa

los procedimientos establecidos para aprobar y probar los cambios apropiadamente. Adems, determine la razonabilidad del cliente para modificar el sistema
operativo.
R/ El personal operativo del CIS hace la solicitud al rea de sistemas.
Este modifica los post y contra.
Pide autorizacin a la gerencia.
Si la dan la autorizacin se hace el cambio y se toma un tiempo de prueba hasta
ponerlo en funcionamiento.
El husped generalmente solicita estos cambios cuando tiene inconvenientes con
el sistema, ya sea en el momento de entrar a la plataforma a hacer las reservas,
o cualquier sea la circunstancia.

4. Los "utilities", los que permiten habilitar programas, archivos de datos, y/o el
sistema operativo, permiten ser cambiados sin dejar huella de auditora
disponible? Cmo es controlado su uso? Liste los utilitarios y establezca su
objetivo y uso (Ejm: Sort - Clasificacin)

R/ SI. Se debe tener un solo responsable, se le da un usuario a cada operador,

slo una persona puede hacer modificaciones.
5. Describa los controles (Ej: registro de uso, passwords, etc.) que podran
restringir el uso de otro software utilitario del sistema (Ej: DITTO, IEBGENER)
que podran afectar adversamente los procesos o accesos no autorizados.

R/ Cada operador tiene un tipo de informacin diferente, cada uno posee una
clave diferente para acceder a esa informacin, los administrativos pueden ver
todo y las secretarias, por ejemplo, slo una parte de esa informacin.
IV. SEGURIDAD DEL PROCESAMIENTO DE DATOS:
IV.A. Existen polticas y procedimientos apropiados y una organizacin para
administrar efectivamente la seguridad de los datos?

R/ Si.
1. Describa la estructura de la funcin de seguridad de datos (organizacin,
alcance y responsabilidades, relaciones de personal e informes).
R/ El rea organizacional encargada de la administracin de seguridad de
informacin debe soportar los objetivos de seguridad de informacin del banco.
Dentro de sus responsabilidades se encuentran la gestin del plan de seguridad
de informacin as como la coordinacin de esfuerzos entre el personal de
sistemas y los empleados de las reas de negocios, siendo stos ltimos los
responsables de la informacin que utilizan. Asimismo, es responsable de
promover la seguridad de informacin a lo largo de la organizacin con el fin de
incluirla en el planeamiento y ejecucin de los objetivos del negocio.
Es importante mencionar que las responsabilidades referentes a la seguridad de
informacin son distribuidas dentro de toda la organizacin y no son de entera
responsabilidad del rea de seguridad informtica, en ese sentido existen roles
adicionales que recaen en los propietarios de la informacin, los custodios de
informacin y el rea de auditora interna. Los propietarios de la informacin
deben verificar la integridad de su informacin y velar por que se mantenga la
disponibilidad y confidencialidad de la misma.
Los custodios de informacin tienen la responsabilidad de monitorear el
cumplimiento de las actividades encargadas y el rea de auditora interna debe
monitorear el cumplimiento de la poltica de seguridad y el cumplimiento
adecuado de los procesos definidos para mantener la seguridad de informacin.
2. Se ha establecido una poltica formal de seguri dad para la proteccin de los
recursos de datos y responsabilidades de seguridad del usuario? Describa
brevemente la poltica.
R/ Si. Orientan las decisiones que se toman en relacin con la seguridad, se
requiere la disposicin de todos los miembros de la empresa para lograr una
visin conjunta de lo que se considera importante.
Establecen las expectativas del hotel en relacin con la seguridad y especifican
la autoridad responsable de aplicar los correctivos o sanciones. La politica
prohibe suministrar informacin a terceros, involucrar informacin personal,
realizar actividades que no hacen parte de la empresa, a continuacin tenemos
algunas politicas:

Realizar respaldo de la informacin cada da, semana o

mes.
No hacer clic en enlaces de mensajes no solicitados.
No visitar sitios de web de contenido ilcito.
No utilizar la misma contrasea en diferentes paginas web.
No realizar descargas ilegales.
No trasferir a terceros informacin confidencial.

3. Han sido identificados los usuarios dueos de los datos y los responsables
de su custodia? Describa como estn clasificadas las fuentes de los datos.
R/ No.
4. Todas las fuentes de datos estn protegidas por defecto o nicamente por
requisitos explcitos?
R/ Por defecto.

Describa el esquema de proteccin general.

El procedimiento es establecido con el fin de establecer controles para la
identificacin y control de los documentos, con el fin de disponer de la informacin
de manera adecuada, evitando el uso de documentos obsoletos, contribuyendo al
mejoramiento continuo de los procesos y procedimientos.
5. Describa el ambiente de conocimientos y el entrenamiento de los usuarios que
efectan el procesamiento de datos.
R/ Personal calificado y capacitado.
IV.B. Estn los archivos de datos y programas adecuadamente protegidos?
R/Si.
1. Describa las medidas de seguridad, incluyendo software especfico utilizado
para prevenir el acceso no autorizado a los archivos de datos.
R/
Requerimientos mnimos para configuracin de la seguridad de los
sistemas que abarca el alcance de la poltica.
Definicin de violaciones y sanciones por no cumplir con las polticas.

 Responsabilidades de los usuarios con respecto a la informacin a la que

tiene acceso.
2. Si se utiliza un software de seguridad especifico, quienes son los
responsables de su mantenimiento?
R/ Administracin y equipo de desarrollo.

3.Qu procedimientos son seguidos para reportar violaciones e intentos de

acceso no autorizados?
R/ se reporta a la gerencia para que se abra una investigacin dependiendo del
area, si ya se tiene al responsable se le hace un llamado de atencin.
4 Describa los mtodos de seguridad implantados como ayudas de desarrollo de
programas ON LINE (Ej: TSO, ROSCOE, ICCF, VM/CMS, etc.).
R/ No aplica.
5. Describa los mecanismos de seguridad implantados para los sistemas ON
LINE (Ej: uso de CICS, TASKMARKER, etc.).
R/ No aplica.
6. Indique todo el software de sistemas y de aplicaciones que no estn cubiertos
por los mecanismos de seguridad.
R/ No aplica porque todo est cubierto.

7. Describa cmo son utilizados algunos mecanismos de control y seguridad

adicionales disponibles en el software del sistema.
R/ Se manejan cmaras de seguridad.
Se maneja un sistema de seguridad aleatoria.
IV.C. Existe un control adecuado sobre el acceso a las salas de computador y/o
al centro de datos?
R/ Si.

1. Describa los planes de seguridad general existentes sobre las

reas CIS. (Ej: sobre las reas de programadores, operadores y
dems usuarios)
R/
Ningn usuario podr ingresar a los servidores, solamente en el caso que
se tengan carpetas compartidas.
Cuando un usuario se retira definitivamente de la institucin o cambia de
puesto, el jefe inmediato debe reportarlo al departamento de informtica
utilizando el formulario de altas, bajas y cambios con 2 das de
anticipacin, para que se eliminen o cambien sus niveles de acceso y
seguridad o para realizar backup de archivos.
Por seguridad queda establecido en el departamento de informtica, que
cada mes ser renombrado el usuario y contrasea de la cuenta del
administrador del sistema, teniendo conocimiento de este cambio solamente
el jefe del departamento de informtica y el administrador del sistema, las
claves de acceso sern resguardadas en un lugar seguro.
El departamento de informtica no es responsable del contenido de
informacin de las actualizaciones, ofrecer apoyo tcnico cuando lo
requieran.
2. El acceso a las salas de computadores est restringido adecuadamente, solo
ingresa el personal necesario para su operacin y otros empleados autorizados?
Los empleados autorizados realmente necesitan el acceso o ste debera ser
ms limitado?
R/ Hay salas de computacin disponible para los huspedes, pero estos
computadores no poseen informacin confidencial.
Para ingresar a las bases de datos, cada empleado posee una contrasea que le
permite ingresar a la informacin que sea autorizada para ste.
Para ingresar a la sala de informtica, el acceso es restringido.
3. Describa el uso de mecanismos (Ej: cerraduras de puertas, tarjetas llave,
circuito cerrado de televisin, etc.) para controlar la seguridad del
procesamiento de datos.

R/ En el hotel hay alarmas en las reas de acceso restringido, las llaves de las
puertas las tiene la ama de llaves y los empleados autorizados, dependiendo de
su responsabilidad, hay cmaras de seguridad que vigilan el hotel.
4. Describa los procedimientos especiales para permitir el acceso restringido,
cuando es requerido, de personal a las sala de computadores (Ej: visi tantes,
personal de mantenimiento, etc.).
R/ Se le da un pase para entrar y se le suministra una contrasea temporal.

IV.D. Se toman medidas adecuadas para prevenir daos fsicos al equipo de

computacin?
R/ Si.
1. Las reas de computadores estn protegidas por alguno de los siguientes
medios, y se realizan chequeos peridicamente?

a.

Sistema de alarma contra incendios?

b.
c.
d.
e.
f.

Sensores de humo/calor?
Extintores de fuego?
Sistema SPRINKLER (carga seca o hmeda)?
Sistema extintor qumico seco o Halon?
Control de temperatura, humedad (Ej: HVACHeating, ventilacin y acondicionador de aire)?
Sistema de alarma contra intrusos?
Unidades de potencia soporte (UPS)?

g.
h.
i.

PROTEGIDO
X

PROBADO

X
X
X
X
X
X
X
X

j.

Condicionador de lnea para suprimir picos de

corriente?
Detector de agua?

k.

Paredes resistentes al calor?

l.

Ventanas/puertas contra fuego?

m.

Piso falso?

2. El personal de procesamiento de datos est capacitado para actuar en caso de

presentarse un incendio? Se realizan simulacros?

R/Si. No.
3. Inspectores de incendios o compaas aseguradoras realizan revisiones
locales? Cundo fue la ltima vez que se realiz una inspeccin?
R/Si, diciembre 20 2014.
IV.E. Existe un adecuado control sobre el acceso fsico a las cintas, discos,
otros medios magnticos y documentos negociables?
R/Si.
1. Existe una librera separada de cintas, discos, CD, DVD. Si es as:
a. Esta se encuentra en el centro de procesamiento de datos? Si no es ah,
dnde est localizada?
R/Si.
b. Cmo se controla el acceso?
R/El acceso es restringido.
c. Existen dispositivos adecuados de deteccin y/proteccin de incendios en la
librera?
R/Si.
2. Describa la naturaleza de la funcin de libreras.
R/Almacenar informacin.
3. Describa el almacenamiento y control de los documentos
negociables custodiados en el centro de datos (Ej: cheques en
blanco, certificados, etc.).
R/ Estos documentos son custodiados por el departamento de
contabilidad.
IV.F. Existe una adecuada cobertura de seguros para la funcin
CIS?
R/ NO.

1. Describa el tipo de cobertura de seguros para cada uno de los

siguientes:
a. Prdida de equipos de CIS (Ej: cintas, discos, drives, CPU'S,
impresoras, etc.).
b. Costo de reconstruccin de los datos y de reprogramacin.

c. Interrupcin de las operaciones del negocio.

d. Fraudes.
e. Errores y omisiones.
R/ NO SE ADOPTA COBERTURA DE SEGURIDAD PARA CIS.
V.

PLAN DE RECUPERACION Y PREVENCION ANTE DESASTRES:

V.A. Existen controles adecuados para permitir satisfactoriamente el reinicio y la

recuperacin del software del sistema y los sistemas de aplicacin?
R/ Se tienen programaciones del rea de sistema en cuanto a back up, esto se
hace cada dos da para que no se pierda informacin relevante.
1. Indique la extensin y calidad de los procedimientos utilizados para recuperar
sistemas ON-LINE y BATCH despus de haberse presentado fallas en el software
y/o en el hardware.

R/ No aplica, no se hace nada on line, esto se hace bajo una empresa certificada,
para evitar programas de espionaje.
2. Si se procesan sistemas ON-LINE, las tcnicas de reconstruccin son
adecuadas (Ej: vaciado de archivos, imgenes antes y despus, cintas peridicas
y LOGs de transacciones)?
R/ No aplica, no se hace nada on line, esto se hace bajo una empresa certificada,
para evitar programas de espionaje.

3. Si se utiliza software de bases de datos, se han desarrollado procedimientos

especficos de reinicio/recuperacin para minimizar las interrupciones y asegurar
la integridad de los archivos?
R/ No.
V.B. Son adecuadas las tcnicas de planeacin para prever la continuacin del
procesamiento en la eventualidad de contingencias?
R/ Si.
1.
Existe un adecuado plan de recuperacin ante siniestros escrito y
actualizado?
R/ Si.
2. El plan ante siniestros incluye procedimientos formales para el uso de
utilitarios de BACK-UP?
R/ Si.
3. Cmo toma el plan en consideracin los diferentes argumentos requeridos
para la recuperacin ante desastres (Ej: prdida de 24 horas, prdida total,
etc.)?.
R/ Plizas.
4. Describa la extensin de las pruebas del plan? Cundo fue la prueba exitosa
ms reciente?
R/ Se hacen simulacros.
5. Los usuarios revisan y/o participan en las pruebas de recuperacin?
R/ Si.
6. Se tienen suficientes copias de los programas, archivos y documentacin
almacenados en un edificio externo a las instalaciones como para que el CIS
pueda continuar con la operacin?
R/ No, las copias que se tienen adicional a las instalaciones, se encuentran en la
nube.

7.
Existe alguna clase de chequeo peridico del material almacenado
externamente para asegurar que es la ltima versin/copia y que todo lo que
debe ser almacenado existe?
R/Si. Aqu se hace una auditora de chequeo retrospectivo y prospectivo.
8. Describa los procesos que la compaa utiliza para definir las aplicaciones
crticas y los intervalos de tiempo asociados requeridos para la reconstruccin y
proceso.
R/ Se utiliza pert para determinar las rutas criticas y sirven para procesos
tambin.
9. Existen procedimientos documentados que describan las acciones a tomar
por el usuario en caso de prdida de la aplicacin (Ej: Procedimientos
alternativos, retencin de documentos de entrada, etc.)?
R/ Si.
VI.

CONTROLES SOBRE
APLICACIONES:

EL

DESARROLLO

MODIFICACION

DE

VI.A. Existen controles adecuados para la programacin, prueba, implantacin y

aprobacin de nuevos sistemas de aplicacin y modificaciones a los sistemas
existentes?
R/ Si.
1. Describa los procedimientos
modificaciones a los existentes.

para la requisicin de

nuevos

sistemas o

R/Existen sistemas en los ciclos de vida, los cuales son modelos: modelos en
cascada, espiral, xp, prototipado, los cuales verifican la programacin, etc. Los
procedimientos serian poco a poco, primero implantando el sistema a unos pocos,
en conectar la base de datos con el nuevo sistema y luego hacerlo efectivo a todo
el personal.
2. Cul es el procedimiento para definir prioridades a las solicitudes?
R/ Se toman las que tengan mayor relevancia en el hotel y que necesiten atencin
inmediata.

3. Existen ambientes separados para el desarrollo y produccin (Ej: por medio

de mquinas separadas o estructuras de almacenamiento lgico protegidas por
separado)?
R/ Si.
4. Los procedimientos de prueba estn escritos formalmente? Si existen, son
seguidos adecuadamente?
R/ Si. Si.
5. Describa brevemente el alcance y la extensin de las pruebas de programas
y los procedimientos de implantacin.
R/
primero se hace un prototipo dependiendo del ciclo de vida del software y
este prototipo se instala en algunas computadoras de usuarios para ver las fallas
que puede generar dicha aplicacin, esto es tiempo de prueba, Luego de las
correcciones se instalan a los dems computadores y poco a poco se va
ingresando informacin cuando le software est en la etapa de madurez.

6. Son adecuados los datos de prueba utilizados para probar el sistema?

R/SI.
7. Los procedimientos son tales que los archivos de produccin activos no son
utilizados durante las pruebas de programas nuevos o modificados?
R/
8. Las pruebas son diseadas de tal forma que se prueban los programas
individualmente y las interrelaciones con otros?
R/ Si. Las aplicaciones las aprueban por mdulos (individualmente).

9. Describa cmo son revisados los resultados de las pruebas por la direccin CIS
y por los usuarios.
R/ No aplica, porque no se revisa nada.

10. Existen corridas en paralelo y/o pruebas de aceptacin adecuadas antes de

que los nuevos sistemas entren a produccin?
R/ SI.
11. El usuario especifica formalmente la aceptacin de los procedimientos de
prueba? Describa.

R/ NO.
12. Se realiza un apropiado entrenamiento del personal (usuarios y de
procesamiento de datos) antes de la implantacin de los sistemas nuevos o modificados?
R/ SI.
VI.B. Existen procedimientos adecuados sobre la transferencia y la ejecucin
de los programas en el medio de produccin?
R/ No.
1. Describa los procedimientos por medio de los cuales los programas nuevos o
modificados son catalogados para uso de produccin.
R/ Automatiza las operaciones del hotel.
2. Describa los procedimientos sobre los cambios temporales en las libreras de
produccin (Ej: JCL OVERRIDES, PROGRAM OVERLAYS, etc.). Cunto
tiempo transcurre antes de que estos cambios sean removidos? Con qu
frecuencia se revisan estos cambios?

R/ No aplica, no hay libreras.

3. Qu protecciones existen sobre los programas mientras stos estn bajo
modalidad de prueba, y aquellos que estn esperando un estado de prueba para
entrar a produccin?

R/ Tener un fireware.

4. Describa los procedimientos utilizados para ejecutar cambios de emergencia o

correccin de errores a programas.
R/ El manual de correccin se encuentra en el manual.
5. Describa los procedimientos para corregir cambios incorrectos.
R/ Los errores se llevan en una documentacin, esa documentacin se revisa y
se hacen las correcciones.
6. Describa los procedimientos para pasar bases de datos y archivos de datos a
modo de produccin.
R/ Se debe pasar la informacin poco a poco para sistematizarlo, luego se
integra al rea de produccin.

6. Describa la documentacin existente sobre los cambios a programas.

R/ Se debe tener en cuenta la documentacin del programa anterior, ya que por
medio de esta es que se pueden mirar los contenidos de las bases de datos y
hacer modificaciones o cambiarlos.

VII.

FUENTES DE INFORMACION:

NOMBRE
Sergio Arboleda
Camila Paez
Dionisio Saenz

CARGO
Jefe de sistemas y seguridad.
Asistente de sistemas.
Tecnico en mantenimiento.

CEDULAS

HOTEL REGATTA CARTAGENA

P.T.
ORGANIGRAMA DE LA
Hecho por
EMPRESA
Al 1 de mayo 2015
Revisado por

LB
MP

A1
Fecha:
23/04/2015
Fecha: 1/05/2015

HOTEL REGATTA
CARTAGENA
ORGANIGRAMA DE LA
EMPRESA
Al 1 de mayo 2015

BODEGA

P.T.

A-2

Hecho por

LB

Fecha: 23/04/2015

Revisado por

MP

Fecha: 1/05/2015

HOTEL REGATTA
CARTAGENA
ORGANIGRAMA DE LA
EMPRESA
Al 1 de mayo 2015

P.T.
Hecho por

LB

Fecha: 23/04/2015

Revisado por

MP

Fecha: 1/05/2015

RELACION DE
CARGO
RECEPCIN
RECEPCIN
RECEPCIN
CONTABILIDAD
CONTABILIDAD
CONTABILIDAD
GERENCIA
SECRETARIA
FINACIERA
ALMACEN
BODEGA

A-3

CANTIDAD
1
1
1
1
1
1
1
1
1
1
1

FUNCIONARIO
Efrain Perez
Cristian Diaz
William Diaz
Catalina Pua
Rosa Jimenez
LiserLiver
MileneGarcia
Estrella
Gimenez
Kelly Cantillo
Pedro Pajaro
Kevin Martinez

HOTEL REGATTA CARTAGENA

P.T.
ORGANIGRAMA DE LA
Hecho por
EMPRESA
Al 1 de mayo 2015
Revisado por

LB
MP

D-1
Fecha:
23/04/2015
Fecha: 1/05/2015

En la visita al Hotel Regatta Cartagena, bajo la tcnica de observacin y

entrevista con alguno de sus empleados se pudo detectar que lo
correspondiente a los controles de acceso a la informacin no se detect
falencias. El acceso es restringido en reas importantes del hotel, por lo que no
se nos permiti el acceso a ciertas reas de la empresa. El software, hardware
si presentan claves de acceso central que manejan el personal y la gerencia.
Cada trabajador tiene su clave.
La vigilancia en empresa es general existen cmaras en todo el hotel, hay
alarmas las cuales son manejadas por 3 trabajadores, hay alarmas contra
incendios.
La proteccin y cuidado de los equipos es buena, el departamento de sistemas
es amplio, limpio, organizado. El servidor est ubicado en un lugar restringido,
accesible slo para trabajadores autorizados. Los datos e informacin
transmiten son acerca del objeto social de la empresa, inventario, pago a
proveedores, informacin de huspedes, solicitudes de clientes, documentos
legales digitalizados.
Se cuestion a la gerencia si contaban con auditores externos y la respuesta
fue positiva. Se observ que tiene cada trabajador clave para acceder al
software de trabajo Zeus. Se tiene control de carnet de los empleados.

INVENTARIO EQUIPOS INFORMATICOS

INVENTARIO EQUIPOS INFORMATICOS
Articulos

Departament
o

DELL OPTIPLEX 210L INTEL

Ama de Llaves
CELERON 2.8 GHZ, RAM 1 GB
PORTATIL LENOVO G40-30 80YF Asistente de
Eventos
DELL OPTIPLEX 210L INTEL
Auxiliar
CELERON 2.8 GHZ, RAM 1 GB,
Contable
MONITOR ACER
ALL IN ONE LENOVO C460
Auxiliar
Contable
PC - CLON BOARD ASROCK
Auxiliar de
AMD ATHLON MONITO 19"
Compras
PORTATIL DELL VOSTRO 1320
BAR
INTEL CELERON 2.2, 2 GB RAM
ALL IN ONE COMPAQ PRESARIO
Business
CQ1 3006LA
Center
PC CLON AMD SEMPRON 2.1
GHZ, RAM 1 GB, DD 160 GB
MONITOR COMPAQ 19"
Cocina
PC CLON PENTIUM 4.3.2 GHZ,
RAM 1GB MD, DD 160 GB
MONITOR HACER
Compras
PC - BOARD INTEL 945 DOREL
DUO DE 2.4 GHZ - 2GB MEM MONITOR ACER
Contabilidad
PC - BOARD INTEL 945 CORE
DUO DE 2.4 GHZ - 2GB MEM MONITOR ACER
Costos
PORTATIL SONY WAIO MINI
Direccion
PGC-31311U
Comercial

Cantida
d
1
1

1
1
1
1
1

Vr.
Unitario

Vr. Total

$
700.000
$
600.000
$
700.000

$
700.000
$
600.000
$
700.000

$
1.300.000
$
700.000
$
700.000
$
800.000
$
600.000

$
1.300.000
$
700.000
$
700.000
$
800.000
$
600.000

$
600.000

$
600.000

$
700.000

$
700.000

$
700.000

$
700.000

$
700.000

$
700.000

1
1

PORTATIL DELL INSPIRON

N4010
PORTATIL LENOVO G40-30 80YF
PORTATIL ASUS ULTRA SLIM
CORE I7
PORTATIL COMPAQ C700 RAM:
2GB, INTEL CELERON 2.0 GHZ
ALL IN ONE DELL INSPIRON
ONE 2020
PC - HP PRO 3400
PC - BOARD MSI AMD PENOM
X2, 2GB RAM MONITOR ACER
17"
PORTATIL DELL VOSTRO 1320
INTEL CELERON 2.2, 2 GB RAM
ALL IN ONE HP OMNI 120
1026LA
ALL IN ONE LENOVO C205
PORTATIL LENOVO G40-30 80YF
PORTATIL COMPAQ C700 RAM:
2GB, INTEL CELERON 2.0 GHZ
PORTATIL SAMSUNG NP300E4Z
CORE I3
PC OLIVETTI MOLTO TOUCH
185 INTEL ATON 1.6 GHZ, RAM 1
GB, DD 160 GB
SERVIDOR IBM SYSTEM X3200
PORTATIL SAMSUNG NP300E4Z
CORE I3
PORTATIL SAMSUNG CORE I5

Eventos
Gerencia
Hisnardo
Gerencia
Mario
Jefe de
Recepcion
Jefe de
Reservas
Jefe de
Sistemas

1
1
1
1
1
1

Mantenimiento
Minibar
(Service Bar)

Recepcion

Recepcion
Recursos
Humanos

Reservas

Reservas

Restaurante

Sistemas

Sistemas

Sub Gerencia

IMPRESORA HP DESKJET F4480

Reservas

IMPRESORA HP DESKJET 3050

Gerencia

IMPRESORA HP DESKJET f4880

Contabilidad

$
800.000
$
600.000
$
2.000.000
$
700.000
$
1.200.000
$
800.000

$
800.000
$
600.000
$
2.000.000
$
700.000
$
1.200.000
$
800.000

$
700.000
$
700.000
$
1.300.000
$
800.000
$
600.000
$
700.000
$
900.000

$
700.000
$
700.000
$
1.300.000
$
800.000
$
600.000
$
700.000
$
900.000

$
600.000
$
1.500.000
$
900.000
$
1.000.000

$
600.000
$
1.500.000
$
900.000
$
1.000.000

$
130.000
$
130.000
$
130.000

$
130.000
$
130.000
$
130.000

IMPRESORA HP LASERJET
Recursos
M1530
Humanos
IMPRESORA HP LASERJET
M2727
Ama de Llaves
IMPRESORA HP LASERJET PRO
Reservas y
400
Contabilidad
IMPRESORA KYOCERA KM 2810
IMPRESORAS BIXOLON
SAMSUNG
UPS DE 600 WT
UPS 1200 W

1
1
2

Recepcion

Recepcion
Todas las
Areas

1
16
1

IMPRESORA LX 300+
TELEFONO PANASONIC KX T7030

Sistemas
Auxiliar
Contable
Recepcion

SWICTH DLINK 16 PUERTOS

Recepcion

SWICTH 8 PUERTOS
AP INALAMBRICOS BLANCOS
MARCA GENERICA
ROUTER LINKSYS CISCO
WRT120 N
IMPRESORA HP LASERJET
P1101W

Contabilidad
Piso 2, 4, 5, 6,
7, 9, 11, 17

Eventos

Compras
Restaurante y
Bar

Pisos y Areas
Entrada, port y
piscinas

44

Sistemas

MONITOR DELL 15 PULGADAS

Sistemas

SWITCH HP 24 PUERTOS

Sistemas

SWITCH TREDNET 24 PUERTOS

GENERADOR DE TONO
TELEFONICO

Sistemas

Sistemas

IMPRESORA EPSON TMU 220 D

CAMARA TIPO DOMO 36 LEDS
CAMARAS TIPO BALA
DVR CCTV X 16 CAMARAS C/U
CON CONTROLES Y MOUSE

$
800.000
$
1.200.000
$
700.000
$
2.000.000
$
500.000
$
100.000
$
250.000
$
300.000
$
330.000
$
200.000
$
150.000
$
225.000
$
115.000
$
230.000
$
600.000
$
70.000
$
160.000
$
900.000
$
150.000
$
300.000
$
195.000
$
150.000

$
800.000
$
1.200.000
$
1.400.000
$
2.000.000
$
500.000
$
1.600.000
$
250.000
$
300.000
$
330.000
$
200.000
$
150.000
$
1.575.000
$
115.000
$
230.000
$
1.200.000
$
3.080.000
$
640.000
$
2.700.000
$
300.000
$
600.000
$
195.000
$
150.000

PONCHADORA RJ45-RJ11
PONCHADORA TELEFONICA DE
IMPACTO

Sistemas

Sistemas

DISCO DURO USB 1TB

Sistemas

DISCO DURO USB 500 GB

PLANTA TELFONICA TD 500
PANASONIC ANALOGA
VIDEO BEAM EPSON POWER
LITE L14+
AMPLIFICADOR DE SONIDO
PORTABLE (CONSOLA, 2
CABINAS, TRIPODES, 1
MICROFONO)
AMPLIFICADOR DE MUSICA
AMBIENTAL

Sistemas

Sistemas

Eventos

PARLANTES DE TECHO
PARLANTES IMPERMEABLES
(COLUMNAS)

Eventos

Bar

Bar

Piscinas

$
50.000
$
70.000
$
190.000
$
130.000
$
35.000.000
$
1.500.000

$
50.000
$
70.000
$
190.000
$
130.000
$
35.000.000
$
3.000.000

$
1.500.000
$
400.000
$
45.000
$
140.000

$
1.500.000
$
400.000
$
180.000
$
280.000
$
85.305.000

Total

ANALISIS DOFA

DEBILIDADES
-

Hay demasiada informacin.

El hotel es muy grande.

FORTALEZAS
-

El hotel cuenta con personal

suficiente para atender sus

OPORTUNIDADES
-

necesidades.
El hotel cuenta con un
excelente sistema de control.

AMENAZAS

Se tiene un software que le

permite satisfacer sus
necesidades.
El personal est dispuesto a
cumplir con las polticas de
control y seguridad del CIS.

Se puede perder la
informacin.
Prdida de control.

EL DICTAMEN PRELIMINAR

M y B Asociados.
DICTAMEN
Nombre de la Entidad: Hotel Regatta Cartagena.
AUDITORIA DE UNA BASE DE DATOS
A los accionistas del Hotel Regatta Cartagena.
He examinado El Inventario Equipos Informticos, los Estados de Situacin Financiera
del Hotel Regatta Cartagena, al 31 de diciembre de 2013 y 2014, los Estados de
Resultados. Dichos estados financieros son responsabilidad de la administracin de la

compaa. Mi responsabilidad consiste en expresar una opinin sobre los mismos con
base en mi auditoria.
Realic mi auditora de acuerdo con normas de auditora generalmente aceptadas en
Colombia. Mis exmenes fueron realizados de acuerdo a las Normas de Auditoria
Generalmente Aceptadas, las cuales requieren que la auditoria sea planeada y realizada
de tal manera que permita obtener una seguridad razonable de que los estados
financieros no contienen errores importantes. La auditoria consiste en el examen, con
base en pruebas selectivas, de la evidencia que soportan las cifras y revelaciones de los
estados financieros; as mismo, incluye la evaluacin de las Normas de Informacin
Financiera utilizados, de las estimaciones significativas efectuadas por la administracin
y de la presentacin de los estados financieros tomados en su conjunto. Considero que
mis exmenes proporcionan una base razonable para sustentar mi opinin.
En mi opinin, los estados financieros antes mencionados presentan razonablemente,
en todos los aspectos importantes, la situacin financiera del Hotel Regatta Cartagena,
al 31 de diciembre de 2013 y 2014 y los resultados de sus operaciones, las variaciones
en el capital contable, y los cambios en la situacin financiera por los aos que
terminaron en esas fechas, de conformidad con las normas de informacin financiera.
Los sistemas de informacin, los diferentes departamentos de desarrollo que hacen
parte del sistema informtica de la empresa funcionan a la perfeccin. Por lo tanto
podemos afirmar que el sistema informtico, los controles generales y seguridad del CIS
y la empresa en general se encuentran en orden, de conformidad con lo esperado.

M y B Asociados.
Leoni Bentez Hernndez
Milena Paternina Gonzlez
CONTADORES PBLICOS.

7. INFORME FINAL
M y B Asociados.
DICTAMEN

Fecha del Informe: 02 de Junio de 2015.

Nombre de la Entidad: Hotel Regatta Cartagena.
AUDITORIA DE UNA BASE DE DATOS
Lugar de la Auditora: rea de Sistemas.

A los accionistas del Hotel Regatta Cartagena.

He examinado el Inventario Equipos Informticos, los Estados de Situacin
Financiera del Hotel Regatta Cartagena al 31 de diciembre de 2013 y 2014, los
Estados de Resultados, dichos estados financieros son responsabilidad de la
administracin de la compaa, tambin he revisado las instalaciones, las cuales
por cierto se encuentran en excelente estado, as como los servidores, sistema
informtico y sobre todo el software del hotel y los controles generales y de
seguridad de CIS. Mi responsabilidad consiste en expresar una opinin sobre los
mismos con base en mi auditoria.
Realic mi auditora de acuerdo con normas de auditora generalmente
aceptadas en Colombia. Esas normas requieren que el examen sea realizado
por un contador pblico con entrenamiento adecuado, debidamente inscrito en la
Junta Central de Contadores que acte con independencia mental para
garantizar la imparcialidad y objetividad de sus juicios, que proceda con
diligencia y cuidado profesional, que su trabajo sea tcnicamente planeado y
supervisado, que se realice un apropiado estudio y evaluacin del sistema de
control interno para establecer el grado de confianza que le merece y as
determinar la extensin y oportunidad de los procedimientos de auditora a
aplicar, que se obtenga evidencia vlida y suficiente por medio de tcnicas de
auditora para obtener una seguridad razonable sobre la situacin financiera del
ente econmico para emitir su opinin sobre la misma.

Considero que mi auditora proporciona una base razonable para expresar mi

opinin, En mi opinin, los estados financieros arriba mencionados, presentan
razonablemente la situacin financiera del Hotel Regatta Cartagena al 31 de
diciembre de 2013 y 2014, con relacin al Inventario de Equipos Informticos, de
conformidad con normas o principios de contabilidad generalmente aceptados en
Colombia, aplicados uniformemente, tambin he revisado las instalaciones, las
cuales por cierto se encuentran en excelente estado, as como los servidores,
sistema informtico y sobre todo el software del hotel y los controles generales y
de seguridad de CIS. Con lo dicho anteriormente, puedo afirmar que el sistema
de informacin del hotel es integrado, se trabaja conjuntamente en todo el hotel,
este sistema cumple con todos los requisitos de seguridad necesarios para su
buen funcionamiento, la informacin se encuentra protegida, ya que el software
de seguridad est bien administrado, el diagnostico es bueno.
As, puedo decir que es un sistema excelente para el hotel, se encuentra en
perfecto funcionamiento y cumple con todos los requerimientos del CIS, sin

embargo, por se est una entidad con tanto personal y muy grande, tiene riesgos
que los administrativos o los jefes de seguridad muchas veces no pueden
controlar, por lo que se hace necesario tomar medidas para evitar dichos riesgos
en el futuro.
La recomendacin sera aumentar el personal de vigilancia, las cmaras ocultas,
reforzar la seguridad del sistema de informacin, hacer cambios permanentes de
contraseas para el acceso a los CIS, adoptar cobertura de seguridad para CIS,
es decir, tomar medidas fuertes para la seguridad de la informacin que se le
proporciona al personal.

M y B Asociados.
Leoni Bentez Hernndez
Milena Paternina Gonzlez
CONTADORES PBLICOS.