Beruflich Dokumente
Kultur Dokumente
AUDITORIA INFORMATICA
GESTION DE SISTEMAS
INTEGRANTES
ALCANCE DE LA AUDITORIA
ORIGEN DE LA AUDITORIA
OBJETIVO GENERAL
OBJETIVOS ESPECÍFICOS
FACTIBILIDAD DE LA INVESTIGACIÓN
VIABILIDAD DE TIEMPO
RECURSOS
ETAPAS DE TRABAJO
2. Resultados
INTRODUCCION
A finales del siglo XX, los Sistemas Informáticos se han constituido en las
herramientas más poderosas para materializar uno de los conceptos más vitales y
necesarios para cualquier organización empresarial, los Sistemas de Información
de la empresa.
La Informática hoy, está subsumida en la gestión integral de la empresa, y por eso
las normas y estándares propiamente informáticos deben estar, por lo tanto,
sometidos a los generales de la misma. En consecuencia, las organizaciones
informáticas forman parte de lo que se ha denominado el "management" o gestión
de la empresa. Cabe aclarar que la Informática no gestiona propiamente la
empresa, ayuda a la toma de decisiones, pero no decide por sí misma. Por ende,
debido a su importancia en el funcionamiento de una empresa, existe la Auditoría
Informática.
El término de Auditoría se ha empleado incorrectamente con frecuencia ya que se
ha considerado como una evaluación cuyo único fin es detectar errores y señalar
fallas. A causa de esto, se ha tomado la frase "Tiene Auditoría" como sinónimo de
que, en dicha entidad, antes de realizarse la auditoría, ya se habían detectado
fallas.
El concepto de auditoría es mucho más que esto. Es un examen crítico que se
realiza con el fin de evaluar la eficacia y eficiencia de una sección, un organismo,
una entidad, etc.
La palabra auditoría proviene del latín auditorius, y de esta proviene la palabra
auditor, que se refiere a todo aquel que tiene la virtud de oír.
Por otra parte, el diccionario Español Sopena lo define como: Revisor de Cuentas
colegiado. En un principio esta definición carece de la explicación del objetivo
fundamental que persigue todo auditor: evaluar la eficiencia y eficacia.
Si consultamos el Boletín de Normas de auditoría del Instituto mexicano de
contadores nos dice: " La auditoría no es una actividad meramente mecánica que
implique la aplicación de ciertos procedimientos cuyos resultados, una vez llevado
a cabo son de carácter indudable."
De todo esto sacamos como deducción que la auditoría es un examen crítico pero
no mecánico, que no implica la preexistencia de fallas en la entidad auditada y que
persigue el fin de evaluar y mejorar la eficacia y eficiencia de una sección o de un
organismo.
Los principales objetivos que constituyen a la auditoría Informática son el control
de la función informática, el análisis de la eficiencia de los Sistemas Informáticos
que comporta, la verificación del cumplimiento de la Normativa general de la
empresa en este ámbito y la revisión de la eficaz gestión de los recursos
materiales y humanos informáticos.
El auditor informático ha de velar por la correcta utilización de los amplios recursos
que la empresa pone en juego para disponer de un eficiente y eficaz Sistema de
Información. Claro está, que para la realización de una auditoría informática eficaz,
se debe entender a la empresa en su más amplio sentido, ya que una Universidad,
un Ministerio o un Hospital son tan empresas como una Sociedad Anónima o
empresa Pública. Todos utilizan la informática para gestionar sus "negocios" de
forma rápida y eficiente con el fin de obtener beneficios económicos y de costes.
Por eso, al igual que los demás órganos de la empresa (Balances y Cuentas de
Resultados, Tarifas, Sueldos, etc.), los Sistemas Informáticos están sometidos al
control correspondiente, o al menos debería estarlo. La importancia de llevar un
control de esta herramienta se puede deducir de varios aspectos. He aquí
algunos:
* Las computadoras y los Centros de Proceso de Datos se convirtieron en
blancos apetecibles no solo para el espionaje, sino para la delincuencia y el
terrorismo. En este caso interviene la Auditoría Informática de Seguridad.
* Las computadoras creadas para procesar y difundir resultados o información
elaborada pueden producir resultados o información errónea si dichos datos son, a
su vez, erróneos. Este concepto obvio es a veces olvidado por las mismas
empresas que terminan perdiendo de vista la naturaleza y calidad de los datos de
entrada a sus Sistemas Informáticos, con la posibilidad de que se provoque un
efecto cascada y afecte a Aplicaciones independientes. En este caso interviene la
Auditoría Informática de Datos.
* Un Sistema Informático mal diseñado puede convertirse en una herramienta
harto peligrosa para la empresa: como las maquinas obedecen ciegamente a las
órdenes recibidas y la modelización de la empresa está determinada por las
computadoras que materializan los Sistemas de Información, la gestión y la
organización de la empresa no puede depender de un Software y Hardware mal
diseñados.
Estos son solo algunos de los varios inconvenientes que puede presentar un
Sistema Informático, por eso, la necesidad de la Auditoría de Sistemas.
Auditoría:
La auditoría nace como un órgano de control de algunas instituciones estatales y
privadas. Su función inicial es estrictamente económico-financiero, y los casos
inmediatos se encuentran en las peritaciones judiciales y las contrataciones de
contables expertos por parte de Bancos Oficiales.
La función auditora debe ser absolutamente independiente; no tiene carácter
ejecutivo, ni son vinculantes sus conclusiones. Queda a cargo de la empresa
tomar las decisiones pertinentes. La auditoría contiene elementos de análisis, de
verificación y de exposición de debilidades y disfunciones. Aunque pueden
aparecer sugerencias y planes de acción para eliminar las disfunciones y
debilidades antedichas; estas sugerencias plasmadas en el Informe final reciben el
nombre de Recomendaciones.
Las funciones de análisis y revisión que el auditor informático realiza, puede
chocar con la psicología del auditado, ya que es un informático y tiene la
necesidad de realizar sus tareas con racionalidad y eficiencia. La reticencia del
auditado es comprensible y, en ocasiones, fundada. El nivel técnico del auditor es
a veces insuficiente, dada la gran complejidad de los Sistemas, unidos a los
plazos demasiado breves de los que suelen disponer para realizar su tarea.
Además del chequeo de los Sistemas, el auditor somete al auditado a una serie de
cuestionario. Dichos cuestionarios, llamados Check List, son guardados
celosamente por las empresas auditoras, ya que son activos importantes de su
actividad. Las Check List tienen que ser comprendidas por el auditor al pie de la
letra, ya que si son mal aplicadas y mal recitadas se pueden llegar a obtener
resultados distintos a los esperados por la empresa auditora. La Check List puede
llegar a explicar cómo ocurren los hechos pero no por qué ocurren. El cuestionario
debe estar subordinado a la regla, a la norma, al método. Sólo una metodología
precisa puede desentrañar las causas por las cuales se realizan actividades
teóricamente inadecuadas o se omiten otras correctas.
El auditor sólo puede emitir un juicio global o parcial basado en hechos y
situaciones incontrovertibles, careciendo de poder para modificar la situación
analizada por él mismo.
En cuanto a empresas se refiere, solamente las más grandes pueden poseer una
Auditoría propia y permanente, mientras que el resto acuden a las auditorías
externas. Puede ser que algún profesional informático sea trasladado desde su
puesto de trabajo a la Auditoría Interna de la empresa cuando ésta existe.
Finalmente, la propia Informática requiere de su propio grupo de Control Interno,
con implantación física en su estructura, puesto que si se ubicase dentro de la
estructura Informática ya no sería independiente. Hoy, ya existen varias
organizaciones Informáticas dentro de la misma empresa, y con diverso grado de
autonomía, que son coordinadas por órganos corporativos de Sistemas de
Información de las Empresas.
Una Empresa o Institución que posee auditoría interna puede y debe en ocasiones
contratar servicios de auditoría externa. Las razones para hacerlo suelen ser:
* Necesidad de auditar una materia de gran especialización, para la cual los
servicios propios no están suficientemente capacitados.
* Contrastar algún Informe interno con el que resulte del externo, en aquellos
supuestos de emisión interna de graves recomendaciones que chocan con la
opinión generalizada de la propia empresa.
* Servir como mecanismo protector de posibles auditorías informáticas externas
decretadas por la misma empresa.
* Aunque la auditoría interna sea independiente del Departamento de Sistemas,
sigue siendo la misma empresa, por lo tanto, es necesario que se le realicen
auditorías externas como para tener una visión desde afuera de la empresa.
La auditoría informática, tanto externa como interna, debe ser una actividad exenta
de cualquier contenido o matiz "político" ajeno a la propia estrategia y política
general de la empresa. La función auditora puede actuar de oficio, por iniciativa
del propio órgano, o a instancias de parte, esto es, por encargo de la dirección o
cliente.
Alcance de la auditoria
Origen de la auditoria
Esta auditoria se realiza para la acreditación de la materia de auditoria de
sistemas que actualmente estamos cursando en la carrera de ingeniero en
sistemas computacionales.
Objetivo General
Evaluar el software y equipos informático empleado para dar soporte con los
requisitos y objetivos establecidos por Grupo Telco. Para de esta forma brindar de
manera eficiente un mejor servicio.
Objetivos Específicos
4.4. Evaluar las políticas sobre la utilización de los reportes generados por el área
a auditar
Viabilidad de Tiempo
Con respecto al factor tiempo, este estudio se considera completamente factible,
por cuanto se cuenta con un periodo prudencialmente requerido para su desarrollo
(1 día), aun cuando implica un esfuerzo. Es de destacar un factor que incide en
beneficio del estudio. Lo cual hace más accesible la información con respecto a la
problemática que se pretende solventar.
Recursos
El número de personas que integraran el equipo de auditoria será de cuatro
personas así como equipo de cómputo portátil para elaborar los reportes, así
como equipo de comunicación (teléfonos, radios, teléfonos celulares).
Software, Windows XP Professional SP2. Microsoft office 2007, software para
documentos en pdf, y cliente de correo electrónico.
Apoyos materiales y administrativos, Muebles para los computadores, hojas
blancas. Lápices Mecánicos y Bolígrafos. Grapadoras. Tintas para impresora.
Etapas de trabajo
Técnicos de soporte.
Investigación preliminar
Se deberá observar el estado general del área, su situación dentro de la
organización, si existe la información solicitada, si es o no necesaria y la fecha de
su última actualización.
Administración
Se recopila la información para obtener una visión general del departamento por
medio de observaciones, entrevistas preliminares y solicitud de documentos para
poder definir el objetivo y alcances del departamento.
• Políticas de operación.
Sistemas
Descripción general de los sistemas instalados y de los que estén por instalarse
que contengan volúmenes de información.
• Manual de software.
• Descripción genérica.
• No tiene y se necesita.
• No se tiene y no se necesita.
• No se usa.
• Es incompleta.
• No está actualizada.
• No es la adecuada.
Usamos como sistema operativo, Windows xp, vista y 7, office 2003 y acrobat
reader, así como el software que viene con los equipos que instalamos,
como los son de cctv, control de acceso, enlaces inalámbricos, paneles
contra incendios y conmutadores telefónicos.
Para el caso del software como Windows y office, contamos con licencias
individuales, y la mayoría del software que se usa para los equipos que
instalamos ya viene con los equipos, y estos son gratis, para las versiones
básicas pero si el cliente desea funciones más complejas se debe de adquirir
licencias para su uso.
Todo el software que usamos tiene sus manuales ya sean impresos o de forma
electrónica, cuentan con ayuda o guías rápidas ya sean en Word o pdf.
Si de hecho muchos de ellos cuentan con un sdk, lo cual quiere decir que tienes el
código fuente.
5. Enumere otros manuales con los que cuenta el software que usan en el área.
7. El manual Técnico utilizado, cuenta con todos los aspectos técnicos que se
deben considerar para el adecuado manejo del sistema, no solo en cuanto al
software y hardware, sino también en cuanto a su instalación y manejo de
información?
No a veces por falta de tiempo ya que salimos mucho a campo, aunque haya
alguien para suplir al que sale
Auditor (es) Responsable (s):
SI (X ) NO ( )
SI (X ) NO ( )
SI ( ) NO (X )
Por medio de hojas de servicio, te puedo pasar copias de algunos servicios que
hemos dado.
Soy gerente de sistemas y del área de soporte en fin con todo lo que tenga
que ver con computadoras.
Auditor (es) Responsable (s):
Contratos de seguros..
7. ¿Se realiza una revisión periódica de las hojas de servicio para verificar su
veracidad?
Depende del equipo, que se vaya a revisar, es muy común que se especifique que
capacidades debe de tener el equipo cuando vamos a hacer una instalación.
4. ¿Entonces hay que tener una preparación especial para hacer las
configuraciones?
Técnico en soporte
Bueno sé cómo manejar el software, pero que haya política para el manejo del
equipo, no mucho (se refiere a las computadoras)
Técnico
Si porque hay ocasiones en que no sabemos tratar con clientes cuando están
molestos por ejemplo.
Pues pienso que el departamento de ventas y RH, porque ellos tratan mucho
con el cliente.
Auditor (es) Responsable (s):
Técnico
No.
Sí.
Técnico
Sola no, pero cuando hay que reinstalar se hace una hoja de servicio, en donde
decimos que fue una reinstalación.
No.
Sí.
8. ¿Por qué?
9. ¿Y tú que propondrías?
Técnico
Si
4. ¿Por qué?
No.
6. ¿Por qué?
Porque los que se encargan de eso son los vendedores, pero a veces nos
comentan algo.
8. ¿Crees que es importante que se cree un manual de ustedes para los nuevos
sistemas?
Si, ya que se harían pruebas para saber cómo resolver algunas situaciones.
RESULTADOS.
Se han analizado todas las respuestas dando un valor a cada una de las
preguntas que van desde 1 hasta 10, es un indicador que nos permite hacer las
gráficas y ayuda a hacer el análisis correspondiente así como detectar las fallas
para cada punto a revisar y que fue redactado previamente.
Manual de software.
Respuestas
12
10
6
Respuestas
0
1 2 3 4 5 6 7 8 9
Contratos vigentes de compra, renta y servicio de mantenimiento ya sean que
otorguen o que reciban.
Respuestas
12
10
6
Respuestas
0
1 2 3 4 5 6 7 8 9 10
Contratos de seguros
Respuestas
9
Respuestas
4
0
1 2
Convenios que se tienen con otras instalaciones.
Respuestas
10
5
Respuestas
4
0
1 2 3 4
INFORME DE AUDITORIA CON5 ENFOQUE
6 7
DE 8
GESTIÓN
Configuración de los equipos y capacidades actuales y
máximas.
Respuestas
12
10
6
Respuestas
0
1 2 3 4 5
Políticas de operación.
Respuestas
12
10
6
Respuestas
0
1 2 3 4 5 6 7 8
Políticas de uso de los equipos y del software usado en el
área
Respuestas
12
10
6
Respuestas
0
1 2 3 4 5
10
6
Respuestas
0
1 2 3 4 5 6 7 8
Fecha de instalación de los sistemas.
Respuestas
12
10
6
Respuestas
0
1 2 3 4 5 6 7 8 9
Respuestas
12
10
6
Respuestas
0
1 2 3 4 5 6 7 8
GRUPO TELCO
Señor:
Grupo Telco.
Informe:
En cumplimiento a la auditoria y procedimientos, así como la papelería necesaria
para realizar la auditoria y que sirve para acreditar la materia en auditoria de
sistemas emitimos lo siguiente.
1. INFORMACION GENERAL
Alcance de la auditoria
Origen de la auditoria
Esta auditoria se realiza para la acreditación de la materia de auditoria de
sistemas que actualmente estamos cursando en la carrera de ingeniero en
sistemas computacionales.
Objetivo General
Evaluar el software y equipos informático empleado para dar soporte con los
requisitos y objetivos establecidos por Grupo Telco. Para de esta forma brindar de
manera eficiente un mejor servicio.
Objetivos Específicos
4.4. Evaluar las políticas sobre la utilización de los reportes generados por el área
a auditar
Factibilidad de la investigación
La factibilidad de esta auditoria dependerá en forma directa de la empresa; se verá
reflejado su interés dentro de la capacidad que demuestre ésta para apoyar dicha
propuesta, pues, es de vital importancia cualquier prestancia o apoyo total por
parte de la misma, para la realización de un proceso de auditoría que a su vez
propicie la aparición de una propuesta alternativa al conjunto software para
soporte dentro de esta organización para satisfacer una necesidad explicita.
Viabilidad de Tiempo
Con respecto al factor tiempo, este estudio se considera completamente factible,
por cuanto se cuenta con un periodo prudencialmente requerido para su desarrollo
(1 día), aun cuando implica un esfuerzo. Es de destacar un factor que incide en
beneficio del estudio. Lo cual hace más accesible la información con respecto a la
problemática que se pretende solventar.
Recursos
El número de personas que integraran el equipo de auditoria será de cuatro
personas así como equipo de cómputo portátil para elaborar los reportes, así
como equipo de comunicación (teléfonos, radios, teléfonos celulares).
Software, Windows XP Professional SP2. Microsoft office 2007, software para
documentos en pdf, y cliente de correo electrónico.
Apoyos materiales y administrativos, Muebles para los computadores, hojas
blancas. Lápices Mecánicos y Bolígrafos. Grapadoras. Tintas para impresora.
Etapas de trabajo
Técnicos de soporte.
Presentación del borrador del informe, al responsable del área
Se le presentara el informe borrador a un responsable del área sistemas, con el
máximo de detalle posible de todos los problemas y soluciones posibles
recomendadas, este informe se pasara por escrito en original y copia firmando un
documento de conformidad del mismo para adquirir un compromiso fuerte en la
solución de los mismos, de esta forma evitaremos posibles confusiones futuras.
Investigación preliminar
Se deberá observar el estado general del área, su situación dentro de la
organización, si existe la información solicitada, si es o no necesaria y la fecha de
su última actualización.
Administración
Se recopila la información para obtener una visión general del departamento por
medio de observaciones, entrevistas preliminares y solicitud de documentos para
poder definir el objetivo y alcances del departamento.
• Contratos de seguros.
• Políticas de operación.
• Manual de software.
• Descripción genérica.
• No tiene y se necesita.
• No se tiene y no se necesita.
• No se usa.
• Es incompleta.
• No está actualizada.
• No es la adecuada.
No se tiene el valor real de los equipos y falta de inventarios físicos para saber que
tienen ya que hemos detectado que entra y sale equipo de la empresa sin un
control para verificar cuales van a ser instalados, cuáles van a ser para hacer
demostraciones, rentados, o mandados a garantía, lo cual perjudica en gran
medida a los costos de la empresa y que hemos notado una fuga de capital sobre
la inversión, debido a que como no hay control sobre los materiales pueden estar
sustrayendo sin conocimiento del encargado del área. o del dueño de la empresa,
además falta la identificación del equipo que tienen para probar o saber si esta de
planta para solo hacer pruebas funcionales o de maquetados para resolver futuros
problemas en las instalaciones, así como falta de espacios exclusivos para las
áreas que cubre soporte, como son cctv, enlaces, telefonía o sistemas contra
incendios.
En este punto hay que resaltar que es evidente la falta de una manual de
políticas ya sean de operación interna o de operación externa, esto es
importante ya que hace que el indicador de la calidad del servicio de la
compañía decaería y se perderían clientes que son importantes para que la
empresa siga operando, no decimos que el sentido común no sea
importante pero es mejor plasmarla para estar claros de los alcances del
trato a los clientes u operaciones de soporte dentro de la empresa.
Aquí hay que ser claros ya que si es un área de soporte, no se puede usar
otro software más que el destinado para los propósitos del área, además de
los problemas de seguridad que se pueden llegar a presentar, como son:
La presencia de virus informáticos que pueden ser transmitidos a los demás
equipos vía red dentro de la empresa, además de que se pude saturar el
tráfico de la red interna (LAN), si en lugar de estar probando el software
para los equipos que son instalados en las computadoras de los clientes,
Están bajando música por citar un ejemplo, además hemos notado que el
uso de los equipos no es a veces el mejor ya que detectamos personal de
otras áreas que ingresan al área auditada y que usan equipo informático y
no se sabe si tienen la suficiente capacitación para usarlos, además de
poder generar problemas como los mencionados anteriormente.
8. Manual de software.
RECOMENDACIONES
A pesar de tener una buena preparación académica por parte de los integrantes
del área de soporte técnico ya sea para uso de servicio a clientes o de uso interno
de la empresa, falta más capacitación y tener más personal de apoyo para que
haga el trabajo ya sea telefónicamente o por medios informáticos como sería una
conexión remota a otra computadora para revisar el edo. Del software de los
sistemas que instala la empresa, hace falta elaborar documentos en donde se
muestren a los empleados las políticas de la empresa tanto a nivel interno como
de servicio, ya que hemos notado actúan por sentido común y no por una guía que
se puntualmente actualizada, también hace falta un poco más de capacitación de
cuanto al manejo de idiomas ya que muchos de sus documentos, refiriéndonos a
los manuales que manejan muchos son en idioma ingles y hemos notado que
escanean estos documentos y que luego son traducidos por un software en línea
como lo es el google translator.
1. Número de equipos, localización y las características (de los
equipos instalados y por instalar y programados)
3. Contratos de seguros.
6. Políticas de operación.
8. Manual de software.
Un plan de cinco s estaría bien que fuere implementado dentro del área
porque vimos mucho desorden y esto hacer difícil de encontrar los
manuales, así como su correcta encuadernación y clasificación por
especialidades e idiomas.