Auditoria de Sistemas (Empresa)

AUDITORIA DE SISTEMAS

EMPRESA: XXXXX (Ubicada en xxxxxxxxxxxxxxxxxxx).

20-05-2012

INTRODUCCIÓN  A medida que las empresas se han vuelto cada vez más m ás dependientes de las computadoras y las redes para manejar sus actividades, la disponibilidad de los sistemas informáticos se ha vuelto crucial. Actualmente, la mayoría de las empresas necesitan un nivel alto de disponibilidad y algunas requieren incluso un nivel continuo de disponibilidad, ya que les resultaría extremadamente difícil funcionar sin los recursos informáticos necesarios. Sin embargo estos avances traen consigo inconvenientes en el manejo de los procesos, creando la necesidad de evaluar los sistemas informáticos con el fin de determinar si su funcionamiento es el adecuado o para descubrir donde se pueden realizar mejoras. La empresa XXXX Ubicada en xxxxxxxxxxxx; es una empresa que cuenta con el

sistema informático (Baan V) este es un sistema computacional por medio del cual se auxilian actividades y operaciones de la empresa, incluye el ciclo de gestión de las compras, servicios de calibración y mantenimiento entre otras. Los módulos del sistema Baan V son: común (TC), Finanzas (TF), Proyectos (tp), manufactura (TI), Distribución (TD), Proceso (ps), Transporte (TR), Servicio (TS), Enterprise Modeler  (Tg), Restricción de Planificación (CP), Herramientas (TT), Utilidades (tu), Baan marcos alemanes (TG) Este sistema fue implementado hace más de diez años y la presente auditoría se realizó con el fin de evaluar la eficiencia y eficacia del sistema (Baan V) de la empresa XXXXXX. Esta auditoría se efectuó mediante una revisión metódica de los registros, tareas y resultados de la empresa, con el fin de diagnosticar el comportamiento global en el desarrollo de sus actividades y operaciones. Como resultado de este proceso se elaboró el informe final.

INFORME DE AUDITORIA Alcance La presente Auditoria Informática se realizó a la empresa XXXX (Ubicada en xxxxxxxxxxxxxxxxxxxxxxx; siendo el área a examinarse la de Informática.  Alcances de la auditoria: 

Planes y procedimientos



Políticas de Mantenimiento



Inventarios Ofimaticos



Capacitación del Personal

Recursos Humanos  Actualmente en el área de cómputo e informática laboran tres (3) personas quienes cumplen las funciones de administración, capacitación, soporte y procesamiento de datos.

Recursos informáticos HARDWARE/SOFTWARE

CANTIDAD

Servidores (Windows server 2003 service pack 3)

1

Computadoras

5

Impresoras

3  Tabla  Tabla #1. Recursos Recursos Infor Inform máticos. ticos. [Ma [Mart rtíne ínez z Y., 2012]

Objetivos 

Objetivo general

Revisar y evaluar los controles, sistemas y procedimientos de informática; de los equipos de cómputo, su utilización, eficiencia y seguridad en el procesamiento de la información y así determinar la confiabilidad de sus procesos y aportar  alternativas, que que al ser implementadas, permitan mejorar su operatividad. 

Objetivos específicos



Evaluar el diseño y prueba de los sistemas del área de informática.



Evaluar los procedimientos de control de operación, analizar su

estandarización y evaluar el cumplimiento de los mismos. 

Evaluar la forma como se administran los dispositivos de almacenamiento

básico del área de informática. 

Conocer cuáles son las fallas del sistema informático (Baan V).



Evaluar el control que se tiene sobre el mantenimiento y fallas de los

equipos informáticos. 

Verificar las disposiciones y reglamentos que coadyuven al mantenimiento

del orden dentro del departamento de cómputo.

Recursos El numero de personas que integraran el equipo de auditoria sera de dos, con un tiempo maximo de ejecucion de 3 semanas.

Nombres y Apellidos

Cargo

Martinez Y.

Auditor 

 Tabla  Tabla #2. Recursos. Recursos. [Mart Martíne ínez z Y., 2012]

Etapas de trabajo 1. Recopilacion de la información información basica Una semana antes del comienzo de la auditoria se envió un cuestionario (Ver anexo Tabla14) a los responsables del area de Informatica de la empresa XXXX.

El objetivo de este cuestionario es saber los equipos que usan y los procesos que realizan en ellos. De esta manera, se obtendra una vision mas global del sistema. Es importante tambien reconocer y entrevistarse con los responsables del area de sistemas de la empresa para conocer con mayor profundidad el hardware y el software utilizado.

En las entrevistas incluiran: 

Director de Informatica.



Tecnico de soporte.

CARGO

NOMBRE Y APELLIDO

TELEFONO

Director

Angel Guzman

xxxx-xxxxxxx

Soporte técnico

Pedro Perez

xxxx-xxxxxxx

Soporte técnico

Jesus Contreras

xxxx-xxxxxxx

 Tabla  Tabla #3. Personal Personal ent entrevist revista ado. [Ma [Martíne rtínez z Y., 2012]

2. Identificación de riesgos potenciales. Con respecto al estudio realizado, encontramos lo siguiente:

A. Organización y Administración del Área A.1. Comité y Plan Informático • Falta de un Comité de Informática debidamente establecido. • Falta de una metodología para la planificación de los proyectos.

Efectos •

Es

posible

de

que

las soluciones que

se

implementen

para

resolver problemas resolver problemas no sean efectivos a un 100%, tanto en Software como en Hardware.

Sugerencias • Establecer un Comité de Informática integrado por representantes de las áreas funcionales claves (Gerencia Administrativa, responsables de las Áreas Operativas, responsables de Informática y el responsable Contable). • Trazar los lineamientos de dirección del Área de Informática.

B. Seguridad Física Y Lógica B.1. Entorno General • No existe personal de vigilancia exclusivo para el Área Informática. • No existe un sistema de alarma contra incendios. • No se ha realizado un estudio de vulnerabilidad en el área de informática, ante los riesgos físicos.

Efectos • Vulnerabilidad de la información clasificada. • Fácil acceso a los datos y archivos debido a la falta de controles del sistema. • Interrupción del sistema debido a la falta de mantenimiento.

Sugerencias • Establecer guardia de seguridad en el área informática. • Colocar detectores y extintores de incendios automáticos en los lugares necesarios. • Efectuar estudios estudios de vulnerabilidad para contrarrestar los posibles puntos débiles que se puedan encontrar.

B.2. Auditoria de Sistema • No se encontró evidencia de que se haya realizado una auditoria Informática anteriormente.

Efectos • Cabe la posibilidad de que aplicaciones y datos puedan ser modificados y alterados por personas ajenas al sistema, ya que el acceso al mismo no representa dificultades, debido a la carencia de controles.

Sugerencias • Implementar medidas y procedimientos de control.

B.3. Operaciones de Respaldo • Se realizan copias de seguridad en discos compactos, los cuales son almacenados dentro del mismo departamento de Informática por el auxiliar de informática. • No existen las medidas de comprobación para que las copias de seguridad sean totalmente confidenciales.

Efectos • Exposición por parte de la empresa a la pérdida de información debido a la no supervisión periódica de las copias de seguridad y por estar en manos del auxiliar de informática.

Sugerencias • Realizar 3 copias de respaldos de datos en discos duros de manera tal que una se almacene en el departamento de informática, otra la posea el Jefe de área y la última se almacene en una caja fuerte en una entidad bancaria. • Realizar pruebas Realizar pruebas semanales de las copias y distribución de las mismas.

B.4. Acceso a usuarios • Conforme a la función de los usuarios, así es medido su acceso. • Los equipos en uso tras un cierto tipo de inactividad no salen del sistema. • No se realizan cambios de contraseñas periódicamente.

Efectos • Debido a que no se cambian las contraseñas, es posible el acceso de personas ajenas.

Sugerencia • Implementar un software de seguridad informática. • Aplicar métodos Aplicar métodos que controlen la modificación de los archivos.

B.5. Plan de Contingencias • Ausencia de un Plan de Contingencia debidamente formalizado en el Área de Informática. • Escasez de procedimientos y medidas ante desperfectos del equipo y el sistema en general.

Efectos • Pérdida de información vital. • Pérdida de la capacidad de procesamiento.

Sugerencias • Establecer un plan de contingencia escrito, en donde se establezcan los procedimientos manuales e informáticos. • Realizar evaluaciones o pruebas de contingencias para verificar la eficacia de las operaciones. • Establecer acuerdos con empresas que brindan apoyo en momentos críticos para asegurar la operatividad del sistema.

3. Objetivos y Procedimientos de control. Se evaluaron los manuales de politicas y estandares de seguridad del area de informatica dando como resultado lo siguiente:

A. ESTRUCTURA DE LA ORGANIZACIÓN Se verifico que el organigrama del área de informática, está acorde a la estructura real del departamento.

Funciones En el departamento evaluado no tiene definidas las funciones y responsabilidades de cada puesto.

Efectos 

Sobrecarga de trabajo en algunos usuarios



Inconformidad en la realización de las actividades



Incumplimiento laboral

Sugerencias 

Crear manual de funciones



Delimitar funciones de acuerdo al puesto de trabajo.

B. PROGRAMAS DE TRABAJO TRABAJO Los datos vertidos en la encuesta mostraron que en el departamento evaluado, no se tiene elaborado un programa anual de trabajo.

Efectos 

Los objetivos y metas del departamento no se logran en su totalidad.



Desorganización en la ejecución del trabajo.

Sugerencias 

Crear e implementar una norma de control interno que rija la elaboración de un plan anual de trabajo para el departamento.



El director cree planes de trabajo para el departamento y se le asigne.



Se contrate un ente externo para que elabore un plan de trabajo anual para el área informática.

4. Obtención de los resultados. Durante la realización de la auditoria, se aplico el instrumento, con el cual se recabó toda la información necesaria para la culminación satisfactoria de dicha auditoria, la misma quedó demostrada con el cuestionario que se le aplico al personal del área de informática.

Análisis e Interpretación de los resultados. Una vez que se aplicó el cuestionario se procedió al análisis de cada uno de los ítems presentados. De la misma forma se presenta la información de forma gráfica, empleando gráficos circulares lo cual facilita apreciar estadísticamente los resultados obtenidos.

Pregunta 1 ¿Existe un comité de informática?  Tabla  Tabla #4. Tabu Tabulac lación ión del del íte ítem #1. [Mart Martíne ínez z Y., 2012]

Nº de pregunta 1

Parámetro

Frecuencia

Porcentaje

Si No

0 3 3

0% 100% 100%

Total

GRÁFICO N° 1 Representación gráfica gráfica del Ítem N° 1 100%

SI

NO

 Análisis: El resultado nos indica que el 100% de las personas entrevistadas reconoce que no existe un comité de informática en el Área de cómputo.

Pregunta 2 ¿Existen estándares de funcionamiento y procedimientos?  Tabla  Tabla #5. Tabu Tabula lación ción del del íte ítem #2. [Ma [Martíne rtínez z Y., 2012}

Nº de pregunta 2

Parámetro

Frecuencia

Porcentaje

Si No

1 2 3

33,33% 66,67% 100%

Total

GRÁFICO N°2 Representación gráfica del Ítem N°2 33,33%

66,67%

SI

NO

 Análisis: El 66,67% manifiesta que no existen estándares de funcionamiento y procedimientos en el área de informática, en comparación al 33,33% de los encuestados que manifiesta que si existen dichos estándares.

Pregunta 3 ¿Se les entrega un manual descriptor de puesto a los usuarios?  Tabla  Tabla #6. Tabu Tabulac lación ión del del íte ítem #3. [Mart Martíne ínez z Y., 2012]

Nº de pregunta 3

Parámetro

Frecuencia

Porcentaje

Si No

0 3 3

0% 100% 100%

Total

GRÁFICO N°3 Representación gráfica del Ítem N°3 100%

SI

NO

 Análisis: Se observo que el número de respuestas negativas equivalen al 100% del total de las respuestas, lo cual indica que no se le entrega un manual descriptor de puesto a los usuarios .

Pregunta 4 ¿Existen procedimientos para la adquisición de bienes y servicios?  Tabla  Tabla #7. Tabu Tabulac lación ión del del íte ítem #4. [Mart Martíne ínez z Y., 2012]

Nº de pregunta 4

Parámetro

Frecuencia

Porcentaje

Si No

1 2 3

33,33% 66,67% 100%

Total

GRÁFICO N°4 Representación gráfica del Ítem N°4 33,33%

66,67%

SI

NO

 Análisis: Queda demostrado que no existe procedimientos para la adquisición de bienes y servicios ya que un 66,67% manifiesta que no existen dichos procedimientos en relación al 33,33% que afirma que existen tales procedimientos.

Pregunta 5 ¿El departamento se rige por un programa anual de trabajo?  Tabla  Tabla #8. Tabu Tabulac lación ión del del íte ítem #5. [Mart Martíne ínez z Y., 2012]

Nº de pregunta 5

Parámetro

Frecuencia

Porcentaje

Si No

0 3 3

0% 100% 100%

Total

GRÁFICO N°5 Representación gráfica del Ítem N°5 100%

SI

NO

 Análisis: El 100% del personal que labora en el área de informática opina que el departamento no se rige por un programa anual de trabajo.

.

Pregunta 6 ¿Posee programas antivirus actualizado?  Tabla  Tabla 9. Tabu Tabula lación ción del del íte ítem #6. [Mart Martíne ínez z Y., 2012]

Nº de pregunta 6

Parámetro

Frecuencia

Porcentaje

Si No

3 0 3

100% 0% 100%

Total

GRÁFICO N°6 Representación gráfica del Ítem N°6 100%

SI

NO

 Análisis: El 100%

del personal entrevistado entrevistado manifestó manifestó que que si poseen programas

antivirus actualizado.

Pregunta 7 ¿El mantenimiento preventivo y correctivo se realiza en las fechas programadas?  Tabla  Tabla #10 Tabu Tabula lación ción del del íte ítem #7. [Mar [Marttínez ínez Y., 2012]

Nº de pregunta 7

Parámetro

Frecuencia

Porcentaje

Si No

2 1 3

66,67% 33,33% 100%

Total

GRÁFICO N°7 Representación gráfica del Ítem N°7 33,33%

66,67%

SI

NO

 Análisis: El resultado nos indica que un 66,67% de los entrevistados opinan que el mantenimiento preventivo y correctivo se realiza en las fechas programadas en comparación aun 33,33% que manifiesta lo contrario.

Pregunta 8 ¿Existen proyectos a futuros para adquisición de equipos?  Tabla  Tabla #11. Tabu Tabula lación ción del del ítem ítem #8. [Mart Martíne ínez z Y., 2012]

Nº de pregunta 8

Parámetro

Frecuencia

Porcentaje

Si No

2 1 3

66,67% 33,33% 100%

Total

GRÁFICO N°8 Representación gráfica del Ítem N°8 33,33%

66,67%

SI

NO

 Análisis: El 66,67% del personal entrevistado afirma que existen proyectos a futuros para la adquisición de equipos, a diferencia del 33,33% que opina lo contrario.

Pregunta 9 ¿Existen medidas de seguridad para acceder al sistema?  Tabla  Tabla #12. Tabu Tabula lación ción del del ítem ítem #9. [Mart Martíne ínez z Y., 2012]

Nº de pregunta 9

Parámetro

Frecuencia

Porcentaje

Si No

1 2 3

33,33% 66,67% 100%

Total

GRÁFICO N°9 Representación gráfica del Ítem N°9 33,33%

66,67%

SI

NO

 Análisis: El 66,67% del personal entrevistado manifiesta que el sistema no tiene medidas de seguridad para acceder al mismo, mientras el 33,33% opina lo contrario.

Pregunta 10 ¿Se puede realizar respaldos en unidades extraíbles y recuperarse desde los mismos?  Tabla  Tabla #13. Tabu Tabula lación ción del del ítem ítem #10. [Chirin [Chirinos os R., Mart Martíne ínez z Y., 2012]

Nº de pregunta 10

Parámetro

Frecuencia

Porcentaje

Si No

3 0 3

100% 0% 100%

Total

GRÁFICO N°10 Representación gráfica gráfica del Ítem N°10 100%

SI

NO

Análisis:

El 100% del personal entrevistado considera que si se puede realizar respaldos en unidades extraíbles y recuperarse desde los mismos.

CONCLUSIÓN Principalmente, con la realización de este trabajo práctico, la principal conclusión a la que hemos podido llegar, es que toda empresa, pública o privada, que posean Sistemas de Información medianamente complejos, deben de someterse a un control estricto de evaluación de eficacia y eficiencia. Hoy en día, el 90 por ciento de las empresas tienen toda su información estructurada en Sistemas Informáticos, de aquí, la vital importancia que los sistemas de información funcionen correctamente. El éxito de una empresa depende de la eficiencia de sus sistemas de información. Una empresa puede tener un staff de gente de primera, pero tiene un sistema informático propenso a errores, lento, vulnerable e inestable; si no hay un balance entre estas dos cosas, la empresa nunca saldrá a adelante. En cuanto al trabajo de la auditoría en sí, podemos concluir en este Capítulo que, se evidencia debilidad en los Controles debido a la carencia de Manual de Funciones y Procedimientos actualizados, que permita unificar las actuaciones y los criterios en la toma de decisión, evitando la duplicidad de funciones y maximizando la utilización de los recursos. La ausencia de actividades control basados en políticas y procedimientos establecidos impiden la disminución de los riesgos inherentes afectando el logro de los objetivos propuestos.

RECOMENDACIONES Las deficiencias señaladas en esta sección deben ser corregidas, implementando con carácter de urgencia medidas tendientes a fortalecer el sistema de control para salvaguarda y protección del Patrimonio de la empresa y transparentar su accionar. Estas deficiencias deben ser corregidas, de manera a fortalecer los controles internos de la empresa, razón por la la cual la misma se debe abocar a

la

implementación del Manual de Funciones y Procedimientos a fin de no superponer  las tareas y caer en duplicidad de esfuerzos. 

Realizar un mantenimiento preventivo cada seis (6) meses.



Reglamento en cada área de trabajo.



Contratación a personal capacitado para la manipulación de los equipos de cómputo (ingeniero de sistemas).



Cada equipo de computo contener una contraseña la cual en ella se use el alfanumérico con mayúsculas y minúsculas.

ANEXOS

INSTRUMENTO DE RECOLECCION DE DATOS

APLICADO A: Las personas que laboran en el área de Informática de la empresa XXXX (Ubicada en xxxxxxxxxxxxxxxxxx). Estimado Sr: Nos dirigimos a ustedes en la oportunidad de solicitar su valiosa colaboración para dar respuestas al siguiente cuestionario que consta de (13) ítems, las cuales debe usted considerar de manera individual. Este cuestionario tiene como principal objetivo obtener información relevante acerca de los controles, sistemas y procedimientos de informática llevados a cabo en esta empresa XXXX. Las respuestas suministradas serán tratadas con fines de investigación por lo tanto serán estrictamente confidencial.  Agradeciendo su honestidad y colaboración.

INDICACIONES PARA EL LLENADO DEL INSTRUMENTO: Lea detenidamente las preguntas de acuerdo a su criterio responda mediante las alternativas que se le brindan. Marque con una equis (X) la alternativa que considere correcta. Dedique el tiempo prudente para dar respuesta.

LA ENCUESTA ES ANÓNIMA. Tecnológico informática

Cuestionario dirigido a las personas per sonas que laboran en el área de d e Informática de la empresa XXXX

Alternativa

Ítems

SI

1.- ¿Existe un comité de informática? 2.- ¿Existen estándares de funcionamiento y procedimientos? 3.- ¿Se le entrega un manual descriptor de puesto a los usuarios? 4.- ¿Existen procedimientos

para

la adquisición

de bienes y

servicios? 5.- ¿El departamento se rige por un programa anual de trabajo? 6.- ¿Posee programas antivirus actualizado? 7.- ¿El mantenimiento preventivo y correctivo se realiza en las fechas programadas? 8.- ¿Existen proyectos a futuros para adquisición de equipos? 9.- ¿Existen medidas de seguridad para acceder al sistema? 10.- ¿Se puede realizar respaldos en unidades extraíbles y recuperarse desde los mismos?  Tabla  Tabla1 14: (Cuestionario aplicado al personal del area de Informatica)

NO