Universidad Agraria del Ecuador

Facultad de Ciencias Agrarias

Carrera Ingeniería en Computación e Informática

AUDITORÍA DE SISTEMAS

Tema:

Caso Informe N°2

Integrante:

ANASTACIO Bryam
ARMIJOS Ariana
ASENCIO Barbara

Curso:

Quinto Año – Décimo Semestre A

Docente:

Ing. Jorge Hidalgo

Fecha de entrega:

20 de junio del 2020

 CASO INFORME DE AUDITORÍA DE SISTEMAS DEL
REGISTRO CIVIL E IDENTIFICACIÓN

Identificar 12 elementos del informe de auditoría con su respectivo

análisis

1. Titulo

Auditoría de Sistemas en el Servicio de Registro Civil e Identificación.

2. Partes interesadas

Podemos distinguir las partes interesadas o stakeholders de esta auditoría

realizada, son nombradas a continuación:

 Contraloría General de la República, División de Auditoría Administrativa (parte

auditora)

 Servicio de Registro Civil e Identificación (parte auditada)

3. Objetivo

El objetivo que tuvo este trabajo fue una extensa revisión y evaluación de una parte

de los aspectos o ya sea de un todo, llevando a cabo la relación con las políticas,

normas, prácticas y procedimientos de control ligados a los sistemas basados en las

tecnologías de la información y las comunicaciones (TIC) que tienen relación directa o

indirecta con transacciones contables, donde también intervienen los procesos

manuales desarrollados en el entorno de dichos sistemas.

4. Alcance

La realización del trabajo de auditoría tuvo circunscripciones en las siguientes

áreas:

 Controles generales de las Tecnologías de la Información (TI).

 Controles de seguridad física.

 Controles de procedimientos de respaldo.

  Controles de recuperación de desastres.

 Controles específicos asociados a aplicaciones de procesos significativos.

 Monit032.

 MonitoWeb.

 Sistema de Identificación y Pasaportes.

 Contratos vigentes.

 SONDA S.A. Contrato de prestación de servicios para el desarrollo y

explotación del nuevo sistema de identificación, cédulas de identidad y

pasaportes.

 Adexus S.A. Contrato de prestación de servicios integrales de computación.

 Cumplimiento de los Decretos Supremos N° 77, N° 81, N° 83, de 2004; N° 93 Y

N° 100, de 2006; todos ellos del Ministerio Secretaria General de la

Presidencia.

5. Metodología 

Se utilizaron las pruebas de validación, de razonabilidad, de caja negra, para los

diferentes procesos que eran objetos de estudio y se utilizó una metodología que se

encuentra alineada con los objetivos y facultades de la Contraloría General. 

Una de las técnicas aplicadas fueron la matriz de riesgo la cual es importante en

toda organización que garantice la correcta evaluación de los riesgos a los cuales

están sometidos los procesos y actividades que se desean auditar en una entidad y

por medio de procedimientos de control se pueda evaluar el desempeño de la misma. 

Por otro lado, se aplicó la matriz de control el cual le da tanta importancia al

cumplimiento de las disposiciones fiscales, como al control para evitar fraudes, o

resguardar la calidad de los productos y servicios, como así también proteger los

recursos humanos entre otros. Esta matriz permite saber las áreas que comprometen
a la empresa, y proceder a analizar las causas o motivos, para luego aplicar las

correspondientes medidas de ajuste. 

También se efectuó la visita en sitio, observación, para validar la seguridad física y

los procedimientos de respaldos, en ambos casos a la sala de servidores. 

6. Desarrollo 

La auditoría se encargó de la revisión y evaluación de políticas, normas, prácticas y

procedimientos de control (incluye manuales) vinculados a las TIC. Para

ello, se analizaron los procesos de aplicaciones, contratos y aquellas que tengan

relación con transacciones contables, así como también a los procesos

relacionados con la seguridad de dichas transacciones.  

Las auditorías de TI son realizadas anualmente por la Unidad de Auditoría Interna y

los informes que realicen son revisados por el Jefe de Informática. 

Entre algunos de los procesos de TI objeto de análisis estuvieron los de ventas de

actuaciones en oficina, ventas por Internet (convenios con entidades públicas y

privadas), cédulas y pasaportes, así como también el registro de vehículos

motorizados. 

7. Resultados 

Con respecto al control de acceso físico, existe un protocolo, por lo cual, no se

considera en riesgo.  

Los riesgos identificados son principalmente sobre la información de las ventas de

actuaciones, ya sea en oficina o por internet, así como el registro de información

inconsistente. 

El contrato con Adexus S.A. aseguraba la continuidad de las operaciones de TI, sin

embargo, no llevaban un correcto procedimiento para proteger dichos bienes

obtenidos del contrato, recalcando que, al tener un origen de hace años, no se había

contemplado la evolución de las tecnologías, infraestructura, entre otros. Cabe

recalcar que la información es un bien de TI propiedad del servicio. Se detecto también

que en el contrato no existía el aseguramiento de que la información no salga de la

empresa, es decir, al reemplazar sus ordenadores, servidores, equipos informáticos

con información sensible, ésta sea vulnerable. Sin embargo, sí

existe dicho aseguramiento, pero no en el contrato, aquí interviene el área de

Seguridad de la Información el cual lleva mediante actas el control de ello. En el

próximo contrato, lo contemplarán. Sí cuenta con procedimientos en respuesta a

incidentes de hardware o software, el cual es atendido según el tipo de

requerimiento. Con respecto a la seguridad contra software malicioso, no es

contemplado en el contrato, pero se realizan dos fases para controlar dichas acciones,

se contemplará en el contrato posterior. 

En relación a los controles de TI de manera general, no existe la manera de

evitar la fuga de información por parte de los funcionarios, por lo que se optó por la

autenticación mediante un biométrico de impresión dactilar. Sin embargo, para realizar

trámites, se debe solicitar y verificar la cédula de identidad para proceder a atender su

requerimiento. Aun así, es posible la fuga de información por parte de los

funcionarios. Existe una aplicación web, la cual es utilizada por los policías y contiene

información de los ciudadanos en general, sin embargo, se lleva un control de ello

para así tener información detallado de las acciones efectuadas en el

sistema. Cuentan con un plan de recuperación de desastres, pero no se ha podido

realizar una prueba o simulacro, por lo que se contemplará en el siguiente contrato un

sitio para ello. Lo relacionado a las telecomunicaciones y redes, no existe una política

para ello, pero si cuentan con un manual en un sitio web. 

Con respecto a la seguridad física, cuentan con la mayor parte de las

medidas adoptadas, así como el piso falso, cableado correcto, UPS, software para

monitoreo de detección de incendios, acceso restringido mediante clave única. Por

otro lado, la recuperación de desastres fue contemplado, pero, debido al costo, no se

aprobó. 

La entidad auditada cuenta con un sistema MonitoWeb, el cual la parte numérica es

algo confusa, por lo que se modificó después. A su vez, el ingreso de datos es

validado, logrando así que no exista inconsistencia en sus registros, ya que usan un

identificar único. 

8. Observaciones 

No se especifican métodos para mantener y probar la confidencialidad e integridad

de los bienes de la organización. Tampoco se especifican los controles físicos y

lógicos en un contrato, pero, están en otro apartado, el cual, deben contemplarlo

dentro del contrato. 

La observación por parte de los auditores indicaba que se modificará el Sistema de

Atención Integral, de manera que permita efectuar un único egreso para cualquier

actuación de Vehículos Motorizados, asociados a un número de Atención, de

Actuación y Fecha de Ingreso. 

Por el problema que se encontró al generar números en los comprobantes de

recaudación de ingresos repetidos, se indica que la numeración es única, esto

quiere decir que no existirán dos o más cajas de certificados con la

misma numeración.  

No registra la eliminación de una solicitud que pertenezca a la estación de trabajo. 

No quedan registros locales de cada actuación, y eso no es posible cuando la

solicitud ha sido despachada al sistema central. 

9. Recomendaciones

La División de Auditoría Administrativa como parte auditora hacia el Servicio de

Registro Civil e Identificación (parte auditada) Recomienda:

 Registrar el detalle de los accesos al sitio central por personal del

Departamento de Informática.

 Que el Sistema MonitoWeb, advierta la presencia de vehículos robados para

las actuaciones 21 y 44.

 Que el sistema Monit032 genere los Números CRI utilizando programas

informáticos, y no dependa de la intervención del funcionario, con el fin de

evitar duplicidad de información.

 Que el registro de mantención de los sistemas, se realice de manera estándar

para todos los sistemas informáticos.

10. Conclusiones

 Los procedimientos y controles actualizados para mitigar la fuga de información

sensible de los ciudadanos, deberán estar a disposición de esta Contraloría

para ser validados en futuras visitas de Fiscalización.

 El Servicio deberá mantener a disposición de esta Contraloría la nueva versión

del Plan de Contingencia, para ser validado en visitas de seguimiento.

 Los controles de acceso físico e integridad de la información en la Matriz de

Riesgo del Servicio, deben ser materia de fiscalización mediante visitas de

seguimiento.

 Las medidas adoptadas para registrar formalmente los eventos asociados al

Control de Cambios, deben estar a disposición de esta Entidad de Control.

 Las medidas adoptadas para eliminar las inconsistencias de información entre

los sistemas Monit032 y la proporcionada por SONDA S.A. será materia de

verificación por parte de esta Entidad de Control.

 La modificación del Sistema de Identificación y Pasaportes, será validada en

visitas de seguimiento de este Organismo Contralor.

  Los controles manuales asociados a la cuadratura de folios de los documentos

físicos, utilizados en la emisión de actuaciones, será materia de revisión por

parte de esta Contraloría General.

 La modificación del Sistema de RVM, respecto a que ésta no permita egresos

múltiples, correspondientes a un mismo ingreso, será materia de revisión por

este Organismo Contralor.

 Se validará en visitas de seguimiento, que la información sobre vehículos

robados se encuentre en línea con Carabineros de Chile.

 El Servicio deberá poner a disposición de esta Contraloría General, la

documentación que argumente los mecanismos de pruebas realizados a los

dispositivos de respaldo.

 Se revisará en futuras Fiscalizaciones la implementación de sensores que

detecten líquidos o humedad de la sala de servidores.

 El Servicio deberá oficializar, ampliar su alcance y establecer los responsables

acerca del procedimiento, acerca del documento de Políticas de Administración

de Telecomunicaciones y Redes.

11. Periodo de cobertura

No cuenta con fechas específicas ni tampoco un cuadro de actividades para

constatar dichos horarios, sin embargo, fue remitido en el año 2008 y presuntamente

enviado el 28 de enero del 2009.

12. Firmas
Patricia Arriagada Villouta

JEFE DE LA DIVISION DE AUDITORIA ADMINISTRATIVA

Parte auditora

10 ideas principales

 Un punto interesante es la toma de decisiones al momento de ejecutar los

cambios que posee los resultados de la autoría, entonces, la idea es definir

muy bien los procesos de cambios correspondientes sobre los errores que se

analizaron.

 Tener en cuenta todas las peticiones de cambio que se proceden a dar al

momento de la auditoria.

 Al momento de realizar las respuestas no siempre se mantienen claros,

entonces se podría decir que, sería bueno mantener un nivel que indique que

es lo que hay que realizar, cambiar o eliminar ya sea falla o respuesta de la

auditoría.

 Al momento de realizar los procesos, se tendría que mantener una

especificación de tarea y así poder tratar de entender de forma clara, ya sea

para el auditor o en explicación de a donde se quiere llegar con los respectivos

sistemas.

 Podríamos decir que, al utilizar los sistemas, deberían utilizar mejor base de

datos más completas, ya que, no todos utilizan una sofisticada base de datos.

 Se debería mantener un nivel de la tecnología a tope de gama ya que nada

casi se realiza de forma manual en la actualidad.

 Tienen continuidad operacional el cual indica que una situación es conocida y

administrada en su riesgo, significando que no es posible negar una solicitud

de inscripción al usuario solicitante.

 Los documentos emitidos correspondientes a la declaración consensual de

vehículos robados, la cual no registran la región, terminal y hora, dificultan la

 posibilidad de identificar un documento específico dentro del reporte de cierre

de caja.

 La numeración de folios que se ingresa manualmente, puede causar

inconvenientes en un futuro y una recomendación es que todo se encuentre

sistematizado y así podrán ver mejores resultados

 Dentro de las técnicas que se utilizaron, podrían escoger otras como el COBIT,

ya que ayuda a satisfacer las múltiples necesidades de la administración

estableciendo un puente entre los riesgos del negocio, los controles necesarios

y los aspectos técnicos. Provee buenas prácticas a través de un dominio y el

marco referencial de los procesos y presenta actividades en una estructura

manejable y lógica.

Bibliografía
CONTRALORíA GENERAL DE LA REPUBLlCA. (2009). Informe Final Auditoría de
Sistemas Servicio de Registro Civil e Identificación. Santiago.

Evidencia