P. 1
DICTAMEN DE AUDITORÍA INFORMÁTICA

DICTAMEN DE AUDITORÍA INFORMÁTICA

|Views: 11.692|Likes:
Publicado porgeorgio1973
este trabajo es de Auditoria
este trabajo es de Auditoria

More info:

Published by: georgio1973 on Jan 09, 2010
Copyright:Attribution Non-commercial

Availability:

Read on Scribd mobile: iPhone, iPad and Android.
download as DOCX, PDF, TXT or read online from Scribd
See more
See less

08/13/2013

pdf

text

original

Práctica de Auditoría Informática

2009

DICTAMEN DE AUDITORÍA INFORMÁTICA Resultado dela práctica de auditoría informática al 20 de Noviembre del 2009. Realizado por: Tcnlga. Paulina Guevara, alumna del 10mo semestre Informática – Unita

Al Dr. Mario Aulestia DIRECTOR DEL CENTRO DE ATENCIÓN AMBULATORIA IESS DE OTAVALO

Fase 1 Actividad 1: Conocimiento general del Laboratorio: Procedimiento: Efectuar el primer contacto con el responsable del Laboratorio y explicarle acerca de la realización de la práctica de auditoría y actividades a realizar.

Fase 1 Actividad 2: Revisión del ambiente Hardware: UNIVERSIDAD TECNOLÓGICA AMÉRICA A-2 UNITA – IBARRA

PROGRAMA DE AUDITORÍA INFORMÁTICA PARA REVISIÓN DEL AMBIENTE HARDWARE

Fecha:

16-11-2009

Elaborado por: Paulina Guevara Revisado por:

No . 1

Procedimiento Elaborar un listado de las máquinas y de los programas más usados, usando el

Responsa ble Paulina Guevara

Fecha 13-11-2009

Documentació n a examinar Inventario

PT L-1

Paulina Guevara, 10mo Informática, UNITA

Página 1

Práctica de Auditoría Informática

2009

listado sugerido 2 Especificar y documentar las observaciones especiales de las máquinas que requieran una apreciación exclusiva. Como el servidos, equipos con componentes especiales, etc. Elaborar un diagrama de la estructura y conexiones de red con los correspondientes equipos. Realizar un análisis preliminar sobre el estado general del laboratorio. Paulina Guevara 13-11-2009 L-2

3

Paulina Guevara

13-11-2009

D-1

4

Paulina Guevara

13-11-2009

AN1

Fase 1 Actividades 3 a 5: Revisión del ambiente Software: Análisis FODA y Alcance de la Auditoría: UNIVERSIDAD TECNOLÓGICA AMÉRICA A-3 UNITA – IBARRA

PROGRAMA DE AUDITORÍA INFORMÁTICA PARA REVISIÓN DEL AMBIENTE GENERAL Y AMBIENTE SOFTWARE

Fecha:

16-11-2009

Elaborado por: Paulina Guevara Revisado por:

No . 1

Procedimiento Realizar un listado de los principales programas

Responsa ble Paulina

Fecha 16-11-

Documentació n a examinar

PT L-3

Paulina Guevara, 10mo Informática, UNITA

Página 2

Práctica de Auditoría Informática

2009

instalados en los equipos con los listados para cada PC. 2 Seleccionar los programas más importantes para análisis y elaborar un listado de los mismos. Verificar y listar los controles existentes para el manejo de los programas, como accesos y otros. Solicitar al responsable del laboratorio copias sobre documentación existente acerca de manuales, políticas y hacer un chequeo para análisis. Elaborar una Matriz FODA sobre los componentes generales de los PCS.

Guevara

2009

Paulina Guevara

16-112009

L-4

3

Paulina Guevara

16-112009

L-5

4

Paulina Guevara

16-112009

Manuales, políticas.

Archiv o Gener al

5

Paulina Guevara

16-112009

A-4 Archiv o de anális is Archiv o Gener al

6

Definir con precisión el alcance de la auditoría

Paulina Guevara

16-112009

Fase 2 Actividades 1 a 7: Desarrollo de la Auditoría:

UNIVERSIDAD TECNOLÓGICA AMÉRICA

Paulina Guevara, 10mo Informática, UNITA

Página 3

Práctica de Auditoría Informática

2009

A-3 UNITA – IBARRA

PROGRAMA DE AUDITORÍA INFORMÁTICA PARA EVALUAR EL ÁREA DE SERVICIO

Fecha:

17-11-2009

Elaborado por: Paulina Guevara Revisado por:

No . 1

Procedimiento Realizar las entrevistas personales al personal que labora en el dispensario médico, presentes en su horario de servicio. Definir según muestreo el número de pacientes para efectuar entrevistas. Realizar entrevistas personales a los pacientes, utilizando el cuestionario de estudio. Tabular los datos para efectuar el análisis respectivo. Elaborar un análisis sobre los aspectos más importantes dentro del servicio de informática.

Responsa ble Paulina Guevara

Fecha 17-112009

Documentació n a examinar

PT B-1

2

Paulina Guevara

17-112009

Lista de pacientes que acceden a los turnos.

Archiv o de anális is B-2

3

Paulina Guevara

18-112009

4

Paulina Guevara Paulina Guevara

19-112009 20-112009

B-4

5

B-3

Paulina Guevara, 10mo Informática, UNITA

Página 4

Práctica de Auditoría Informática

2009

6

Identificar y listar los posibles riesgos existentes en el área de informática. Listar las primeras conclusiones del análisis y la identificación de riesgos realizados.

Paulina Guevara Paulina Guevara

20-112009 20-112009

B-5

7

B-6

INFORME DE AUDITORÍA PRÁCTICA DE AUDITORÍA INFORMÁTICA Realizada al 20 de noviembre del 2009 en el Dispensario Médico del IESS de Otavalo

Al Dr. Mario Aulestia DIRECTOR DEL CENTRO DE ATENCIÓN AMBULATORIA IESS DE OTAVALO Haciendo uso de su aprobación para realización de la práctica de auditoría informática en Centro médico a su dirección, se procedió a ejecutar el plan general de la práctica presentado el día 12 de Noviembre del 2009, cuyos detalles de la ejecución se muestran en el presente informe de anexos:

1. OBJETO DE AUDITORÍA Llevar a la práctica los conocimientos recibidos dentro de la materia de Auditoría Informática. Además, hacer un análisis del servicio de informática que presta este Centro Médico. Realizar un informe de Auditoría con el objeto de verificar la adecuación de las medidas aplicadas a las amenazas definidas, así como el cumplimiento de los requisitos exigidos.

Paulina Guevara, 10mo Informática, UNITA

Página 5

Práctica de Auditoría Informática

2009

El período auditado en el presente informe se extiende desde el 13-11-2009 hasta el 20-11-2009. 2. ALCANCE DE LA AUDITORÍA El presente examen fue realizado de conformidad con las normas de auditoría generalmente aceptadas, habiéndose practicado los siguientes procedimientos: – – – I. Análisis y estudio del área informática: Entorno Software general: programas y aplicaciones. Entorno Hardware: equipos y accesorios. Análisis FODA: Fortalezas, Oportunidades, Debilidades y Amenazas. I. Análisis de la documentación proporcionada: a. Por el responsable de los equipos de cómputo: Políticas, manuales y procedimientos. Inventarios y listado de registros de los equipos. I. Entrevistas concertadas: A 5 miembros del personal laboral del centro médico: dirección, secretaría, contabilidad, estadística y sistemas. A 18 pacientes que frecuentan en centro médico. Responsable de los equipos de cómputo. I. Requerimientos de información: Información general del servicio de Sistemas. Descripción del hardware. Sistemas de seguridad. Aplicaciones. I. Elaboración de cuestionarios:

– – – – – – – – –

Los cuestionarios han sido elaborados tomando en cuenta los aspectos generales que se puede abarcar en esta práctica de auditoría, tales como el conocimiento de las principales dificultades que se presentan en la administración de los equipos de cómputo y el requerimiento de recursos.

1. ACLARACIONES PREVIAS I. Sobre el alcance de la auditoría:

La auditoría realizada, ha sido enfocada a un análisis interno, debido al corto tiempo en el que se viene utilizando los diferentes equipos de cómputo y el software de Historias Clínicas. II. Sobre el aspecto legal:

Se tiene conocimiento de que no es viable la revisión de licencias de software y certificados de autorización para el uso de aplicaciones propias de IESS, ya que al Paulina Guevara, 10mo Informática, UNITA Página 6

Práctica de Auditoría Informática

2009

tratarse de una Institución Pública y dependiente del Estado queda claro que cuenta con dichos permisos. Sólo se hace énfasis en las decisiones sobre este aspecto que deberían ser tomadas en cuenta por la dirección de este Centro Ambulatorio. III. Sobre la opinión de los encuestados:

Se decidió reservar las opiniones personales de los pacientes y personal laboral encuestado, por razones de discreción, sólo se hará referencia a los resultados de las encuestas, al momento de mencionar algunas referencias relacionadas con estas.

1. COMENTARIOS Y OBSERVACIONES I. Entorno de Hardware:

a. Servidor Las características de hardware del servidor son de una calidad superior a la de los demás computadores usados por el personal correspondiente, por lo que el desempeño del equipo que hace de servidor es óptimo. La recomendación es aumentar la capacidad, mejorar las características de memoria y la velocidad del procesador en el equipo de Rayos X, ya para evitar posibles fallas al momento de administrar la gran cantidad de información que se genera en ese departamento. b. Requerimiento de un UCP Se pudo notar que la no existencia de un sistema de control para fallos de energía eléctrica, y sumándole además la crisis energética por la que atraviesa nuestro país en la actualidad, puede ocasionar daños en las máquinas y pérdida de la información. Para contrarrestar estos problemas, es conveniente adquirir un sistema UPC para proteger los equipos de los inesperados cortes del fluido eléctrico. I. Entorno Software

a. Programas y utilitarios A continuación se muestran algunas observaciones respecto a programas necesarios que deberían ser optimizados para agilizar los procesos y evitar pérdidas de tiempo: Utilitarios importantes Estado Observaciones Mantenimiento frecuente Se debe Messenger bloquear y evitar el la

Office 2007: Word, Excel, Bueno Project Internet Bueno

Paulina Guevara, 10mo Informática, UNITA

Página 7

Práctica de Auditoría Informática

2009

descarga de programas pesados que podrían entorpecer a las máquinas. Antivirus Regular No existe en todas las máquinas y en algunas hace falta la actualización del antivirus. Presenta varios errores, necesita mantenimiento continuo.

SIF

Bueno

b. Programas mal instalados: Algunas máquinas tienen programas mal instalados, como por ejemplo el Office 2007 el cual para activar una de sus funciones especiales, solicita el CD de instalación; por lo que se recomienda que la instalación de este tipo de software se lo haga completamente y de manera correcta, para evitar pérdidas de tiempo a los usuarios, a menos que esto implique someter a la máquina a trabajar con bajo rendimiento. c. Protección antivirus:

Actualmente se utiliza en la mayoría de las máquinas el antivirus AVG 8.5 y en otras el Avira, el problema radica en que estos antivirus se los debe actualizar regularmente ya que de no hacerlo, la máquina puede estar en peligro al no estar totalmente protegida. Si bien es cierto que no todos los antivirus son efectivos, se recomienda que el antivirus que se utilice en un equipo sea actualizado una vez a la semana y configurarlo para que realice revisiones completas. d. Actualizaciones: Las actualizaciones deben ser periódicas, para equipos y software, siguiendo los parámetros establecidos por la institución; estos pueden ser frecuencia y tipo de actualización, además del cuidado que se debe tener con los computadores una vez que han sido actualizados, etc.

I.

Aspecto de Seguridad general:

a. Riesgos en los equipos de cómputo: La mayoría de las máquinas se encuentran mal ubicadas en sus respectivas oficinas, los monitores están directamente a la luz solar y algunos CPUs están colocados en el piso. Se recomienda que los equipos sean reubicados en un lugar Paulina Guevara, 10mo Informática, UNITA Página 8

Práctica de Auditoría Informática

2009

seguro, que facilite el ambiente de trabajo para los usuarios, y que los componentes de las máquinas sean colocadas es su respectivo lugar para evitar daños. Debe hacerse un mantenimiento preventivo más frecuente a las máquinas y actualizar el antivirus, además de dar recomendaciones generales para el buen uso de los equipos. I. Servicio

a. Distribución de los equipos: La ubicación de los equipos de cómputo, para algunos usuarios, no es viable. Esta incorrecta ubicación hace que las máquinas ocupen más espacio físico de lo necesario, a más de correr el riesgo de dañarse o sufrir daños en su estructura. Lo que se debería hacer es reubicar y distribuir de manera óptima los equipos en su respectivo espacio asignado y brindar un mejor ambiente de trabajo al usuario. b. Conexión con la Matriz IESS – Quito: Frecuente han sido las fallas de conexión con el Sistema Hospitalario que es manejado desde la central ubicada en la ciudad de Quito, ocasionando pérdida de información, demora en los trámites e implica, en ocasiones, parar el trabajo al no tener acceso a la información requerida. Se recomienda que un técnico realice un seguimiento continuo a la conexión y que desde Quito brinden el soporte técnico necesario para evitar estos problemas. c. Elaboración de manuales de procedimiento : No existen manuales de procedimiento para el buen uso de las máquinas y sus componentes, además no se cuenta con un manual de usuario del Sistema Hospitalario por lo que se recomienda elaborar los respectivos manuales avalados por el director del Centro Ambulatorio y que sirvan de ayuda al personal laboral y a quienes hagan de técnicos de sistemas.

I. 1.

RECOMENDACIONES: Ampliar la capacidad, mejorar las características de memoria y la velocidad del procesador en el equipo de Rayos X. Página 9

Paulina Guevara, 10mo Informática, UNITA

Práctica de Auditoría Informática

2009

2. 3. 4. 5. 6. 7. 8. 9. 10. I.

Adquirir e instalar un sistema UPC de seguridad eléctrica para proteger los equipos de los inesperados cortes del fluido eléctrico. Optimizar los programas y aplicaciones necesarias para agilizar los procesos y evitar pérdidas de tiempo. Instalar software completamente y de manera correcta, ordenar en un sitio seguro los CD’s instaladores. Actualizado el antivirus una vez a la semana y configurarlo para que realice revisiones completas. Las actualizaciones deben ser periódicas, para equipos y software. Reubicar los equipos en un lugar seguro, y colocar los componentes de las máquinas en su respectivo lugar para evitar daños. Instar a los usuarios sobre el buen uso y cuidado de los equipos. Hacer un seguimiento continuo a la conexión por parte del técnico y que desde Quito se brinde el soporte técnico necesario. Elaborar los manuales de procedimiento y de uso del Sistema Hospitalario. Lugar y fecha de emisión del informe: Otavalo – Ecuador, 20 de Noviembre del 2009 Firma:

Auditora

ANEXO 1

Paulina Guevara, 10mo Informática, UNITA

Página 10

Práctica de Auditoría Informática

2009

Análisis FODA

UNIVERSIDAD TECNOLÓGICA AMÉRICA A-4 UNITA – IBARRA

ANÁLISIS FODA SOBRE EL SERVICIO QUE PRESTA EL DISPENSARIO MÉDICO DEL IESS – OTAVALO REFERENTE A LOS EQUIPOS DE CÓMPUTO

Equipos propios de la institución. Conexión en red. Fortalezas Servicio de internet. Conexión a tierra. 1 técnico. Actualización de equipos y software. Capacitación constante. Oportunidades Reubicación de equipos de cómputo. Mantenimiento permanente. Seguridad contra fallas eléctricas. Poca ventilación. Debilidades Inapropiada ubicación de los equipos. Algunos programas están mal instalados. Equipo insuficiente, Rayos X Virus Amenazas Pérdida de información. Cortes de energía eléctrica frecuentes.

Paulina Guevara, 10mo Informática, UNITA

Página 11

Práctica de Auditoría Informática

2009

ANEXO 2 Ubicación sugerida para los equipos de Estadística y Fisioterapia

Puerta

Computador

Escritorio

Ventana

Archivador

Archivador

Escritorio Computador Paulina Guevara, 10mo Informática, UNITA Puerta Ventana Página 12

Práctica de Auditoría Informática

2009

ANEXO 3

UNIVERSIDAD TECNOLÓGICA AMÉRICA B-1 UNITA – IBARRA

CUESTIONARIO DE ESTUDIO PARA EL PERSONAL LABORAL

Fecha: Elaborado por: Revisado por: Encuestado:

Marque con una X la casilla correspondiente a la respuesta y llene las especificaciones según crea conveniente.

No .

Pregunta

Respuestas

Paulina Guevara, 10mo Informática, UNITA

Página 13

Práctica de Auditoría Informática

2009

1

¿Cuenta con los recursos suficientes para llevar a cabo su trabajo sin inconvenientes?

SI

NO

Se requieren recursos como:

2

¿Cree usted necesario mejorar los equipos de cómputo para brindar un mejor servicio?

SI

NO

A corto plazo

En el siguiente año

3

¿Cuál de los siguientes aspectos considera que podría desarrollarse en mayor medida dentro de la institución? ¿Ha tenido inconvenientes en el uso de las máquinas al momento de realizar su trabajo? SI

Tecnología en los equipos Capacitación en nuevas aplicaciones Comunicaciones y redes Videoconferencias NO Mencione algunos:

4

ANEXO 4

UNIVERSIDAD TECNOLÓGICA AMÉRICA Paulina Guevara, 10mo Informática, UNITA Página 14

Práctica de Auditoría Informática

2009

B-2 UNITA – IBARRA

CUESTIONARIO DE ESTUDIO PARA LOS PACIENTES

Fecha: Elaborado por: Revisado por: Encuestado:

Marque con una X la casilla correspondiente a la respuesta y llene las especificaciones según crea conveniente.

No . 1

Pregunta ¿Cuenta con los recursos suficientes para recibir una atención de calidad por parte del personal que labora en la institución? SI NO

Respuestas Se requieren recursos como:

2

¿Cree usted necesario mejorar los equipos de cómputo para recibir un mejor servicio?

SI

NO

A corto plazo

En el siguiente año

3

¿Ha tenido inconvenientes

SI

NO

Mencione algunos:

Paulina Guevara, 10mo Informática, UNITA

Página 15

Práctica de Auditoría Informática

2009

en el uso de las máquinas al momento de realizar su trabajo?

4

¿Piensa que es posible obtener un mejor servicio al mejorar la tecnología con la que cuenta la Institución?

SI

NO

Mencione los beneficios:

ANEXO 5 BASES PARA LA TOMA DE LA MUESTRA Fórmula para obtener la muestra o población: N = Tamaño de la población S = Varianza (p * q) = (0.7 * 0.3) Z = Curvas normales (1.96%) E = Error (7%) n = Muestra Aplicación de la fórmula en las encuestas: N S2 Z2 n= e2 (N-1) + (S)2 (Z)2 76 (0.21) (3.8416) n= 0.07 (30-1) + (0.21) (3.8416)

n = 18 Paulina Guevara, 10mo Informática, UNITA Página 16

Práctica de Auditoría Informática

2009

Número total de las encuesta a realizarse:

18

Co esta muestra de tamaño menor solo se aumentó la variación de los datos con el propósito de reducir el tiempo de las encuestas y la tabulación.

Plan General aplicado al Centro Ambulatorio IESS – Otavalo Se ha planteado la ejecución de una serie de actividades programadas para 6 días, comienza el 13 de noviembre del presente año y termina el 20 de noviembre del mismo, con la entrega del cadáver. Las actividades se encuentran organizadas en tres fases: FASES PRIMERA FASE SEGUNDA FASE TERCERA FASE ACTIVIDAD PRINCIPAL Diagnóstico preliminar y definición de áreas auditables. Desarrollo de la auditoría. Elaboración y entrega del Informe FECHA 13 y 16-11-2009 17 al 19-112009 20-11-2009

PRIMERA FASE: Diagnóstico preliminar y definición de áreas auditables 13 y 16-11-2009

Plan General

No . 1

Actividad Conocimiento general de lugar

Fecha 13-11-2009

Responsable

PT

Objetivo: Tener una visión inicial para el análisis de auditoría en el centro médico.

Paulina Guevara, 10mo Informática, UNITA

Página 17

Práctica de Auditoría Informática

2009

2

Revisión del ambiente Hardware

13-11-2009

A-2

Objetivo: Conocer el estado de los equipos y sus respectivos accesorios. 3 Revisión del ambiente Software 16-11-2009 A-3

Objetivo: Reconocer los programas existentes y su estado de funcionamiento. 4 Análisis FODA 16-11-2009 A-3

Objetivo: Realizar un análisis previo al desarrollo de los procedimientos de auditoría informática. 5 Definición del Alcance de auditoría 16-11-2009 A-3

Objetivo: Especificar la cobertura del estudio de auditoría para la aplicación de los procedimientos.

SEGUNDA FASE: Desarrollo de la Auditoría 17 a 19-11-2009

Plan General

Paulina Guevara, 10mo Informática, UNITA

Página 18

Práctica de Auditoría Informática

2009

No . 1

Actividad Entrevistas personales al personal laboral

Fecha 17-11-2009

Responsable

PT B-1

Objetivo: Conocer la opinión de los usuarios sobre los requerimientos en el área de sistemas del centro médico. 2 Entrevistas personales a los pacientes 17-11-2009 B-2

Objetivo: Conocer la opinión de los pacientes sobre los requerimientos y el servicio recibido en el centro médico. 3 Tabulación de datos 18-11-2009 B-3

Objetivo: Organizar la información obtenida para el proceso de análisis. 4 Análisis de la información 18-11-2009 B-4

Objetivo: Determinar, comparar, detallar y documentar los aspectos más importantes que se definan en el área de informática. 5 Identificación de riesgos 19-11-2009 B-5

Objetivo: Obtener una idea precisa de la estructura y funcionamiento de los equipos e identificar los riesgos que pueden afectar a los equipos y al desempeño del trabajo.

Paulina Guevara, 10mo Informática, UNITA

Página 19

Práctica de Auditoría Informática

2009

6

Obtención de conclusiones

19-11-2009

B-6

Objetivo: Elaborar una lista de los primeros resultados sobre el estudio de la información recopilada.

TERCERA FASE:

Elaboración y entrega del informe 20-11-2009

Plan General

No Actividad . 1 Elaboración del informe en borrador

Fecha 20-11-2009

Responsable

PT Archivo General.

Objetivo: Documentar el primer informe para discusión. 2 Elaboración del informe final 20-11-2009 Archivo General.

Objetivo: Argumentar el informe definitivo para su respectiva

Paulina Guevara, 10mo Informática, UNITA

Página 20

Práctica de Auditoría Informática

2009

presentación. 3 Presentación del informe final 20-11-2009 Copia al archivo permane nte

Objetivo: entregar el informe de auditoría informática final al Dr. Mario Aulestia, Director del Centro Ambulatorio del IESS-Otavalo

Paulina Guevara, 10mo Informática, UNITA

Página 21

You're Reading a Free Preview

Descarga
scribd
/*********** DO NOT ALTER ANYTHING BELOW THIS LINE ! ************/ var s_code=s.t();if(s_code)document.write(s_code)//-->