AUDITORIA DE SISTEMAS

EMPRESA: XXXXX (Ubicada en xxxxxxxxxxxxxxxxxxx).

20-05-2012

INTRODUCCIN
A medida que las empresas se han vuelto cada vez ms dependientes de las computadoras y las redes para manejar sus actividades, la disponibilidad de los sistemas informticos se ha vuelto crucial. Actualmente, la mayora de las empresas necesitan un nivel alto de disponibilidad y algunas requieren incluso un nivel continuo de disponibilidad, ya que les resultara extremadamente difcil funcionar sin los recursos informticos necesarios. Sin embargo estos avances traen consigo inconvenientes en el manejo de los procesos, creando la necesidad de evaluar los sistemas informticos con el fin de determinar si su funcionamiento es el adecuado o para descubrir donde se pueden realizar mejoras.
La empresa XXXX Ubicada en xxxxxxxxxxxx; es una empresa que cuenta con el

sistema informtico (Baan V) este es un sistema computacional por medio del cual se auxilian actividades y operaciones de la empresa, incluye el ciclo de gestin de las compras, servicios de calibracin y mantenimiento entre otras. Los mdulos del sistema Baan V son: comn (TC), Finanzas (TF), Proyectos (tp), manufactura (TI), Distribucin (TD), Proceso (ps), Transporte (TR), Servicio (TS), Enterprise Modeler (Tg), Restriccin de Planificacin (CP), Herramientas (TT), Utilidades (tu), Baan marcos alemanes (TG) Este sistema fue implementado hace ms de diez aos y la presente auditora se realiz con el fin de evaluar la eficiencia y eficacia del sistema (Baan V) de la empresa XXXXXX. Esta auditora se efectu mediante una revisin metdica de los registros, tareas y resultados de la empresa, con el fin de diagnosticar el comportamiento global en el desarrollo de sus actividades y operaciones. Como resultado de este proceso se elabor el informe final.

INFORME DE AUDITORIA Alcance La presente Auditoria Informtica se realiz a la empresa XXXX (Ubicada en xxxxxxxxxxxxxxxxxxxxxxx; siendo el rea a examinarse la de Informtica. Alcances de la auditoria: Planes y procedimientos Polticas de Mantenimiento Inventarios Ofimaticos Capacitacin del Personal

Recursos Humanos Actualmente en el rea de cmputo e informtica laboran tres (3) personas quienes cumplen las funciones de administracin, capacitacin, soporte y procesamiento de datos.

Recursos informticos HARDWARE/SOFTWARE Servidores (Windows server 2003 service pack 3) Computadoras Impresoras 1 5 3 Tabla #1. Recursos Informticos. [Martnez Y., 2012] CANTIDAD

Objetivos

Objetivo general

Revisar y evaluar los controles, sistemas y procedimientos de informtica; de los equipos de cmputo, su utilizacin, eficiencia y seguridad en el procesamiento de la informacin y as determinar la confiabilidad de sus procesos y aportar alternativas, que al ser implementadas, permitan mejorar su operatividad.

Objetivos especficos Evaluar el diseo y prueba de los sistemas del rea de informtica. Evaluar los procedimientos de control de operacin, analizar su

estandarizacin y evaluar el cumplimiento de los mismos.

Evaluar la forma como se administran los dispositivos de almacenamiento

bsico del rea de informtica.

Conocer cules son las fallas del sistema informtico (Baan V). Evaluar el control que se tiene sobre el mantenimiento y fallas de los

equipos informticos.

Verificar las disposiciones y reglamentos que coadyuven al mantenimiento

del orden dentro del departamento de cmputo. Recursos El numero de personas que integraran el equipo de auditoria sera de dos, con un tiempo maximo de ejecucion de 3 semanas.

Nombres y Apellidos
Martinez Y.

Cargo
Auditor

Tabla #2. Recursos. [Martnez Y., 2012]

Etapas de trabajo 1. Recopilacion de la informacin basica Una semana antes del comienzo de la auditoria se envi un cuestionario (Ver anexo Tabla14) a los responsables del area de Informatica de la empresa XXXX. El objetivo de este cuestionario es saber los equipos que usan y los procesos que realizan en ellos. De esta manera, se obtendra una vision mas global del sistema. Es importante tambien reconocer y entrevistarse con los responsables del area de sistemas de la empresa para conocer con mayor profundidad el hardware y el software utilizado. En las entrevistas incluiran: Director de Informatica. Tecnico de soporte. CARGO Director Soporte tcnico Soporte tcnico NOMBRE Y APELLIDO Angel Guzman Pedro Perez Jesus Contreras TELEFONO xxxx-xxxxxxx xxxx-xxxxxxx xxxx-xxxxxxx

Tabla #3. Personal entrevistado. [Martnez Y., 2012]

2. Identificacin de riesgos potenciales. Con respecto al estudio realizado, encontramos lo siguiente: A. Organizacin y Administracin del rea A.1. Comit y Plan Informtico Falta de un Comit de Informtica debidamente establecido. Falta de una metodologa para la planificacin de los proyectos. Efectos Es posible de que las soluciones que se implementen para

resolver problemas no sean efectivos a un 100%, tanto en Software como en Hardware. Sugerencias Establecer un Comit de Informtica integrado por representantes de las reas funcionales claves (Gerencia Administrativa, responsables de las reas Operativas, responsables de Informtica y el responsable Contable). Trazar los lineamientos de direccin del rea de Informtica. B. Seguridad Fsica Y Lgica B.1. Entorno General No existe personal de vigilancia exclusivo para el rea Informtica. No existe un sistema de alarma contra incendios. No se ha realizado un estudio de vulnerabilidad en el rea de informtica, ante los riesgos fsicos.

Efectos Vulnerabilidad de la informacin clasificada. Fcil acceso a los datos y archivos debido a la falta de controles del sistema. Interrupcin del sistema debido a la falta de mantenimiento. Sugerencias Establecer guardia de seguridad en el rea informtica. Colocar detectores y extintores de incendios automticos en los lugares necesarios. Efectuar estudios de vulnerabilidad para contrarrestar los posibles puntos dbiles que se puedan encontrar. B.2. Auditoria de Sistema No se encontr evidencia de que se haya realizado una auditoria Informtica anteriormente. Efectos Cabe la posibilidad de que aplicaciones y datos puedan ser modificados y alterados por personas ajenas al sistema, ya que el acceso al mismo no representa dificultades, debido a la carencia de controles. Sugerencias Implementar medidas y procedimientos de control.

B.3. Operaciones de Respaldo Se realizan copias de seguridad en discos compactos, los cuales son almacenados dentro del mismo departamento de Informtica por el auxiliar de informtica. No existen las medidas de comprobacin para que las copias de seguridad sean totalmente confidenciales. Efectos Exposicin por parte de la empresa a la prdida de informacin debido a la no supervisin peridica de las copias de seguridad y por estar en manos del auxiliar de informtica. Sugerencias Realizar 3 copias de respaldos de datos en discos duros de manera tal que una se almacene en el departamento de informtica, otra la posea el Jefe de rea y la ltima se almacene en una caja fuerte en una entidad bancaria. Realizar pruebas semanales de las copias y distribucin de las mismas. B.4. Acceso a usuarios Conforme a la funcin de los usuarios, as es medido su acceso. Los equipos en uso tras un cierto tipo de inactividad no salen del sistema. No se realizan cambios de contraseas peridicamente. Efectos Debido a que no se cambian las contraseas, es posible el acceso de personas ajenas.

Sugerencia Implementar un software de seguridad informtica. Aplicar mtodos que controlen la modificacin de los archivos. B.5. Plan de Contingencias Ausencia de un Plan de Contingencia debidamente formalizado en el rea de Informtica. Escasez de procedimientos y medidas ante desperfectos del equipo y el sistema en general. Efectos Prdida de informacin vital. Prdida de la capacidad de procesamiento. Sugerencias Establecer un plan de contingencia escrito, en donde se establezcan los procedimientos manuales e informticos. Realizar evaluaciones o pruebas de contingencias para verificar la eficacia de las operaciones. Establecer acuerdos con empresas que brindan apoyo en momentos crticos para asegurar la operatividad del sistema. 3. Objetivos y Procedimientos de control. Se evaluaron los manuales de politicas y estandares de seguridad del area de informatica dando como resultado lo siguiente:

A. ESTRUCTURA DE LA ORGANIZACIN Se verifico que el organigrama del rea de informtica, est acorde a la estructura real del departamento. Funciones En el departamento evaluado no tiene definidas las funciones y

responsabilidades de cada puesto. Efectos Sobrecarga de trabajo en algunos usuarios Inconformidad en la realizacin de las actividades Incumplimiento laboral

Sugerencias Crear manual de funciones Delimitar funciones de acuerdo al puesto de trabajo. B. PROGRAMAS DE TRABAJO Los datos vertidos en la encuesta mostraron que en el departamento evaluado, no se tiene elaborado un programa anual de trabajo. Efectos Los objetivos y metas del departamento no se logran en su totalidad. Desorganizacin en la ejecucin del trabajo.

Sugerencias Crear e implementar una norma de control interno que rija la elaboracin de un plan anual de trabajo para el departamento.

El director cree planes de trabajo para el departamento y se le asigne. Se contrate un ente externo para que elabore un plan de trabajo anual para el rea informtica. 4. Obtencin de los resultados.

Durante la realizacin de la auditoria, se aplico el instrumento, con el cual se recab toda la informacin necesaria para la culminacin satisfactoria de dicha auditoria, la misma qued demostrada con el cuestionario que se le aplico al personal del rea de informtica. Anlisis e Interpretacin de los resultados. Una vez que se aplic el cuestionario se procedi al anlisis de cada uno de los tems presentados. De la misma forma se presenta la informacin de forma grfica, empleando grficos circulares lo cual facilita apreciar estadsticamente los resultados obtenidos.

Pregunta 1 Existe un comit de informtica? Tabla #4. Tabulacin del tem #1. [Martnez Y., 2012] N de pregunta 1 Total GRFICO N 1 Representacin grfica del tem N 1 Parmetro Si No Frecuencia 0 3 3 Porcentaje 0% 100% 100%

100%

SI

NO

Anlisis: El resultado nos indica que el 100% de las personas entrevistadas reconoce que no existe un comit de informtica en el rea de cmputo.

Pregunta 2 Existen estndares de funcionamiento y procedimientos? Tabla #5. Tabulacin del tem #2. [Martnez Y., 2012} N de pregunta 2 Total Parmetro Si No Frecuencia 1 2 3 Porcentaje 33,33% 66,67% 100%

GRFICO N2 Representacin grfica del tem N2

33,33%

66,67%

SI

NO

Anlisis: El 66,67% manifiesta que no existen estndares de funcionamiento y procedimientos en el rea de informtica, en comparacin al 33,33% de los encuestados que manifiesta que si existen dichos estndares.

Pregunta 3 Se les entrega un manual descriptor de puesto a los usuarios? Tabla #6. Tabulacin del tem #3. [Martnez Y., 2012] N de pregunta 3 Total Parmetro Si No Frecuencia 0 3 3 Porcentaje 0% 100% 100%

GRFICO N3 Representacin grfica del tem N3

100%

SI

NO

Anlisis: Se observo que el nmero de respuestas negativas equivalen al 100% del total de las respuestas, lo cual indica que no se le entrega un manual descriptor de puesto
a los usuarios.

Pregunta 4 Existen procedimientos para la adquisicin de bienes y servicios? Tabla #7. Tabulacin del tem #4. [Martnez Y., 2012] N de pregunta 4 Total Parmetro Si No Frecuencia 1 2 3 Porcentaje 33,33% 66,67% 100%

GRFICO N4 Representacin grfica del tem N4

33,33%

66,67%

SI

NO

Anlisis: Queda demostrado que no existe procedimientos para la adquisicin de bienes y servicios ya que un 66,67% manifiesta que no existen dichos procedimientos en relacin al 33,33% que afirma que existen tales procedimientos.

Pregunta 5 El departamento se rige por un programa anual de trabajo? Tabla #8. Tabulacin del tem #5. [Martnez Y., 2012] N de pregunta 5 Total Parmetro Si No Frecuencia 0 3 3 Porcentaje 0% 100% 100%

GRFICO N5 Representacin grfica del tem N5

100%

SI

NO

Anlisis: El 100% del personal que labora en el rea de informtica opina que el departamento no se rige por un programa anual de trabajo.

Pregunta 6 Posee programas antivirus actualizado? Tabla 9. Tabulacin del tem #6. [Martnez Y., 2012] N de pregunta 6 Total GRFICO N6 Representacin grfica del tem N6
100%

Parmetro Si No

Frecuencia 3 0 3

Porcentaje 100% 0% 100%

SI

NO

Anlisis: El 100% del personal entrevistado manifest que si poseen programas

antivirus actualizado.

Pregunta 7 El mantenimiento preventivo y correctivo se realiza en las fechas programadas? Tabla #10 Tabulacin del tem #7. [Martnez Y., 2012] N de pregunta 7 Total Parmetro Si No Frecuencia 2 1 3 Porcentaje 66,67% 33,33% 100%

GRFICO N7 Representacin grfica del tem N7

33,33%

66,67%

SI Anlisis:

NO

El resultado nos indica que un 66,67% de los entrevistados opinan que el mantenimiento preventivo y correctivo se realiza en las fechas programadas en comparacin aun 33,33% que manifiesta lo contrario.

Pregunta 8 Existen proyectos a futuros para adquisicin de equipos? Tabla #11. Tabulacin del tem #8. [Martnez Y., 2012] N de pregunta 8 Total Parmetro Si No Frecuencia 2 1 3 Porcentaje 66,67% 33,33% 100%

GRFICO N8 Representacin grfica del tem N8

33,33%

66,67%

SI Anlisis:

NO

El 66,67% del personal entrevistado afirma que existen proyectos a futuros para la adquisicin de equipos, a diferencia del 33,33% que opina lo contrario.

Pregunta 9 Existen medidas de seguridad para acceder al sistema? Tabla #12. Tabulacin del tem #9. [Martnez Y., 2012] N de pregunta 9 Total GRFICO N9 Representacin grfica del tem N9
33,33%

Parmetro Si No

Frecuencia 1 2 3

Porcentaje 33,33% 66,67% 100%

66,67%

SI Anlisis:

NO

El 66,67% del personal entrevistado manifiesta que el sistema no tiene medidas de seguridad para acceder al mismo, mientras el 33,33% opina lo contrario.

Pregunta 10 Se puede realizar respaldos en unidades extrables y recuperarse desde los mismos? Tabla #13. Tabulacin del tem #10. [Chirinos R., Martnez Y., 2012] N de pregunta 10 Total Parmetro Si No Frecuencia 3 0 3 Porcentaje 100% 0% 100%

GRFICO N10 Representacin grfica del tem N10

100%

SI Anlisis:

NO

El 100% del personal entrevistado considera que si se puede realizar respaldos en unidades extrables y recuperarse desde los mismos.

CONCLUSIN Principalmente, con la realizacin de este trabajo prctico, la principal conclusin a la que hemos podido llegar, es que toda empresa, pblica o privada, que posean Sistemas de Informacin medianamente complejos, deben de someterse a un control estricto de evaluacin de eficacia y eficiencia. Hoy en da, el 90 por ciento de las empresas tienen toda su informacin estructurada en Sistemas Informticos, de aqu, la vital importancia que los sistemas de informacin funcionen correctamente. El xito de una empresa depende de la eficiencia de sus sistemas de informacin. Una empresa puede tener un staff de gente de primera, pero tiene un sistema informtico propenso a errores, lento, vulnerable e inestable; si no hay un balance entre estas dos cosas, la empresa nunca saldr a adelante. En cuanto al trabajo de la auditora en s, podemos concluir en este Captulo que, se evidencia debilidad en los Controles debido a la carencia de Manual de Funciones y Procedimientos actualizados, que permita unificar las actuaciones y los criterios en la toma de decisin, evitando la duplicidad de funciones y maximizando la utilizacin de los recursos. La ausencia de actividades control basados en polticas y procedimientos establecidos impiden la disminucin de los riesgos inherentes afectando el logro de los objetivos propuestos.

RECOMENDACIONES Las deficiencias sealadas en esta seccin deben ser corregidas,

implementando con carcter de urgencia medidas tendientes a fortalecer el sistema de control para salvaguarda y proteccin del Patrimonio de la empresa y transparentar su accionar. Estas deficiencias deben ser corregidas, de manera a fortalecer los controles internos de la empresa, razn por la cual la misma se debe abocar a la

implementacin del Manual de Funciones y Procedimientos a fin de no superponer las tareas y caer en duplicidad de esfuerzos. Realizar un mantenimiento preventivo cada seis (6) meses. Reglamento en cada rea de trabajo. Contratacin a personal capacitado para la manipulacin de los equipos de cmputo (ingeniero de sistemas). Cada equipo de computo contener una contrasea la cual en ella se use el alfanumrico con maysculas y minsculas.

ANEXOS

INSTRUMENTO DE RECOLECCION DE DATOS

APLICADO A: Las personas que laboran en el rea de Informtica de la empresa XXXX (Ubicada en xxxxxxxxxxxxxxxxxx). Estimado Sr: Nos dirigimos a ustedes en la oportunidad de solicitar su valiosa colaboracin para dar respuestas al siguiente cuestionario que consta de (13) tems, las cuales debe usted considerar de manera individual. Este cuestionario tiene como principal objetivo obtener informacin relevante acerca de los controles, sistemas y procedimientos de informtica llevados a cabo en esta empresa XXXX. Las respuestas suministradas sern tratadas con fines de investigacin por lo tanto sern estrictamente confidencial. Agradeciendo su honestidad y colaboracin. INDICACIONES PARA EL LLENADO DEL INSTRUMENTO: Lea detenidamente las preguntas de acuerdo a su criterio responda mediante las alternativas que se le brindan. Marque con una equis (X) la alternativa que considere correcta. Dedique el tiempo prudente para dar respuesta. LA ENCUESTA ES ANNIMA. Tecnolgico informtica

Cuestionario dirigido a las personas que laboran en el rea de Informtica de la empresa XXXX Alternativa
SI NO

tems
1.- Existe un comit de informtica? 2.- Existen estndares de funcionamiento y procedimientos? 3.- Se le entrega un manual descriptor de puesto a los usuarios? 4.- Existen servicios? 5.- El departamento se rige por un programa anual de trabajo? 6.- Posee programas antivirus actualizado? 7.- El mantenimiento preventivo y correctivo se realiza en las fechas programadas? 8.- Existen proyectos a futuros para adquisicin de equipos? 9.- Existen medidas de seguridad para acceder al sistema? 10.- Se puede realizar respaldos en unidades extrables y recuperarse desde los mismos? Tabla14: (Cuestionario aplicado al personal del area de Informatica) procedimientos para la adquisicin de bienes y