TRABAJO PRCTICO Como la informacin es de vital importancia y constituye una herramienta poderosa para la toma de decisiones que se ve reflejada

en la obtencin de los resultados que espera la organizacin, se ha desarrollado una auditoria informtica para la empresa TELVEN con el fin de verificar la existencia de controles en reas importantes y vitales como la explotacin, la calidad, la Base de datos y el sistema fsico y/o lgico de la red. AUDITORIA DE LA EXPLOTACIN 1. Alcance de la auditoria a. Esta auditora comprende el sistema de informacin (Sistema para la consignacin de equipos SICOE), desarrollado para la empresa de TELVEN, con respecto al cumplimiento del proceso Gestin de la explotacin de la norma COBIT b. Evaluacin del personal y coherencia de cargos de la propia institucin c. Normas y Procedimientos del rea de informtica 2. Objetivos Realizar un informe de Auditora con el objeto de verificar la adecuacin de las funciones que sirven de apoyo a los sistemas de informacin Cliente: TELVEN Fecha de Auditoria: 22/04/2008 Dominio: Suministro y Mantenimiento Proceso: Gestin de la Explotacin Ttulo: Cuestionario de Control Interno Controles sobre la explotacin del servicio de Si Informacin 1. Existen normas y procedimientos escritos sobre el funcionamiento del servicio de informacin? 2. El Servicio de Informacin, est separado del resto de los departamentos? 3. Es adecuada la segregacin de funciones entre el servicio de Informacin y los departamentos de Usuarios? 4. El personal de explotacin participa en funciones de anlisis y desarrollo de aplicaciones? 5. Existe Organigrama del funcionamiento del servicio de Informacin? 6. Se describen con detalle las funciones y responsabilidades del personal? 7. El personal de Explotacin Conoce Perfectamente cules son sus funciones y sus responsabilidades? 8. Es imposible que los operadores accedan a programas y datos no necesarios para su trabajo? 9. Se rotan las asignaciones de trabajo de los operadores? No N/A Observaciones

10. Existen normas de cmo deben hacerse los cambios de turno para que exista la seguridad de que las aplicaciones continan su proceso? 11. Existe Personal con conocimientos y experiencia suficiente que organiza el trabajo para que resulte lo ms eficaz posible? 12. Existen procedimientos de salvaguarda, fuera de la instalacin, en relacin con ficheros maestros, manuales y programas, que permitan reconstruir las operaciones que sean necesarias? 13. Se aprueban por personal autorizado las solicitudes de nuevas aplicaciones? 14. Existe personal con autoridad suficiente que es el que aprueba los cambios de unas aplicaciones por otras? 15. Existen procedimientos adecuados para mantener la documentacin al da? 16. Tienen manuales todas las aplicaciones? 17. Existen controles que garanticen el uso adecuado de discos y cintas? 18. Existen procedimientos adecuados para conectarse y desconectarse de los equipos remotos? 19. Se aprueban los programas nuevos y los que se revisan antes de ponerlos en funcionamiento? 20. Participan los departamentos de usuarios en la evaluacin de los datos de prueba? 21. Revisan y evalan los departamentos de usuarios los resultados de las pruebas finales dando su aprobacin antes de poner en funcionamiento las aplicaciones? 22. Al poner en funcionamiento nuevas aplicaciones o versiones actualizadas, Funcionan en paralelo las existentes durante un cierto tiempo? 23. Se comprueban los resultados con datos reales? 24. Existe personal con los conocimientos y experiencia adecuados que revisa con periodicidad los componentes fsicos de los equipos siguiendo las instrucciones de los fabricantes? 25. Se cumplen las condiciones ambientales: temperatura, humedad, etc., que recomienda el fabricante para el equipo, cintas, etc.? 26. Existen controles apropiados para que slo

las personas autorizadas tengan acceso a los equipos, cintas, discos, documentacin de programas, etc.? 27. Existen normas sobre horas extras y se controlan las entradas y salidas del personal fuera de su horario de trabajo? 28. Se tiene relacin del personal autorizado para firmar la salida de archivos confidenciales? 29. Existe un procedimiento para registrar los equipos que se prestan y la fecha en que se devolvern? 30. En los procesos que manejan archivos en lnea, Existen procedimientos para recuperar los archivos? 31. Estos procedimientos los conocen los operadores? 32. Existe un responsable en caso de falla? 33. Existe un procedimiento escrito que indique como tratar la informacin invalida (sin firma ilegible)? 34. En caso de resguardo de informacin de entrada de sistemas, Se custodian en un lugar seguro? 35. Existe un registro de anomalas? 36. Se aprovecha adecuadamente el papel de los listados inservibles? INFORME DE AUDITORIA 1. Identificacin del Informe Auditoria de la Explotacin

2. Identificacin del Cliente rea de Informtica Sistema para la consignacin de equipos SICOE 3. Identificacin de la Entidad Auditada Entidad Auditada: TELVEN 4. Norma Aplicada: COBIT, especficamente el proceso de TI 3.13 Gestin de la Explotacin, perteneciente al dominio Suministro y Mantenimiento 5. Objetivos de la Auditoria a. Verificar la existencia de normas generales escritas para el personal de explotacin en lo que se refiere a sus funciones. b. Verificar la realizacin de muestreos selectivos de la documentacin de las aplicaciones explotadas c. Verificar la existencia de un responsable de sala.

d. Revisar la adecuacin de los locales en que se almacenan cintas y discos, as como la perfecta y visible identificacin de estos medios. 6. Hallazgos Potenciales a. El sistema referido SICOE no contempla las interfaces con los sistemas de inventario y ventas, es decir no estn enlazados, lo cual ocasiona una recarga en las labores que realiza el personal de la OAC, y una inconsistencia en los datos que albergan los sistemas debido a las actualizaciones rezagadas. b. El sistema de inventario no refleja con precisin los equipos y accesorios disponibles ya que la desincorporacin e incorporacin de equipos se efecta en diferido. c. Inexistencia y falta de uso de los manuales de operacin d. Falta de planes de Formacin e. No existe programas de capacitacin y actualizacin al personal 7. Conclusiones El rea de informtica presenta deficiencias con respecto a las normas COBIT en cuanto al proceso de Gestin de Explotacin en los siguientes aspectos: 1. Manuales de procedimientos de las operaciones 2. documentacin de los procesos puestos en marcha 3. planificacin del trabajo del personal, sobre todo en el debido cumplimiento de sus funciones y por la falta de ellas. 4. Registro del suceso del sistema

8. Recomendaciones Por lo tanto, podemos especificar que para que la empresa TELVEN cumpla con las normas COBIT en cuanto al proceso de Gestin de la explotacin deber: a. Crear y hacer uso de manuales de operacin de manera que los empleados puedan identificar cules son las tareas que deben realizar de acuerdo a su puesto y funciones b. Disear y establecer procedimientos para salvaguardar informacin fuera del rea donde se encuentra el sistema c. Disear y establecer procedimientos para recuperar informacin d. Llevar los registros de las anomalas presentadas e. Proporcionar entrenamiento al personal de manera de tener al personal capacitado y actualizado