Software">
Caso de Estudio - CIX Technologies Store - PA2 2020-II
Caso de Estudio - CIX Technologies Store - PA2 2020-II
Caso de Estudio - CIX Technologies Store - PA2 2020-II
Technologies
Store
Caso de Estudio (II)
CICLO 2020-II
1
CIX Technologies Store
Caso de Estudio (II)
Introducción
Hace varios meses, comenzaste a trabajar en una gran empresa de auditoría como un
auditor del staff de TI. Actualmente estás trabajando en su primera tarea, una revisión
de ITGC de la empresa CIX Technologies Store (CTS). CTS es una cadena regional de venta
mayorista de hardware de computadoras que cotiza en la Bolsa de Valores de Lima, con
sede en Chiclayo, Lambayeque, e incluye 20 tiendas ubicadas en el norte del Perú.
El centro de datos centralizado se encuentra en Chiclayo. CTS cuenta con una suite
integrada de aplicaciones que incluyen software de última generación para gestionar el
reabastecimiento de mercancías, la previsión de ventas a nivel de almacén, y datos de los
puntos de venta. Por ejemplo, CTS se basa en escáneres de códigos de barras y lectores
de tarjetas de crédito/débito (POS). Para mantener su ventaja competitiva en su sector,
CTS recientemente implementó un sistema de pago biométrico de huella dactilar en
todas sus tiendas. Esta nueva implementación de sistemas requería que CTS cambiara
varias de sus aplicaciones contables; en particular, las relacionadas con el procesamiento
de sus cobros de efectivo. CTS no utiliza ninguna organización de servicios externos para
proporcionar sus servicios de TI.
Juan Pérez, el jefe de auditoría que encabeza tu equipo, decidió que debido al
procesamiento de TI complejo y sofisticado de CTS, es obligatoria una revisión de
Controles Generales de TI (ITGC) para cumplir con los procedimientos de evaluación de
riesgos de SAS 109 y los requerimientos de Control Interno de la Evaluación de la
Administración de la Sección 404 de SOX. Tú sabes que una revisión de ITGC es muy
importante porque éstos proporcionan la base para confiar en cualquier información
financiera que generen los sistemas de CTS. Tu evaluación afectará al auditor financiero
al evaluar el riesgo de error material en las finanzas de CTS y, en consecuencia, el plan de
auditoría. En su primera reunión de equipo, Juan anunció que sus especialistas de
seguridad de redes revisarían las cuestiones técnicas relacionadas con los controles
2
internos de CTS. Ellos evaluarán los sistemas operativos de CTS, su software de
telecomunicaciones, y su configuración de red y firewalls.
En preparación para la reunión, Juan te alentó a revisar las disposiciones clave incluidas
en la SAS 109, la Sección 404 de SOX, las secciones aplicables del Estándar de Auditoría
de PCAOB No. 5, y la guía interna de la empresa, la cual agrupa a las ITGC en las siguientes
cinco áreas: gestión de TI, desarrollo de sistemas, seguridad de datos, gestión de cambios
y planificación de la continuidad del negocio (BCP).
Gestión de TI
Desarrollo de sistemas
Los conceptos clave dentro del desarrollo de sistemas incluyen la existencia de una
metodología de implementación de nuevos sistemas, la gestión de proyectos, las
revisiones pre- y post- implementación, el control de calidad, las pruebas adecuadas, y el
cumplimiento demostrado con la metodología de implementación seleccionada. En base
a este entendimiento, las principales preocupaciones de tu equipo son:
3
¿Hasta qué punto está involucrado el área de Auditoría Interna de CTS en las
actividades de desarrollo de sistemas? ¿Es parte del equipo de revisión del
proyecto? ¿Es un miembro votante del equipo?
En particular, ¿qué tan bien gestionó CTS el desarrollo y la implementación de su
nuevo sistema de pago biométrico de huella digital?
En el lado físico, la seguridad de los datos incluye el acceso físico y los controles
ambientales sobre la sala de computadoras del centro de datos. En el lado lógico, la
seguridad de los datos incluye las políticas relacionadas con las restricciones de
configuración, cambios e historial de contraseñas.
¿Qué tan bien controla CTS el acceso físico a la sala de computadoras del centro
de datos?
¿Está la sala de computadoras de CTS adecuadamente protegida contra peligros
ambientales, como el fuego?
¿CTS controla el acceso lógico a sus sistemas de información? En particular, ¿cómo
controla el acceso lógico de los empleados despedidos o transferidos?
¿CTS tiene una política actual de seguridad informática?
¿CTS produce informes de violación de acceso?
¿Se adhiere el personal de TI de CTS a la política de TI y sigue los procedimientos
de TI? Por ejemplo, ¿el personal apropiado revisa cualquier informe de violación
de acceso y toma la acción prescrita?
4
Gestión del cambio
Los conceptos clave de la Gestión del Cambio incluyen los procedimientos de cambio
documentados, la autorización y la aprobación del usuario, la segregación de funciones
en la implementación de cambios, la revisión de la gestión, el control de calidad, y las
pruebas adecuadas. Las principales preocupaciones de tu equipo auditor son:
Los conceptos clave de BCP son las expectativas de la gerencia con respecto a una
recuperación oportuna de las capacidades de procesamiento, la existencia de un plan
escrito, la aceptación del plan, el almacenamiento fuera del sitio tanto del plan como de
los archivos de datos, y la prueba del plan. Las principales preocupaciones de tu equipo
auditor son:
5
Infraestructura de TI
CTS cuenta con ocho servidores localizados, todos ellos, en el centro de datos ubicado en
la sede principal de la empresa en Chiclayo:
6
Reuniones preliminares
El equipo auditor tuvo varias reuniones previas con la finalidad de tener un mejor
entendimiento de la empresa. A continuación, se detalla un extracto de dichas reuniones.
El Área de Auditoría Interna de CTS está involucrado como miembro votante de los
equipos de trabajo responsables para el diseño, el desarrollo, y la implementación
7
de nuevos proyectos. Auditoría Interna realiza las revisiones post-implementación
en todos los proyectos de más de S/. 250 mil.
El nuevo sistema de pago de codificación biométrica estuvo 25% sobre su
presupuesto de tiempo inicial y 40% sobre su presupuesto inicial en soles.
Instrucciones
1. Elabora una presentación en Power Point, respondiendo las preguntas del caso.