present auditoria
TRANSCRIPT
REPÚBLICA BOLIVARIANA DE VENEZUELA
MINISTERIO DEL PODER POPULAR PARA LA DEFENSA
UNIVERSIDAD NACIONAL EXPERIMENTAL POLITÉCNICA
DE LA FUERZA ARMADA
AUTORES:Sixmar Saidig Ramos Escobar V- 15351515
Alexander José Herrera Sanchez V- 16.796.333Celeste Marina Serrano Ramos V- 19.590.294
Tutor:
Edecio Freitez
Sección:9RPMI
Barquisimeto, Enero 2012
EVALUAR EL MANEJO ADECUADO DEL SISTEMA ADMINISTRATIVO EN LA
ORGANIZACIÓN CASA INAMOTO C.A
• Planeación de las etapas de la auditoria
Identificar el origen de la Auditoría. Por solicitud expresa de procedencia externa.
Dicha auditoría se realizará por solicitud expresa de procedencia externa, concretamente por interés de desarrolladores de hardware y software; la cual consta de un examen crítico y sistemático, debidamente detallado, que se le ejecutará al sistema administrativo de la mencionada organización. Es importante señalar que este tipo de auditoría es de origen especial, donde la organización puede dictaminar si accede o se niega a ella, según sus intereses particulares, pero jamás este tipo de auditoría deberá ser de carácter impositivo.
•Realizar una visita Preliminar al Área que Será Evaluada
Visita preliminar de arranque Contacto inicial con los empleados
Identificación preliminar de la problemática
Teniendo en cuenta, que el objetivo de la visita preliminar es estudiar el desempeño del sistema administrativo ADA, esta hecho para soportar la construcción de grandes programas.
Se pudo reconocer como problemática principal en el área de informática de la organización por parte del sistema ADA, una critica en el sistema ya mencionado, la cual no tiene un respaldo para guardar la información que se registra en la base de dato, viendo este caso, se tomo en consideración varias visitas para hacer seguimiento, observando las fallas que se pueden presentar en un tiempo determinado.
También, se observa la falta de seguridad del sistema ADA (software), de acuerdo al estudio que comprende el análisis y gestión de sistemas llevado a cabo por profesionales generalmente por Ingenieros o Ingenieros Técnicos en Informática para identificar, enumerar y posteriormente describir las diversas vulnerabilidades que pudieran presentarse en una revisión exhaustiva de las estaciones de trabajo, redes de comunicaciones o servidores.
Objetivos iniciales de la auditoría
De acuerdo a la información obtenida, por medio de la visita preliminar realizada a Casa Inamoto, C.A, se proveen los objetivos siguientes:
• Realizar una evaluación en la auditoría informática del sistema ADA.
• Evaluar al personal encargado del Departamento de Sistemas, para que los mismos colaboren con la auditoría a realizar.
• Promover al personal encargado del Departamento de Sistema.
• Proponer alternativas para mejorar la gestión del Departamento de Sistema en el Sistema ADA.
• Puntos que Serán Evaluados de la Auditoría.
• Evaluación de las funciones y actividades del personal del área de sistemas.• Evaluación de la seguridad de los sistemas de información.• Evaluación de la información, documentación y registros de los sistemas.• Evaluación de los sistemas, equipos, instalaciones y componentes.• Evaluación de los recursos humanos del área de sistemas.• Evaluación del hardware y software. Evaluación de la información y las
bases de datos.
• Elaborar el documento formal de los planes de trabajo. Definición de objetivos.
• Hacer una auditoría informática al departamento de sistemas.• Estimular al personal encargado del departamento informático, para que
los mismos colaboren con la auditoría a realizar.• Identificar con exactitud la problemática que se presenta en el mal manejo
del sistema administrativo ADA.• Verificar el funcionamiento de los equipos de cómputos, sus periféricos,
instalaciones, entre otros.
Delimitación de estrategias.
Para la adecuada ejecución de la auditoría informática, a efectuar en dicha organización. Se delimitan las estrategias siguientes:•La Supervisión.•La Entrevistas.•El Cuestionarios.•El Control.•El Seguimiento.•La Técnica Tunnig.•La Técnica Trazas y/o Huellas.
Definición de normas, políticas y lineamientos para el desarrollo de la auditoría.
La auditoría a realizar en el departamento de Sistemas, se establece bajo las normas, políticas y lineamientos siguientes:
Normas:•Aplicar procedimientos que permitan, en circunstancias dadas, alcanzar los objetivos de auditoría.•Planificar la auditoría a realizar con el fin de identificar los objetivos de la misma y determinar el método para alcanzarlos de forma económica, eficiente y eficaz.•Supervisar el trabajo realizado por cada uno de los auditores para así asegurar el cumplimiento de los objetivos de la auditoria y el mantenimiento de la calidad del trabajo.•Obtener evidencia suficiente, pertinente y válida, mediante la realización y evaluación de las distintas pruebas de auditoría que se consideren necesarias.Revisar el cumplimiento de las leyes y reglamentos aplicables.
Políticas:
• Velar por el funcionamiento de la tecnología informática del
departamento de dicha área.
• Elaborar y efectuar seguimiento del Plan Maestro de Informática
• Definir estrategias y objetivos.
• Controlar la calidad del sistema de información del departamento de
informática.
• Mantener el Inventario actualizado de los recursos informáticos
• Velar por el cumplimiento de las Políticas y Procedimientos establecidos.
Lineamientos:
• Toda la información institucional debe invariablemente ser operada a través de un mismo tipo de sistema manejador de base de datos para beneficiarse de los mecanismos de integridad, seguridad y recuperación de información en caso de falla del sistema de cómputo.
• El acceso a los sistemas de información, debe contar con los privilegios ó niveles de seguridad de acceso suficientes para garantizar la seguridad total de la información institucional.
• La Administración de Informática, al planear las operaciones relativas del departamento de dicha área, establecerá prioridades y en su selección deberá tomar en cuenta:
Calidad Parámetro cualitativo que especifica las características técnicas de los recursos informáticos.
Experiencia.- Presencia de personal altamente calificado en el área de informática, ofreciendo la confiabilidad de los bienes y certificados de calidad con los que se cuente;
Desarrollo Tecnológico.- Se deberá analizar su grado de obsolescencia, su nivel tecnológico.
Contenidos de los planes para realizar la auditoría. •Definición de los Objetivos Finales. Objetivo General.Auditar el departamento de sistema, específicamente al sistema administrativo ADA que posee la empresa Casa Inamoto, C.A. Objetivos Particulares.
• Llevar un control de las actividades y procedimientos que se realicen en el sistema administrativo por parte del personal de sistemas de la empresa Casa Inamoto, C.A. Barquisimeto. Lara.
• Realizar una evaluación general del sistema de información que englobe las entradas, procedimientos, controles, archivos y seguridad de la información que se maneja en el departamento de sistemas a través del sistema administrativo ADA.
• Evaluar los recursos de hardware y software, para verificar el adecuado funcionamiento del sistema administrativo, en cuanto a la seguridad física y lógica del mismo, en el departamento de sistemas.
Objetivos Específicos.
• Realizar un estudio de experiencia, noción y habilidades concerniente a la administración y acciones sobre el sistema de información del personal del departamento de sistemas.
• Evaluar las entradas, procesos y salidas de información, así como la forma de almacenamiento, respaldo o archivo de datos, con el fin de verificar la integridad y seguridad del sistema de información.
• Evaluar la utilización y aprovechamiento de los equipos de cómputo, sus periféricos, instalaciones, mobiliario, entre otros recursos técnicos y materiales para el proceso de información del sistema del departamento de sistemas.
Establecer las delimitaciones de las estrategias para desarrollar la auditoría.
Una de las estrategias a emplear en el desarrollo de la auditoría será la supervisión, la cual, fundamentará el estudio racional que se le hará a las actividades y funciones del personal del departamento de sistema del a empresa Casa Inamoto, C.A., Barquisimeto. Lara, así como al sistema administrativo, periféricos, instalaciones, entre otros recursos a evaluar. Además se utilizarán técnicas y herramientas para recolectar información, tales como, la entrevista y el cuestionario; donde se llevará un control y seguimiento de los resultados obtenidos.
Además se efectuará la técnica denominada Tunnig, la cual, se encuentra basada en la observación y en medidas encaminadas a la evaluación del comportamiento de los subsistemas y del sistema en su conjunto.
Confeccionar los planes concretos para la auditoría.
Para llevar a cabo la auditoría es necesario establecer
tres etapas, planeación, ejecución y dictamen. La primera etapa,
es la fase fundamental, donde se proyectan los pasos a seguir
durante el proceso de ejecución; he aquí la planeación y/o plan
de auditoría, está fundamentado en evaluar la seguridad lógica y
de acceso, el conocimiento del personal sobre el sistema de
información; la evaluación de los equipos de cómputo, la
administración y control de las bases de datos.
Definir de manera precisa las etapas de la auditoría.
• Planeación: es la fase primordial del proceso de la auditoría, aquí se planifican las técnicas, herramientas e instrumentos a emplear en la etapa próxima, es decir, en la ejecución. Los mismos se basan en encuestas, entrevistas, pruebas, revisión de documentos, experimentos, observaciones, entre otras técnicas y estrategias.
• Ejecución: es la fase central del proceso de auditoría, aquí se llevarán a cabo todas las actividades y tareas planificadas en la etapa de la planeación, aplicando las herramientas e instrumentos señalados; y llevando anotaciones sobre los resultados obtenidos. Se comienza con la elaboración de informes.
• Dictamen: es la fase final del proceso de auditoría, aquí se realiza el informe final con las debidas revisiones y actualizaciones. Además se anexa la opinión de los auditores en base a todas las experiencias obtenidas durante el proceso de planeación y ejecución, con el fin de generar la conclusión final de la auditoría.
Definición de etapas, actividades y tareas que se deben llevar a cabo. Etapas Actividades Tareas
PLANEACIÓN
Evaluar las funciones y actividades del departamento de informática.Evaluar al Personal y usuarios que operan el sistema de información.Evaluar el adecuado uso del sistema de información del departamento de informática.Evaluar la concerniente documentación del sistema.Evaluar las Actividades y operaciones del sistema. Evaluar las instalaciones del centro de cómputo.
Apreciar la definición de funciones y actividades establecidas por la organización.Revisar el manual de cargos, funciones y actividades.Determinar los conocimientos del personal y usuarios para mejorar las operaciones al sistema, y aprovechar la información que proporciona el mismo.Calificar el estado del hardware y software. Además de verificar el correcto procedimiento de instalaciones. Verificar la existencia de manuales técnicos del sistema, de usuarios, de capacitación, así como sus respectivas actualizaciones.Apreciar las instalaciones y equipos (hardware), así como los bienes y las interrelaciones de funciones.Considerar el ajuste de las instalaciones, medidas de seguridad y comunicaciones, bajo los lineamientos y normas ISO, entre otras.Verificar el correcto mantenimiento del sistema
Ejecución Considerar todas las actividades planteadas en la etapa de planificación y llevar a cabo cada una de ellas.
Aplicar las herramientas e instrumentos trazados en la etapa de planeación y analizar los resultados obtenidos.
Dictamen Reunir los resultados obtenidos en la etapa de ejecución.
Revisión y actualización del informe final, así como la elaboración del documento de opinión de los auditores.
Elaborar los presupuestos para la auditoría.• Asignación de los costos de los recursos.
Etapas Recursos Tiempo Costo
Planeación
Recurso técnico.Recursos materiales (papelería, impresiones).Recursos Humanos (Auditores).
4 Semanas. Por estar en la etapa de planeación, aun los costos no pueden ser estimados.
Ejecución
Recurso técnico.Recursos económicos.Recursos materiales (papelería, impresiones).Recursos Humanos (Auditores y auditados).
2 Semana.
Dictamen
Recursos económicos.Recursos materiales (papelería, impresiones).Recursos Humanos (Auditores).
1 Semana.
• Control de costos de los recursos. La empresa Casa Inamoto, C.A. ubicada en el centro de Barquisimeto, aportará los recursos necesarios dentro del marco informático (área de sistema); el resto de los recursos serán proporcionados por los encargados de realizar la auditoría. Por ende no se tiene un control de los costos de los recursos.
Definir las áreas y puntos de sistemas que serán evaluados.
Factores primarios que serán ponderados.
1. Funciones y actividades.
2. Sistema Administrativo ADA.
3. Personal y usuarios.
4. Documentación del sistema.
5. Actividades y operación del sistema.
6. Instalaciones del centro de cómputo (área de Sistemas)
Nº. Factores primarios que serán ponderados Peso específico
1 Funciones y actividades. 15%
2 Sistema Administrativo ADA 30%
3 Personal y usuarios. 15%
4 Documentación de los sistemas. 20%
5 Actividades y operación del sistema. 10%
6 Instalaciones del centro de cómputo (área de
sistemas)
10%
Peso total de la ponderación 100%
Elaborar el documento formal de la guía de evaluación.
• Diseñar los instrumentos de recopilación de información para la auditoría.
En base al plan de auditoría, además de la guía de
evaluación establecida en los puntos anteriores, es necesario la utilización de las técnicas y herramientas de recopilación de información siguientes:
• Entrevistas.• Encuestas.• Observación directa.• Inventarios.• Matriz de Evaluación.• Pruebas.
Determinar las técnicas y procesos específicos que serán utilizados en la auditoría.
PROCESOS TÉCNICASEtapas Actividades Tareas Prácticas
PLANEACION
Evaluar las funciones y actividades del departamento de sistema.
Apreciar la definición de funciones y actividades establecidas por la organización.Realizar un seguimiento al cumplimiento de las funciones y actividades.
Revisión documental.Observación directa.
Evaluar al Personal y usuarios que operan el sistema administrativo.
Determinar si el personal y usuarios se encuentran capacitados para operar el sistema correctamente, aprovechando la información que proporciona el mismo.
Observación directa.
Evaluar el adecuado uso del sistema administrativo dentro del departamento de sistemas.
Calificar el estado del hardware y software. Además de verificar el correcto procedimiento de instalaciones.
Observación directa.Pruebas al sistema.
Evaluar la concerniente documentación del sistema.
Verificar si el departamento de informática cumple con la existencia de manuales técnicos del sistema, de usuarios, de capacitación, así como sus respectivas actualizaciones.
Revisión documental.Observación directa.
Evaluar las Actividades y operaciones del sistema.
Apreciar las instalaciones y equipos (hardware), así como los bienes y las interrelaciones de funciones.
Observación directa.
Evaluar las instalaciones del centro de cómputo.
Considerar el ajuste de las instalaciones, medidas de seguridad y comunicaciones, bajo los lineamientos y normas ISO, entre otras. Verificar el correcto mantenimiento del sistema.
Revisión documental.Pruebas al sistema.Observación directa.
Elaborar los documentos formales para los procedimientos, métodos, herramientas e instrumentos que serán utilizados en la auditoría.
Seguidamente, se presentan las herramientas e instrumentos formales para el procedimiento de la auditoría:ENTREVISTA
A continuación se presentan una gama de preguntas donde sus respectivas respuestas nos permitirán conocer mejor el departamento de sistema de la empresa Casa Inamoto, C.A Barquisimeto. Lara.1. Que información podría dar usted sobre el sistema administrativo, utilizado
en el departamento de sistemas de la empresa.R. 2. ¿Considera usted necesario realizar una auditoría al departamento de
sistemas? Sí ( ) No ( )
3. Explique el ¿Por qué? De su anterior respuesta.R.4. Según su criterio, en qué estado se encuentran los equipos (hardware)
instalados en el departamento de sistemas.Excelente condiciones ( ) Buenas condiciones ( ) Regulares condiciones ( ) Malas condiciones ( )
5. Cree usted que es importante el estado de los equipos para el procesamiento de información. ¿Por qué?
Sí ( ) No ( )Porque:________________________________________________________________
6. Explique el procedimiento a efectuar para acceder al sistema administrativo ADA en cualquier terminal.
R.7. Usted considera el procedimiento anterior: Fácil ( ) Muy Fácil ( ) Difícil ( ) Muy Difícil ( ) 8. ¿Existen fallas de exactitud en los procesos del sistema administrativo?
¿Cuáles?R.9. ¿Qué piensa de la seguridad en el manejo de la información proporcionada
por el sistema administrativo que se utiliza?Nula ( )Riesgosa ( )Satisfactoria ( )Excelente ( )Lo desconoce ( )¿Por qué?
10. ¿Qué sistemas desearía que se incluyeran?R.
ENCUESTA
1. ¿Cuentan con algún control de entradas y salidas de usuarios?
Sí ( ) No ( )
2. De ser afirmativa su respuesta anterior. Indique con que control cuentan.
R.
3. ¿El usuario respeta ese control?
Sí ( ) No ( )
4. ¿Con que tipos de programas cuentan en los sistemas de cómputo?
_________________________________________________________
_________________________________________________________
_________________________________________________________
________________________________________________________
________________________________________________________
5. ¿Cuentan con manuales para cada programa que manejan?
Sí ( ) No ( )
6. ¿El personal sabe del contenido de estos manuales?
Sí ( ) No ( )
7. ¿Qué tipo de mantenimiento realizan?
Preventivo ( ) Correctivo ( )
8. ¿Por qué razón?
R.
9. ¿Se da algún tipo de inducción al personal para que este informado de las funciones que
realizará?
Sí ( ) No ( )
10. ¿Cuál es la forma de darles a conocer sus funciones?
R.
PRUEBAS PARA LA EVALUACIÓN
La prueba que se implementará para la evaluación de sistema se basará en la técnica de Traza y/o Huella, la cual tiene como objetivo verificar que los programas, tanto de los Sistemas como de usuario, realizan exactamente las funciones previstas, y no otras. Para ello se apoya en productos Software muy potentes y modulares que, entre otras funciones, rastrean los caminos que siguen los datos a través del programa.
Diseñar los sistemas, programas y métodos de pruebas para la auditoría.
• Determinar los puntos de interés, programas, bases de datos, archivos y sistemas que serán evaluados mediante programas y pruebas de cómputo.
En base a la visita preliminar que se realizó al departamento
de sistemas de la empresa Casa Inamoto, C.A. ubicado en el centro de Barquisimeto. Lara. Se pudo observar diversos puntos de interés, lo cuales son importantes evaluar; puntos tales como, los programas, ya que utilizan sistemas operativos Windows; utilizan un sistema administrativo llamado ADA donde se llevan los controles de ventas, reportes, libros de compras y ventas; inventarios de mercancías, y por último sistema manejador de base de datos que utilizan es MYSQL, donde se almacena toda la data registrada diariamente en la empresa.
Diseñar las pruebas, programas y sistemas para realizar las evaluaciones necesarias para el funcionamiento de los sistemas computacionales, bases de datos y archivos.
Mediante la utilización de la técnica observación directa, se tomará nota sobre los estados y funcionamiento adecuados del hardware, instalaciones, periféricos y demás componentes del mismo. En cuanto a las pruebas de software, como se especifico anteriormente, tanto a los programas, archivos, base de datos, entre otros sistemas, la evaluación se efectuará bajo la técnica Traza y/o Huellas
Elaborar otros documentos de revisión.
En cuanto a otro documento adicional de revisión, se empleará la técnica de comparación, consta en contrastar los datos obtenidos de un área o de toda la empresa, cotejeando esa información contra datos similares o iguales de un área o empresa con características semejantes.Así mismo, con la utilización de dicha técnica, se puede obtener información de la cual se pueden realizar deducciones de desviaciones encontradas. Ejemplo:Ref. Situaciones Causas Solución
Fecha de Solución Responsable
1
No existe en el departamento de sistemas, capacitación de personal, ni programas para desarrollos de software y otras aplicaciones asociadas al departamento.
El departamento de sistema no cuenta con personal capacitado para desarrollar su propio sistema administrativo, base de datos, ni otras aplicaciones informáticas.
Establecer políticas, para la creación de programas de capacitación de personal encargados para desarrollar software, ya sea para uso de la empresa así como para su venta al público.
15/07/2011 Diego InamotoBernardo Inamoto
Dictamen final
De los resultados obtenidos durante la evaluación se observaron las siguientes:
• Falta de capacitación del personal del departamento de sistema, respecto al software administrativo ADA.
• El departamento no posee programa de desarrollo de programas o aplicaciones informáticas que permita en un futuro crear su propio sistema administrativo creado dentro de la misma organización.
• El personal de caja no recibe entrenamiento adecuado para el uso del sistema administrativo en el área de facturación.
• La poca seguridad que presenta la base de datos del sistema, ya que cualquier empleado que tenga acceso al sistema administrativo puede acceder a su base de datos.
• Subutilización del modulo de reportes, esto ocurre por el inadecuado uso de los operadores del sistema.
De acuerdo con las pruebas realizadas al departamento de Sistemas, personal que allí labora, al sistema administrativo ADA utilizado por la organización como a su base de datos; se sugiere la creación de un programa para el desarrollo de Software el cual permitirá crear y desarrollar un programa administrativo que realmente se adapte a las necesidades de la empresa, el cual reduciría al mínimo las posibles fallas, además de poder contar con personal capacitado para cualquier eventualidad que pudiera presentar en un futuro si se implementa este programa de desarrollo.Se debe exigir una mayor responsabilidad y compromiso de los operadores del sistema administrativo ADA, como para su base de datos; para que este funcione de una manera más optima, así evitar la inconsistencia, saltos en la facturación, disparidad de los datos al momento de realizar inventarios y reportes. Al mismo tiempo se deben de hacer respaldo de la información y mantenimiento de la base de datos del sistema, para evitar la saturación y congestionamiento de la información, retrasando así el tiempo de repuesta del mismo.
Gracias por
su atención