auditoria de sistemas (empresa)
TRANSCRIPT
AUDITORIA DE SISTEMAS
EMPRESA: XXXXX (Ubicada en xxxxxxxxxxxxxxxxxxx).
20-05-2012
INTRODUCCIÓN
A medida que las empresas se han vuelto cada vez más dependientes de las
computadoras y las redes para manejar sus actividades, la disponibilidad de los
sistemas informáticos se ha vuelto crucial. Actualmente, la mayoría de las
empresas necesitan un nivel alto de disponibilidad y algunas requieren incluso un
nivel continuo de disponibilidad, ya que les resultaría extremadamente difícil
funcionar sin los recursos informáticos necesarios. Sin embargo estos avances
traen consigo inconvenientes en el manejo de los procesos, creando la necesidad
de evaluar los sistemas informáticos con el fin de determinar si su funcionamiento
es el adecuado o para descubrir donde se pueden realizar mejoras.
La empresa XXXX Ubicada en xxxxxxxxxxxx; es una empresa que cuenta con el
sistema informático (Baan V) este es un sistema computacional por medio del cual
se auxilian actividades y operaciones de la empresa, incluye el ciclo de gestión de
las compras, servicios de calibración y mantenimiento entre otras. Los módulos del
sistema Baan V son: común (TC), Finanzas (TF), Proyectos (tp), manufactura (TI),
Distribución (TD), Proceso (ps), Transporte (TR), Servicio (TS), Enterprise Modeler
(Tg), Restricción de Planificación (CP), Herramientas (TT), Utilidades (tu), Baan
marcos alemanes (TG)
Este sistema fue implementado hace más de diez años y la presente auditoría
se realizó con el fin de evaluar la eficiencia y eficacia del sistema (Baan V) de la
empresa XXXXXX. Esta auditoría se efectuó mediante una revisión metódica de
los registros, tareas y resultados de la empresa, con el fin de diagnosticar el
comportamiento global en el desarrollo de sus actividades y operaciones. Como
resultado de este proceso se elaboró el informe final.
INFORME DE AUDITORIA
Alcance
La presente Auditoria Informática se realizó a la empresa XXXX (Ubicada en
xxxxxxxxxxxxxxxxxxxxxxx; siendo el área a examinarse la de Informática.
Alcances de la auditoria:
Planes y procedimientos
Políticas de Mantenimiento
Inventarios Ofimaticos
Capacitación del Personal
Recursos Humanos
Actualmente en el área de cómputo e informática laboran tres (3) personas
quienes cumplen las funciones de administración, capacitación, soporte y
procesamiento de datos.
Recursos informáticos
HARDWARE/SOFTWARE CANTIDAD
Servidores (Windows server 2003 service pack 3) 1
Computadoras 5
Impresoras 3
Tabla #1. Recursos Informáticos. [Martínez Y., 2012]
Objetivos
Objetivo general
Revisar y evaluar los controles, sistemas y procedimientos de informática; de
los equipos de cómputo, su utilización, eficiencia y seguridad en el procesamiento
de la información y así determinar la confiabilidad de sus procesos y aportar
alternativas, que al ser implementadas, permitan mejorar su operatividad.
Objetivos específicos
Evaluar el diseño y prueba de los sistemas del área de informática.
Evaluar los procedimientos de control de operación, analizar su
estandarización y evaluar el cumplimiento de los mismos.
Evaluar la forma como se administran los dispositivos de almacenamiento
básico del área de informática.
Conocer cuáles son las fallas del sistema informático (Baan V).
Evaluar el control que se tiene sobre el mantenimiento y fallas de los
equipos informáticos.
Verificar las disposiciones y reglamentos que coadyuven al mantenimiento
del orden dentro del departamento de cómputo.
Recursos
El numero de personas que integraran el equipo de auditoria sera de dos, con
un tiempo maximo de ejecucion de 3 semanas.
Nombres y Apellidos Cargo
Martinez Y. Auditor
Tabla #2. Recursos. [Martínez Y., 2012]
Etapas de trabajo
1. Recopilacion de la información basica
Una semana antes del comienzo de la auditoria se envió un cuestionario (Ver
anexo Tabla14) a los responsables del area de Informatica de la empresa XXXX.
El objetivo de este cuestionario es saber los equipos que usan y los procesos que
realizan en ellos. De esta manera, se obtendra una vision mas global del sistema.
Es importante tambien reconocer y entrevistarse con los responsables del area
de sistemas de la empresa para conocer con mayor profundidad el hardware y el
software utilizado.
En las entrevistas incluiran:
Director de Informatica. Tecnico de soporte.
CARGO NOMBRE Y APELLIDO TELEFONO
Director Angel Guzman xxxx-xxxxxxx
Soporte técnico Pedro Perez xxxx-xxxxxxx
Soporte técnico Jesus Contreras xxxx-xxxxxxx
Tabla #3. Personal entrevistado. [Martínez Y., 2012]
2. Identificación de riesgos potenciales.
Con respecto al estudio realizado, encontramos lo siguiente:
A. Organización y Administración del Área
A.1. Comité y Plan Informático
• Falta de un Comité de Informática debidamente establecido.
• Falta de una metodología para la planificación de los proyectos.
Efectos
• Es posible de que las soluciones que se implementen para
resolver problemas no sean efectivos a un 100%, tanto en Software como
en Hardware.
Sugerencias
• Establecer un Comité de Informática integrado por representantes de las
áreas funcionales claves (Gerencia Administrativa, responsables de las Áreas
Operativas, responsables de Informática y el responsable Contable).
• Trazar los lineamientos de dirección del Área de Informática.
B. Seguridad Física Y Lógica
B.1. Entorno General
• No existe personal de vigilancia exclusivo para el Área Informática.
• No existe un sistema de alarma contra incendios.
• No se ha realizado un estudio de vulnerabilidad en el área de informática,
ante los riesgos físicos.
Efectos
• Vulnerabilidad de la información clasificada.
• Fácil acceso a los datos y archivos debido a la falta de controles del sistema.
• Interrupción del sistema debido a la falta de mantenimiento.
Sugerencias
• Establecer guardia de seguridad en el área informática.
• Colocar detectores y extintores de incendios automáticos en los lugares
necesarios.
• Efectuar estudios de vulnerabilidad para contrarrestar los posibles puntos
débiles que se puedan encontrar.
B.2. Auditoria de Sistema
• No se encontró evidencia de que se haya realizado una auditoria Informática
anteriormente.
Efectos
• Cabe la posibilidad de que aplicaciones y datos puedan ser modificados y
alterados por personas ajenas al sistema, ya que el acceso al mismo no
representa dificultades, debido a la carencia de controles.
Sugerencias
• Implementar medidas y procedimientos de control.
B.3. Operaciones de Respaldo
• Se realizan copias de seguridad en discos compactos, los cuales son
almacenados dentro del mismo departamento de Informática por el auxiliar de
informática.
• No existen las medidas de comprobación para que las copias de seguridad
sean totalmente confidenciales.
Efectos
• Exposición por parte de la empresa a la pérdida de información debido a la
no supervisión periódica de las copias de seguridad y por estar en manos del
auxiliar de informática.
Sugerencias
• Realizar 3 copias de respaldos de datos en discos duros de manera tal que
una se almacene en el departamento de informática, otra la posea el Jefe de área
y la última se almacene en una caja fuerte en una entidad bancaria.
• Realizar pruebas semanales de las copias y distribución de las mismas.
B.4. Acceso a usuarios
• Conforme a la función de los usuarios, así es medido su acceso.
• Los equipos en uso tras un cierto tipo de inactividad no salen del sistema.
• No se realizan cambios de contraseñas periódicamente.
Efectos
• Debido a que no se cambian las contraseñas, es posible el acceso de
personas ajenas.
Sugerencia
• Implementar un software de seguridad informática.
• Aplicar métodos que controlen la modificación de los archivos.
B.5. Plan de Contingencias
• Ausencia de un Plan de Contingencia debidamente formalizado en el Área de
Informática.
• Escasez de procedimientos y medidas ante desperfectos del equipo y el
sistema en general.
Efectos
• Pérdida de información vital.
• Pérdida de la capacidad de procesamiento.
Sugerencias
• Establecer un plan de contingencia escrito, en donde se establezcan los
procedimientos manuales e informáticos.
• Realizar evaluaciones o pruebas de contingencias para verificar la eficacia de
las operaciones.
• Establecer acuerdos con empresas que brindan apoyo en momentos críticos
para asegurar la operatividad del sistema.
3. Objetivos y Procedimientos de control.
Se evaluaron los manuales de politicas y estandares de seguridad del area de
informatica dando como resultado lo siguiente:
A. ESTRUCTURA DE LA ORGANIZACIÓN
Se verifico que el organigrama del área de informática, está acorde a la
estructura real del departamento.
Funciones
En el departamento evaluado no tiene definidas las funciones y
responsabilidades de cada puesto.
Efectos
Sobrecarga de trabajo en algunos usuarios
Inconformidad en la realización de las actividades
Incumplimiento laboral
Sugerencias
Crear manual de funciones
Delimitar funciones de acuerdo al puesto de trabajo.
B. PROGRAMAS DE TRABAJO
Los datos vertidos en la encuesta mostraron que en el departamento evaluado,
no se tiene elaborado un programa anual de trabajo.
Efectos
Los objetivos y metas del departamento no se logran en su totalidad.
Desorganización en la ejecución del trabajo.
Sugerencias
Crear e implementar una norma de control interno que rija la elaboración de
un plan anual de trabajo para el departamento.
El director cree planes de trabajo para el departamento y se le asigne.
Se contrate un ente externo para que elabore un plan de trabajo anual para
el área informática.
4. Obtención de los resultados.
Durante la realización de la auditoria, se aplico el instrumento, con el cual se
recabó toda la información necesaria para la culminación satisfactoria de dicha
auditoria, la misma quedó demostrada con el cuestionario que se le aplico al
personal del área de informática.
Análisis e Interpretación de los resultados.
Una vez que se aplicó el cuestionario se procedió al análisis de cada uno
de los ítems presentados. De la misma forma se presenta la información de forma
gráfica, empleando gráficos circulares lo cual facilita apreciar estadísticamente los
resultados obtenidos.
Pregunta 1
¿Existe un comité de informática?
Tabla #4. Tabulación del ítem #1. [Martínez Y., 2012]
Nº de pregunta
Parámetro Frecuencia Porcentaje
1 Si 0 0%
No 3 100%Total 3 100%
GRÁFICO N° 1
Representación gráfica del Ítem N° 1
100%
SI NO
Análisis:
El resultado nos indica que el 100% de las personas entrevistadas reconoce
que no existe un comité de informática en el Área de cómputo.
Pregunta 2
¿Existen estándares de funcionamiento y procedimientos?
Tabla #5. Tabulación del ítem #2. [Martínez Y., 2012}
Nº de pregunta
Parámetro Frecuencia Porcentaje
2 Si 1 33,33%
No 2 66,67%Total 3 100%
GRÁFICO N°2
Representación gráfica del Ítem N°2
66,67%
33,33%
SI NO
Análisis:
El 66,67% manifiesta que no existen estándares de funcionamiento y
procedimientos en el área de informática, en comparación al 33,33% de los
encuestados que manifiesta que si existen dichos estándares.
Pregunta 3
¿Se les entrega un manual descriptor de puesto a los usuarios?
Tabla #6. Tabulación del ítem #3. [Martínez Y., 2012]
Nº de pregunta
Parámetro Frecuencia Porcentaje
3 Si 0 0%
No 3 100%Total 3 100%
GRÁFICO N°3
Representación gráfica del Ítem N°3
100%
SI NO
Análisis:
Se observo que el número de respuestas negativas equivalen al 100% del total
de las respuestas, lo cual indica que no se le entrega un manual descriptor de puesto
a los usuarios.
Pregunta 4
¿Existen procedimientos para la adquisición de bienes y servicios?
Tabla #7. Tabulación del ítem #4. [Martínez Y., 2012]
Nº de pregunta
Parámetro Frecuencia Porcentaje
4 Si 1 33,33%
No 2 66,67%Total 3 100%
GRÁFICO N°4
Representación gráfica del Ítem N°4
66,67%
33,33%
SI NO
Análisis:
Queda demostrado que no existe procedimientos para la adquisición de bienes
y servicios ya que un 66,67% manifiesta que no existen dichos procedimientos en
relación al 33,33% que afirma que existen tales procedimientos.
Pregunta 5
¿El departamento se rige por un programa anual de trabajo?
Tabla #8. Tabulación del ítem #5. [Martínez Y., 2012]
Nº de pregunta
Parámetro Frecuencia Porcentaje
5 Si 0 0%
No 3 100%Total 3 100%
GRÁFICO N°5
Representación gráfica del Ítem N°5
100%
SI NO
Análisis:
El 100% del personal que labora en el área de informática opina que el
departamento no se rige por un programa anual de trabajo.
.
Pregunta 6
¿Posee programas antivirus actualizado?
Tabla 9. Tabulación del ítem #6. [Martínez Y., 2012]
Nº de pregunta
Parámetro Frecuencia Porcentaje
6 Si 3 100%
No 0 0%Total 3 100%
GRÁFICO N°6
Representación gráfica del Ítem N°6
100%
SI NO
Análisis:
El 100% del personal entrevistado manifestó que si poseen programas
antivirus actualizado.
Pregunta 7
¿El mantenimiento preventivo y correctivo se realiza en las fechas programadas?
Tabla #10 Tabulación del ítem #7. [Martínez Y., 2012]
Nº de pregunta
Parámetro Frecuencia Porcentaje
7 Si 2 66,67%
No 1 33,33%Total 3 100%
GRÁFICO N°7
Representación gráfica del Ítem N°7
66,67%
33,33%
SI NO
Análisis:
El resultado nos indica que un 66,67% de los entrevistados opinan que el
mantenimiento preventivo y correctivo se realiza en las fechas programadas en
comparación aun 33,33% que manifiesta lo contrario.
Pregunta 8
¿Existen proyectos a futuros para adquisición de equipos?
Tabla #11. Tabulación del ítem #8. [Martínez Y., 2012]
Nº de pregunta
Parámetro Frecuencia Porcentaje
8 Si 2 66,67%
No 1 33,33%Total 3 100%
GRÁFICO N°8
Representación gráfica del Ítem N°8
66,67%
33,33%
SI NO
Análisis:
El 66,67% del personal entrevistado afirma que existen proyectos a futuros
para la adquisición de equipos, a diferencia del 33,33% que opina lo contrario.
Pregunta 9
¿Existen medidas de seguridad para acceder al sistema?
Tabla #12. Tabulación del ítem #9. [Martínez Y., 2012]
Nº de pregunta
Parámetro Frecuencia Porcentaje
9 Si 1 33,33%
No 2 66,67%Total 3 100%
GRÁFICO N°9
Representación gráfica del Ítem N°9
66,67%
33,33%
SI NO
Análisis:
El 66,67% del personal entrevistado manifiesta que el sistema no tiene
medidas de seguridad para acceder al mismo, mientras el 33,33% opina lo
contrario.
Pregunta 10
¿Se puede realizar respaldos en unidades extraíbles y recuperarse desde los
mismos?
Tabla #13. Tabulación del ítem #10. [Chirinos R., Martínez Y., 2012]
Nº de pregunta
Parámetro Frecuencia Porcentaje
10 Si 3 100%
No 0 0%Total 3 100%
GRÁFICO N°10
Representación gráfica del Ítem N°10
100%
SI NO
Análisis:
El 100% del personal entrevistado considera que si se puede realizar respaldos
en unidades extraíbles y recuperarse desde los mismos.
CONCLUSIÓN
Principalmente, con la realización de este trabajo práctico, la principal
conclusión a la que hemos podido llegar, es que toda empresa, pública o privada,
que posean Sistemas de Información medianamente complejos, deben de
someterse a un control estricto de evaluación de eficacia y eficiencia. Hoy en día,
el 90 por ciento de las empresas tienen toda su información estructurada en
Sistemas Informáticos, de aquí, la vital importancia que los sistemas de
información funcionen correctamente. El éxito de una empresa depende de la
eficiencia de sus sistemas de información. Una empresa puede tener un staff de
gente de primera, pero tiene un sistema informático propenso a errores, lento,
vulnerable e inestable; si no hay un balance entre estas dos cosas, la empresa
nunca saldrá a adelante. En cuanto al trabajo de la auditoría en sí, podemos
concluir en este Capítulo que, se evidencia debilidad en los Controles debido a la
carencia de Manual de Funciones y Procedimientos actualizados, que permita
unificar las actuaciones y los criterios en la toma de decisión, evitando la
duplicidad de funciones y maximizando la utilización de los recursos.
La ausencia de actividades control basados en políticas y procedimientos
establecidos impiden la disminución de los riesgos inherentes afectando el logro
de los objetivos propuestos.
RECOMENDACIONES
Las deficiencias señaladas en esta sección deben ser corregidas,
implementando con carácter de urgencia medidas tendientes a fortalecer el
sistema de control para salvaguarda y protección del Patrimonio de la empresa y
transparentar su accionar.
Estas deficiencias deben ser corregidas, de manera a fortalecer los controles
internos de la empresa, razón por la cual la misma se debe abocar a la
implementación del Manual de Funciones y Procedimientos a fin de no superponer
las tareas y caer en duplicidad de esfuerzos.
Realizar un mantenimiento preventivo cada seis (6) meses.
Reglamento en cada área de trabajo.
Contratación a personal capacitado para la manipulación de los equipos de
cómputo (ingeniero de sistemas).
Cada equipo de computo contener una contraseña la cual en ella se use el
alfanumérico con mayúsculas y minúsculas.
ANEXOS
INSTRUMENTO DE RECOLECCION DE DATOS
APLICADO A: Las personas que laboran en el área de Informática de la
empresa XXXX (Ubicada en xxxxxxxxxxxxxxxxxx).
Estimado Sr:
Nos dirigimos a ustedes en la oportunidad de solicitar su valiosa
colaboración para dar respuestas al siguiente cuestionario que consta de (13)
ítems, las cuales debe usted considerar de manera individual. Este cuestionario
tiene como principal objetivo obtener información relevante acerca de los
controles, sistemas y procedimientos de informática llevados a cabo en esta
empresa XXXX. Las respuestas suministradas serán tratadas con fines de
investigación por lo tanto serán estrictamente confidencial.
Agradeciendo su honestidad y colaboración.
INDICACIONES PARA EL LLENADO DEL INSTRUMENTO:
Lea detenidamente las preguntas de acuerdo a su criterio responda mediante
las alternativas que se le brindan.
Marque con una equis (X) la alternativa que considere correcta.
Dedique el tiempo prudente para dar respuesta.
LA ENCUESTA ES ANÓNIMA. Tecnológico informática
Cuestionario dirigido a las personas que laboran en el área de Informática de la
empresa XXXX
ÍtemsAlternativa
SI NO
1.- ¿Existe un comité de informática?
2.- ¿Existen estándares de funcionamiento y procedimientos?
3.- ¿Se le entrega un manual descriptor de puesto a los usuarios?
4.- ¿Existen procedimientos para la adquisición de bienes y
servicios?
5.- ¿El departamento se rige por un programa anual de trabajo?
6.- ¿Posee programas antivirus actualizado?
7.- ¿El mantenimiento preventivo y correctivo se realiza en las fechas
programadas?
8.- ¿Existen proyectos a futuros para adquisición de equipos?
9.- ¿Existen medidas de seguridad para acceder al sistema?
10.- ¿Se puede realizar respaldos en unidades extraíbles y
recuperarse desde los mismos?
Tabla14: (Cuestionario aplicado al personal del area de Informatica)