G1.quishpi - Ramirez.adriana - Auditoria Informatica

18-5-2017
Auditoría Informática
Actividad de Aprendizaje 1
Adriana Quishpi
ABRIL- AGOSTO 2017

ACTIVIDAD DE APRENDIZAJE 1.1.
1. Realice un cuadro explicativo detallado sobre la clasificación de los tipos

de auditoría.
Es la realizada por auditores que dependen

administrativa y financieramente de una unidad
administrativa del ente auditado.
El Instituto de Auditores Internos - IAI define la
auditoría interna de la siguiente manera:
Auditoría Interna "La Auditoría Interna es una actividad independiente
y objetiva de aseguramiento y consulta, concebida
para agregar valor y mejorar las operaciones de una
organización. Ayuda a una organización a cumplir
sus objetivos aportando un enfoque sistemático y
Auditorias por su
disciplinado para evaluar y mejorar la eficacia de los
lugar de aplicación procesos de gestión de riesgos, control y gobierno.".
Es el examen profesional realizado por auditores
independientes que pueden pertenecer a una firma de
auditoria o simplemente como profesionales en libre
ejercicio de la profesión, entre la firmas de auditoría
Auditoría Externa más reconocidas a nivel mundial son:
 Price Watherhouse Coopers
 Deloitte and Touche
 Ernest & Young.
La auditoría financiera examina a los estados

financieros y a través de ellos las operaciones
Auditoría Financiera financieras realizadas por el ente contable, con la
finalidad de emitir una opinión técnica y
profesional.
Podemos definir a la auditoría administrativa como

el examen integral o parcial de una organización
Auditoria Administrativa
con el propósito de precisar su nivel de desempeño
y oportunidades de mejora.
Auditorias por su
área de aplicación El término auditoría operacional se refiere al
análisis integral de una unidad operativa o de una
Auditoria Operacional organización completa para evaluar sus sistemas,
controles y desempeño, según se miden en función
de los objetivos de la administración.
Este tipo de auditoria se originó en los Estados

Auditoría Integral Unidos siendo implementada tanto en el sector
público como en el privado.
Auditoría Gubernamental Es la revisión y examen que llevan a cabo las

entidades fiscalizadoras superiores a las
operaciones de diferente naturaleza, que realizan las
dependencias y entidades del gobierno central,
estatal y municipal en el cumplimiento de sus
atribuciones legales.
Es la verificación de controles en el
procesamiento de la información, desarrollo de
Auditoría de Sistemas sistemas e instalación con el objetivo de evaluar
su efectividad y presentar recomendaciones a la
Gerencia
Evaluación crítica y periódica de la calidad de la
atención médica que reciben los pacientes,
Auditoría al área medica
mediante la revisión y el estudio de las historias
clínicas y las estadísticas hospitalarias.
Auditoría al desarrollo de Es la revisión realizada a la edificación de
obras y construcciones construcciones, puede ser civil o arquitectónico.
Auditoría Fiscal Es realiza a los registros y operaciones contables

de una empresa.
Es realizada a las actividades, funciones y
Auditoria Laboral operaciones relacionadas con el factor humano
de una empresa.
Auditorias Auditoria de proyectos de Es la revisión y evaluación que se realizan a los

especializadas en inversión planes, programas y ejecución de las inversiones
aéreas especificas
Es la revisión periódica del manejo del efectivo
que se asigna a una persona o área de una
Auditoria a caja chica o caja
empresa, de los comprobantes de ingresos y
mayor
egresos generados por sus operaciones
cotidianas.
Es la revisión física que se realiza a través del
conteo de los bienes, productos y materias
Auditoria manejo de primas, intermedias o de consumo final de una
mercancías empresa.
Es la evaluación que se hace de la calidad del

aire, la atmosfera, el ambiente, las aguas, ríos,
Auditoría ambiental
lagos y océanos, así como la conservación de la
flora y la fauna.
Auditoría informática
Es la revisión que se realiza a los sistemas
computacionales, software e información
utilizados en una empresa.
Es la que se realiza con el apoyo de los equipos

de cómputo y sus programas para evaluar
Auditoría con la cualquier tipo de actividades y operaciones
computadora
Su aplicación se enfoca exclusivamente a la

revisión de las funciones y actividades de tipo
Auditoría a la gestión
administrativo que se realizan dentro de un
informática
centro de cómputo, tales como planeación,
organización, dirección y control del centro.
Auditoría al sistema de Esta se enfoca únicamente a la evaluación del
cómputo funcionamiento y uso correctos del equipo de
cómputo, su hardware, software y periféricos.
Auditoria de
sistemas Es la que se realiza a todo lo que está alrededor
computacionales
de un equipo de cómputo.
Auditoría de la seguridad de los sistemas
Auditoría alrededor de la
computacionales
computadora
Se realiza a todo lo relacionado con la seguridad
de un sistema de cómputo, sus áreas y personal,
así como a las actividades, funciones y acciones
preventivas y correctivas que contribuyan a
salvaguardar la seguridad de los equipos
computacionales.
Se realiza a los sistemas de redes de una
Auditoría a los sistemas de empresa, considerando en su evaluación los
redes tipos de redes, arquitectura, topología, sus
protocolos de comunicación, las conexiones,
accesos, privilegios, administración.
Auditoría integral a los
centros de cómputo
Es una revisión global, con el fin de evaluar de
forma integral el uso adecuado de su sistema de
cómputo
Auditoría ISO-9000 a los Esta auditoría es realizada únicamente por
sistemas computacionales auditores especializados y certificados en las
normas y procedimientos ISO-9000.
Es realizada para evaluar la calidad en el

Auditoría outsourcing servicio de asesoría o procesamiento externo de
información que proporciona una empresa a
otra.
Auditoría ergonómica de Se realiza para evaluar la calidad, eficiencia y

sistemas computacionales utilidad del entrono hombre-máquina-medio
ambiente que rodea el uso de sistemas
computacionales en una empresa.
2. ¿Qué es una auditoría informática? ¿Cuáles son sus ventajas y desventajas?

Explique detalladamente.
Auditoría Informática.-Examen profesional realizado por el auditor enfocado a la

evaluación de la información automatizada (informática) y los sistemas de procesamiento
de datos (en términos de eficiencia, efectividad, ética y economía).
Ventajas
Diseños de procedimientos espesificos el Sistema

Informatico empleado para el registro d empleados
Permite la verificacion de controles de aplicacion tales

como: Secuencia, Integridad, Rango, Validez, entre otros
Se puede confessionar varios reportes para ser empleados

en procedimientos
Permite organizar datos, consolidarlos en funcion de

objetivos.
Desventajas
Elevado costo de desarrollo
Limitado número de reportes y consultas
Son dependientes del sistema en uso en la entidad Auditada
Tiene necesidad de mantenimiento del sistema debid a las

modificaicones que habrá tenido la aplicación en los exámenes
subsigueintes o por cambio de aplicación
3. Prepare un cuadro sinóptico detallado sobre el marco esquemático de la auditoría

de sistemas computacionales.
MARCO ESQUEMÁTICO DE LA AUDITORIA DE SISTEMAS

COMPUTACIONALES
 Plataforma de hardware
 Tarjeta madre
 Procesadores Se refiere a todas las partes tangibles
HARDWARE  Dispositivos periféricos de un sistema informático
 Arquitectura del sistema
 Instalaciones eléctricas
 Innovaciones tecnológicas
 Plataforma del software Se conoce como software1 al
 Sistema operativo equipamiento lógico o soporte lógico
 Lenguaje y programas de desarrollo de un sistema informático, que
SOFTWARE comprende el conjunto de los
 Programas y base de datos
componentes lógicos necesarios que
 Utilerías, Bibliotecas
hacen posible la realización de tareas
 Software de telecomunicación específicas
 Juegos y otros tipos de software
 Actividades administrativas del área
de sistemas Es una disciplina académica
 Operación del sistema de computo establecida que se incluye en
 Planeación y control de actividades programas de bachilleratos, maestrías
GESTION
 Presupuestos y gastos y carreras de grado en Alemania,
INFORMATICA
 Gestión de la actividad informática Austria, España, Suiza y actualmente
 Capacitación y desarrollo implantada en la mayoría de las
 Administración de estándares de universidades europeas
administración
 Administración, seguridad y control
INFORMACION  Salvaguarda, protección y custodia Comunicación de ideas
 Cumplimiento de las características
de la información
El Diseño de sistemas es el arte de
 Metodologías de desarrollo de definir la arquitectura de hardware y
sistemas software, componentes, módulos y
DISEÑO DE
datos de un sistema de cómputo para
SISTEMAS  Estándares de programación y
satisfacer ciertos requerimientos. Es
desarrollo
la etapa posterior al análisis de
 Documentación de sistemas sistemas.
Una base de datos o banco de datos es

 Administración de base de datos un conjunto de datos pertenecientes a
BASE DE DATOS  Diseño de BD un mismo contexto y almacenados
 Metodología para el diseño sistemáticamente para su posterior
 Seguridad, Salvaguarda uso
 Seguridad del área

 Seguridad física
 Seguridad lógica Seguridades que se encargan de un
SEGURIDAD buen control del sistema
 Seguridad de instalación
 Seguridad de Información
 Seguridad del personal
Una red de computadoras, también
llamada red de ordenadores, red de
comunicaciones de datos o red
 Plataformas informática, es un conjunto de
 Protocolos equipos informáticos y software
REDES DE  Sistemas conectados entre sí por medio de
COMPUTO dispositivos físicos que envían y
 Administración de redes
reciben impulsos eléctricos, ondas
 Administración de seguridad
electromagnéticas o cualquier otro
 Administración de base de datos medio para el transporte de datos, con
la finalidad de compartir información,
recursos y ofrecer servicios
 Outsoursing
 Helpdeck
ESPECIALIZADAS  ISO – 9000 Casos para especializarse
 Internet
 Intranet
 Sistemas multimedias
4. Investigue y explique cuáles son los objetivos de la auditoría informática y de la

auditoría gubernamental.
Auditoria Informática
Es especializada en actividades de cómputo. Ha surgido una nueva necesidad de evaluación para

los auditores, quienes requieren una especialización cada vez más profunda en sistemas
computacionales para dedicarse a este tipo de auditorías. Por ello nació la necesidad de evaluar
no solo los sistemas, sino también información, sus componentes y todo lo que está relacionado
con dichos sistemas tiene como objetivos los siguientes:
 El control de la función informática,

 El análisis de la eficacia del Sistema Informático,
 La verificación de la implantación de la Normativa,
 La revisión de la gestión de los recursos informáticos.
 Revisión de la utilización del sistema operativo y los programas utilitario; es decir tener un
adecuado control sobre la utilización de los sistemas operativos y dispositivos conectados a
los equipos.
 Auditoría de la base de datos; es decir, verificar la estructura sobre la cual se desarrollan las
aplicaciones a fin de poder verificar si donde se está guardando la información se encuentra
en niveles de seguridad, accesos, entre otros.
Auditoria Gubernamental
Es la revisión y examen que llevan a cabo las entidades fiscalizadoras superiores a las operaciones
de diferente naturaleza, que realizan las dependencias y entidades del gobierno central, estatal y
municipal en el cumplimiento de sus atribuciones legales; dentro del cual cumple con los
siguientes objetivos:
 Promover mejoras en la economía, efectividad, eficiencia en la operación y en los controles

gerenciales de las entidades.
 Buscar el máximo rendimiento de los recursos, avaluando la correcta utilización de los
recursos en las actividades y operaciones.
 Construir un base de información que puede servir para los procesos administrativos como
impacto positivo
 Promover mejoras o reformas constructivas

1. Investigue y explique detalladamente cuáles son las principales áreas,
actividades y resultados que se auditan.
ÁREA DE INFORMÁTICA
DIRECCIÓN
Es uno de los subelementos básicos del control interno en cualquier organización, ya que esta es
la función primordial de la entidad o persona que tiene la misión de dirigir las actividades en la
institución o en un área específica.
Coordinación de recursos.- Se tiene que asignar y distribuir de manera correcta los

recursos informáticos disponibles en la empresa.
Supervisión de actividades.- Es la vigilancia que realiza quien dirige el área de
sistemas.
Delegación de autoridad y responsabilidad.- Se debe realizar una distribución

adecuada de los límites de autoridad y responsabilidad.
Asignación de actividades.- Se aplica cuando la dirección instituye una definición

clara y concreta de todas las funciones, tareas y operaciones de cada puesto.
Distribución de recursos.- Es la asignación de los recursos informáticos disponibles en

el área de sistemas.
DIVISIÓN DEL TRABAJO
Para el buen desarrollo de las actividades de cualquier empresa es necesario que éstas se
realicen de acuerdo a como estas hayan sido diseñadas en la estructura de organización y de
acuerdo con lo delimitado en el perfil de puestos
Dirección general del área de informática.- Es la entidad encargada de integrar,

coordinar y supervisar el buen desarrollo de las funciones y actividades de los demás
recursos del área.
Área de análisis y diseño.- Es la encargada de estudiar las necesidades de procesamiento

e información de la empresa.
Área de sistemas de redes.- Está destinada a la administración y control de los sistemas

de redes, sus funciones configurar, manejo y mantenimiento.
Área de operación.- Está encargada de realizar la operación, procesamiento y uso de los

sistemas computacionales.
Área de administración.- Brinda todo el apoyo de tipo administrativos que requiere el

centro de cómputo, con el fin de que pueda realizar, funciones.
ASIGNACIÓN DE RESPONSABILIDAD Y AUTORIDAD
Nos ayuda a garantizar la eficiencia y eficacia del control interno en las unidades de sistemas,
ya que complementa la división del trabajo y delimita claramente la autoridad y responsabilidad
que tendrá cada integrante de estas áreas.
El auditor informático debe ser una persona con un alto grado de calificación técnica y al mismo
tiempo estar integrado a las corrientes organizativas empresariales. Es responsable de realizar
las siguientes actividades:
Verificación del control interno tanto de las aplicaciones como de los SI, periféricos, etc.
Análisis de la administración de Sistemas de Información, desde un punto de vista de

riesgo de seguridad, administración y efectividad de la administración.
Análisis de la integridad, fiabilidad y certeza de la información a través del análisis de
aplicaciones.
Auditoría del riesgo operativo de los circuitos de información
Análisis de la administración de los riesgos de la información y de la seguridad implícita.
Verificación del nivel de continuidad de las operaciones.
Análisis del Estado del Arte tecnológico de la instalación revisada y las consecuencias
empresariales que un desfase tecnológico puede acarrear.
Establecimiento de estándares y métodos
Es muy importante estandarizar el desarrollo de todas las actividades y funciones, a fin de que
estas se realicen de manera uniforme conforme a las necesidades concretas de las unidades de
informática que integran la empresa.
Estandarización del diseño e instalación del hardware, así como del uso de sus
componentes procesadores, equipos periféricos y de su arquitectura.
Estandarización del diseño, adquisición y uso del software, así como de lo relacionado
con el aprovechamiento de sus sistemas operativos, sus programas de aplicación y
métodos de procesamiento.
Estandarización del diseño, implementación y administración de las bases de datos, en

las cuales se maneja la información de los sistemas computacionales.
Estandarización del diseño, instalación y aprovechamiento de los sistemas de redes y

sistemas multiusuarios que se tengan instalados en la empresa.
2. ¿Cuáles son las normas para todos los auditores? Investigue y prepare un
cuadro explicativo.
Normas personales:  Entrenamiento técnico y
capacidad profesional.
Se refleja a las cualidades del  Cuidado y diligencia
auditor para cumplir con las profesional
exigencias de su trabajo.  Independencia
 Planeación y supervisión
Normas de ejecución del trabajo:
 Estudio y evaluación del
Se refiere a los elementos básicos y control interno
NORMAS DE  Obtención de evidencia
fundamentales que permitirán al
AUDITORÍA auditor cumplir con su labor. suficiente y competente
Normas de información:
El resultado del trabajo del auditor  Aclaración de la relación con
es el dictamen o informe mediante el estados o información financiera y
cual da a conocer el resultado de su expresión de opinión
trabajo y la opinión que se ha  Base de opinión sobre estados
formado a través de su examen. financieros.
3. Investigue, diseñe y aplique los instrumentos de recopilación de datos

aplicables en una auditoría informática.
RECOPILACIÓN DE LA INFORMACIÓN ORGANIZACIONAL
Una vez elaborada la planificación de la auditoria, la cual servirá como plan maestro de los
tiempos, costos y prioridades, y como medio de control de la auditoria, se debe empezar la
recopilación de la información. Para ello se procederá a efectuar la revisión sistematizada del
área, a través de los siguientes elementos:
a) Revisión de la Estructura Orgánica

 Jerarquías (definición de la autoridad lineal, funcional y de asesoría)
 Estructura Orgánica
 Funciones
 Objetivos
b) Se deberá revisar la situación de los recursos humanos
c) Entrevistas con el personal de procesos electrónicos
 Jefatura
 Análisis
 Programadores
 Operadores
 Personal de base de datos
 Personal de comunicación y redes
 Personal de mantenimiento
 Personal administrativo
 Responsable de comunicaciones
 Responsable de Internet
 Responsables de redes Locales o nacionales
 Responsable de sala de usuarios
 Responsable de capacitación
d) Se deberá conocer la situación en cuanto a:
 Presupuesto
 Recursos Financieros
 Recursos Materiales
 Mobiliario y Equipo
 Costos
e) Se hará un levantamiento de censo de recursos humanos y análisis en cuanto a:
 Número de personas y distribución por áreas
 Denominación de puestos y personal de confianza y de base
 Salario y conformación del mismo
 Conocimientos
 Experiencia profesional
 Historial de trabajo
 Índice de rotación del personal
f) Por último, de deberá revisar el grado de cumplimiento de los documentos admirativos:
 Organización
 Normas y políticas
 Planes de trabajo
 Controles
 Estándares
 Procedimientos
Esta información nos servirá para poder determinar:
 Si las responsabilidades en la organización esta definidas adecuadamente.

 Si la estructura organizacional esta adecuada a las necesidades.
 Si el control organizacional es el adecuado.
 Si se tienen los objetivos y las políticas adecuadas, si se encuentran vigentes
 Si existe la documentación de las actividades, funciones y responsabilidades
 Si cumplen con los lineamientos organizacionales

1. Investigue y explique en un cuadro detallado sobre qué es COBIT, cuál es su
estructura.
COBIT: UN MARCO DE REFERENCIA PARA LA INFORMACIÓN Y LA TECNOLOGÍA
•Fue creado para ayudar a las

organizaciones a obtener el
COBIT 5 •Puede aplicar a organizaciones
de todos los tamaños, tanto en
valor óptimo de TI manteniendo •Posibilita que TI sea gobernada el sector privado, público o
un balance entre la realización y gestionada en forma holística entidades sin fines de lucro.
de beneficios, la utilización de para toda la organización,
recursos y los niveles de riesgo tomando en consideración el
asumidos. negocio y áreas funcionales de
punta a punta así como los
interesados internos y externos.
COBIT COBIT 5
La información y la tecnología que la soporta

representan los activos más valiosos de muchas
empresas, aunque con frecuencia son poco
entendidos. El valor, el riesgo y el control constituyen
la esencia del gobierno de TI.
GOBIERNO DE TI
Es responsabilidad de los ejecutivos agrupados en el consejo de directores de la empresa y para

ello, es necesario el liderazgo y una buena base de estructuras y procesos organizacionales que
garantizan que la TI de la empresa sostiene y extiende las estrategias y objetivos organizacionales.
Los Objetivos de Control para la Información y la Tecnología relacionada (COBIT) brindan

buenas prácticas a través de un marco de trabajo de dominios y procesos, y presenta las
actividades en una estructura manejable y lógica.
 Estableciendo un vínculo con
los requerimientos del negocio
 Organizando las actividades de
El Marco de trabajo TI en un modelo de procesos
de control  Identificando los principales
recursos de TI
 Definiendo los objetivos de
control gerenciales
2. Para la aplicación de nuestro caso práctico, tome como referencia la

institución en la que usted labora, la auditoría que se va a realizar es al
Departamento de Sistemas o Informática para lo cual se solicita:
 Realice una matriz FODA (los resultados deben ser interpretados, así como
encontrarse referenciados).
OPORTUNIDADES
FORTALEZAS
- Cambios Tecnologicos
- Financiamiento por
Innovadores
parte del estado
- Crear una Cultura
- Actualización
Tributaria
Técnologica
- Motivar a los
- Personal correctamente
contribuyentes con actos
capacitado
benéficos
DEBILIDADES AMENAZAS
- Encontrar personal - Cambios de políticas
actualizados y capacitado fiscales
- Falta de Personal para el -Evasión de impuestos
servicio al cliente
- Fraude Fiscal
- Trámites extensos para
detectar irregularidades - Incautación de bienes
en los contribuyentes en mal Estado.
 Prepare y aplique un cuestionario de control interno con preguntas de opción múltiple, los resultados deben ser interpretados y el papel de
trabajo debe encontrarse referenciado.
“SERVICIO DE RENTAS INTERNAS”
PROGRAMA DE AUDITORÍA PRELIMINAR P.P
DEPARTAMENTO DE RECLAMOS DEL IMPUESTO A LA RENTA 1/1
AL 31 DE AGOSTO DEL 2016
OBJETIVO: Obtener información necesaria para que el auditor pueda tomar la decisión de cómo proceder en la auditoría.
REALIZADO
N° PROCEDIMIENTOS REF/PT FECHA FIRMA OBSERVACIONES
POR
La institución no cuenta con los
Pedir los contratos de compra y venta de los equipos que se utilizan dentro contratos de compra y venta de
1 P.P. 1 A.Q 02/09/13
del departamento auditado. equipos con cierto grado de
antigüedad.
Solicitar un informe de seguridades lógicas con las que cuenta la entidad
2 P.P. 2 A.Q 02/09/13 -
auditada.
Solicitar la documentación relacionada con el mantenimiento de equipos en
3 el área auditada donde conste su existencia, quien lo proporciona y con qué P.P. 3 A.Q 02/09/13 -
frecuencia.
Solicitar el inventario de Hardware utilizado en los procesos del
4 I-HW. 1 L.E 03/09/13 -
departamento auditado.
Solicitar el inventario de Software utilizado en los procesos del
5 I-SW. 1 A.L 04/09/13 -
ELABORADO POR: Adriana Quishpi FECHA: 10/05/2017
SUPOERVISADO POR: Ing. Mauro Cantuña FECHA: 18/05/2017
EQUIPO SIGLAS
Adriana Quishpi A.Q
Luis Enríquez L.E
Armando López A.L
“SERVICIO DE RENTAS INTERNAS” P.P.1
CEDULA NARRATIVA 1/1
CONTRATOS DE COMPRA Y VENTA DE EQUIPOS
CONTRATOS DE COMPRA Y VENTA DE EQUIPOS
Mediante una solicitud se pidió al jefe del departamento de Reclamos del Impuesto a la Renta los
contratos de compra y venta de los equipos utilizados para llevar a cabo los procesos que se realizan
dentro de este departamento.
En respuesta a nuestra solicitud el jefe del departamento, el Sr. Raúl Pérez entrego un informe a través
de correo electrónico P.P. 3/3 detallado de la existencia de contratos de los equipos donde recalca que
existen equipos antiguos que no poseen contratos físicos a razón del deterioro de los mismos, y el
documento soporte de estos equipos son facturas entregadas por el proveedor.
La información que se busca encontrar en los contratos y en los distintos documentos de soporte de los
equipos son los requisitos que deberán cumplir quienes deseen participar en la licitación
Se obtendrá información de cómo se obtuvieron las mejores condiciones de precio, calidad,

financiamiento, oportunidad y demás condiciones pertinentes, a través de licitaciones que convocaron a
distintas empresas participantes entre estas:
Fabricantes de equipos de cómputo
Se entiende como fabricantes para los fines de esta licitación, a fabricantes directos o compañías filiales
o subsidiarias de los mismos.
Los fabricantes de equipos de cómputo podrán presentar sus ofertas de manera directa, o en oferta
conjunta con los canales de distribución que determinen.

P.P. 1.1
1/1
E mail recibido por el Sr. Raúl Pérez jefe del departamento de Reclamos del Impuesto a la Renta.
Comentario: Se constató la inexistencia de contratos de equipos a razón del deterioro y mal uso de los
contratos físicos, para respaldo de estos equipos existen facturas.
“SERVICIO DE RENTAS INTERNAS” P.P. 2
SEGURIDADES LÓGICAS
SEGURIDADES LÓGICAS
Mediante una solicitud se pidió al jefe del departamento de Reclamos del Impuesto a la Renta
información sobre las seguridades lógicas.
En respuesta a nuestra solicitud el jefe del departamento, el Sr. Raúl Pérez entrego un informe donde
se detalla lo siguiente.
Sobre las claves de acceso y actualizaciones:
Existen claves de acceso que resguardan la seguridad de los sistemas y tanto equipos como software
requieren de actualizaciones periódicas de acuerdo a los requerimientos generales del Instituto. Estas
actualizaciones no se hacen siguiendo una normativa establecida y se requiere establecer los
parámetros para efectuar dichas actualizaciones. Tales parámetros pueden ser: la frecuencia con la
que se debe actualizar los equipos, el tipo de actualización, el cuidado que se debe tener con los
computadores actualizados, entre otras.
Sobre protección antivirus:
Se utiliza actualmente el antivirus Nod 32 y Avast. Aunque no todos los antivirus que hay en el mercado
presentan alta efectividad, se recomienda siempre que las máquinas posean mínimo 2 programas
antivirus para mayor eficacia en el mantenimiento.
Sobre la seguridad de Internet:
Actualmente se utiliza el programa Firewall: Zone Alarm Pro, El programa Lavasoft, con buenos
resultados, sin embargo se activa continuamente y dificulta el normal funcionamiento de algunos
programas. Recomendamos el uso de sistemas como el que incluye Internet Explorer en la opción de
seguridad como indica en el gráfico, en donde es posible restringir los accesos a sitios con alto riesgo
de virus, y a la vez las restricciones pueden configurarse con contraseñas.
El uso de esta herramienta de Internet, tiene la ventaja de que no requiere una gran cantidad de
memoria adicional para este proceso, lo cual no reduce la velocidad considerablemente.

P.P. 3
1/5
En Quito, a 20 de Junio de 2009
REUNIDOS
DE UNA PARTE, El Servicio de Rentas Internas en adelante, el “CLIENTE”.
DE OTRA PARTE, FIRMARE S.A., con N| de RUC 1736458238001 en adelante “PROVEEDOR”,

domiciliada en Quito Av. América y Colon N° 3384
El CLIENTE y el PROVEEDOR, en adelante, podrán ser denominadas, individualmente, “la Parte”

y, conjuntamente, “las Partes”, reconociéndose mutuamente capacidad jurídica y de obrar suficiente
para la celebración del presente Contrato
EXPONEN
PRIMERO: Que el CLIENTE está interesado en la contratación de los servicios de:
a) Mantenimiento de sus sistemas informáticos: Hardware, Software y Red
El CLIENTE está interesado en contratar dichos servicios para mantener la operatividad de su

sistema informático en todo momento. [Indicar la necesidad del cliente]
SEGUNDO: Que el PROVEEDOR es una empresa especializada en la prestación de servicios de

mantenimiento integral de sistemas informáticos [indicar los servicios que presta el proveedor].
TERCERO: Que las Partes están interesadas en celebrar un contrato de Mantenimiento Informático
en virtud del cual el PROVEEDOR preste al CLIENTE los servicios de:
a) Mantenimiento de HARDWARE.
b) Mantenimiento de SOFTWARE.
c) Mantenimiento de soporte de RED.
Que las Partes reunidas en la sede social del CLIENTE, acuerdan celebrar el presente contrato de
MANTENIMIENTO INFORMÁTICO, en adelante, el “Contrato”, de acuerdo con las siguientes
CLÁUSULAS
PRIMERA.- OBJETO
En virtud del Contrato el PROVEEDOR se obliga a prestar al CLIENTE los servicios de

mantenimiento de hardware, software y de red [citar todos los servicios], en adelante “los Servicios”, en
los términos y condiciones previstos en el Contrato y en todos sus Anexos.
SEGUNDA.- TÉRMINOS Y CONDICIONES GENERALES Y ESPECÍFICOS DE PRESTACIÓN DE LOS

SERVICIOS
2.1. Los Servicios se prestarán en los siguientes términos y condiciones generales:
2.1.1. El PROVEEDOR responderá de la calidad del trabajo desarrollado con la diligencia exigible a
una empresa experta en la realización de los trabajos objeto del Contrato.
P.P. 3
2/5
2.1.2. El PROVEEDOR se obliga a gestionar y obtener, a su cargo, todas las licencias, permisos y
autorizaciones administrativas que pudieren ser necesarias para la realización de los
Servicios.
2.1.3. El PROVEEDOR se hará cargo de la totalidad de los tributos, cualquiera que sea su naturaleza
y carácter, que se devenguen como consecuencia del Contrato, así como cualesquiera
operaciones físicas y jurídicas que conlleve, salvo el Impuesto sobre el Valor Añadido (IVA)
o su equivalente, que el PROVEEDOR repercutirá al CLIENTE.
2.1.4. El PROVEEDOR guardará confidencialidad sobre la información que le facilite el CLIENTE en

o para la ejecución del Contrato o que por su propia naturaleza deba ser tratada como tal.
Se excluye de la categoría de información confidencial toda aquella información que sea
divulgada por el CLIENTE, aquella que haya de ser revelada de acuerdo con las leyes o con
una resolución judicial o acto de autoridad competente. Este deber se mantendrá durante
un plazo de tres años a contar desde la finalización del servicio.
2.1.5. En el caso de que la prestación de los Servicios suponga la necesidad de acceder a datos de
carácter personal, el PROVEEDOR, como encargado del tratamiento, queda obligado al
cumplimiento de la Ley 15/1999, de 13 de diciembre, de Protección de Datos de Carácter
Personal y del Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el
Reglamento de desarrollo de la Ley Orgánica 15/1999 y demás normativa aplicable. (...)
2.2 El PROVEEDOR prestará los Servicios en los siguientes términos y condiciones

específicos:
a) Mantenimiento de HARDWARE:
Mantenimiento preventivo que incluye una revisión periódica detallada del correcto
funcionamiento de los equipos de hardware en todos sus componentes.
Mantenimiento correctivo que incluye el coste de la mano de obra en la sustitución de los

componentes tanto internos como externos que fallaran en los equipos.
Instalación de otros dispositivos adicionales para la mejora del rendimiento operativo en

general y de seguridad.
P.P. 3
3/5
b) Mantenimiento de SOFTWARE:
Mantenimiento preventivo del software instalado que incluye la revisión de los parámetros
críticos de los equipos y de la red.
Mantenimiento correctivo que incluye la reinstalación de software en el caso de anomalías

en el funcionamiento.
Configuración del software ya instalado.
Actualización e instalación de software adicional con licencia.
Instalación y mantenimiento (incluyendo actualizaciones) del sistema antivirus.
c) Mantenimiento de RED:
Mantenimiento preventivo que incluya la monitorización de los parámetros básicos de la

red de forma que se garantice su adecuada dimensión.
Configuración y optimización para el correcto funcionamiento de la comunicación entre los

equipos conectados en RED, así como todos los periféricos conectados a ella.
Verificación del cableado de la RED en los equipos y periféricos.
Mantenimiento correctivo que incluye la reconfiguración del hardware y software de RED

después de la caída del sistema u otros percances.
d) Servicios adicionales de (…) [citar todos y cada uno de los servicios].
2.2.1. Los servicios se prestarán en la sede del CLIENTE, servicio presencial, y en todos los
componentes de sus sistemas informáticos durante (…) [indicar horario en el que se deben
realizar estos servicios e incluir cuando proceda fines de semana y festivos].
2.2.2. El PROVEEDOR utilizará los siguientes medios e inspecciones: Programas de conexión

remota entre los Ordenadores, servicio remoto. Programas de verificación de los
componentes. Inspección y Verificación manual. Programas de análisis del estado del
Ordenador.
P.P. 3
4/5
2.2.3. El PROVEEDOR monitorizará los sistemas principales: [determinar cuáles] de forma

continua.
2.2.4. El PROVEEDOR se obliga a prestar los servicios necesarios para el correcto funcionamiento
del sistema informático del CLIENTE. Dichos servicios comprenden la realización de cuantas
operaciones sean necesarias para el correcto funcionamiento de los equipos o sistemas
incluidos en este contrato, siempre que no se deban a manipulaciones indebidas.
2.2.5. El CLIENTE facilitará la labor del PROVEEDOR en todo momento, incluso asignándole en su
sede un módulo con sistema informático.
2.2.6. El CLIENTE designará todos los elementos de hardware, con su marca y nº de serie para su
identificación como parte de presente contrato (…) [indicar los elementos o anexo donde
se incluyan].
2.2.7. El coste de cualquier componente que el PROVEEDOR tenga sustituir o instalar será por
cuenta del CLIENTE. El PROVEEDOR no se responsabiliza de los daños que pudieran
producirse por la incorrecta manipulación de los componentes realizados por terceros, sin
vinculación con el PROVEEDOR.
2.2.8. Los productos que estén cubiertos por la garantía del fabricante deberán ser reparados por
el servicio técnico del fabricante. El PROVEEDOR solo se hará cargo si se trata de un
producto suministrado por él.
2.2.9. Los consumibles que el PROVEEDOR deba sustituir serán por cuenta del CLIENTE.
2.2.10. El CLIENTE se compromete a utilizar los componentes del hardware y del software de
acuerdo con las instrucciones y el manual del fabricante.
2.2.11. En ningún caso el PROVEEDOR mantendrá, instalará o configurará software sin las licencias
y permisos debidos. El PROVEEDOR garantiza al cliente que todo el software que se instale
en los equipos del cliente o aquel que sea usado para implementar sus funciones, es
original, y no vulnera ninguna ley, derecho o interés de tercero alguno, en especial los
referidos a propiedad industrial e intelectual, y que cuenta con las correspondientes
licencias de uso.
2.2.12. El PROVEEDOR realizará mensualmente una verificación de los sistemas para comprobar su
funcionamiento. Y procederá a subsanar cualquier anomalía.
P.P. 3
5/5
2.2.13. El PROVEEDOR actualizará, por servicio remoto, el antivirus del CLIENTE, con la frecuencia
que necesiten los sistemas y la aparición de nuevos virus o software maliciosos.
2.2.14. Cuando el PROVEEDOR estime necesario procera a limpiar los sistemas de programas
inútiles o de cookies. (…)
TERCERA.- POLÍTICA DE USO
3.1 El CLIENTE es el único responsable de determinar si los servicios que constituyen el objeto
de este Contrato se ajustan a sus necesidades, por lo que el PROVEEDOR no garantiza que
el servicio de mantenimiento contratado se ajuste a las necesidades específicas del CLIENTE.
3.2 El CLIENTE se obliga a hacer constar de forma clara, visible y accesible desde sus contenidos,
sus datos identificativos y como único responsable de los contenidos, poniendo un aviso en
sus contenidos de la Política de uso.
CUARTA.- DURACIÓN DEl CONTRATO
El plazo de duración del presente Contrato es de 5 años partir de la fecha referida en el encabezamiento
del Contrato. El Contrato podrá ser prorrogado expresamente y por escrito.
El Cliente______________________________________________________
El Proveedor:______________________________________________________
El contrato se resumió en las partes más relevantes para un mejor manejo de la información
Comentario: El contrato se entregó con normalidad el cual se resumió para un mejor manejo de la
información dentro del proceso de auditoria
“SERVICIO DE RENTAS INTERNAS” P.P. 3.1
MANTENIMIENTO DE EQUIPOS
RESUMEN DEL CONTRATO DE MANTENIMIENTO DE EQUIPOS
El jefe del departamento entrego el contrato de Mantenimiento de equipos por lo tanto he procedido
a realizar una síntesis del mismo para un mejor manejo, acceso y fácil entendimiento del contrato en
el que entre otras cosas dice:
La empresa que presta el servicio de mantenimiento de equipos es FIRMARE S.A., con N° de RUC
1736458238001 ubicada en Quito Av. América y Colon N° 3384
El mantenimiento preventivo y correctivo de las computadoras, según el contrato, se refiere a:
· Limpieza exterior de los equipos: CPU, teclado, mouse, monitor, impresora
· Configuración general del BIOS y sistema operativo
· De fragmentación del disco duro
· Revisión física del equipo y revisión software (software del cliente con licencia)
· Eliminación de virus & up-date del BIOS y drivers vía Internet
· Eliminación de los archivos temporales innecesarios
· Asesoría de sistemas de computación
· Evaluaciones para compañías de seguro
· Instalación y configuración de piezas y partes (el cliente paga solo la parte)
· Configuraciones de Internet, correo electrónico, red interna, ABA
1. El cliente debe tener todos sus programas originales y los drivers de las partes de los equipos
que se van a mantener. En algunos casos se requiere de una conexión a Internet para descarga
de archivos especiales. El cliente debe proveer esta conexión.
2. Nosotros reponemos el estatus del equipo(s) (con el software del cliente) al estado inicial de
sistema operativo.
3. nuestros técnicos levantaran un informe con las computadoras y sus equipos anexos y del
estado físico, al principio del periodo cubierto por el contrato. Solo las máquinas de la empresa
/ unidad militar tendrán cobertura de mantenimiento técnico.
4. El programa de mantenimiento se refiere a 8+ (ocho) horas de asistencia técnica/ mensual,
dentro de las oficinas del cliente, en una-dos visitas.
5. Incluye revisión (no reparación) de equipos como: como scanners, impresoras color y laser,
Iomega, hub, switch, etc.
6. En general, el contrato cubre la mano de obra total para mantenimiento en condiciones
operativa de las computadoras del cliente: si el cliente compras partes y accesorios adicionales
de HEX Computers, la mano de obra para el ensamblaje, instalación y puesta en marcha de
las mismas, será gratuito.

“SERVICIO DE RENTAS INTERNAS” P.P. 3.1
MANTENIMIENTO DE EQUIPOS
7. Mantenimiento de los servidores de red, redes bajo Novel, Windows NT, Uníx, servidores de
Internet, e-mail, intranets, impresoras de red, deben considerarse en un contrato separado.
Sin embargo,Hex Computers y sus técnicos intentaren hacer la mejor integración de equipos
de computación, para que los sistemas funciones de una manera óptima.
8. La respuesta no puede ser mayor de 24 horas, dentro de un horario hábil legal.
9. Bajo régimen especial y con un pago adicional al básico, el servicio técnico cubre los días
sábado y domingo.
10. En casos especiales la respuesta del servicio es de 6 horas y/o inmediato, según la
disponibilidad de personal técnico en la oficina, al momento de la llamada del cliente.
11. El servicio técnico vía telefónica se considera parte de las 8 horas/ mensuales fijas que
debemos prestar al cliente.
12. El servicio de garantía cubre nuestras computadoras y solo los equipos y partes que fueron
censadas al momento del comienzo del contrato. Otras partes y equipos, contratados a
terceros, que están en garantía ofrecida por terceros serán, según mutua aceptación,
incorporados al contrato inicial (dentro de las 10 máquinas standard y/o más de 10 máquinas,
con pago extra $ 10,00/maquina/mes.)
13. Si en un mes hay más de 8+ horas efectivas de servicio técnico, la diferencia se acredita al mes
siguiente, si este está cubierto por contrato. Si no está cubierto por contrato, se cobrara al
precio del mercado, por hora técnica.
14. La garantía no cubre problemas de software. Hex Computers no es responsable por la pérdida
de datos, y no es obligado a recuperar información perdida. Nuestra acción estará limitada a
la reinstalación del software operativo para que su equipo quede en las condiciones de
operación.
15. Hex Computers no está obligada a restablecer o instalar aplicaciones o programas que no
hayan venido originalmente en la maquinas (HEX), así como tampoco configurar dispositivos
distintos a los estándares de la maquina (HEX).
16. El costo del contrato de hasta 5 máquinas es de $. 579.90
17. El costo del contrato mensual básico de hasta 10 máquinas de computación es de $. 979.90,
que debe ser cancelado dentro de los primeros 5 días hábiles de cada mes que debe ser
ejecutado. Los impuestos legales de Ecuador aplica.
18. La duración mínima del contrato es de 3 meses. La duración máxima de 12 meses.
27. La Empresa no se hace responsable por daños a los equipos & software que pueden emanar
de este contrato, que será ejecutado de la mejor manera posible y con la mejor habilidad de
los técnicos.

“SERVICIO DE RENTAS INTERNAS” I-HW. 1
INVENTARIO 1/3
HARDWARE
EL HARDWARE DE LA RED
UNI ELEMENTO MARCA MODELO PUERTOS ALAMBRICO SERIE

1 MODEMTELECOM Cisco Systems Cisco 870 Si —–
1 AP1 D-Link DWL- G700AP LAN Si ——
1 Switch 1 Soney 8 pon 8 No —–
1 Switch 2 Nexxt Solutions NW223NXT1 8 No AVS25122009499
1 Switch 3 CNet CNSH-2400 24 No AFV1207000219
1 Switch 4 LG LS3124 24 No ——
1 Switch 5 D-link Des-1008D 8 No pl272858DA
1 Switch 6 Soney 4 pon 4 No ——–

INVENTARIO 2/3
HARDWARE
COMPUTADORAS CONECTADAS A LA RED
Cantidad Descripción
5 Computadoras Intel Pentium lll, memoria RAM 256 MB y Disco duro de 40 GB
3 Computadoras Intel Pentium 4, 2.4 GHz memoria RAM 256 MB y Disco duro de40 GB
9 Computadoras Intel Pentium 4, memoria RAM 512 MB y Disco duro de 80 GB
2 Computadoras Intel Pentium 4, memoria RAM 512 MB y Disco duro de 160 GB.
1 Computadoras Pentium R Dual-Core 2.6 GHZ 4, memoria RAM 2 GB y Disco duro de 180 GB

INVENTARIO 3/3
HARDWARE
INTERCONEXION DE LOS DISPOSITIVOS DE RED INFORMATICA DE LA ULS
ELEMENTO MARCA MODELO PUERTOS PC IP

MODEMTELECOM Cisco Systems Cisco 870 pública
AP1 D-Link DWL- G700AP LAN 16 PC Privada
Switch 1 Soney 8 pon 8 4 PC y el servidor web Privada
Switch 2 Nexxt Solutions NW223NXT1 8 5 PC Privada
Switch 3 CNet CNSH-2400 24 2 PC Privada
Switch 4 LG LS3124 24 15 PC Privada
Switch 5 D-link Des-1008D 8 7 PC Privada
Switch 6 Soney 4 pon 4 2 PC Privada

I-SW.1
INVENTARIO
SOFTWARE
2/2
5 Computadora de escritorio PC
COMPONENTE DESCRIPCIÓN
Procesador Windoxs XP
Chipset Mobile Intel® QM67 Express
Memoria RAM instalada 4 GB
Capacidad Disco Duro 320 GB
Disco Óptico Externo 8X DVD+/-RW
Tamaño máximo de la Pantalla 15″
Tipo Pantalla Touch screen
Puertos USB 2 Puertos
Tarjeta de Red Alámbrica Gigabit Ethernet
Tarjeta de Red Inalámbrica Broadcom 802.11a/b/g/n
Bluetooth Bluetooth 2.1+EDR
Maletín de transporte, recomendado por el
fabricante, con compartimiento interno para el
equipo, sus componentes y accesorios
Software preinstalado
Imagen de Petróleos Mexicanos en la versión
más actual
El equipo deberá entregarse con una batería
Batería Adicional adicional de la misma capacidad que la instalada.
3 años de garantía en sito a partir de la recepción
por parte del área usuaria, en todos los
Garantía componentes.
Instalación y puesta en operación del equipo en
Instalación y puesta en marcha: sitio a satisfacción de PEP.

I-SW.1
INVENTARIO
SOFTWARE
2/2
15 COMPUTADORAS DE ESCRITORIO TIPO DESARROLLO
CARACTERÍSTICA DESCRIPCIÓN
Gabinete Small Form Factor
Dimensiones Máximas (ancho x alto x fondo) cms. 37.0 x 11.0 x 42.0
Procesador Intel® Core™ i5-2500 (6MB Cache, 3.30 Ghz)
Chipsets Intel® Q67 Express Chipset
Memoria RAM instalada 4 GB DDR3
Velocidad Disco Duro 7,200 RPM
Dispositivo Óptico Unidad SATA DVD+/-RW
Tamaño del Monitor 19″
Resolución del Monitor 1440 x 900
Puertos USB 6 puertos USB 2.0
Salida VGA 1 puerto
Tarjeta de RED Tarjeta de Red Gigabit Ethernet
Imagen de Petróleos Mexicanos versión más
Software preinstalado actual
Memoria USB 8 GB, USB 3.0, con funcionalidad Hot Swap
Instalación y puesta en operación del equipo
Instalación y puesta en marcha: en sitio a satisfacción de PEP.

CÉDULA DE DESVIACIONES DETECTADAS D.D.1
SITUACIÓN CAUSA SOLUCIÓN
El encargado del archivo tiene

La institución no cuenta con
Poco cuidado al momento de que aplicar un mayor control y
los contratos de compra y
1 archivar los documentos de supervisión sobre los
venta de equipos con cierto
respaldo. documentos de respaldo que
grado de antigüedad.
se archivan.

PROGRAMA DE AUDITORÍA PRELIMINAR P.P
OBJETIVO: Obtener información necesaria para que el auditor pueda tomar la decisión de cómo proceder en la auditoría.
Procedimiento: CUESTIONARIO DE EVALUACIÓN DEL CONTROL INTERNO

Departamento: DEPARTAMENTO DE RECLAMOS DEL IMPUESTO A LA RENTA Subproceso:
Entrevistados: Luis Enríquez Periodo:

# REF PREGUNTA SI NO N/A COMENTARIO Pon Eval. Riesgo Valuac.
d. Riesgo
1.1 ¿Establece procedimientos para realizar diversas actividades de sistemas X 2 M 1,300

informáticos?
1.2 ¿Lleva un control de los sistemas utilizados por la empresa? X 1 A 1,000
1.3 ¿Cumplen con las políticas y reglamentos con respecto a la normativa X 3 A 3,000
institucional?
1.4 ¿Las actividades que realiza actualmente cumplen en su totalidad con las X 2 M 1,300
funciones establecidas por el jefe inmediato?
1.5 ¿Está capacitado el personal para realizar con eficiencia sus funciones? X No cumplen en su 2 B 0,700
totalidad del 100%
1.6 ¿Existe un programa sobre los servicios generales que requiere el área? X 1 A 1,000
1.7 ¿Cuentan con equipos y mobiliario adecuados y en cantidad suficiente X 2 B 0,700

para desarrollar su trabajo?
1.8 ¿Existe un manual de operaciones dentro de la empresa? X 2 M 1,300
Total 6 2 75%
EVALUACIÓN DE RIESGO CRITERIO DE EVALUACIÓN 15,0 Riesgo máximo total posible

PONDERACIÓN
ALTO MEDIO BAJO Rango Evaluación Riesgo global de Auditoría determinado en el área por
A M B 10,30
100% - 95% A aseveración
1 1.00 0.65 0.35 Área de seguridad requerida para pruebas de muestreo
2 2.00 1.30 0.70 94% - 64% M 69%
3 3.00 1.95 1.05 63% o menos B M Medio
EQUIPO SIGLAS
Adriana Quishpi A.Q
Luis Enríquez L.E
Armando López A.L
1. Con la información procesada en la actividad de aprendizaje 1.3., literales a) y b), diseñe y aplique una matriz de evaluación (los
resultados deben ser interpretados).
PROGRAMA DE AUDITORÍA PRELIMINAR P.E
OBJETIVO: Obtener evidencia suficiente que permita al auditor emitir su juicio en las conclusiones acerca de cuándo pueden ocurrir pérdidas materiales durante el
procesamiento de la información.
REALIZADO
N° PROCEDIMIENTOS REF/PT FECHA FIRMA OBSERVACIONES
POR
Algunos equipos no cumplen con las
Analizar que los equipos cumplan con las especificaciones con
1 SW. 1 A.Q 14/09/13 especificaciones descritas en los contratos de
los que se detallan en los contratos de compra y venta.
compra y venta y no pueden ser identificados
Verificar si las seguridades lógicas que posee la empresa son
2 SW. 2 A.Q 14/09/13 -
eficaces y resguardan la seguridad del sistema.
Solicitar documentación relacionada con el mantenimiento de
3 equipos en el área auditada donde conste su existencia, quien SW. 3 A.Q 14/09/13 -
lo proporciona y con qué frecuencia se lo realiza.
Solicitar el inventario de Hardware utilizado en los procesos del
4 HW. 4 L.E 15/09/13 -
Existe software innecesario (juegos,
protectores de pantalla, software de telefonía
Solicitar el inventario de Software utilizado en los procesos del
5 SW. 5 A.L 16/09/13 celular, etc.) en las secciones auditadas,
ocupando espacio y recursos del computador
y poniéndolos en riesgo
EQUIPO SIGLAS
Adriana Quishpi A.Q
Luis Enríquez L.E
Armando López A.L
VERIFICACION DE ESPECIFICACIONES DE LOS EQUIPOS SW. 1
DEPARTAMENTO DE RECLAMOS DEL IMPUESTO A LA 1/1
RENTA
Se realizó un análisis detallado de las especificaciones de los equipos y se las comparo con las especificaciones
mostradas en los contratos de compra y venta y se encontró lo siguiente:
CUMPLE CON LAS

DOCUMENTOS EQUIPO FECHA
ESPECIFICACIONES
Contrato Computo 20/06/2012 Cumple

Contrato Computo 15/05/2011 No Cumple
Factura 004564 Computo 18/05/2010 No identificado
Se comprobó que 3 equipos de cómputo no cumplen con las especificaciones detalladas en los
contratos de compra y venta y 5 no pueden ser identificados.
Comentario: Los equipos no funcionan de forma eficiente, este caso representa una ineficiencia del
%40 en los procesos realizados por el departamento.
“SERVICIO DE RENTAS INTERNAS” SW. 2
VERIFICACION SEGURIDADES LOGICAS 1/1
DEPARTAMENTO DE RECLAMOS DEL IMPUESTO A LA RENTA
Los programas de cómputo (software) deben configurarse desde la estación de trabajo o ingeniería del
sistema de monitoreo para tanques de almacenamiento, estando éste último en operación, dicha
configuración debe permitir actualizar en forma automática bases de datos, pantallas, gráficos y reportes;
así mismo, se deben actualizar automáticamente en secuencia inmediata con las modificaciones realizadas
sin que el usuario tenga que modificar líneas de código y/o programación de los programas y rutinas de
control que forman parte de los programas de cómputo (software).
Esta norma se debe revisar y en su caso modificar al menos cada 5 años o antes si las sugerencias o
recomendaciones de cambios lo ameritan.
Aquí se encuentran algunas observaciones respecto a algunos programas importantes

que -deben ser optimizados para evitar pérdidas de tiempo:
UTILITARIOS IMPORTANTES ESTADO OBSERVACIONES

Accesos logicos Bueno Requiere actualización de
componentes
Office 2007: Word, Excel, Bueno Requiere mantenimiento
Power Point frecuente
Internet Bueno Se debe prohibir la descarga e
instalación de nuevas
Antivirus Net Regular Barras de herramientas y
programas similares.

VERIFICACION DEL CUMPLIMIENTO DEL CONTRATO DE SW. 3
MANTENIMIENTO DE EQUIPOS 1/1
Se realizó un estudio del mantenimiento realizado al equipo y los resultados de este estudio fueron interesantes,
en el mismo nos refieren a la distribución del esfuerzo en cada grupo de actividades según se trate de
mantenimiento correctivo o perfectivo, resultando que:
 La proporción de esfuerzo dedicado a comprensión es mucho mayor en el caso de mantenimiento

correctivo que en perfectivo.
 La proporción de esfuerzo empleado en inspección, certificación y consultoría es mucho mayor en el
caso de mantenimiento perfectivo que en correctivo.
 La proporción de esfuerzo dedicado a diseño, codificación y pruebas es muy similar en ambos tipos de
mantenimiento
Grupo Actividades Porcentaje de esfuerzo

Análisis de impacto y
Análisis y comprensión costo/beneficio 13%
Compresión
Diseño del cambio
Diseño 50% de inspección, 16%
certificación y consultaría
Codificación y pruebas unitarias
Implementación 50% de inspección, 29%
certificación y consultaría
Pruebas de integración
Pruebas Pruebas de aceptación 24%
Pruebas de regresión
Documentación del sistema
Otras Otra documentación 18%
Otras actividades
Comentario: El resultado del estudio fue positivo ya que se cumple con el contrato de auditoría y se mantiene un
software limpio y eficiente.

“SERVICIO DE RENTAS INTERNAS” HW. 4
VERIFICACIÓN FÍSICA DEL INVENTARIO DE HARDWARE
1/2
INTERCONEXION DE LOS DISPOSITIVOS DE RED INFORMATICA DE LA ULS
ELEMENTO MARCA MODELO PUERTOS PC IP OBSERVACIONES

MODEMTELECOM Cisco Systems Cisco 870 pública -
AP1 D-Link DWL- G700AP LAN 16 PC Privada -
4 PC y el servidor -
Switch 1 Soney 8 pon 8 web Privada
Switch 2 Nexxt Solutions NW223NXT1 8 5 PC Privada -
Switch 3 CNet CNSH-2400 24 2 PC Privada -
Switch 4 LG LS3124 24 15 PC Privada -
Switch 5 D-link Des-1008D 8 7 PC Privada -
Switch 6 Soney 4 pon 4 2 PC Privada -
Se verifico que el Hardware se encuentra llevado de una forma ordenada y al comparar con los registros del sistema no se encontraron novedades

VERIFICACIÓN FÍSICA DEL INVENTARIO DE HARDWARE HW. 4
COMPUTADORAS CONECTADAS A LA RED
Cantidad Descripción OBSERVACIONES

5 Computadoras Intel Pentium lll, memoria RAM 256 MB y Disco duro de 40 GB -
3 Computadoras Intel Pentium 4, 2.4 GHz memoria RAM 256 MB y Disco duro de40 GB -
9 Computadoras Intel Pentium 4, memoria RAM 512 MB y Disco duro de 80 GB -
2 Computadoras Intel Pentium 4, memoria RAM 512 MB y Disco duro de 160 GB. -
1 Computadoras Pentium R Dual-Core 2.6 GHZ 4, memoria RAM 2 GB y Disco duro de 180 GB -
Se verifico que el Hardware se encuentra llevado de una forma ordenada y al comparar con los registros del sistema no se encontraron novedades

VERIFICACIÓN DEL INVENTARIO SOFTWARE
1/2
COMPONENTE DESCRIPCIÓN OBSERVACIONES

Procesador Windoxs XP -
Chipset Mobile Intel® QM67 Express -
Memoria RAM instalada 4 GB -
Capacidad Disco Duro 320 GB -
Disco Óptico Externo 8X DVD+/-RW -
Tamaño máximo de la Pantalla 15″ -
Tipo Pantalla Touch screen -
Puertos USB 2 Puertos -
Tarjeta de Red Alámbrica Gigabit Ethernet -
Tarjeta de Red Inalámbrica Broadcom 802.11a/b/g/n -
Bluetooth Bluetooth 2.1+EDR -
Maletín de transporte, recomendado por el fabricante, con -
compartimiento interno para el equipo, sus componentes y
Software preinstalado accesorios
Imagen de Petróleos Ecuador en la versión más actual Software Innecesario
Juegos Juegos java Software Innecesario
Nokia Software de telefonía celular Software Innecesario
Se verifico el software de los diferentes equipos que se encuentran dentro del departamento auditado y se encontró que existen software instalados que son
innecesarios para el manejo de los procesos realizados en el departamento

VERIFICACIÓN DEL INVENTARIO SOFTWARE
2/2
CARACTERÍSTICA DESCRIPCIÓN OBSERVACIONES

Gabinete Small Form Factor
Dimensiones Máximas (ancho x alto x fondo)
cms. 37.0 x 11.0 x 42.0
Procesador Intel® Core™ i5-2500 (6MB Cache, 3.30 Ghz)
Chipsets Intel® Q67 Express Chipset
Memoria RAM instalada 4 GB DDR3
Velocidad Disco Duro 7,200 RPM
Dispositivo Óptico Unidad SATA DVD+/-RW
Tamaño del Monitor 19″
Resolución del Monitor 1440 x 900
Puertos USB 6 puertos USB 2.0
Salida VGA 1 puerto
Tarjeta de RED Tarjeta de Red Gigabit Ethernet
Juegos Juegos java Software Innecesario
Nokia Software de telefonía celular Software Innecesario
Se verifico el software de los diferentes equipos que se encuentran dentro del departamento auditado y se encontró que existen software instalados que son
innecesarios para el manejo de los procesos realizados en el departamento

2. Con la información procesada en la actividad 1.3., literal b), prepare una cédula de situaciones encontradas.

CÉDULA DE SITUACIONES ENCONTRADAS S.E. 1
SITUACIÓN CAUSA SOLUCIÓN FECHA SOLUCION RESPONSABLE
Se solicita la adecuada
Falta de planificación del
planificación del personal
En el área auditada no personal encargo de etiquetar
encargado de etiquetar los
cuentan con la identificación los dispositivos. Sr. Raúl Pérez jefe del
diferentes dispositivos
1 de los computadores y sus Falta de tiempo del personal 19/10/2016 departamento de Reclamos del
informáticos para que al
dispositivos según el responsable. Impuesto a la Renta
momento de realizar
departamento. Evitar molestias a los usuarios
posteriores auditorías evitar la
de los computadores.
desorganización de los
computadores.
Se recomienda que se lleve un

Existe software innecesario control periódico, para así no
(juegos, protectores de ocupar recursos del
pantalla, software de Falta de control informático computador en software que
Sr. Raúl Pérez jefe del
telefonía celular, etc.) en las secciones. por falta de conocimiento el
2 19/10/2016 departamento de Reclamos del
ocupando espacio y recursos Falta de conocimiento por personal lo instala,
Impuesto a la Renta
del computador y parte del personal. provocando que solo llame la
poniéndolos en riesgo ya que atención de los usuarios y no
es software ilegal. sea indispensable en el cargo
que le corresponda.

3. Con la información procesada en la actividad 1.3., literales a) y b), prepare
una guía de auditoría.
INFORME EJECUTIVO DE AUDITORIA INFORMATICA
Quito, 19 de septiembre de 2016
Dr.
Carlos Marx
DIRECTOR GENERAL DEL SRI
Presente.
Hemos efectuado la Auditoría Informática del departamento de Reclamos del Impuesto a la Renta del SRI,
por el periodo comprendido entre el 01 de septiembre al 21 de Diciembre del 2016. Nuestra auditoría se
desarrolló de acuerdo a las Normas para el Ejercicio Profesional de la Auditoría, para el mismo se empleó
técnicas y procedimientos que se consideran necesarios para la elaboración del trabajo.
Debido a la naturaleza especial de nuestro examen, los resultados se encuentran expresados en los hallazgos
o comentarios, conclusiones y recomendaciones, que constan en el presente informe.
FALTA DE DOCUMENTACION QUE SUSTENTE LOS EQUIPOS DE COMPUTO
La institución no cuenta con los contratos de compra y venta de equipos con cierto grado de antigüedad.
Los departamentos deben tener respaldo de todos los bienes que posee la empresa, aplicando la norma
internacional para la seguridad de la información ISO17799/BS7799; la cual ayuda a gestionar la seguridad de
la información desde dentro de la organización.
Poco cuidado al momento de archivar los documentos de respaldo.
No se pueden reconocer los equipos por lo que no se puede comparar con el inventario del Hardware,
ocasionando un desajuste en el Inventario del Hardware
Conclusión:
La institución no cuenta con los contratos de compra y venta de equipos con cierto grado de antigüedad.
Debido al poco cuidado al momento de archivar los documentos de respaldo. No se pueden reconocer los
equipos por lo que no se puede comparar con el inventario del Hardware, ocasionando un desajuste en el
Inventario del Hardware
Recomendación:
Carlos Correa encargado del archivo.- Tiene que aplicar un mayor control y supervisión sobre los documentos
de respaldo que se archivan.
EQUIPOS DE CÓMPUTO NO CUENTAN CON LAS ESPECIFICACIONES REQUERIDAS
En el área auditada no cuentan con la identificación de los computadores y sus dispositivos según el
departamento.
Se considera necesaria la correcta identificación de los dispositivos para una mejor organización de cada
uno de los departamentos, tomando en cuenta un código que facilitará próximas auditorías.
Esta situación debido a:
 Falta de planificación del personal encargo de etiquetar los dispositivos.
 Falta de tiempo del personal responsable.
 Evitar molestias a los usuarios de los computadores.
Lo que ocasiona:
 Desorganización de los computadores.
 Pérdida de algún dispositivo.
 Desconocimiento de cambios de dispositivos entre departamentos o secciones.
Conclusión:
En el área auditada no cuentan con la identificación de los computadores y sus dispositivos según el
departamento. Esta situación debido a: Falta de planificación del personal encargo de etiquetar los
dispositivos, Falta de tiempo del personal responsable, Evitar molestias a los usuarios de los computadores.
Lo que ocasiona: Desorganización de los computadores, Pérdida de algún dispositivo, Desconocimiento de
cambios de dispositivos entre departamentos o secciones.
.Recomendaciones:
1. Al Responsable del departamento Sr. Raúl Pérez.- Se solicita la adecuada planificación del personal
encargado de etiquetar los diferentes dispositivos informáticos para que al momento de realizar
posteriores auditorías evitar la desorganización de los computadores.
2. Organizar el horario de trabajo para que se pueda etiquetar e identificar correctamente cada uno de los
dispositivos según el departamento, sección o agencia a la que pertenece, para evitar la pérdida de
algún dispositivo y será de mayor utilidad para posteriores auditorías.
3. Realizar un inventario periódicamente explicando a los usuarios los beneficios que tiene para la empresa
realizarlo ya que permitirá conocer si se ha cambiado dispositivos entre departamentos o secciones
SOFTWARE INNECESARIO EN LOS COMPUTADORES
Existe software innecesario (juegos, protectores de pantalla, software de telefonía celular, etc.) ocupando
espacio y recursos del computador y poniéndolos en riesgo ya que es software ilegal.
Las secciones deben tener solamente el software necesario según el requerimiento del personal ya que el
software innecesario puede llamar la atención del usuario y de esta manera puede llevar a perder el tiempo
en actividades que no abarque a su puesto de trabajo.
Debido a:
 Falta de control informático en las secciones.

 Falta de conocimiento por parte del personal.
Lo que ocasionó:
 Uso de recursos y espacio en el computador.

 Pérdida de tiempo en actividades no acorde a su puesto.
Conclusión:
Existe software innecesario (juegos, protectores de pantalla, software de telefonía celular, etc.) ocupando
espacio y recursos del computador y poniéndolos en riesgo ya que es software ilegal. Debido a la Falta de
control informático en las secciones, Falta de conocimiento por parte del personal. Lo que ocasionó Uso de
recursos y espacio en el computador, Pérdida de tiempo en actividades no acorde a su puesto.
Recomendación:
Al Responsable del departamento Sr. Raúl Pérez.- se le solicita que lleve un control periódico, para así no
ocupar recursos del computador en software que por falta de conocimiento el personal lo instala,
provocando que solo llame la atención de los usuarios y no sea indispensable en el cargo que le
corresponda.
Atentamente,
Adriana Quishpi
Directora de Auditoría

G1.quishpi - Ramirez.adriana - Auditoria Informatica

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

G1.quishpi - Ramirez.adriana - Auditoria Informatica

Uploaded by

Copyright:

Available Formats

18-5-2017

ABRIL- AGOSTO 2017

1. Realice un cuadro explicativo detallado sobre la clasificación de los tipos

Es la realizada por auditores que dependen

La auditoría financiera examina a los estados

Podemos definir a la auditoría administrativa como

Este tipo de auditoria se originó en los Estados

Auditoría Gubernamental Es la revisión y examen que llevan a cabo las

Auditoría Fiscal Es realiza a los registros y operaciones contables

Auditorias Auditoria de proyectos de Es la revisión y evaluación que se realizan a los

Es la evaluación que se hace de la calidad del

Es la que se realiza con el apoyo de los equipos

Su aplicación se enfoca exclusivamente a la

Es realizada para evaluar la calidad en el

Auditoría ergonómica de Se realiza para evaluar la calidad, eficiencia y

2. ¿Qué es una auditoría informática? ¿Cuáles son sus ventajas y desventajas?

Auditoría Informática.-Examen profesional realizado por el auditor enfocado a la

Diseños de procedimientos espesificos el Sistema

Permite la verificacion de controles de aplicacion tales

Se puede confessionar varios reportes para ser empleados

Permite organizar datos, consolidarlos en funcion de

Elevado costo de desarrollo

Limitado número de reportes y consultas

Son dependientes del sistema en uso en la entidad Auditada

Tiene necesidad de mantenimiento del sistema debid a las

3. Prepare un cuadro sinóptico detallado sobre el marco esquemático de la auditoría

MARCO ESQUEMÁTICO DE LA AUDITORIA DE SISTEMAS

Una base de datos o banco de datos es

 Seguridad del área

4. Investigue y explique cuáles son los objetivos de la auditoría informática y de la

Es especializada en actividades de cómputo. Ha surgido una nueva necesidad de evaluación para

 El control de la función informática,

 Promover mejoras en la economía, efectividad, eficiencia en la operación y en los controles

ACTIVIDAD DE APRENDIZAJE 1.2.

Coordinación de recursos.- Se tiene que asignar y distribuir de manera correcta los

Delegación de autoridad y responsabilidad.- Se debe realizar una distribución

Asignación de actividades.- Se aplica cuando la dirección instituye una definición

Distribución de recursos.- Es la asignación de los recursos informáticos disponibles en

DIVISIÓN DEL TRABAJO

Dirección general del área de informática.- Es la entidad encargada de integrar,

Área de análisis y diseño.- Es la encargada de estudiar las necesidades de procesamiento

Área de sistemas de redes.- Está destinada a la administración y control de los sistemas

Área de operación.- Está encargada de realizar la operación, procesamiento y uso de los

Área de administración.- Brinda todo el apoyo de tipo administrativos que requiere el

ASIGNACIÓN DE RESPONSABILIDAD Y AUTORIDAD

Análisis de la administración de Sistemas de Información, desde un punto de vista de

Auditoría del riesgo operativo de los circuitos de información

Análisis de la administración de los riesgos de la información y de la seguridad implícita.

Verificación del nivel de continuidad de las operaciones.

Establecimiento de estándares y métodos

Estandarización del diseño, implementación y administración de las bases de datos, en

Estandarización del diseño, instalación y aprovechamiento de los sistemas de redes y

3. Investigue, diseñe y aplique los instrumentos de recopilación de datos

RECOPILACIÓN DE LA INFORMACIÓN ORGANIZACIONAL

a) Revisión de la Estructura Orgánica

Esta información nos servirá para poder determinar:

 Si las responsabilidades en la organización esta definidas adecuadamente.

ACTIVIDAD DE APRENDIZAJE 1.3.

•Fue creado para ayudar a las

La información y la tecnología que la soporta

Es responsabilidad de los ejecutivos agrupados en el consejo de directores de la empresa y para

Los Objetivos de Control para la Información y la Tecnología relacionada (COBIT) brindan

2. Para la aplicación de nuestro caso práctico, tome como referencia la