Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Entendimiento de Tecnología de
Información
Organización de TI
Durante nuestra visita a AAA Dominicana, S.A., nos entrevistamos con Ceudy Rueda, encargada del
departamento de TI, Sr. Junior Ortiz, Administrador de servidores e Infraestructura y la Sra. Sarah
Morel, Encargada de Contabilidad (responsable del SAP BUSINESS ONE) con el objetivo de obtener un
entendimiento del área de tecnología.
En la institución AAA Dominicana S.A existe un Departamento de Tecnología que está integrado por
los siguientes 8 empleados:
El data Center está habilitado con 15 servidores y hay 3 más en el centro de cómputo, 18 en total. En
la central cuentan con 6 Switch, con sus racks. También tienen UPS, en el data center, uno es primario
para 4 horas y el otro es de emergencia para que los servidores sigan funcionando. El data center
posee aire acondicionado central y uno secundario de emergencia, además de Iluminación
fluorescentes, tiene un extintor, pero no posee sistema para control de incendio. El acceso al data
center es a través de un sistema automático con tarjeta y clave, el cual en este momento está recién
instalado, por lo cual no tienen log de acceso o bitácora.
La red LAN tipo estrella (10/100 MB) que provee servicio a 232 usuarios.
El acceso a Internet lo provee la compañía CODETEL a una velocidad 3Mbps.
Las oficinas poseen conexión Virtual suministrada por CODETEL con el Ayuntamiento del Distrito
Nacional (ADN), Santiago y el proyecto ASDE.
Cuentan con 16 Servidores y 200 maquinas
En la central tienen 10 Swicht y 2 Reuters.
Aplicaciones
1. Sistema Financiero SAP BUSINESS ONE implementado por CEO DOMINICANA (Consultores
Empresario Organizacional) , para el manejo de la Contabilidad General, los cuales está compuesto
por los siguientes módulos:
2. Sistema Comercial Amerika, para el manejo de la documentación del área comercial, comprado
o adquirido a INASA, grupo empresarial. El sistema está compuesto de los siguientes módulos:
Aseo
Tributo
Agua
4. Software de solicitudes o Help Desk, maneja las solicitudes para el departamento de informática,
de compras, servicios generales y seguridad. Es desarrollado in house (AAA Dominica).
Interfases con las entidades bancarias (Sistema Comercial AMERIKA) colección de pagos a CAASD
Y otros, además del ADN.
Actualización de versión de SAP BUSINESS ONE
Y con respecto al sistema financiero SAP BUSINESS ONE, según nos informó la encargada de
contabilidad Sara Morel, para la vinculación y desvinculación de usuarios, se lleva a cabo con la
responsabilidad de la Sra. Morel y los Consultores de CEO sin embargo no existe un procedimiento
formal (A la fecha no hay caso de alta o baja de usuario a SAP, la rotación del personal de contabilidad
es cero en el periodo auditado y muy poco frecuente a cambio). Uno de los mecanismos para
asegurarse de que los perfiles son dados de baja en el tiempo apropiado, es mediante la validación que
hace TI, cuando RR.HH les envía un resumen mensual de los empleados salientes y con esto se ejecuta
la acción.
Identificación y autenticación
La empresa cuenta con políticas de contraseña formalmente documentadas.
En AAA Dominicana, los controles existentes para los cambios periódicos de contraseñas se definen
bajo el siguiente esquema:
Acceso físico
El cuarto de servidores o data center de AAA Dominicana, se encuentra ubicado en la primera planta,
contando este con un sistema electrónico de acceso, por clave y tarjeta al cual solo tienen acceso la
encargada, el administrador de redes y el desarrollador web; cualquier otra persona que requiera el
acceso es otorgado por la encargada al mismo. Se posee una aplicación donde se guardan un registro
del acceso. Los servidores y demás equipos de telecomunicaciones están bien distribuidos en sus
respectivos racks.
El data center está habilitado con aire acondicionado, extintor, detectores de incendios, control de
humedad, cámara de video y alarma contra incendios sin embargo no cuenta con: piso falso ni
extintores automáticos.
Cambios a Programas
Autorización, desarrollo, pruebas y aprobación
La empresa AAA Dominicana, cuenta con un formal control de cambios para todas las aplicaciones de
la empresa; esto a través de una instrucción de trabajo, que provee la solicitud para los cambios o
mejoras. Los cambios se solicitan y autorizan formalmente, dependiendo del departamento o gerente
que genere la solicitud para el empleado especifico, el gerente autoriza el cambio y luego los de
Tecnología de Información lo ejecutan guardando un respaldo de dicha solicitud.
Según la Srta. Sarah Morel, el sistema financiero se implementó para el año 2011-2012 y hasta la fecha
se han realizado cambios de versiones y mejoras del sistema, tomando en cuenta que todos los
cambios los realiza el personal distribuidor del sistema. Con relación al sistema comercial Amerika
cuando son cambios de bajo nivel los realizan directamente el personal de TI de AAA Dominicana, de
lo contrario lo canalizan con un personal en Colombia.
Para el acceso a cambios en el ambiente de producción, solo los que tienen la clave asignada para el
proyecto pueden accesar. Con respeto al acceso a los programas fuentes, la empresa no tiene un
control especial, ya que los lenguajes que manejan son abiertos (código web PHP).
Cambios de configuración
Para los cambios de configuración, se establece quien se encarga de probar, validar y aprobar dichos
cambios, a través del instructivo IT de desarrollo e implementación.
Cambios de emergencia
Para los cambios que requieran implementación inmediata, estos son aprobados a tiempo dándoles
prioridad, para minimizar los impactos a los sistemas y aplicaciones financieras; se realiza de manera
de solicitud especial o se remite al proveedor.
Desarrollo de programas
Metodología para el desarrollo / la adquisición
Para la adquisición o el desarrollo de un nuevo programa la empresa no tiene un enfoque definido ni
por escrito. Tienen unas pautas o requerimientos y de ahí hacen las cotizaciones; además de que se
negocia con 3 proveedores, es decir se tienen tres opciones para validar. El departamento de compras
se encarga de buscar los proveedores, la gerencia las cotizaciones y TI evalúa según las necesidades o
requerimientos para tomar la decisión a nivel de software. Cabe mencionar que la empresa
mayormente solo hace cambios a programas, pero pocas veces desarrolla programas nuevos desde
cero, solo partes puntuales de las aplicaciones de la empresa con excepción de la página Web, para
cual cuentan con dos (2) desarrolladores web.
Migración de datos.
En la parte de TI como solo desarrollan cosas puntuales de aplicaciones de la empresa, no realizan
migración, solo modifican las aplicaciones ya existentes.
Los backup de AAA Dominicana son corridos en horas 7:15 PM todos los días
Los backup de base de datos son corridos en horas 11:00 AM todos los días
Estos archivos son almacenados en discos magnéticos con una capacidad de 2 T Bytes y en cintas
magnéticas de una capacidad de 800/1600 GB, las cuales diariamente se trasladan a una bóveda en
banco de reservas en las oficinas de la Winston Churchill. Según el Srta. Ceudy Rueda, encargada de
informática, en este proceso se realizan pruebas de recuperación de datos para asegurarse que las
informaciones puedan ser obtenidas de manera satisfactoria.
Adobe Acrobat
Document
Para las aplicaciones de TI, existe el instructivo IT-38 para actuación ante fallas o servicios, esta define como
actuar ante alguna incidencia a nivel de base de datos o servidores. Además de que TI guarda un backup de los
formularios de incidentes del mismo instructivo IT-38 y mediante este los incidentes son clasificados por
hardware o software.
El personal de TI informa al usuario la solución del incidente a través de correo electrónico, esto dependiendo
del impacto se tomaran las medidas de lugar comunicándolo en última instancia a la gerencia general.
Conclusión General
Basado en las informaciones obtenidas y las evidencias observadas podemos concluir que el ambiente
de controles generales del área de Tecnología de Información de AAA Dominicana, al momento de
nuestra revisión, soportan un enfoque de confiabilidad de control interno a nivel de la auditoría
financiera para el periodo auditado 31 de diciembre 2014.
9