REPÚBLICA BOLIVARIANA DE VENEZUELA

UNIVERSIDAD RAFAEL BELLOSO CHACÍN

FACULTAD DE INGENIERÍA
ESCUELA DE INFORMÁTICA Y COMPUTACIÓN
CÁTEDRA: ADMINISTRACIÓN DE CENTROS DE INFORMÁTICA
SECCIÓN: N1113

INFORME TÉCNICO

AUDITORÍA DE UN CENTRO DE INFORMÁTICA, PARTE 2

PRESENTADO POR:

Br. BRITO, Juan

V.- 26.907.194

Maracaibo, JULIO de 2020

 INTRODUCCIÓN

Como ya habíamos hablado en la primera parte de este informe de auditoría,

este concepto está principalmente ligado al campo de la contabilidad y la

administración financiera. Una auditoría, representa el examen de los estados

financieros de una entidad, con el fin de emitir una opinión sobre la razonabilidad

de las cifras que de ellos emanen. En su caso, la auditoría en informática se

refiere a la revisión práctica que se realiza sobre los recursos informáticos con que

cuentan una entidad con el fin de emitir un informe o dictamen sobre la situación

en que se desarrollan y se utilizan esos recursos.

Siempre ha existido la preocupación por parte de estas entidades por optimizar

todos los recursos con que estas cuentan, sin embargo, en materia de tecnologías

de información, es decir, hardware, software, investigación tecnológica, redes

locales, bases de datos, ingeniería de software, telecomunicaciones, etc;

representan una herramienta estratégica que es sinónimo de rentabilidad y ventaja

frente a sus competidores comerciales. En este ámbito, un alto porcentaje de las

empresas tiene problemas en el manejo y control, tanto de los datos como de los

elementos que los almacenan, procesan y distribuyen.

En el presente trabajo, como continuación del anterior, se trabajará con las

siguientes fases de la auditoría en informática, con el propósito de verificar que los

recursos, es decir, información, energía, dinero, equipo, personal, software y

materiales, del centro de información de la empresa ¡Stylicious! - Sede Maracaibo, son

adecuadamente coordinados y vigilados por la gerencia o por quien ellos designen.

 DESARROLLO

1. FASE II: PLANIFICACIÓN DE LA AUDITORÍA (VISTA DETALLADA).

Según Terry (1998), la planificación “es el proceso de seleccionar

información y hacer suposiciones respecto al futuro para formular las

actividades necesarias para realizar los objetivos organizacionales”. Para esta

fase, se tomará en cuenta la estructuración de los objetivos de la auditoría, las

áreas que se procederán a evaluar, como estará conformado el equipo de

trabajo y el formato final del instrumento.

1.1. OBJETIVOS DE LA AUDITORÍA.

1.1.1. OBJETIVO GENERAL.

Revisar y evaluar los controles, sistemas, procedimientos de

informática; de los equipos de cómputo, su utilización, eficiencia y

seguridad, de la organización, que participan en el procesamiento de la

información, a fin de que por medio del señalamiento de cursos

alternativos se logre una utilización más eficiente y segura de los datos,

lo cual, a su vez, servirá para una adecuada toma de decisiones.

1.2.1. OBJETIVOS ESPECÍFICOS.

• Evaluar el diseño y prueba de los sistemas del centro de Informática.

• Determinar la velocidad de procesamiento de la información

dentro del Centro de Informática.

 • Evaluar los procedimientos de control de operación, analizar su

estandarización y evaluar el cumplimiento de estos.

• Evaluar el control que se tiene sobre el mantenimiento y las fallas de

los equipos del centro.

• Verificar las disposiciones y reglamentos que coadyuven al

mantenimiento del orden dentro del centro de informática.

1.2. ÁREAS POR EVALUAR.

• A nivel físico: medidas de seguridad, tanto física como laboral,

registros de acceso, conocimiento sobre medidas de seguridad.

• A nivel de ofimática: adquisición de equipos, respaldo de datos,

historial de cambios, manuales y instructivos, antivirus y cortafuegos.

• A nivel de dirección: planeación, estándares, presupuestos,

mantenimiento, adquisición de bienes y servicios.

• A nivel de explotación: competencias laborales, elaboración de nuevos

proyectos, accesos remotos, acceso a archivos confidenciales.

• A nivel de desarrollo: motivación del personal, planificación

sistemática, adquisición de material, registro de fallas.

• A nivel de mantenimiento: tiempos de respuesta y compostura,

planes de mantenimiento preventivo, mantenimiento de software,

documentación de usuario.
 • A nivel de bases de datos: ingreso y salida de datos, competencia del

personal, control de archivos, integridad de los componentes y de la

seguridad de los datos, almacenamiento.

• A nivel de calidad: especificaciones de uso de software, gestión

administrativa, revisión técnica.

• A nivel de sistemas de redes: tecnologías de red, inventario de

equipos y software, plan de infraestructura, materiales,

controles especiales.

• A nivel de aplicaciones: organización de proyectos,

planificación, presupuestos.

1.3. EQUIPO DE TRABAJO DE AUDITORÍA.

NOMBRE Y APELLIDO CARGO

Ing. Juan Brito Auditor Informático

Ing. Oscar Studeman Asistente de Auditoría Informática

Msc. Carolina Urdaneta Inspector Legal

Lic. Daniel Córdoba Asistente de Inspectoría Legal

Ing. Jimena López Inspector Financiero

Tsu. Orlando Cruz Asistente de Inspectoría Financiera

Ing. Patricio Chacín Analista Estadístico

Lic. Rosalinda Nava Analista Estadístico

 1.4. INSTRUMENTO FINAL PARA CONTROL DE AUDITORÍA.

Favor responder las siguientes preguntas de acuerdo con la escala expuesta a

continuación:

A: Totalmente de acuerdo.

B: De acuerdo.

C: Indiferente.

D: En desacuerdo.

E: Totalmente en desacuerdo.

PREGUNTAS A B C D E
1. Las medidas de seguridad adoptadas por el
departamento son eficaces para salvaguardar la
integridad de este y de la información.
2. La responsabilidad está dividida con el fin de
mantener un mejor control de la seguridad.
3. El trabajo fuera de horario es controlado
adecuadamente.
4. El registro de acceso de personas ajenas al
centro de cómputo es llevado adecuadamente.
5. El adiestramiento del personal sobre medidas
de seguridad y limpieza es efectivo.
6. El control sobre la adquisición de equipo
técnico es efectivo.
7. El proceso de respaldo de datos se realiza de
forma debida y sin contratiempos.
8. El historial de cambios e interrupciones se
mantiene actualizado correctamente.
9. La actualización de los manuales, instructivos,
normas y reglamentos se realiza adecuadamente.
10. El uso de antivirus y cortafuegos es eficaz
para combatir malware y proteger la información.
11. Los planes desarrollados por la dirección del
departamento apoyan el logro de la misión y
visión general de la organización.
12. Los estándares de funcionamiento y procedimiento
están adecuados y debidamente actualizados.
13. El presupuesto económico del departamento
está debidamente estructurado.
14. Los procesos de mantenimiento se llevan a
cabo de manera rigurosa, siguiendo todas las
indicaciones y estándares tanto del propio
departamento como de la ley.
15. La adquisición de bienes y servicios por parte del
departamento sigue un proceso estructural bien definido.
16. El personal encargado de la organización del trabajo
es competente, resultando este lo más eficaz posible.
17. Las solicitudes de nuevas aplicaciones son
debidamente autorizadas por el director del
departamento y asignadas al personal
correspondiente a su desarrollo.
18. Los procedimientos para el acceso a equipos
remotos cumplen con la normativa general de la
empresa y los estándares impuestos por ley.
19. El acceso a equipos remotos se realiza
cumpliendo con todos los protocolos de conexión.
20. La salida de archivos confidenciales lleva un
control estricto, donde la persona se hace
responsable del bienestar y uso adecuando de estos.
21. El personal del departamento está
debidamente capacitado y son motivados para la
realización de su trabajo.
22. La realización de nuevos proyectos se basa
en una planificación sistemática.
23. El proceso para la adquisición del material
necesario para los nuevos proyectos es
adecuado y está correctamente estructurado.
24. El registro de fallas de los sistemas es
actualizado rigurosamente siguiendo los
estándares del departamento.
25. El acceso a dicho registro es posible para todos
los miembros del área donde se produjo la falla.
26. Los tiempos de respuesta y compostura de
los mantenimientos realizados por el
departamento es adecuado y preciso.
27. Los planes de mantenimiento preventivo se
encuentran actualizados y cubren con todas las
áreas y objetivos de estos.
28. El seguimiento de estos planes y la
notificación de las fallas que se puedan presentar
se realiza adecuadamente.
29. El plan de mantenimiento de un software es
preparado durante el desarrollo de este.
30. La documentación de usuarios cumple con
los estándares especificados.
31. Los errores de ingreso de datos son
detectados y corregidos lo antes posible.
32. El personal encargado del manejo de las
bases de datos está capacitado para el correcto
manejo de estas.
33. El control de los archivos transmitidos por
cada uno de los sistemas es llevado a cabo de
manera exhaustiva y eficaz.
34. La integridad de los componentes y de la
seguridad de los datos es existente y de gran
importancia para el desarrollo de los proyectos y
actividades del departamento.
35. La capacidad de almacenamiento máximo de
las bases de datos es suficientes para atender
los procesos por lotes y los remotos.
36. Se cumplen con las especificaciones de la
documentación del usuario de software.
37. El funcionamiento de los softwares que se
utilizan en el departamento está de acuerdo con
los requerimientos específicos de este.
38. Los procesos de gestión administrativa se
cumplen satisfactoriamente dentro del departamento.
39. A los dispositivos del área de taller se les
realiza una revisión técnica correcta.
40. Los costos de las revisiones técnicas se
encuentran dentro del límite presupuestario fijado.
41. Las políticas definidas de planteamiento de
tecnología de red están actualizadas y en
conformidad con los estándares legales.
42. El inventario de los equipos y software asociados a
las redes de datos se realiza estricta y adecuadamente.
43. El plan de infraestructura de redes cubre
todas las áreas de la empresa y deja hueco para
nuevas conexiones en caso de así requerirlo.
44. La adquisición de material para el área de redes
va en conformidad con el plan de infraestructura.
45. El establecimiento de controles especiales
para salvaguardar la confidencialidad e
integridad del procesamiento de los datos que
pasan a través de redes públicas es adecuado y
cumple con lo establecido en la política de uso y
seguridad de los sistemas.
46. La organización de los proyectos se realiza de
manera ordenada y sin colapsar el área de trabajo.
47. La lista de proyectos está debidamente
catalogada en corto, mediano y largo plazo.
48. La planificación de cada proyecto toma en
cuenta las actividades, el tiempo de ejecución y los
recursos que se utilizarán en cada fase de estos.
49. Se tiene un análisis presupuestario, general y
detallado, de cada uno de los proyectos.
50. Dentro de estos presupuestos se tienen en cuenta
gastos extra por posibles contratiempos que se
pudiesen presentar y el material extra para solventarlos.

2. FASE III: DESARROLLO DE LA AUDITORÍA.

Durante esta fase, se les aplicará la entrevista y su respectivo cuestionario a 20

empleados del Centro de Información, a fin de realizar un análisis estadístico de la situación

actual de las actividades dentro del área. Después de ello, se realizará una evaluación

superficial de los procesos generales que se desarrollan dentro del CDI. Es importante

resaltar que durante estas tareas se tomarán notas sobre lo observado, las cuales se

tomarán en cuenta junto con el análisis de los resultados de las entrevistas, a fin de

determinar las posibles amenazas y dar paso a las conclusiones y recomendaciones.

3. FASE IV: DIAGNÓSTICO.

3.1. PRESENTACIÓN DE LOS RESULTADOS.

Para este análisis, se pasaron los resultados a una tabla y se

evaluaron las frecuencias de cada una de las respuestas, dando

como resultado general lo siguiente:

 De acuerdo con la estadística, solo el 24% de los empleados está

totalmente de acuerdo con el perfecto funcionamiento de las áreas

evaluadas del centro, seguido de un 21% que está de acuerdo, pero no

completamente. Un 16% se mostró indiferente, mientras que un 23%

está en desacuerdo parcial y un 16% está en total desacuerdo. En este

aspecto, las opiniones con respecto a ciertos temas del centro están

divididas, por lo que se procederá entonces a realizar un análisis por

área y se contrastarán con los resultados de las entrevistas.

3.1.1. NIVEL FÍSICO.

Frecuencia de Valores 1 2 3 4 5
5 Totalmente de acuerdo 5 5 3 6 5
4 De acuerdo 6 5 5 2 3
3 Indiferente 2 3 3 2 4
2 En desacuerdo 4 7 4 7 6
1 Totalmente en desacuerdo 3 0 5 3 2
 En esta área, los procesos de seguridad de llevan a cabo de

manera adecuada, pero algunos empleados consideran que la

responsabilidad de la seguridad está centrada únicamente en el

personal del centro, manifestado que los agentes del departamento de

seguridad deberían tomar mayor acción dentro del control de acceso

al personal ajeno al centro.

3.1.2. NIVEL DE OFIMÁTICA.

Frecuencia de Valores 6 7 8 9 10
5 Totalmente de acuerdo 3 4 6 6 3
4 De acuerdo 3 7 5 3 3
3 Indiferente 2 0 4 4 3
2 En desacuerdo 6 6 2 3 5
1 Totalmente en desacuerdo 6 3 3 4 6

Los empleados expresaron que presentan muchos

contratiempos al momento de realizar la adquisición de material

técnico, ya sea por falta de presupuesto, proveedores, recortes

de material, entre otras razones. El respaldo de datos se realiza

de forma correcta, pero algunos consideran que debería ser

revisado y actualizado. Por otro lado, el historial de cambios e

interrupciones presenta algunos errores de formato, mientras que

la actualización de manuales e instructivos es poco frecuente. Por

último, los antivirus y cortafuegos están presentando fallas para

evitar ciertos tipos de virus y algunos ataques.

3.1.3. NIVEL DE DIRECCIÓN.

Frecuencia de Valores 11 12 13 14 15
5 Totalmente de acuerdo 4 7 3 2 6
4 De acuerdo 6 6 3 7 5
3 Indiferente 3 3 2 1 2
2 En desacuerdo 5 3 6 5 5
1 Totalmente en desacuerdo 2 1 6 5 2

En cierto modo, algunos de los planes desarrollados por

la dirección del departamento, no se consideran com o

apoyo a la misión y visión del área. La mayoría de los

estándares son adecuados, aunque algunos pocos están

desactualizados. El presupuesto económico del centro

presenta ciertos fallos de organización, así como tam bién

los procesos de m antenimiento. En cuanto a los servicios,

algunas adquisiciones se han hecho sin consultar al

personal, lo cual ha generado cambios en la capacitación

de este y problem as para adaptarse a los nuevos entornos.

3.1.4. NIVEL DE EXPLOTACIÓN.

Frecuencia de Valores 16 17 18 19 20
5 Totalmente de acuerdo 4 4 7 7 1
4 De acuerdo 5 4 4 1 4
3 Indiferente 3 2 2 4 3
2 En desacuerdo 6 6 5 5 4
1 Totalmente en desacuerdo 2 4 2 3 8

Existen ciertas fallas en las competencias del personal del área, mientras

que las nuevas aplicaciones, a pesar de ser autorizadas por el director del
centro, no son correctamente asignadas debido al perfil profesional de ciertos

empleados. El acceso a equipos remotos se realiza satisfactoriamente, pero

presenta cierto retraso al momento de ser ejecutado y algunos estándares de

ley están desactualizados. Por último, los archivos confidenciales no están

correctamente organizados y ubicados en un área segura, actualmente,

ocupan un espacio en la oficina del jefe del centro, y el registro de salida de

estos es deficiente y no cubre con su seguridad.

3.1.5. NIVEL DE DESARROLLO.

Frecuencia de Valores 21 22 23 24 25
5 Totalmente de acuerdo 3 2 3 4 8
4 De acuerdo 8 4 7 4 4
3 Indiferente 2 5 1 4 2
2 En desacuerdo 5 7 6 5 3
1 Totalmente en desacuerdo 2 2 3 3 3

La capacitación del personal presenta ciertas fallas de

logística y organización, además de eso la motivación del

personal no resulta ser completamente efectiva. La

planificación de nuevos proyectos se ejecuta correctamente,

pero los formatos están desactualizados. Las fallas de los

sistemas llevan un registro manual poco actualizado, aunque

este es de fácil acceso y está siempre a disposición.

3.1.6. NIVEL DE MANTENIMIENTO.

Frecuencia de Valores 26 27 28 29 30
5 Totalmente de acuerdo 4 4 9 5 4
4 De acuerdo 5 3 3 1 3
3 Indiferente 4 7 3 6 4
2 En desacuerdo 2 3 3 4 4
1 Totalmente en desacuerdo 5 3 2 4 5

Generalmente, los tiempos de respuesta para los

mantenimientos son adecuados, aunque se han presentado

ciertos casos en los que no se activan a tiempo. Existen ciertas

fallas en los mantenimientos preventivos por falta de

estructuración documentada, aún así, se les realiza

seguimiento constante y las fallas son notificadas, aunque

algunas de ellas tardan en solucionarse.

3.1.7. NIVEL DE BASES DE DATOS.

Frecuencia de Valores 31 32 33 34 35
5 Totalmente de acuerdo 6 9 6 3 7
4 De acuerdo 6 2 5 8 1
3 Indiferente 6 1 3 3 4
2 En desacuerdo 2 4 5 5 7
1 Totalmente en desacuerdo 0 4 1 1 1

Los errores en ingreso de datos se realizan sin contratiempos.

El personal encargado de esta área es el mejor capacitado,

aunque algunos presentan ciertas fallas en los tiempos de

respuesta. Los controles de archivos y la integridad de los

componentes son eficaces, pero algunos de ellos están

desactualizados. Por otro lado, la capacidad de almacenamiento

de datos no se ha aumentado en los últimos dos años.

3.1.8. NIVEL DE CALIDAD:

Frecuencia de Valores 36 37 38 39 40
5 Totalmente de acuerdo 4 6 5 5 6
4 De acuerdo 3 3 4 3 5
3 Indiferente 3 2 4 2 2
2 En desacuerdo 5 4 4 4 5
1 Totalmente en desacuerdo 5 5 3 6 2

La documentación de los softwares se encuentra desactualizada.

Estos a su vez se encuentran operativos, pero presentan fallas de

logística, lo cual afecta los procesos de gestión administrativa del

área. La revisión técnica de los equipos del taller la realizan los

mismos empleados del centro, lo cual conlleva a que se presenten

fallos de análisis por falta de objetividad.

3.1.9. NIVEL DE SISTEMAS DE REDES:

Frecuencia de Valores 41 42 43 44 45
5 Totalmente de acuerdo 6 5 2 5 3
4 De acuerdo 5 2 5 6 4
3 Indiferente 2 5 3 2 4
2 En desacuerdo 4 6 4 4 6
1 Totalmente en desacuerdo 3 2 6 3 3

Las políticas de red son debidamente aplicadas, pero no se

encuentran catalogadas y algunas están desordenadas. Los

inventarios de equipos se llevan a mano, lo cual afecta el plan de

infraestructura ya que se retrasan los tiempos de revisión de estos.

Esta área es más priorizada a la hora de obtener equipo, pero

presentan ciertas fallas de organización. Los controles especiales son

efectivos, pero algunos tardan un poco en ejecutarse.

3.1.10. NIVEL DE APLICACIONES:

Frecuencia de Valores 46 47 48 49 50
5 Totalmente de acuerdo 5 3 6 7 5
4 De acuerdo 3 3 5 4 7
3 Indiferente 4 6 2 3 3
2 En desacuerdo 6 4 2 5 4
1 Totalmente en desacuerdo 2 4 5 1 1

La organización de los proyectos de aplicaciones presenta fallas de

organización y estructuración. La lista de estos es actualizada

manualmente, lo cual retrasa su planificación y, por consiguiente,

afecta en la elaboración de los presupuestos. Dentro de estos, se

tienen en cuenta ciertos gastos extra, pero algunas cosas fuera de

ellos pueden desequilibrar el desarrollo y su culminación dentro del

tiempo previamente establecido.