AUDITORIA DE SISTEMAS

EMPRESA: XXXXX (Ubicada en xxxxxxxxxxxxxxxxxxx).

20-05-2012

INTRODUCCIN
A medida que las empresas se han vuelto cada vez ms dependientes de las
computadoras y las redes para manejar sus actividades, la disponibilidad de los
sistemas informticos se ha vuelto crucial. Actualmente, la mayora de las
empresas necesitan un nivel alto de disponibilidad y algunas requieren incluso un
nivel continuo de disponibilidad, ya que les resultara extremadamente difcil
funcionar sin los recursos informticos necesarios. Sin embargo estos avances
traen consigo inconvenientes en el manejo de los procesos, creando la necesidad
de evaluar los sistemas informticos con el fin de determinar si su funcionamiento
es el adecuado o para descubrir donde se pueden realizar mejoras.
La empresa XXXX Ubicada en xxxxxxxxxxxx; es una empresa que cuenta con el
sistema informtico (Baan V) este es un sistema computacional por medio del cual
se auxilian actividades y operaciones de la empresa, incluye el ciclo de gestin de
las compras, servicios de calibracin y mantenimiento entre otras. Los mdulos del
sistema Baan V son: comn (TC), Finanzas (TF), Proyectos (tp), manufactura (TI),
Distribucin (TD), Proceso (ps), Transporte (TR), Servicio (TS), Enterprise Modeler
(Tg), Restriccin de Planificacin (CP), Herramientas (TT), Utilidades (tu), Baan
marcos alemanes (TG)
Este sistema fue implementado hace ms de diez aos y la presente auditora
se realiz con el fin de evaluar la eficiencia y eficacia del sistema (Baan V) de la
empresa XXXXXX. Esta auditora se efectu mediante una revisin metdica de
los registros, tareas y resultados de la empresa, con el fin de diagnosticar el
comportamiento global en el desarrollo de sus actividades y operaciones. Como
resultado de este proceso se elabor el informe final.



INFORME DE AUDITORIA
Alcance
La presente Auditoria Informtica se realiz a la empresa XXXX (Ubicada en
xxxxxxxxxxxxxxxxxxxxxxx; siendo el rea a examinarse la de Informtica.
Alcances de la auditoria:
Planes y procedimientos
Polticas de Mantenimiento
Inventarios Ofimaticos
Capacitacin del Personal
Recursos Humanos
Actualmente en el rea de cmputo e informtica laboran tres (3) personas
quienes cumplen las funciones de administracin, capacitacin, soporte y
procesamiento de datos.

Recursos informticos
HARDWARE/SOFTWARE CANTIDAD
Servidores (Windows server 2003 service pack 3) 1
Computadoras 5
Impresoras 3
Tabla #1. Recursos Informticos. [Martnez Y., 2012]



Objetivos
Objetivo general
Revisar y evaluar los controles, sistemas y procedimientos de informtica; de
los equipos de cmputo, su utilizacin, eficiencia y seguridad en el procesamiento
de la informacin y as determinar la confiabilidad de sus procesos y aportar
alternativas, que al ser implementadas, permitan mejorar su operatividad.
Objetivos especficos
Evaluar el diseo y prueba de los sistemas del rea de informtica.
Evaluar los procedimientos de control de operacin, analizar su
estandarizacin y evaluar el cumplimiento de los mismos.
Evaluar la forma como se administran los dispositivos de almacenamiento
bsico del rea de informtica.
Conocer cules son las fallas del sistema informtico (Baan V).
Evaluar el control que se tiene sobre el mantenimiento y fallas de los
equipos informticos.
Verificar las disposiciones y reglamentos que coadyuven al mantenimiento
del orden dentro del departamento de cmputo.
Recursos
El numero de personas que integraran el equipo de auditoria sera de dos, con
un tiempo maximo de ejecucion de 3 semanas.
Nombres y Apellidos Cargo
Martinez Y. Auditor
Tabla #2. Recursos. [Martnez Y., 2012]


Etapas de trabajo
1. Recopilacion de la informacin basica
Una semana antes del comienzo de la auditoria se envi un cuestionario (Ver
anexo Tabla14) a los responsables del area de Informatica de la empresa XXXX.
El objetivo de este cuestionario es saber los equipos que usan y los procesos que
realizan en ellos. De esta manera, se obtendra una vision mas global del sistema.
Es importante tambien reconocer y entrevistarse con los responsables del area
de sistemas de la empresa para conocer con mayor profundidad el hardware y el
software utilizado.
En las entrevistas incluiran:
Director de Informatica.
Tecnico de soporte.
CARGO NOMBRE Y APELLIDO TELEFONO
Director Angel Guzman xxxx-xxxxxxx
Soporte tcnico Pedro Perez xxxx-xxxxxxx
Soporte tcnico Jesus Contreras xxxx-xxxxxxx
Tabla #3. Personal entrevistado. [Martnez Y., 2012]






2. Identificacin de riesgos potenciales.
Con respecto al estudio realizado, encontramos lo siguiente:
A. Organizacin y Administracin del rea
A.1. Comit y Plan Informtico
Falta de un Comit de Informtica debidamente establecido.
Falta de una metodologa para la planificacin de los proyectos.
Efectos
Es posible de que las soluciones que se implementen para
resolver problemas no sean efectivos a un 100%, tanto en Software como
en Hardware.
Sugerencias
Establecer un Comit de Informtica integrado por representantes de las
reas funcionales claves (Gerencia Administrativa, responsables de las reas
Operativas, responsables de Informtica y el responsable Contable).
Trazar los lineamientos de direccin del rea de Informtica.
B. Seguridad Fsica Y Lgica
B.1. Entorno General
No existe personal de vigilancia exclusivo para el rea Informtica.
No existe un sistema de alarma contra incendios.
No se ha realizado un estudio de vulnerabilidad en el rea de informtica,
ante los riesgos fsicos.

Efectos
Vulnerabilidad de la informacin clasificada.
Fcil acceso a los datos y archivos debido a la falta de controles del sistema.
Interrupcin del sistema debido a la falta de mantenimiento.
Sugerencias
Establecer guardia de seguridad en el rea informtica.
Colocar detectores y extintores de incendios automticos en los lugares
necesarios.
Efectuar estudios de vulnerabilidad para contrarrestar los posibles puntos
dbiles que se puedan encontrar.
B.2. Auditoria de Sistema
No se encontr evidencia de que se haya realizado una auditoria Informtica
anteriormente.
Efectos
Cabe la posibilidad de que aplicaciones y datos puedan ser modificados y
alterados por personas ajenas al sistema, ya que el acceso al mismo no
representa dificultades, debido a la carencia de controles.
Sugerencias
Implementar medidas y procedimientos de control.



B.3. Operaciones de Respaldo
Se realizan copias de seguridad en discos compactos, los cuales son
almacenados dentro del mismo departamento de Informtica por el auxiliar de
informtica.
No existen las medidas de comprobacin para que las copias de seguridad
sean totalmente confidenciales.
Efectos
Exposicin por parte de la empresa a la prdida de informacin debido a la
no supervisin peridica de las copias de seguridad y por estar en manos del
auxiliar de informtica.
Sugerencias
Realizar 3 copias de respaldos de datos en discos duros de manera tal que
una se almacene en el departamento de informtica, otra la posea el Jefe de rea
y la ltima se almacene en una caja fuerte en una entidad bancaria.
Realizar pruebas semanales de las copias y distribucin de las mismas.
B.4. Acceso a usuarios
Conforme a la funcin de los usuarios, as es medido su acceso.
Los equipos en uso tras un cierto tipo de inactividad no salen del sistema.
No se realizan cambios de contraseas peridicamente.
Efectos
Debido a que no se cambian las contraseas, es posible el acceso de
personas ajenas.

Sugerencia
Implementar un software de seguridad informtica.
Aplicar mtodos que controlen la modificacin de los archivos.
B.5. Plan de Contingencias
Ausencia de un Plan de Contingencia debidamente formalizado en el rea de
Informtica.
Escasez de procedimientos y medidas ante desperfectos del equipo y el
sistema en general.
Efectos
Prdida de informacin vital.
Prdida de la capacidad de procesamiento.
Sugerencias
Establecer un plan de contingencia escrito, en donde se establezcan los
procedimientos manuales e informticos.
Realizar evaluaciones o pruebas de contingencias para verificar la eficacia de
las operaciones.
Establecer acuerdos con empresas que brindan apoyo en momentos crticos
para asegurar la operatividad del sistema.
3. Objetivos y Procedimientos de control.
Se evaluaron los manuales de politicas y estandares de seguridad del area de
informatica dando como resultado lo siguiente:

A. ESTRUCTURA DE LA ORGANIZACIN
Se verifico que el organigrama del rea de informtica, est acorde a la
estructura real del departamento.
Funciones
En el departamento evaluado no tiene definidas las funciones y
responsabilidades de cada puesto.
Efectos
Sobrecarga de trabajo en algunos usuarios
Inconformidad en la realizacin de las actividades
Incumplimiento laboral
Sugerencias
Crear manual de funciones
Delimitar funciones de acuerdo al puesto de trabajo.

B. PROGRAMAS DE TRABAJO
Los datos vertidos en la encuesta mostraron que en el departamento evaluado,
no se tiene elaborado un programa anual de trabajo.
Efectos
Los objetivos y metas del departamento no se logran en su totalidad.
Desorganizacin en la ejecucin del trabajo.
Sugerencias
Crear e implementar una norma de control interno que rija la elaboracin de
un plan anual de trabajo para el departamento.

El director cree planes de trabajo para el departamento y se le asigne.
Se contrate un ente externo para que elabore un plan de trabajo anual para
el rea informtica.
4. Obtencin de los resultados.
Durante la realizacin de la auditoria, se aplico el instrumento, con el cual se
recab toda la informacin necesaria para la culminacin satisfactoria de dicha
auditoria, la misma qued demostrada con el cuestionario que se le aplico al
personal del rea de informtica.
Anlisis e Interpretacin de los resultados.
Una vez que se aplic el cuestionario se procedi al anlisis de cada uno
de los tems presentados. De la misma forma se presenta la informacin de forma
grfica, empleando grficos circulares lo cual facilita apreciar estadsticamente los
resultados obtenidos.













Pregunta 1
Existe un comit de informtica?
Tabla #4. Tabulacin del tem #1. [Martnez Y., 2012]
N de
pregunta
Parmetro Frecuencia Porcentaje
1 Si 0 0%
No 3 100%
Total 3 100%
GRFICO N 1
Representacin grfica del tem N 1

SI NO

Anlisis:
El resultado nos indica que el 100% de las personas entrevistadas reconoce
que no existe un comit de informtica en el rea de cmputo.




100%

Pregunta 2
Existen estndares de funcionamiento y procedimientos?
Tabla #5. Tabulacin del tem #2. [Martnez Y., 2012}
N de
pregunta
Parmetro Frecuencia Porcentaje
2 Si 1 33,33%
No 2 66,67%
Total 3 100%

GRFICO N2
Representacin grfica del tem N2

SI NO


Anlisis:
El 66,67% manifiesta que no existen estndares de funcionamiento y
procedimientos en el rea de informtica, en comparacin al 33,33% de los
encuestados que manifiesta que si existen dichos estndares.


66,67%
33,33%

Pregunta 3
Se les entrega un manual descriptor de puesto a los usuarios?
Tabla #6. Tabulacin del tem #3. [Martnez Y., 2012]
N de
pregunta
Parmetro Frecuencia Porcentaje
3 Si 0 0%
No 3 100%
Total 3 100%

GRFICO N3
Representacin grfica del tem N3

SI NO

Anlisis:
Se observo que el nmero de respuestas negativas equivalen al 100% del total
de las respuestas, lo cual indica que no se le entrega un manual descriptor de puesto
a los usuarios.



100%

Pregunta 4
Existen procedimientos para la adquisicin de bienes y servicios?
Tabla #7. Tabulacin del tem #4. [Martnez Y., 2012]
N de
pregunta
Parmetro Frecuencia Porcentaje
4 Si 1 33,33%
No 2 66,67%
Total 3 100%

GRFICO N4
Representacin grfica del tem N4

SI NO

Anlisis:
Queda demostrado que no existe procedimientos para la adquisicin de bienes
y servicios ya que un 66,67% manifiesta que no existen dichos procedimientos en
relacin al 33,33% que afirma que existen tales procedimientos.


66,67%
33,33%

Pregunta 5
El departamento se rige por un programa anual de trabajo?
Tabla #8. Tabulacin del tem #5. [Martnez Y., 2012]
N de
pregunta
Parmetro Frecuencia Porcentaje
5 Si 0 0%
No 3 100%
Total 3 100%

GRFICO N5
Representacin grfica del tem N5

SI NO

Anlisis:
El 100% del personal que labora en el rea de informtica opina que el
departamento no se rige por un programa anual de trabajo.


.
100%

Pregunta 6
Posee programas antivirus actualizado?
Tabla 9. Tabulacin del tem #6. [Martnez Y., 2012]
N de
pregunta
Parmetro Frecuencia Porcentaje
6 Si 3 100%
No 0 0%
Total 3 100%
GRFICO N6
Representacin grfica del tem N6


SI NO

Anlisis:
El 100% del personal entrevistado manifest que si poseen programas
antivirus actualizado.



100%

Pregunta 7
El mantenimiento preventivo y correctivo se realiza en las fechas programadas?
Tabla #10 Tabulacin del tem #7. [Martnez Y., 2012]
N de
pregunta
Parmetro Frecuencia Porcentaje
7 Si 2 66,67%
No 1 33,33%
Total 3 100%

GRFICO N7
Representacin grfica del tem N7


SI NO
Anlisis:
El resultado nos indica que un 66,67% de los entrevistados opinan que el
mantenimiento preventivo y correctivo se realiza en las fechas programadas en
comparacin aun 33,33% que manifiesta lo contrario.


66,67%
33,33%

Pregunta 8
Existen proyectos a futuros para adquisicin de equipos?
Tabla #11. Tabulacin del tem #8. [Martnez Y., 2012]
N de
pregunta
Parmetro Frecuencia Porcentaje
8 Si 2 66,67%
No 1 33,33%
Total 3 100%

GRFICO N8
Representacin grfica del tem N8


SI NO
Anlisis:
El 66,67% del personal entrevistado afirma que existen proyectos a futuros
para la adquisicin de equipos, a diferencia del 33,33% que opina lo contrario.



66,67%
33,33%

Pregunta 9
Existen medidas de seguridad para acceder al sistema?
Tabla #12. Tabulacin del tem #9. [Martnez Y., 2012]
N de
pregunta
Parmetro Frecuencia Porcentaje
9 Si 1 33,33%
No 2 66,67%
Total 3 100%
GRFICO N9
Representacin grfica del tem N9


SI NO
Anlisis:
El 66,67% del personal entrevistado manifiesta que el sistema no tiene
medidas de seguridad para acceder al mismo, mientras el 33,33% opina lo
contrario.



66,67%
33,33%

Pregunta 10
Se puede realizar respaldos en unidades extrables y recuperarse desde los
mismos?
Tabla #13. Tabulacin del tem #10. [Chirinos R., Martnez Y., 2012]
N de
pregunta
Parmetro Frecuencia Porcentaje
10 Si 3 100%
No 0 0%
Total 3 100%

GRFICO N10
Representacin grfica del tem N10


SI NO
Anlisis:
El 100% del personal entrevistado considera que si se puede realizar respaldos
en unidades extrables y recuperarse desde los mismos.



100%

CONCLUSIN
Principalmente, con la realizacin de este trabajo prctico, la principal
conclusin a la que hemos podido llegar, es que toda empresa, pblica o privada,
que posean Sistemas de Informacin medianamente complejos, deben de
someterse a un control estricto de evaluacin de eficacia y eficiencia. Hoy en da,
el 90 por ciento de las empresas tienen toda su informacin estructurada en
Sistemas Informticos, de aqu, la vital importancia que los sistemas de
informacin funcionen correctamente. El xito de una empresa depende de la
eficiencia de sus sistemas de informacin. Una empresa puede tener un staff de
gente de primera, pero tiene un sistema informtico propenso a errores, lento,
vulnerable e inestable; si no hay un balance entre estas dos cosas, la empresa
nunca saldr a adelante. En cuanto al trabajo de la auditora en s, podemos
concluir en este Captulo que, se evidencia debilidad en los Controles debido a la
carencia de Manual de Funciones y Procedimientos actualizados, que permita
unificar las actuaciones y los criterios en la toma de decisin, evitando la
duplicidad de funciones y maximizando la utilizacin de los recursos.
La ausencia de actividades control basados en polticas y procedimientos
establecidos impiden la disminucin de los riesgos inherentes afectando el logro
de los objetivos propuestos.








RECOMENDACIONES
Las deficiencias sealadas en esta seccin deben ser corregidas,
implementando con carcter de urgencia medidas tendientes a fortalecer el
sistema de control para salvaguarda y proteccin del Patrimonio de la empresa y
transparentar su accionar.
Estas deficiencias deben ser corregidas, de manera a fortalecer los controles
internos de la empresa, razn por la cual la misma se debe abocar a la
implementacin del Manual de Funciones y Procedimientos a fin de no superponer
las tareas y caer en duplicidad de esfuerzos.
Realizar un mantenimiento preventivo cada seis (6) meses.
Reglamento en cada rea de trabajo.
Contratacin a personal capacitado para la manipulacin de los equipos de
cmputo (ingeniero de sistemas).
Cada equipo de computo contener una contrasea la cual en ella se use el
alfanumrico con maysculas y minsculas.

















ANEXOS












INSTRUMENTO DE RECOLECCION DE DATOS

APLICADO A: Las personas que laboran en el rea de Informtica de la
empresa XXXX (Ubicada en xxxxxxxxxxxxxxxxxx).
Estimado Sr:
Nos dirigimos a ustedes en la oportunidad de solicitar su valiosa
colaboracin para dar respuestas al siguiente cuestionario que consta de (13)
tems, las cuales debe usted considerar de manera individual. Este cuestionario
tiene como principal objetivo obtener informacin relevante acerca de los
controles, sistemas y procedimientos de informtica llevados a cabo en esta
empresa XXXX. Las respuestas suministradas sern tratadas con fines de
investigacin por lo tanto sern estrictamente confidencial.
Agradeciendo su honestidad y colaboracin.
INDICACIONES PARA EL LLENADO DEL INSTRUMENTO:
Lea detenidamente las preguntas de acuerdo a su criterio responda mediante
las alternativas que se le brindan.
Marque con una equis (X) la alternativa que considere correcta.
Dedique el tiempo prudente para dar respuesta.
LA ENCUESTA ES ANNIMA. Tecnolgico informtica

Cuestionario dirigido a las personas que laboran en el rea de Informtica de la
empresa XXXX
tems
Alternativa
SI NO
1.- Existe un comit de informtica?
2.- Existen estndares de funcionamiento y procedimientos?
3.- Se le entrega un manual descriptor de puesto a los usuarios?
4.- Existen procedimientos para la adquisicin de bienes y
servicios?

5.- El departamento se rige por un programa anual de trabajo?
6.- Posee programas antivirus actualizado?
7.- El mantenimiento preventivo y correctivo se realiza en las fechas
programadas?

8.- Existen proyectos a futuros para adquisicin de equipos?
9.- Existen medidas de seguridad para acceder al sistema?
10.- Se puede realizar respaldos en unidades extrables y
recuperarse desde los mismos?

Tabla14: (Cuestionario aplicado al personal del area de Informatica)