TRABAJO DE AUDITORÍA EN SISTEMAS

Informe de Auditoría de Sistemas

David Barragán

Andrés Cruz

Marco Rosero

Auditoria en Sistemas

Corporación Unificada Nacional

Febrero de 2022

1. Alcance
TRABAJO DE AUDITORÍA EN SISTEMAS

La auditoría que se llevará a cabo es en la parte de calidad cuando se están realizando

pruebas funcionales, al diligenciar información en el software se debe poblar una tabla, al
momento de realizar una consulta los datos que se indicaron anteriormente se deben
evidenciar en otra estancia diferente a la que se diligencio para poblar dicha tabla, por lo
tanto, al validar el gestor db2 no se refleja la traza de la consulta que se está ejecutando, esta
falencia es un bloqueante debido a que las pruebas no pueden avanzar, la certificación del
mismo debe estar óptima para el paso a producción.

2. Objetivos

Los objetivos de la auditoría son:

● Identificar porque las tablas de la información de los clientes no se alimentan en los

procesos de pruebas funcionales, que son ejecutados por QAS encargados, si es
problema del usuario final, infraestructura o se deba inclusive plantear un caso para
mirar a nivel de desarrollo de software.
● Plantear que posible solución pueda existir para que el proceso de llenado de tablas de
información de los clientes se haga de forma continua sin interrupciones (en las
pruebas funcionales).
● Observar que proceso realiza el botón en la interfaz de usuario que hace que la
información de los clientes vuelva a llenarse como es debido.
● Comprobar si las pruebas funcionales se realizan de forma eficaz para este proceso en
particular, llenado de tablas donde se almacena la información de los clientes.
● Recopilar toda la información sobre otras pruebas funcionales (tanto como caja negra
como caja blanca) que puedan abarcar dicho proceso en la compañía.

3. Recursos
- En cuanto a recursos para llevar a cabo la auditoria se necesita:
TRABAJO DE AUDITORÍA EN SISTEMAS

En cuanto a personal, requerido para la auditoría se necesitan, 3 personas que

indaguen y se encargan respectivamente de:
- Una persona se debe encargar de indagar en el área de desarrollo de software sobre el
incidente en particular presentado, puede que se deba a una última funcionalidad añadida
en el sistema.
- Otra persona de investigar a nivel de negocio, que información es la procedente de las
tablas del usuario, como en específico, nombres, apellidos, correos, teléfonos, o si es
información más específica como información sensible números de productos financieros,
reportes privados del cliente, etc.
- Otra persona de investigar a nivel de dba, infraestructura, la información que se pueda
recopilar a nivel de ultimas actualizaciones en la misma base de datos, de pronto
actualizaciones de campos en específico de tablas:
- índices, llaves foráneas, cambios de esquema en general.
- -Actualizaciones en crones que se hayan hecho por última vez desde que se presentó el
inconveniente, ejecutados de pronto por crones automáticos.
- Y consultar en general cualquier impedimento que pueda llegar a generar conflictos
directamente para que la información del cliente no sea llenada correctamente.

2. Horas de trabajo
En cuanto a las horas de trabajo que son necesarias para llevar a cabo el plan de
auditoría se necesitan:

No. de empleados Área Tiempo

23 Desarrollo 5h

12 Negocio 3h

5 Infraestructura 3h

Los tiempos que se tienen en cuenta se realizan por cantidad total de empleados, ya
que según el área se debe indagar según las funciones de los empleados de dicha área la
información que se necesita recolectar para buscar la posible causa del problema.
TRABAJO DE AUDITORÍA EN SISTEMAS

En cuanto a elementos físicos (computadores y herramientas ofimáticas), se llevará el

control de dicha auditoría en documentos compartidos, entre los encargados de realizar dicha
auditoría, el cual contiene las especificaciones de cada hallazgo encontrado por área, tipo de
hallazgo y posible error encontrado.

4. En cuanto a aplicaciones requeridas para realizar la auditoría:

- Seguimiento en plataforma JIRA, de prueba funcional, para ver los resultados que se
van dando en el transcurso de una semana, mientras se va recopilando más
información sobre el inconveniente presentado en las diferentes áreas comentadas
anteriormente.

5. Metodología

Planeación

Fecha: 18/02/2022

Duración: 2 Horas

Tipo de Auditoría: Informática

Recolección de Información

La recolección de información frente al proceso de Auditoría en Sistemas se va

realizar teniendo en cuenta lo siguiente:

1. Se va a realizar un cuestionario a cada una de las personas que manejan el

aplicativo JIRA con preguntas cerradas que van a estar redactadas de forma
coherente, y organizadas, secuenciadas y estructuradas con el fin de que sus
respuestas nos puedan ofrecer toda la información necesaria para identificar si
se está ejecutando de manera correcta o si existe alguna falencia la cual esté
afectando el correcto proceso del aplicativo.
TRABAJO DE AUDITORÍA EN SISTEMAS

El cuestionario tratado en el punto anterior será el siguiente:

Área de desarrollo:

● ¿Cuándo fue la última actualización que se realizó a nivel de

publicaciones de cambios en código en la plataforma, que haya tenido
algún impacto con la información de los clientes?
● ¿Se ha validado los datos que se están diligenciado en los diferentes
formularios del software donde se incluya información del cliente, a
nivel de su área o le corresponde dicha labor a otro encargado de otra
área?
● ¿Por qué los ajustes no se han realizado mediante los reportes que se
han indicado?
● ¿Los tiempos en los que este problema se está presentado y una
supuesta propuesta del área de desarrollo se encuentre en planeación,
se van a ver impactados para el paso a producción con los últimos
cambios del software en cuanto a funcionalidades que impacten con la
información de los clientes?
● ¿Existen pruebas unitarias que corroboren dicha funcionalidad en
específico de ese cargue de información del cliente que no se está
observando a nivel de desarrollo?

Área de infraestructura:

A. ¿Cuáles son los tiempos de cada actualización en el sistema a nivel de

bases de datos?
B. ¿Se realizaron cambios a nivel de esquema en tablas de información de
clientes anterior a un mes, de haber cambios, que procesos suplen esas
tablas que fueron modificadas?
C. ¿Ejecutan crones manualmente o automáticos para solventar el cargue
de información de alguna forma, a forma de tareas automáticas, de ser
así, lo hacen antes o después de despliegues de un futuro despliegue a
producción?
TRABAJO DE AUDITORÍA EN SISTEMAS

D. ¿Realizaron actualizaciones de versión a nivel de lenguajes de

programación, entornos de producción, pruebas o desarrollo
compartido?

Área de administradores de bases de datos:

● ¿De qué forma solventan la falta de información de los clientes en las

tablas que son impactadas, ejecutan querys manualmente o alguna
tarea automática?

● Han sido reportados por desarrolladores cambios de esquema en la

base de datos que contiene tablas de información de los clientes, de ser
así, qué tablas pueden llegar a ser modificadas.

2. Se va a realizar de un proceso en el que se inspeccionan los equipos

tecnológicos, con la finalidad de corroborar el estatus del computador y el
aplicativo y comprobar que tengan la capacidad suficiente para su correcto
funcionamiento
3. Se va a verificar si existe algún problema en la relación de todas las tablas de
la db2 con un analista de bases de datos
TRABAJO DE AUDITORÍA EN SISTEMAS

Encuesta

La siguiente encuesta busca recolectar datos de los diferentes empleados que

componen las áreas de Infraestructura, Desarrollo, y QA, la cual está orientada de acuerdo
con la auditoría que se lleva a cabo y que abarca el alcance a producción.

Nombre completo: ________________________________

Documento: _____________________________________

Área: ___________________________________________

Cargo del encuestado: _____________________________

Fecha: __________________________________________

1. Se han realizado cambios en las estrategias del software, por medio de

qué proceso

A. Cambiar los tiempos de entrega

B. Utilizar menos documentación y más procesos automatizados
C. Se implementaron tiempos más cortos de entrega
D. Recortar pasos que sean redundantes

2. Se ha implementado un nuevo sistema a raíz de la decisión que se tomó

A. Gestionar procesos que mitiguen la ejecución de pruebas

B. Aplicativo que gestiona el proyecto

C. Permite visualizar o proporcionar seguimiento a los procesos que se

ejecutan

3. Se ha implementado una nueva política o procedimiento

A. Cambio la estrategia acorde a solicitud del presidente
B. Se cuenta con un nuevo auditor o posible cambio de procesos
TRABAJO DE AUDITORÍA EN SISTEMAS

C. Ha considerado una nueva política porque la anterior no cumple con

los requerimientos

4. ¿La dirección general y ejecutiva ha considerado la importancia que tiene

el estudio del sistema de información?
SI ( ) / NO ( )

5. ¿El plan recoge todos los diferentes aspectos relacionados con la función
informática?
SI ( ) / NO ( )

6. ¿Qué información mínima contiene el inventario de los servidores de

datos?
SI ( ) / NO ( )

7. ¿Sabe si existe o participado en guardias el fin de semana a nivel de

operaciones, infraestructura, desarrollo u otra área, para verificar el
funcionamiento normal de las aplicaciones?
SI ( ) / NO ( )
8. ¿Sabe si existe en su empresa, ventanas de mantenimiento (franjas
horarias), en el cual se detienen las operaciones que se llevan a cabo en la
compañía, para realizar mantenimientos a nivel de los sistemas, seleccione
según su criterio?
A. En las horas de la madrugada, dos horas al día al menos, 1 día al
menos por semana.
B. En las horas de la tarde, al menos una hora al día, nos avisan y
suspendemos actividades mientras realizan dicho ejercicio.
C. No se realiza ninguna actividad de esas.
D. Se que lo hacen los fines de semana.
TRABAJO DE AUDITORÍA EN SISTEMAS

9. ¿Sabe usted si se maneja alguna metodología en su trabajo?, como las

siguientes
A. Scrum, en toda la empresa o al menos en ciertas áreas.
B. El área de desarrollo de software maneja XP
C. Kanban en toda la empresa o al menos en ciertas áreas.
D. No conozco si se maneja alguna metodología.
E. Otra, _________________________

10. Para pedir un cambio sobre una funcionalidad existente o no en una de

las aplicaciones que se manejan en la empresa, se hace por medio de:

A. Se crean tickets o casos de solicitud al área de soporte, ellos redirigen a

quien corresponda la solicitud, para así ser tramitada.
B. Le aviso directamente al jefe de bases de datos o uno de sus asistentes
si tiene algo de información para que ellos cambien los datos de prisa.
C. No hay conductos regulares de tipificación de casos de soporte, se le
informa a una persona jefe-encargada, y él lo gestiona con el equipo
según su agenda.
D. Nunca digo si encuentro algo que no funcione correctamente en la
empresa en cuanto a aplicaciones, no son mis funciones.

Las siguientes preguntas van dirigidas al área de Infraestructura, si usted ha trabajado,

o trabaja actualmente en la compañía en esta área, por favor conteste las siguientes preguntas:

11. ¿Cuál de los siguientes procesos conoce usted que es ejecutado para
alimentar o poblar información a tablas de una base de datos en su gestor
de base de datos?

A. Se pueblan las tablas con tareas cron que se ejecutan en cierta forma
periódica.
B. se realizan quieres directamente en la base de datos sin ningún registro
de quien hizo esa ejecución.
TRABAJO DE AUDITORÍA EN SISTEMAS

C. Las realiza solamente una persona encargada llamada DBA, el cual se

encarga de administrar de forma individual ese suceso mediante otros
scripts de base de datos.
D. No conozco de qué forma se realiza la tarea.

12. ¿Cuál de las siguientes formas se utilizan para respaldar la información

de la empresa, en caso de que ocurra un error como pérdida de datos?

A. Se usan backups diarios de toda la base de datos, lo cual puede hacer

que el sistema esté funcionando de forma lenta en las últimas horas del
día.
B. No se hacen backups de ningún tipo.
C. Si se pierde información de ciertos módulos del sistema, simplemente
se le consulta al encargado que ha puesto esa información para volver a
llenarla.
D. Se realiza uno que otro buckup a la semana, se cuenta con respaldo de
información.

Las siguientes preguntas van dirigidas al área de DBAS, infraestructura y/o

desarrollo; si usted ha trabajado, o trabaja actualmente en la compañía en esta área, por favor
conteste las siguientes preguntas:

13. ¿De cuál de las siguientes formas, conoce usted, que se lleva a cabo una
actualización de versión en la base de datos?

A. Las actualizaciones de base de datos se realizan por medio de los

paquetes oficiales del gestor de base de datos, descargando la librería
de forma manual, acoplando al gestor de base de datos, con la
información existente (de producción).
TRABAJO DE AUDITORÍA EN SISTEMAS

B. Se monta un nuevo ambiente de pruebas, mediante el cual se llenan

tablas una vez es actualizada la base de datos, con el fin de probar la
información con ayuda de usuarios de otras áreas.
C. No sé cómo se realiza ese proceso.
D. Nunca se actualiza la base de datos, a pesar de que los otros sistemas
que están conectados a las bases de datos si son actualizados.

14. ¿Cuál es su rol en el área de administración de bases de datos?, seleccione

uno o varios si considera que desempeña las funciones mencionadas:

A. Soy la persona que tiene permisos de super admin, por tanto, tengo
acceso total a toda la información de las bases de datos, crear, eliminar,
editar, actualizar.
B. Ejecutar las consultas o queries que se me indican solamente, soy un
asistente del área de bases de datos.
C. Solo tengo acceso a ciertas tablas de las bases de datos, también a
ciertas operaciones que me permite el usuario super admin.
D. Soy asistente del área de administración de bases de datos, me han
encargado tareas de actualizar información de tablas por medio de
carga de archivos csv, directamente a las tablas.
15. ¿Se ha realizado algún estudio de planificación del posible efecto de las
cargas de trabajo y los picos sobre los requerimientos tanto de equipos
como de software?
SI ( ) / NO ( )

16. ¿Existe un software capaz de reemplazar el aplicativo principal en caso de

fallos o actualización?
SI ( ) / NO ( )

17.  ¿Cuánto tiempo tarda normalmente en detectar fallos en las consultas

que se ejecutan?
TRABAJO DE AUDITORÍA EN SISTEMAS

SI ( ) / NO ( )

18.  ¿Existe un software capaz de detectar en línea anomalías en el aplicativo

principal y que lo notifique?
SI ( ) / NO ( )

Ejecución de la auditoría

A partir de la fecha 18/02/2022 se comienza la verificación sobre el proceso Auditoría en

Sistemas para validar lo encontrado en la recolección de información, aquí se va a dejar toda
la evidencia encontrada con su respectiva documentación, indicar aquí cómo se recolectó la
información, entrevista, observación propia, cuestionario o si hay otra forma.
TRABAJO DE AUDITORÍA EN SISTEMAS

Grafica Formulario Google

TRABAJO DE AUDITORÍA EN SISTEMAS
TRABAJO DE AUDITORÍA EN SISTEMAS
TRABAJO DE AUDITORÍA EN SISTEMAS
TRABAJO DE AUDITORÍA EN SISTEMAS
TRABAJO DE AUDITORÍA EN SISTEMAS
TRABAJO DE AUDITORÍA EN SISTEMAS
TRABAJO DE AUDITORÍA EN SISTEMAS
TRABAJO DE AUDITORÍA EN SISTEMAS

Conclusiones

No se encontró una política claramente documentada para el manejo de riesgos que

presentan nivel de criticidad medio o moderada en el sistema, tales como: al momento de
realizar una consulta las tablas no están quedando con los datos que se han digitado en el
software, plan para enfrentar contingencias en el sistema, plan para detectar y corregir
debilidades o huecos en las operaciones, y errores de digitación de datos por parte de los
usuarios, generación de pistas de administración y auditoria de datos, actividades de
supervisión para detectar el nivel de confianza en los controles automatizados, difusión y
adopción de las políticas de seguridad en el procesamiento de datos, revisión metodológica
del sistema para proponer mejoras al diseño inadecuado o cuestionable de algunos módulos,
corrección de las deficiencias u obsolescencias de los mecanismos de control interno del
sistema, determinación de especificaciones técnicas inapropiadas, detección de deficiencias
en el entrenamiento de los funcionarios que ejecutan los procesos, determinación de
estándares de control de calidad de la información de la base de datos, análisis de
cumplimiento de la validación de las reglas del negocio en el sistema, Cumplimiento
normativo y de las políticas internas en el proceso del área a cargo del sistema.