Professional Documents
Culture Documents
Plan de Trabajo
Plan de Trabajo
Plan de Trabajo
Auditoría de Sistemas
Universidad de Guadalajara
Centro Universitario de Ciencias Económico-Administrativas
Contenido
Objetivos del plan de trabajo.............................................................................................................1
Actividades preliminares....................................................................................................................1
Objetivos generales........................................................................................................................3
Objetivos específicos......................................................................................................................4
Puntos de evaluación y análisis......................................................................................................4
Actividades a realizar en la auditoría.................................................................................................5
Primera parte.................................................................................................................................5
Objetivo a alcanzar.....................................................................................................................5
Tareas a realizar.........................................................................................................................5
Recursos necesarios...................................................................................................................6
Fecha de inicio............................................................................................................................6
Fecha de fin................................................................................................................................6
Resultados esperados.................................................................................................................6
Extensión....................................................................................................................................6
Segunda parte................................................................................................................................7
Objetivo a alcanzar.....................................................................................................................7
Tareas a realizar.........................................................................................................................7
Recursos necesarios...................................................................................................................7
Fecha de inicio............................................................................................................................8
Fecha de fin................................................................................................................................8
Resultados esperados.................................................................................................................8
Extensión....................................................................................................................................8
Tercera parte..................................................................................................................................8
Objetivo a alcanzar.....................................................................................................................8
Tareas a realizar.........................................................................................................................8
Recursos necesarios...................................................................................................................9
Fecha de inicio............................................................................................................................9
Fecha de fin................................................................................................................................9
Resultados esperados...............................................................................................................10
Detección y evaluación de riesgos en la auditoría............................................................................11
Riesgo 1 - Funcionamiento intermitente o nulo de los servicios básicos de la empresa..............11
Plan de trabajo
Auditoría de Sistemas
Actividades preliminares
Antes que nada, se realizó una visita preliminar a la sucursal principal de la empresa “Farmacias
FGI” (la cual es el objeto de estudio de la auditoría misma) con el objetivo de lograr un mayor
acercamiento y entendimiento del negocio a auditar. Este proceso se llevó a cabo el día miércoles
6 de febrero de 2019; se tomó todo un día de trabajo para realizar diversas entrevistas a las
dependientes de la sucursal y al gerente en turno, las cuales arrojaron los siguientes datos:
1
Plan de trabajo
Auditoría de Sistemas
esfuerzo en el trabajo
● Honestidad: Ser rectos y justos con nuestro
trabajo, compañeros y clientes
● Responsabilidad: Cumplir con nuestros deberes y
con el servicio al cliente
● Respeto: Tratar a los empleados y clientes de la
mejorar manera
● Excelencia: Buscar y ofrecer los mejores productos
y servicios
Las entrevistas anteriormente mencionadas también otorgaron una imagen global de los procesos
de negocio que se llevan a cabo en la sucursal principal de la empresa, los cuales se exponen a
continuación:
● Realizar y registrar:
○ Inventarios.
● La mayoría de las actividades que llevan a cabo son soportadas por un SI transaccional
llamado “SUPER TICKET”, específicamente en las tareas de registro de datos.
● Dieron a conocer la necesidad de un cambio en dicho sistema, ya que su utilización no
suele ser de lo más eficiente (aunque realmente no tienen una idea muy clara de cuál
podría ser el problema que causa dicha falta de eficiencia).
● Señalan, de manera ambigua, que no pueden utilizar absolutamente todas las funciones
que el SI dice poseer.
2
Plan de trabajo
Auditoría de Sistemas
● Pago de la nómina.
● Petición de mercancía y pago de dichos pedidos a los proveedores.
● Pago de la renta de los locales.
● Pago de los servicios básicos de los locales (agua, luz, internet).
● Declaración impuestos.
Si bien al principio no se tenía una idea muy clara de la posible utilidad que podría llegar a tener
una auditoría en el negocio, esto cambió por completo después de realizar las entrevistas
anteriormente mencionadas, con toda la información recolectada hasta ese momento, se pudo
concluir que:
● La organización utiliza las TI principalmente para tratar de agilizar y optimizar el proceso
de ventas, pedidos y devolución de medicamentos, productos de tocador y recargas
telefónicas, así como los procesos de inventarios, cortes de caja y registro de la
información que la empresa genera día con día.
● Para llegar a ese fin, todos los activos físicos y lógicos de TI de la empresa tienen que estar
en óptimas condiciones, así como estar protegidos contra los riesgos que los rodean día
con día.
Los puntos anteriores terminaron por dar las bases para la formulación de la auditoría misma, para
la creación de la carta compromiso del proyecto (adjunta en el archivo comprimido) la cual
persigue los siguientes objetivos generales y específicos:
Objetivos generales
OBJETIVO RESULTADO DE SU IMPLEMENTACIÓN
3
Plan de trabajo
Auditoría de Sistemas
Objetivos específicos
OBJETIVO RESULTADO DE SU IMPLEMENTACIÓN
Para poder llegar a la consecución de los objetivos anteriormente mencionados y a los resultados
deseados, la auditoría pondrá su foco de atención en los siguientes puntos:
● Desempeño esperado.
● Ventajas.
SI transaccional
● Desventajas.
● Áreas de mejora.
4
Plan de trabajo
Auditoría de Sistemas
Objetivo a alcanzar
Evaluar y determinar qué cambios se deberían y podrían realizar en la infraestructura física y
lógica de TI para que los procesos de negocio de la empresa se lleven a cabo de manera eficaz y
eficiente.
Tareas a realizar
1. Investigar y enlistar todos y cada uno de los activos físicos y lógicos de TI con los cuales
cuenta la empresa.
2. Realizar pruebas y análisis en los activos encontrados, de tal manera que se obtengan los
siguientes datos:
5
Plan de trabajo
Auditoría de Sistemas
Recursos necesarios
Fuentes de información externas (libros, revistas, internet, consultoría, entre otras).
Computadora portátil.
Conexión a internet.
Memoria USB 1GB.
Servicio de energía eléctrica.
Fecha de inicio
10 de febrero del 2019.
Fecha de fin
17 de febrero de 2019.
Resultados esperados
Abanico de recomendaciones de mejora y documentación.
Extensión
En un determinado momento el cliente decidirá si implementar o no las recomendaciones de
mejora otorgadas por el auditor y, dependiendo de esa decisión, se pueden dar las siguientes
situaciones:
6
Plan de trabajo
Auditoría de Sistemas
Sea cual sea la decisión que tome el cliente, la misma deberá de quedar documentada.
Segunda parte
Objetivo a alcanzar
Evaluar la existencia, suficiencia, eficacia y eficiencia de los sistemas de seguridad y planes de
contingencia del área informática de la empresa.
Tareas a realizar
Como ya se tiene información acerca de todos los activos físicos y lógicos que componen la
totalidad de la infraestructura de TI de la empresa, se procederá a llevar a cabo las siguientes
actividades:
Recursos necesarios
● Documentación relacionada con planes de seguridad, sistemas de seguridad y planes de
contingencia.
● Documentación generada anteriormente de los activos de TI físicos y lógicos.
● Fuentes de información externas (libros, revistas, internet, consultoría, entre otras).
● Computadora portátil.
● Acceso a internet.
7
Plan de trabajo
Auditoría de Sistemas
Fecha de inicio
24 de febrero de 2019.
Fecha de fin
3 de marzo de 2019.
Resultados esperados
Recomendaciones de mejora para los sistemas de seguridad y planes de contingencia, ya sea que
el auditor recomiende:
Extensión
Dependiendo de la recomendación del auditor y del criterio del cliente, se presentarán dos
situaciones:
El cliente optará por seleccionar alguna de las soluciones otorgadas por el auditor, pero
dejará que su implementación sea llevada a cabo por otro profesional.
El cliente optará por seleccionar alguna de las soluciones otorgadas por el auditor y
solicitará el inicio de un nuevo proyecto para que el auditor en cuestión implemente la
opción de mejora seleccionada. En este caso, el auditor deberá de realizar el proceso de
implementación.
Tercera parte
Objetivo a alcanzar
Realizar una evaluación y análisis de las características y funcionalidades con las que cuenta el SI
transaccional de la empresa.
Tareas a realizar
1. Obtener la documentación generada en las actividades preliminares de la auditoría para
poder detectar qué actividades son soportadas por el SI transaccional.
8
Plan de trabajo
Auditoría de Sistemas
2. Llevar a cabo un análisis superficial de las funcionalidades con las que cuenta el SI
transaccional, de tal manera que se pueda obtener la siguiente información:
a. Nombre del módulo.
b. Propósito.
c. Grado de cumplimiento solicitado.
d. Grado de cumplimiento detectado.
e. Áreas de oportunidad.
3. Determinar el grado en que el SI transaccional se ajusta y cumple con las necesidades y
procesos del negocio:
a. En caso de que no lo haga, el auditor deberá de generar un abanico de posibles
soluciones, incluyendo las siguientes:
i. Desarrollar el diseño de un SI transaccional (incluyendo todas las mejoras
anteriormente mencionadas) que, con base en los procesos de negocio
que debería de apoyar, se ajuste completamente a las necesidades de la
empresa.
ii. Realizar una investigación de posibles puntos de venta (gratuitos y de
paga) que podrían cumplir con las necesidades del negocio en un 100%.
b. En el caso de que si lo haga, lo que prosigue es optar por alguna de las siguientes
opciones:
Una vez que se llevaron a cabo las actividades anteriores, se generarán dos situaciones:
El directivo optará por tomar en cuenta las recomendaciones de mejora y actuación, pero
dejará su desarrollo a otro profesional.
El directivo optará por tomar en cuenta las recomendaciones de mejora y actuación y
dejará su desarrollo en manos del auditor en cuestión. En este caso, se optará por tratar la
implementación de mejoras como un proyecto ajeno a la auditoría, cuyo alcance, tiempos
y objetivos se desarrollarán fuera de la auditoría en cuestión.
Recursos necesarios
● Acceso al SI transaccional de la empresa.
● Fuentes de información externa (libros, revistas, internet, consultoría externa).
Fecha de inicio
10 de marzo de 2019
Fecha de fin
21 de abril de 2019
9
Plan de trabajo
Auditoría de Sistemas
Resultados esperados
● Recomendaciones de mejora y actuación.
Tercera parte
Se prevé que el reporte final de la auditoría se entregue al cliente el día 28 de abril de 2019.
10
Plan de trabajo
Auditoría de Sistemas
Descripción Puede darse el caso de que, mientras se realizan las actividades que
componen la auditoría, alguno de los servicios básicos de la farmacia que da
soporte a los activos físicos y lógicos de TI funcione intermitentemente o que
directamente deje de funcionar, pudiendo causar:
● Pérdida de información.
11
Plan de trabajo
Auditoría de Sistemas
Descripción Puede darse el caso de que, por alguna u otra razón, los recursos
implementados para realizar la auditoría funcionen de manera intermitente
o que directamente no funcionen, pudiendo causar:
12
Plan de trabajo
Auditoría de Sistemas
● Pérdida de información.
● Gastos de tiempo y dinero extras.
Asimismo, puede darse el caso de que, por alguna u otra razón (por ejemplo,
virus o daños de fábrica), la USB se dañe y/o nos impida respaldar nuestros
avances, o directamente elimine los mismos a raíz de dicha falla.
Planes de Para evitar que este tipo de situaciones se presenten, se podrían realizar las
contingencia siguientes actividades:
● Previo a la realización de la auditoría, debemos asegurarnos de que
el estado de la computadora portátil es el adecuado, por lo cual
debemos de realizarle un análisis completo con un buen antivirus (y
eliminar los virus que posiblemente existan), instalar las
actualizaciones disponibles y asegurarnos de que la batería y
cualquier otro componente físico funciona normalmente (en caso de
no ser así, reparar el daño o delegar dicha reparación a otro
profesional).
● Asimismo, en caso de que se presente algún error que comprometa
parcial o totalmente al equipo de cómputo o memoria USB por un
tiempo determinado, lo mejor sería, previo a la realización de la
auditoría, conseguir otros medios electrónicos de respaldo para
llevar a cabo el registro y almacenamiento de la información que la
auditoría genere con el paso del tiempo (por ejemplo, otra laptop,
alguna grabadora de sonido, una cámara digital, un smartphone,
discos duros externos, utilizar la nube, adaptadores de memorias
micro SD, etc.).
13
Plan de trabajo
Auditoría de Sistemas
Descripción Al ser un negocio pequeño, no son muchos los recursos de TI con los que
cuenta la empresa, realmente tienen “lo justo y necesario”, sin embargo,
esto podría representar un retraso enorme para la auditoría, ya que el
auditor tiene que encontrar los momentos adecuados para realizar la misma,
momentos en los que los recursos no sean utilizados por la empresa y se
encuentren disponibles; cabe destacar que el único día en el que los recursos
seguramente están libres son los domingos, ya que el personal descansa.
Ejemplos Se puede dar el caso de que, por ejemplo, necesitemos realizar un análisis a
la computadora o al SI transaccional contenido en la misma para obtener
datos generales, analizar su funcionalidad, etc., sin embargo, la misma no
está disponible para ser utilizada por el auditor, ya que está en uso por las
empleadas de la farmacia, resultando en el retraso de la actividad
anteriormente mencionada.
14
Plan de trabajo
Auditoría de Sistemas
Planes de En este caso, yo creo que las posibles soluciones a estas situaciones son las
contingencia siguientes (dependiendo del conocimiento que haga falta):
● Se podría simplemente realizar una investigación del tema
desconocido mediante la consulta de fuentes externas para
capacitarse y así resolver el problema.
● Otra opción sería contratar consultoría externa personalizada, de tal
manera que nos de la información que necesitamos, más no la mano
de obra necesaria en la auditoría. También se podría acudir a la
ayuda de algún colega del campo de las TI para que nos proporcione
su apoyo.
Revisión
Elaboró Revisó
_____________________ ________________________
15