1

UNIVERSIDAD TECNOLÓGICA AMERICA

“UNITA”

AUDITORIA INFORMÁTICA

TEMA:

DESARROLLO DE UNA AUDITORIA INFORMÁTICA EN EL CENTRO DE

COMPUTO “COMPUILLESCAS”

AUDITOR:

DANY JOSUE DUEÑAS L.

TUTOR:

ING. JORGE MIRANDA

IBARRA-ECUADOR

2

CARTA DE PRESENTACIÓN ¡ERROR! MARCADOR NO DEFINIDO.

INTRODUCCIÓN 5

ANTECEDENTES 6

JUSTIFICACIÓN 7

OBJETIVO GENERAL 8

OBEJTIVOS ESPECÍFICOS 8

ALCANCES DE LA AUDITORIA 9

METODOLOGIA 10

AUDITOR 11

MISIÓN DEL AUDITOR 11

VISION DEL AUDITOR 11

METODOLOGIA 12

CAPITULO I 13

1. ESTUDIO PRELIMINAR 14

1.1. DIAGNOSTICO DE LA MICROEMPRESA 14

1.1.1. MISION Y VISION DEL CENTRO DE COMPUTO “COMPUILLESCAS” 14

1.1.2. OBJETIVOS ESPECIFICOS DEL CENTRO DE COMPUTO “COMPUILLECAS”15

1.1.3. LA MICROEMPRESA 16

1.1.3.1. VALORES 16

1.1.4. ESTRATEGIA DEL NEGOCIO 17

1.1.5. ANÁLISIS GENERAL 17

1.1.6. ORGANIGRAMA ESTRUCTURAL (SITUACIÓN ACTUAL) 18

1.1.7. ORGANIGRAMA ESTRUCTURAL (RECOMENDADO) 18

1.2. DIAGNOSTICO ADMINISTRATIVO 19

1.2.1. DETECCIÓN DEL PROBLEMA 20

1.2.2. PERSONAL QUE LABORA EN EL CENTRO DE COMPUTO “COMPUILLESCAS” 20

1.3. DIAGNOSTICO DE INFORMÁTICA 21

1.3.1. DIAGNOSTICOS DE SERVICIOS INFORMÁTICOS 21

1.3.1.1. DIAGNOSTICOS DE SOFTWARE 21

1.3.1.2. DETENCIÓN DE RIESGOS 23

1.3.1.3. DIAGNOSTICOS DE SOFTWARE 24

1.3.1.3.1. EQUIPOS 25

1.3.1.3.2. ESTANDARIZACIÓN DE LOS EQUIPOS 25

1.3.1.3.3. SEGURIDADES 26

1.3.1.3.4. UTILIZACIÓN Y MANTENIMIENTO 27

1.3.1.3.5. DIAGNOSTICO DE INVENTARIOS 28

1.3.1.3.6. DIAGNOSTICO DE RED 28

1.3.1.3.7. DISEÑO DE LA RED 28

1.3.1.3.8. DIAGNOSTICO DE SERVICIOS VARIOS 29

1.3.1.3.9. RECOMENDACIONES 29

CAPITULO II 30

2. ETAPA DE JUSTIFICACIÓN 31

2.1. DEFINICIÓN DE ÁREAS AUDITABLES 31

2.2. MATRIZ FODA 31

2.2.1. FORTALEZAS Y DEBILIDADES 32

3

2.2.2. OPORTUNIDADE Y AMENAZAS 33

2.3. MATRIZ DE RIESGO 34

2.4. PLAN GENERAL DEL CENTRO DE CÓMPUTO “COMPUILLESCAS” 36

2.5. APROBACIÓN DEL PLAN 39

CAPITULO III 40

3. ADECUACIÓN 41

3.1. VERIFICACIÓN DE DATOS 41

3.1.1. DATOS DEL PROYECTO 41

3.2. ESTUDIOS APLICATIVOS 41

3.2.1. ENTREVISTAS 41

CAPITULO IV 42

4. FORMALIZACIÓN 43

4.1. DOCUMENTO DE FORMALIZACIÓN DEL CENTRO DE COMPUTO “COMPUILLESCAS” 43

4.2. PLAN GENERAL DETALLADO 43

INDICE DE TABLAS

Tabla 1: ÁREAS POR AUDITAR ........................................................................................................ 9

Tabla 2: METODOLOGIA ............................................................................................................... 10

Tabla 3: AUDITOR ........................................................................................................................ 11

Tabla 4: ESTUDIO DE MERCADEO ................................................................................................. 17

Tabla 5: ESTRATEGIAS DE LA EMPRESA ........................................................................................ 17

Tabla 6: SOFTWARE INSTALADO ................................................................................................... 23

Tabla 7: ESTANDARIZACIÓN DE LOS EQUIPOS .............................................................................. 25

Tabla 8: MATRIZ FODA ................................................................................................................. 32

Tabla 9: MATRIZ DE RIESGO ......................................................................................................... 35

Tabla 10: PLAN GENERAL ............................................................................................................. 37

Tabla 11: PLAN DE ACTIVIDADES .................................................................................................. 38

Tabla 12: PLAN GENERAL DETALLADO .......................................................................................... 44

4

Ibarra, 25 de Junio de 2010

A petición formal presentada por el señor Dueñas Josue, en la cual se solicita realizar una auditoria

al Centro de Computo “COMPUILLESCAS” como trabajo para aprobar la asignatura de Auditoria

Informática, en la Universidad Tecnológica América, le comunico que el Gerente Propietario Sr.

Fausto Illescas resolvió autorizar dicha petición.

Atentamente,

Sr. Fausto Illescas

GERENTE PROPIETARIO DEL

CENTRO DE COMPUTO “COMPUILLESCAS”

5

INTRODUCCIÓN

En la actualidad los Sistemas Informáticos juegan un papel cada vez más importante en las

modernas organizaciones empresariales, hasta el punto de condicionar su éxito o fracaso

en un entorno económico y social tan dinámico y turbulento como el que caracteriza al

mundo actual. Nuevos aspectos como la globalización o el tránsito hacia una economía

más basada en el conocimiento han inducido importantes cambios en las organizaciones

empresariales. En este nuevo contexto, los Sistemas y las Tecnologías de la Información y

Comunicación se han convertido en un elemento esencial como motor del cambio y

fuente de ventajas competitivas.

Dentro de una organización los Sistema Informáticos actúan como un “sistema nervioso”,

ya que éste es el que encarga de manipular la información en los departamentos, áreas

funcionales, equipos de trabajo, etc. Para cumplir con sus objetivos y por la importancia

que los Sistemas Informáticos tienen, la empresa puede recurrir a la Auditoría Informática.

La Auditoria Informática es aquel instrumento de gestión que ha de incluir una evaluación

sistemática, documentada y objetiva de la eficacia del sistema de prevención para lo cual

deberá ser realizada de acuerdo con las normas técnicas establecidas para la auditoria de

los sistemas de información, teniendo en cuenta en la información obtenida de los

trabajadores. Para hacer una planeación de la auditoría en informática eficaz, lo primero

que se requiere es obtener información general sobre la organización y sobre la función

de informática a evaluar. Para ello es preciso hacer una investigación preliminar y algunas

entrevistas previas, con base en esto planear el programa de trabajo, el cual deberá incluir

tiempo, costo, personal necesario y documentos auxiliares a solicitar o formular durante

el desarrollo de la misma.

Esta labor tiene como objetivo controlar que todas las actividades relacionadas a los

sistemas de información automatizados se realicen cumpliendo las normas, estándares,

procedimientos y disposiciones legales establecidas interna y externamente.

6

ANTECEDENTES

El centro de Computo “COMPUILLESCAS” es una microempresa fundada por el Sr. Fausto

Illescas, quien es el propietario hasta la presente fecha.

Esta ubicada en la calle Fray Vacas Galindo y Jaime Rivadeneira en la ciudad de Ibarra.

Esta microempresa nació hace 6 años de la necesidad del barrio a un sitio que brindará la

conectividad a la Internet y su alquiler, pues este servicio daba sus comienzos a grandes

pasos con la aparición de los “Cyber”, la microempresa fue creada con el fin de colaborar a

la ciudadanía, brindando además Juegos en red que han tenido una gran acogida, copias a

color y blanco y negro y anillados.

Se desea llevar a cabo una preauditoria informática bajo la dirección del Tcnlg. Josue

Dueñas, estudiante del decimo nivel de la Facultad de Ciencias de la Computación y

Electrónica de la Universidad Tecnológica América, modalidad semipresencial en convenio

con el Instituto Superior José Chiriboga “ITCA”.

La auditoria tiene como propósito principal, poner en práctica los conocimientos

adquiridos en la materia de Auditoria Informática, efectuando procedimientos relativos al

área informática, destinados a recoger, agrupar y evaluar evidencias para determinar si un

Sistema de Información salvaguarda el activo empresarial, mantiene la integridad de los

datos, lleva a cabo eficazmente los fines de la organización y utiliza eficientemente los

recursos.

7

JUSTIFICACIÓN

La necesidad de realizar una auditoria en informática en el Centro de Computo

“COMPUILLESCAS” es tener una visión formal y sistemática para determinar hasta qué

punto la organización está cumpliendo los objetivos establecidos por el gerente, así como

identificar los que requieren mejorarse, sobretodo la estructura, los planes y objetivos,

métodos y controles, su forma de operación y sus equipos humanos y físicos en cuanto al

punto de vista informático.

El desarrollo de la presente auditoria pretende establecer el control de la función

informática, el análisis de la eficiencia de los Sistemas Informáticos, la verificación del

cumplimiento de la Normativa en este ámbito y la revisión de la eficaz gestión de los

recursos informáticos.

Otro de los propósitos de la auditoria es poner en práctica los conocimientos obtenidos

en la materia de Auditoria Informática, lo cual se llevara a cabo mediante procesos

relativos al área de informática, que requieren el uso de métodos y técnicas que ayuden

ha recopilar información para poder determinar los puntos claves que se pueden

presentar vulnerables dentro de la microempresa, para mejorar aspectos como:

- Eficiencia

- Eficacia

- Rentabilidad

- Seguridad

8

OBJETIVO GENERAL

� Desarrollar un Auditoria Informática en el Centro de Computo “COMPUILLESCAS”,

para dar un análisis general del ambiente de control de los recursos informáticos y

poder identificar riesgos y evaluar la efectividad de los controles.

OBEJTIVOS ESPECÍFICOS

� Controlar que todas las actividades se realizan cumpliendo los procedimientos y

normas fijados, evaluar su bondad y asegurarse del cumplimiento de las normas

legales.

� Definir, implantar y ejecutar mecanismos y controles para comprobar el grado de

cumplimiento de los servicios informáticos.

� Realizar en los diferentes sistemas y entornos informáticos el control de las

diferentes actividades que se realizan.

� Difundir y controlar el cumplimiento de las normas, estándares y procedimientos al

personal de operadores.

� Incrementar la satisfacción de los usuarios de los sistemas computarizados.

� Asegurar una mayor integridad, confidencialidad y confiabilidad de la información

mediante la recomendación de seguridades y controles.

� Evaluar cada una de las áreas para encontrara posible problemas y dar soluciones a

cada uno de ellos.

9

ALCANCES DE LA AUDITORIA

El alcance ha de definir con exactitud el entorno y los limites en que va a desarrollarse la Auditoria Informática.

ÁREAS PARA AUDITAR

AC

TIV

IDA

DES

HARDWARE Y SOFTWARE RED ESTRUCTURA ORGÁNICA

CONTRONL DE PROYECTOS

SEGURIDAD FÍSICA

� Evaluar la situación actual de hardware y software

� Evaluar el estado del hardware.

� Estandarización de equipos y programas en uso.

� Los sistemas en operación.

� Evaluar las seguridades físicas y lógicas de los sistemas

� Recomendaciones

� Utilización � Distribución � Seguridad � Mantenimiento � Recomendaciones

� Situación actual � Recomendaciones

� Organización � Seguimiento � Análisis

Costo/Beneficio � Recomendaciones

� Situación actual � Controles de

seguridad � Recomendaciones

Tabla 1: ÁREAS POR AUDITAR

10

METODOLOGIA Personal informático Hardware Software Red Control de proyectos Infraestructura

� Aplicación de Cuestionarios.

� Análisis y evaluación del trabajo dentro de sus funciones.

� Elaboración del Informa.

� Diseño de los sistemas en desarrollo/operación.

� Solicitud de los documentos de los sistemas en operación.

� Recopilación y análisis de los procedimientos de administración de cada sistema.

� Análisis de seguridades, redundancia, respaldos de los datos.

� Entrevistas a los usuarios.

� Cuestionarios � Análisis de la

información recopilada.

� Elaboración del Informe.

� Cuestionarios. � Análisis de las

seguridades. � Análisis de la

información recopilada.

� Elaborar el

informe.

� Observación del medio.

� Entrevistas. � Observación de las

seguridades físicas/lógicas.

� Elaborar el

Informe.

� Observación de la organización de la microempresa.

� Análisis del

organigrama estructural y funcional.

� Elaboración del

Informe.

� Análisis del medio. � Observación de los

controles de seguridad.

� Elaboración del

Informe.

Tabla 2: METODOLOGIA

11

AUDITOR

Nombre Dirección Teléfonos

Dany Josue Dueñas Lanchimba

Ibarra, Avenida Atahualpa y Teodoro Gómez de la Torre, Dep. 201 B

(06) 2955395 (08) 8599681

Tabla 3: AUDITOR

MISIÓN DEL AUDITOR

Planificar y desarrollar una Auditoria Informática al Centro de Computo

“COMPUILLESCAS”, utilizando la metodología y estudio por etapas, lo cual permitirá

encontrar las fortalezas y debilidades de la microempresa. Con este análisis se podrá

poner a consideración las recomendaciones para solucionar las falencias encontradas, y

que de esta manera la microempresa alcance su visión.

VISION DEL AUDITOR

La visión del auditor es que la empresa pueda desarrollarse y las debilidades que a través

de la auditoria se encuentren convertirlas en fortalezas, de igual manera los riesgos en

oportunidades y finalmente tener una mejor atención al cliente y satisfacer las

necesidades requeridas por los usuarios del centro de computo “COMPUILLESCAS”.

12

METODOLOGIA

Las metodologías son necesarias para desarrollar cualquier proyecto que nos

propongamos de manera ordenada y eficaz. En base a los conocimientos adquiridos se ha

decidió adoptar la metodología que propone el texto “Auditoria Informática” de Enríquez

Hernández Hernández.

En el proceso metodológico presentado en el texto se muestran las siguientes etapas:

13

CAPITULO I

� ETAPA PRELIMINAR

1.1 Diagnóstico de la microempresa 2.1 Diagnóstico de informática 3.1 Diagnóstico del personal informático

14

1. ESTUDIO PRELIMINAR

1.1. DIAGNOSTICO DE LA MICROEMPRESA

El centro de computo “COMPUILLESCAS” se encuentra ubicado en la calle Fray Vacas

Galindo y Avenida Jaime Rivadeneira, en la ciudad de Ibarra, el centro de Computo

“COMPUILLESCAS” es una microempresa fundada por el Sr. Fausto Illescas, quien es

el propietario hasta la presente fecha.

Este centro de cómputo ofrece servicios informáticos de diferente índole como son:

� El negocio cuenta con el alquiler de Internet para todos sus usuarios.

� Para el entretenimiento de los usuarios cuenta con juegos en red.

� Brinda asesorías en deberes y tareas.

� Ofrece el servicio de copias a color y blanco y negro.

� Realiza anillados.

� Diseño e impresión en cd´s.

1.1.1. MISION Y VISION DEL CENTRO DE COMPUTO

“COMPUILLESCAS”

MISION

Prestar servicios de alto nivel a nuestros clientes colaborando con la

preparación de nuevos entes profesionales en la sociedad, brindando

recursos informáticos y servicios varios (copias y anillados) para un correcto

desempeño académico e intelectual de nuestros usuarios.

15

VISIÓN

Nuestra visión es la de ser un centro computo a la vanguardia en

tecnología, con cobertura para toda la ciudad con nuestro propio local en

cinco años, brindando la mejor calidad en servicios de Internet y servicios

varios como copias y anillados proyectándonos hacia el desarrollo de

nuestro país.

1.1.2. OBJETIVOS ESPECIFICOS DEL CENTRO DE COMPUTO

“COMPUILLECAS”

� Satisfacer las necesidades de nuestros clientes en el campo de la

informática.

� Brindar asesorías en deberes y trabajos escolares y académicos de

toda índole.

� Brindar un servicio ágil y eficaz en el área de copias y anillados

16

1.1.3. LA MICROEMPRESA

NOMBRE O RAZÓN SOCIAL: El nombre que lleva la empresa: es

“COMPUILLESCAS”.

TITULARIDAD DE LA MICROEMPRESA: Es una microempresa de propiedad de

ÚNICO, no es una sociedad.

TIPO DE MICROEMPRESA: La microempresa esta dentro del sector privado

desarrollando la actividad de servicio de Internet y servicios de copiadora y

anillado.

PROPUESTA ESTRATÉGICA DE LA MICROEMPRESA

DEFINICIÓN DE LA MICROEMPRESA.- Ofrece productos de alta calidad y

servicios personalizados.

1.1.3.1. VALORES

� El respeto, la confianza, la consideración y reconocimiento a los usuarios y

clientes.

� Honestidad en el desarrollo de las actividades empresariales.

� Responsabilidad para cumplir con eficiencia todas las actividades que se

desarrollan en la empresa.

17

1.1.4. ESTRATEGIA DEL NEGOCIO

Jerarquización de Mezcla de Mercadeo

Estrategia Porcentaje

Servicio 30% Precio 30%

Producto 20%

Comunicación 20%

Total 100% Tabla 4: ESTUDIO DE MERCADEO

1.1.5. ANÁLISIS GENERAL

ESTRATEGIAS DE MERCADEO

ESTRATEGIA DESCRIPCIÓN

SERVICIO El cliente siempre será el beneficiado según sus necesidades ya que los servicios serán variados y personalizados con posibilidades de expansión de acuerdo a los requerimientos establecidos.

PRECIO El margen de calidad siempre tendrá un control oportuno sin necesidad de establecer precios altos, sino más bien muy competitivos y de buena utilidad, teniendo en cuenta el análisis costo/beneficio.

PRODUCTO Los productos siempre serán de buena calidad, y al margen de lo establecido por el cliente, ya que se cuenta con proveedores reconocidos y con un alto renombre en el mercado.

COMUNICACIÓN Se realizan los contactos directamente con los clientes para la presentación delos servicios y la microempresa.

Tabla 5: ESTRATEGIAS DE LA EMPRESA

18

1.1.6. ORGANIGRAMA ESTRUCTURAL (SITUACIÓN ACTUAL)

1.1.7. ORGANIGRAMA ESTRUCTURAL (RECOMENDADO)

Este es el organigrama estructural recomendado por el auditor ya que se ha visto

necesario reestructurar el organigrama de la microempresa.

19

1.2. DIAGNOSTICO ADMINISTRATIVO

Una de las partes más importantes en la planeación de la auditoria en informática es

el personal que va a participar, ya que se debe contar con el equipo seleccionado y

con ciertas características que puedan ayudar a llevar la auditoria de manera

correcta y en el tiempo estimado.

En esta instancia lo que se deberá considerar son exactamente las características

que debe cumplir cada uno del personal que habrá de participar en la auditoria.

Uno de los esquemas generalmente aceptados para tener un adecuado control es

que el personal que intervenga este debidamente capacitado, que tenga un alto

sentido de moralidad, al cual se le exija la optimización de recursos (eficiencia) y se

le retribuya o compense justamente por su trabajo.

Este es un punto muy importante ya que, de no tener el apoyo del gerente, ni contar

con un grupo multidisciplinario en el cual estén presentes una o varias personas de

la microempresa, será casi imposible obtener información en el momento y con las

características deseadas.

Una vez planificada la auditoria, se puede utilizar algunas técnicas de recopilación de

información para poder determinar la calidad en el que trabaja el personal de la

microempresa.

20

1.2.1. DETECCIÓN DEL PROBLEMA

� El espacio de trabajo en muy reducido.

� El negocio no cuenta con un manual de políticas y procedimientos

internas informáticas.

� Reubicación de la estructura informática en la estructura organizacional.

� El negocio no cuenta con un plan de contingencia.

Luego de haber efectuado las observaciones pertinentes dentro del negocio

se puede concluir que:

� El gerente propietario es el responsable del área de informática, servicios

de alquiler de internet y juegos en red, mantenimiento de PC´s, y red y

contabilidad del negocio, en este caso realiza las distintas actividades.

� Es la Sra. Susana Morocho, esposa del gerente/propietario quien es la

responsable del área de servicios varios, como las copias y anillados.

� Falta de personal en informática.

� Falta de personal en servicios varios.

1.2.2. PERSONAL QUE LABORA EN EL CENTRO DE COMPUTO

“COMPUILLESCAS”

� Sr. Fausto Illescas Gerente/Propietario

� Sra. Susana Morocho Subgerente

21

1.3. DIAGNOSTICO DE INFORMÁTICA

La estructura interna del negocio esta formado por una red que tiene 6

computadoras, 1 servidor y 5 Clientes, su principal objetivo es brindar servicio de

Internet a los usuarios manteniendo estrategias de ventas y planes para su mejor

acogida.

1.3.1. DIAGNOSTICOS DE SERVICIOS INFORMÁTICOS

1.3.1.1. DIAGNOSTICOS DE SOFTWARE

En esta etapa que corresponde al análisis del software se deberán

auditar los programas, su diseño, el lenguaje utilizado, interconexión

entre los programas. Al evaluar un sistema de información se tendrá

presente que todo sistema debe proporcionar información para planear,

organizar y controlar de manera eficaz y oportuna, para reducir la

duplicidad de datos y de reportes y además obtener una mayor

seguridad en la forma más económica posible.

En el centro de computo “COMPUILLESCAS” se va a diagnosticar cada

una de las áreas que a continuación se describen con respecto a los

servicios informáticos:

� Sistemas

� Programas

22

SISTEMA.- El centro de computo “COMPUILLESCAS”, cuenta son un Sistema

informático para el control de usuarios, sin embargo no cuenta con un sistema

para el control de inventario y facturación.

PROGRAMACIÓN.- En lo que se refiere a programas tiene instalado Windows XP

Profesional en el Servidor y asimismo en 5 maquinas, lo que resulta una ventaja

pues estos sistemas operativos sustentan las tareas que se realizan diariamente en

el centro.

El software que se encuentra instalado en cada una de las maquinas de centro de

cómputo “COMPUILLESCAS” son:

Sistemas Operativos

� Windows XP (Servidor)

� Windows XP (Clientes)

Utilitarios

� Procesadores de Palabras � Microsoft Word 2007

� Hojas de Calculo � Microsoft Excel 2007

� Presentadores Gráficos � Power Point 2007

Diseño Gráfico y Autoedición

� Publisher � Paint

� Corel � Front Page

Software de Aplicación

� Nero-Burning � Acrobat Reader 8.0

� Winap � Paquete de Global Link

Navegadores

� Internet Explorer � Mozilla

Multimedia

� Flash � Movie Maker

23

� Media Player � Winap

� Real Player

Programas de Comunicación

� Outlook Express � Windows Messenger

Empaquetamiento

� Winzip

Juegos

� Age of Empires � Age of Mitology

� Moto Racer

Tabla 6: SOFTWARE INSTALADO

1.3.1.2. DETENCIÓN DE RIESGOS

Después de tomar en cuenta las observaciones que se han detallado se

han encontrado los siguientes problemas:

� Software pirata.- Susceptibilidad de virus computacionales.

� Falta de metodologías con respecto al desarrollo del negocio.

� Desconocimiento de los requerimientos del negocio.

� No existen políticas de evaluación de software.

� No existe un inventario de software que maneja este negocio.

24

1.3.1.3. DIAGNOSTICOS DE SOFTWARE

Hardware, equipo utilizado para el funcionamiento de una

computadora. El hardware se refiere a los componentes materiales de

un sistema informático. La función de estos componentes suele dividirse

en tres categorías principales:

Entradas, Salidas y almacenamiento. Los componentes de esas

categorías están conectados a través de un conjunto de cables o

circuitos llamados bus con la unidad central de proceso (CPU) del

ordenador, el microprocesador que controla la computadora y le

proporciona capacidad de cálculo.

Estos programas suelen almacenarse y transferirse a la CPU a través del

hardware de la computadora. El software también rige la forma en que

se utiliza el hardware, como por ejemplo la forma de recuperar

información de un dispositivo de almacenamiento. La interacción entre

el hardware de entrada y de salida es controlada por un software

llamado BIOS (Siglas en inglés de sistema básico de entrada/salida).

El centro de cómputo esta compuesto por 6 computadoras, 1 Servidor y

5 clientes que a continuación se detallan cada uno de los equipos para

determinar el estado en que se encuentran.

25

ESTANDARIZACIÓN DE EQUIPOS

Core (TM2 CPU) 6.240@ 2,13

Ghz.

Intel Celeron 2,40 Ghz.

1.3.1.3.1. EQUIPOS

En el siguiente cuadro se detalla una breve descripción de cada uno

de los equipos informáticos:

Centro de Computo “COMPUILLESCAS”

Nro. MAQUINA DEPARTAMENTO SEGURIDAD ESTADO

1 Core (TM2 CPU) 6.240@ 2,13

Ghz.

SERVIDOR No tienen clave de acceso Aceptable

2 Intel Celeron 2,40 Ghz. CLIENTE No tienen clave de acceso Aceptable

3 Intel Celeron 2,40 Ghz. CLIENTE No tienen clave de acceso Aceptable

4 Intel Celeron 2,40 Ghz. CLIENTE No tienen clave de acceso Aceptable

5 Intel Celeron 2,40 Ghz. CLIENTE No tienen clave de acceso Aceptable

6 Intel Celeron 2,40 Ghz. CLIENTE No tienen clave de acceso Aceptable

Tabla 7: ESTANDARIZACIÓN DE LOS EQUIPOS

1.3.1.3.2. ESTANDARIZACIÓN DE LOS EQUIPOS

El siguiente cuadro muestra un breve resumen de los equipos con

los que cuenta el centro de cómputo “COMPUILLESCAS”.

26

En la actualidad en el mercado informático encontramos máquinas

con mayor capacidad de almacenamiento, velocidad en el

procesamiento de la información, que tienden a mejorar con el

transcurso del tiempo y el avance de la tecnología.

Es así que llegamos a la conclusión de:

Como análisis al cuadro anterior se puede decir que generalmente

los equipos de la empresa se encuentran en un nivel intermedio

ante las tecnologías actuales, con excepción del Servidor que cuenta

con una buena capacidad en procesamiento y memoria.

1.3.1.3.3. SEGURIDADES

En cuanto a las seguridades los aspectos más sobresalientes se

detallan a continuación:

� Los cables de energía se encuentran a vista de todos y no están

bien distribuidos por lo que son vulnerables a daños físicos por

estropeo, pisadas, etc.

� Los interruptores de energía se encuentran sin ningún tipo de

protección por lo que en cualquier momento personas

inescrupulosas pueden desconectar las máquinas provocando

daños y truncando el trabajo de los demás.

� No existe un generador eléctrico para dar servicio de emergencia

para más de 10 horas.

� No existe un Plan de Contingencia.

� No existen los suficientes cortapicos para las computadoras, ya

que dos comparten uno, en dos ocasiones, lo cual es un riesgo

que si ocurre algún inconveniente con alguno de ellos se verían

afectados también las otras computadoras que dependen del

cortapicos afectad

27

1.3.1.3.4. UTILIZACIÓN Y MANTENIMIENTO

Mantenimiento Preventivo

El mantenimiento Preventivo del computador puede tener uno o

varios procesos.

Estos se realizan apara solucionar y prevenir fallas operativas de

software o hardware; cambio o instalación de nuevos componentes

de hardware; configuraciones de Correo Electrónico; Internet y

conexiones a la red.

Mantenimiento Correcto

El servicio Correctivo del computador se realiza para solucionar

fallas operativas de hardware; cambio o instalación de nuevos

componentes de hardware y cuando la presencia de un Virus afecta

al desempeño del computador.

En la microempresa se realiza mantenimiento a los equipos, cada

vez que estas sufren algún daño o presentan alguna.

Los programas antivirus, se actualizan automáticamente, porque

tienen conexión directa a Internet.

Los juegos forman parte importante de este negocio y siempre están

al día con nuevas alternativas y actualizaciones en óptimas

condiciones para prestar una buena atención a los clientes.

28

1.3.1.3.5. DIAGNOSTICO DE INVENTARIOS

No existe un inventario formal de hardware y software.

1.3.1.3.6. DIAGNOSTICO DE RED

La red distribuida en una tipología de tipo estrella

� El cableado de la red llega a los ordenadores sin ningún tipo de

protección.

� La información en la red se puede manipular ampliamente.

� La red es utilizada para la diversión de los usuarios con los juegos

en red que brinda este local.

1.3.1.3.7. DISEÑO DE LA RED

A continuación se presenta el diseño actual de la red.

29

1.3.1.3.8. DIAGNOSTICO DE SERVICIOS VARIOS

� Ofrece diversas alternativas sobre servicios de fotocopias, las

cuales pueden ser a color y blanco y negro, además de contar

con el servicio de anillado para los clientes que lo requieren.

� Una dificultad encontrada en este negocio es que en varias

ocasiones suceden ciertos inconvenientes por la falta de

personal, para atender a los clientes que requieren copias y al

mismo tiempo el alquiler de un computador.

1.3.1.3.9. RECOMENDACIONES

� La estructura de este negocio debe ser más amplia, ya que en

este momento solo cuenta con una oficina, que realiza todos los

servicios, debería estar definida por departamentos y áreas para

el mejor desempeño.

� Se puede notar en el área de informática falta implementar un

sistema informático de facturación e inventarios ya que esto

permitiría el mejor rendimiento en cuanto tiempo y control se

puede referir.

� Una de las restricciones mas relevante que se ha podido

constatar en este negocio es que no existe el personal suficiente

para laborar, ya que el responsable de informática en este caso

el Gerente/propietario no debe ser su propio juez, para poder

encontrar las fallas que tiene dicho negocio.

� Además se puede recomendar la contratación de un analista de

Sistemas que pueda cumplir con la tarea de mantenimiento

tanto en software como en hardware.

� Elaborar un cronograma de funciones y de responsabilidades

para los empleados, con la finalidad de que exista un equilibrio

entre las funciones que cada uno de ellos tiene que cumplir.

30

CAPITULO II

� ETAPA DE JUSTIFICACIÓN

2.1 Definición de áreas auditables 2.2 Matriz FODA 2.3 Matriz de Riesgos 2.4 Plan general de Informática 2.5 Aprobación del plan

31

2. ETAPA DE JUSTIFICACIÓN

2.1. DEFINICIÓN DE ÁREAS AUDITABLES

En la etapa de justificación se ha de establecer la Matriz de Riesgos del centro

de cómputo “COMPUILLESCAS”, por lo cual se han definido y establecido las

áreas que se van auditar durante su desarrollo:

� Cumplimiento de la Ley y Ordenanzas

� Redes y Comunicaciones

� Software

� Hardware

� Seguridades

� Servicios varios(Copias y anillados)

Para hacer de esto posible se realizará a continuación la Matriz FODA, en el

que se han obtenido importantes resultados para reconocer los riesgos que se

presentan en las áreas antes mencionadas.

2.2. MATRIZ FODA

El análisis a través de la matriz FODA consiste principalmente en evaluar las

Fortalezas y Debilidades que están relacionados con el ambiente interno como

por ejemplo los recursos humanos, técnicos, financieros, tecnológicos, etc., y

las Oportunidades y Amenazas que se refieren al entorno externo como los

proveedores, competidores, canales de distribución, consumidores de la

microempresa.

32

MATRIZ FODA

FORTALEZAS OPORTUNIDADES

� Reinversión � Innovación tecnológica

� Internet con banda ancha � Actualización de hardware y

Software

� Mercado en crecimiento

� Mantenimiento permanente

DEBILIDADES AMENAZAS

� Mala adecuación de la oficina � Robo

� Falta de planta eléctrica � Competencia

� Cables de energía sin protección

� Espacio de oficina reducido

Tabla 8: MATRIZ FODA

2.2.1. FORTALEZAS Y DEBILIDADES

En esta etapa del análisis se desarrollará la primera parte del FODA, acrónimo

de las palabras fortalezas, oportunidades, que son factores que afectan a la

empresa de forma interna.

Este tipo de análisis permite examinar la situación actual de la interacción

entre las características particulares de la empresa del caso y el mercado en

el cual compite.

El factor interno se debe enfocar solamente hacia aquellos factores claves

para mantener una ventaja diferencial sostenible. Las fortalezas yd

debilidades surgirán durante el análisis de la situación.

33

2.2.2. OPORTUNIDADE Y AMENAZAS

Los problemas críticos son también una perta importante cuando se hace

este tipo de análisis, que luego de haberlo fundamentado se pueden localizar

claramente las oportunidades y amenazas que confronta la empresa del caso.

Las oportunidades y las amenazas se encuentran formando parte externa el

análisis FODA. El ambiente externo de la empresa esta conformado por

variables socioculturales, económicas, políticas, legislativas, tecnológicas y

competitivas que no están bajo nuestro control. Estas amenazas las debemos

clasificar de acuerdo con su gravedad y posibilidad de ocurrencia. En este

caso lo mejor es tener un plan de contingencia que pueda ayudar cuando el lo

requiera por ejemplo cuando existe un incremento de impuestos,

implantación de seguros entre otros.

Las oportunidades que se pueden encontrar en el negocio no son la pauta

para que lo próximo sea actuar en estas situaciones. Lo primero será una

evaluación del atractivo de esas oportunidades, la probabilidad de éxito y

mirar si las fortaleza y recursos de la microempresa se las pueden aprovechar

para convertirla en una ventaja competitiva, de no serlo así, no existe el valor

estratégico apara estas circunstancias.

34

2.3. MATRIZ DE RIESGO

Entre los procedimiento establecidos, se incluye la elaboración de la Matriz

de riesgos, la cual es muy importante para crear una conciencia en los

usuarios de la microempresa sobre el riesgo que corre la información y

hacerles comprender que la seguridad es parte de su trabajo. Para esto se

deben conocer los principales riesgos que acechan a la función informática y

los medios de prevención que se deben tener.

Además, la Matriz de Riesgos permite evaluar los controles que deben estar

presentes tanto en las aplicaciones como en su entorno, y una vez realizado

esto se pueden determinar los riesgos las causas de riesgo para aplicar

procedimiento de simulación y comprobación, para así comprobar la

efectividad de los planes de contingencia.

El diseño de la Matriz de Riesgo permite obtener señales y advertencias

concluyentes sobre los controles existentes y su efectividad real respecto a la

esperada. También permitirá planear, organizar coordinar dirigir y controlar

las actividades relacionadas a mantener y garantizar la integridad física de los

recursos implicados en la función informática, así como el resguardo de los

activos de la empresa, así como a definir los siguientes puntos:

� Definir políticas de seguridad

� Contemplar la seguridad física contra catástrofes (incendios, terremotos,

inundaciones, etc.)

� Definir prácticas de seguridad para el personal.

� Plan de emergencia (plan de evacuación, uso de recursos de emergencia

como extinguidores).

� Números telefónicos de emergencia

� Flujo de energía

� Cableados locales y externos

� Política de destrucción de basura copias, fotocopias, etc.

35

MATRIZ DE RIESGO

Gerencia: Sr. Fausto Illescas Fecha de elaboración: 28/05/2010

Áreas Susceptibles de Auditoria

Aspectos o componentes por evaluar en el área

Riesgo por componente

Clasificación del riesgo por área(total)

Áreas por Auditar según su clasificación

Mantenimiento

1.- Software 65% Instalación, administración, desarrollo 2.- Hardware 35% 35%

TOTAL 100%

Red Local

1.- Administración 65% Instalación, administración, operatividad

2.- Instalación 35% 45%

TOTAL 100%

Seguridad

1.- Hardware 655% Área Técnica 2.- Software 35% 20%

TOTAL 100%

Servicios Varios

1.-Servicio en copias 65% Administración, operatividad

2.- Servicios en anillados 35% 20%

TOTAL 100%

TOTAL 100% 100% Tabla 9: MATRIZ DE RIESGO

36

2.4. PLAN GENERAL DEL CENTRO DE CÓMPUTO “COMPUILLESCAS”

La formulación del plan general de informática, consiste básicamente en

plantear las tareas más importantes que se ejecutan durante el período de la

realización de la auditoria informática.

Los principales aspectos del plan son:

� Diagnostico preliminar

� Metodología

� Áreas de oportunidad Matriz e riesgos

El plan elaborado en el centro de cómputo “COMPUILLESCAS” esta

desarrollado de acuerdo al organigrama estructural recomendado, ya que en

este negocio no existen definidos los departamentos y las áreas que se

evalúan con las que se sugiere de acuerdo a la auditoria realizada por el

auditor.

37

PLAN GENERAL

Gerencia: Sr. Fausto Illescas Fecha de elaboración: 28/05/2010

Áreas por auditar según clasificación y

prioridad

Aspectos o componentes del área por auditar

Actividades Responsable Clasificación del riesgo por área

(total)

Fecha de inicio

Mantenimiento

1.- Software Conocer el estado de funcionamiento de los equipos y sus componentes

Josue Dueñas

35%

12/06/2010

2.- Hardware Conocer la existencia de programas

Red Local

1.- Administración Estado de la red local Josue Dueñas

45%

18/06/2010 2.- Instalación Interconexiones

Seguridad

1.- Hardware Áreas que tienen seguridad Josue Dueñas

20%

22/06/2010 2.- Software Tipo de seguridad

Servicios Varios

1.-Servicio en copias Determinar la calidad de los servicios

Josue Dueñas

20%

28/06/2010

2.- Servicios en anillados Eficiencia y optimo servicio Tabla 10: PLAN GENERAL

38

PLAN DE ACTIVIDADES

PLAN DE ACTIVIDADES

OBJETIVO RESPONSABLE FECHA

Conocimiento general de la

microempresa.

Tener una visión inicial para el análisis de la auditoria en el

negocio.

Auditor 01/05/2010

Revisión del ambiente de

hardware

Conocer el estado de las maquinas y accesorios

Auditor 26/05/2010

Revisión del ambiente de

software

Reconocer programas existentes y su estado de

funcionamiento

Auditor 26/05/2010

Revisión de red y seguridad

Revisar la red y seguridades del negocio

Auditor 26/05/2010

Análisis Matriz FODA

Realizar un diagnostico previo al desarrollo de lo

procedimientos de la auditoria informática

Auditor 27/052010

Definición del alcance de la

auditoria

Especificar la cobertura de estudio de auditoria para la

aplicación de los procedimientos

Auditor 27/05/2010

Realizar entrevistas Conocer la opinión del gerente/propietario

Auditor 27/05/2010

Analizar cuestionarios

Conocer la opinión delos clientes

Auditor 27/05/2010

Análisis de la información

Determinar, comparar, detallar y documentar los

aspectos más importante que se definen en el área

Auditor 28/06/2010

Identificación de riesgos

Obtener una idea precisa de la estructura y funcionamiento

del área de informática

Auditor 28/05/2010

Obtención de conclusiones

Elaborar una lista de los primeros resultados sobre el

estudio de la información recopilada

Auditor 28/05/2010

Elaboración de informes

Documentar el informe para la entrega

Auditor 28/05/2010

Presentación del informe Final

Entregar el informe. Auditor 29/05/2010

Tabla 11: PLAN DE ACTIVIDADES

39

2.5. APROBACIÓN DEL PLAN

Esta es la ultima tarea dentro de la etapa de Justificación y su objetivo

principal es obtener la aprobación inicial de parte del Gerente/propietario.

Los aspectos fundamentales para lograr el compromiso ejecutivo son:

� Resumen diagnostico preliminar.

� Áreas a auditar.

� Matriz de riesgos.

� Prioridades.

40

CAPITULO III

� ETAPA DE ADECUACIÓN

3.1 Verificación de datos 3.2 Estudios Aplicados

41

3. ADECUACIÓN

3.1. VERIFICACIÓN DE DATOS

Dada la aprobación por parte del Gerente/Propietario, que en la etapa de

justificación se presenta en la matriz de riesgos con sus prioridades, ahora

se da paso a las entrevistas y cuestionarios que han de formularse para la

recolección de datos.

3.1.1. DATOS DEL PROYECTO

Después de realizar un diagnostico preliminar en el de computo

“COMPUILLESCAS”, se determinan las fortalezas, debilidades,

oportunidades, y amenazas de acuerdo a la Matriz FODA que esta

constituido en la etapa de Justificación.

3.2. ESTUDIOS APLICATIVOS

Los estudios que se dispondrán en el centro de cómputo

“COMPUILLESCAS” para la evaluación de las áreas por auditar son:

� Realizar entrevistas

� Aplicar Cuestionarios

3.2.1. ENTREVISTAS

La entrevista que se realizará ha sido dirigida al Gerente/propietario del

negocio, para analizar la información y determinar la situación actual del

negocio

42

CAPITULO IV

� ETAPA DE FORMALIZACIÓN

4.1 Documento de formalidad 4.2 Plan general detallado

43

4. FORMALIZACIÓN

4.1. DOCUMENTO DE FORMALIZACIÓN DEL CENTRO DE COMPUTO “COMPUILLESCAS”

El documento que respalda la formalidad de este proceso, de parte del centro de

cómputo “COMPUILLESCAS” se encuentra en los anexos.

4.2. PLAN GENERAL DETALLADO

44

PLAN GENERAL DETALLADO

Gerencia: Sr. Fausto Illescas Fecha de elaboración: 28/05/2010

Líder del proyecto: Josue Dueñas

Áreas por auditar según clasificación y

prioridad

Aspectos o componentes del área por auditar

Actividades Responsable Clasificación del riesgo por área

(total)

Fecha de inicio

Mantenimiento

1.- Software Conocer el estado de funcionamiento de los equipos y sus componentes

Josue Dueñas

35%

12/06/2010

2.- Hardware Conocer la existencia de programas

Red Local

1.- Administración Estado de la red local Josue Dueñas

45%

18/06/2010 2.- Instalación Interconexiones

Seguridad

1.- Hardware Áreas que tienen seguridad Josue Dueñas

20%

22/06/2010 2.- Software Tipo de seguridad

Servicios Varios

1.-Servicio en copias Determinar la calidad de los servicios

Josue Dueñas

20%

28/06/2010

2.- Servicios en anillados Eficiencia y optimo servicio Tabla 12: PLAN GENERAL DETALLADO

45

ANEXOS

46

ANEXO 1

ENTREVISTA DIRIGIDO AL GERENTE GENERAL

1. ¿Qué es para usted estar a la vanguardia en tecnología?

2. ¿Considera que es necesario hacer un seguimiento a las actividades en el área de informática?

3. ¿Cuándo fue la ultima innovación que realizó en este centro de cómputo?

4. ¿Considera necesario un mejor equipamiento para cumplir con todos los objetivos?

5. ¿El centro de computo esta organizado de una manera adecuada?

6. ¿Qué tipo de publicidad utilizaría para promocionar su negocio?

7. ¿Existe un control de personal para hacer cumplir con los reglamentos y políticas del negocio?

8. ¿El personal se capacita permanentemente?

9. ¿Existe puntualidad en el horario de trabajo?

10. ¿Existen medidas de seguridad en el negocio, cuales?

11. ¿El centro de computo cuenta con alarmas de seguridad?

12. ¿Existen planificaciones mensuales o anuales?

13. ¿Si se realiza la planificación, se esta cumpliendo con lo establecido?

14. ¿Se realiza una auditoria en la microempresa con frecuencia?

47

ANEXO 2

CUESTIONARIO DIRIGIDA A LOS CLIENTES

1) ¿Ud. frecuenta este centro de cómputo?

Si ( ) No ( )

¿Porque?

…………………………………………………………………………………………………………………………………………………………

………………………………………………………………………………………………………..

2) ¿Con que propósito visita este local?

Servicio de Internet ( )

Juegos ( )

Transcripción de trabajo ( )

Copias ( )

Anillados ( )

3) ¿El servicio que usted ha recibido en este centro de computo es?

Excelente ( )

Muy buena ( )

Buena ( )

Mala ( )

Pésima ( )

4) ¿Está conforme con la atención que ha tenido en este local?

……………………………………………………………………………………………………………………….........

5) ¿Cuándo tiene alguna dificultad la persona encargada le facilita ayuda?

Si ( ) No ( )

6) ¿Cree usted que las condiciones físicas son adecuadas para el servicio que presta este local?

Si ( ) No ( )

¿Porque?

48

…………………………………………………………………………………………………………………………………

7) ¿Le parece que los costos por los servicios recibidos son?

Altos ( )

Justos ( )

Bajos ( )

8) ¿Esta satisfecho con la atención recibida?

Si ( ) No ( )

9) ¿Cree que este centro de cómputo necesita actualizarse?

Si ( ) No ( )

¿Porque?

…………………………………………………………………………………………………………………………………

10) Para ofrece un mejor servicio al cliente que tipo de cambio sugiere usted.

…………………………………………………………………………………………………………………………………………………………

………………………………………………………………………………………………………..

49

ANEXO 3

CUESTIONARIO DIRIGIDA AL DEPARTAMENTO DE INFORMÁTICA

(RECOMENDADO)

1) ¿Existen licencias de software aplicativo adquirido?

Si ( ) No ( )

2) ¿Existen manuales de software utilizado en el centro de cómputo?

Si ( ) No ( )

¿Cuales? ............................................................................................................

3) ¿Existe un inventario del software utilizado?

Si ( ) No ( )

4) ¿Se controlo el acceso a los sistemas mediante claves únicas y seguridades?

Si ( ) No ( )

¿Cuales? ............................................................................................................

5) ¿Existe algún procedimiento que conlleve a la recuperación de información perdida?

Si ( ) No ( )

¿Cuales? ............................................................................................................

6) ¿Cree usted que es necesario la implantación de otro software para cubrir ciertas necesidades

dentro del centro de cómputo?

Si ( ) No ( )

¿Por qué? ............................................................................................................

7) ¿Es suficiente el personal que trabaja en el área?

Si ( ) No ( )

8) ¿El numero de Pc’s son los necesarios para la atención a los clientes?

Si ( ) No ( )

9) ¿Existe un inventario de quipos de cómputo?

Si ( ) No ( )

50

10) ¿Se da solución inmediata a equipos que no funcionan correctamente?

Si ( ) No ( )

¿Por qué? ............................................................................................................

11) ¿Los equipos de cómputo están asegurados?

Si ( ) No ( )

¿Por qué? ............................................................................................................

12) ¿Se hace un mantenimiento regular a los equipos de computo?

Si ( ) No ( )

¿Cada que tiempo? .....................................................................................................

13) ¿Existen suficientes reguladores para el centro de cómputo?

Si ( ) No ( )

¿Por qué? ............................................................................................................

51

ANEXO 4

CUESTIONARIO DIRIGIDA AL DEPARTAMENTO DE SERVICIOS VARIOS

(RECOMENDADO)

1) ¿El numero de personas que trabajan es eta área son las suficientes para cubrir las

necesidades?

Si ( ) No ( )

¿Por qué? ............................................................................................................

2) ¿Tiene el personal capacitación permanente?

Si ( ) No ( )

3) ¿El numero de copiadoras son las necesarios para la atención a los clientes?

Si ( ) No ( )

4) ¿Existe un inventario de quipos de eta área?

Si ( ) No ( )

5) ¿Se da solución inmediata a equipos que no funcionan correctamente?

Si ( ) No ( )

¿Por qué? ............................................................................................................

6) ¿Las fotocopiadoras están aseguradas?

Si ( ) No ( )

¿Por qué? ............................................................................................................

7) ¿Se hace un mantenimiento regular a los equipos de fotocopiado?

Si ( ) No ( )

¿Cada que tiempo? .....................................................................................................

8) ¿El ambiente de trabajo es el adecuado para las tareas o funciones que realiza?

Si ( ) No ( )

¿Por qué? ............................................................................................................