Date post: | 11-Dec-2014 |
Category: |
Documents |
Upload: | marcelly-guano |
View: | 43 times |
Download: | 5 times |
AUDITORIA INFORMATICA “FLASH NET”
Trabajo presentado a:ING. ESP. Esteban A. Figueroa Chaves
FUNDACION UNIVERSITARIA SAN MARTINCONTADURIA PÚBLICA
IPIALES2013
1
AUDITORIA INFORMATICA “FLASH NET”
SANDRA CHARFUELANINES VASQUEZ
MARCELLY DEL PILAR GUANO ERIRADAVID ENRIQUE NARVAEZ
OCTAVO SEMESTRE
FUNDACION UNIVERSITARIA SAN MARTINCONTADURIA PÚBLICA
IPIALES2013
2
TABLA DE CONTENIDO
3
Pág.INTRODUCCIÓN 51 Carta y propuesta de auditoria 6 2 Carta de aceptación de la propuesta 143 Contrato de auditoria 15 4 Memorando inicio de actividades 205 Plan de auditoria
5.1 actividades de la auditoria informática 215.2 alcance de la auditoria informática 215.3 Objetivos 21 · General · Especifico5.4 Diagnostico preliminar 225.5 Estudio inicial del entorno 23 5.6 Áreas susceptibles de auditoria 285.7 Organización 285.8 Plan de trabajo 29 5.9 Cronograma de trabajo 31 5.10 Posibles costos de la auditoria 335.11 Entorno operacional 33 · Situación geográfica de los sistemas 33 · Arquitectura y configuración de hw y sw 33 · Comunicación y redes de comunicación 34
6 Programas auditados 6.1 Cyber Planet 356.2 Full Carga 366.3 Informe reportado por full carga 37
7 Hallazgos 7.1 Falta de documentos legales 387.2 Códigos y Contraseñas 397.3 Almacenamiento de copias de la información 407.4 Control de seguridad 417.5 Organización empresarial 427.6 Seguridad en las instalaciones 437.7 Seguridad en las instalaciones 44
8 Informe final 45 CONCLUSIONES 48ANEXOS 49Cuestionarios - Entrada de Datos 50
4
- Procesamiento de Datos 52 - Salida de Información 53
Características de Verificación de Auditoria Física 54Formato de Encuestas 55
INTRODUCCION
5
FLASH NET es una pequeña empresa dedicada a brindad al público, el servicio de investigación, comunicación y asesoría en telefonía móvil, esta se constituyen en una herramienta de gran importancia tanto interna como externa para la sociedad.
Es una Empresa altamente comprometida con el servicio a sus clientes trabajando día a día por el mejoramiento continuo de las labores encomendadas con el personal. Su objetivo es satisfacer las necesidades de sus clientes, contando para ellos con personal altamente calificado para desarrollar esta actividad.
6
ITM AUDITORES LTDA.NIT. 800.456.768-9
Calle 14 N° 7-59 IPIALES-NARIÑOTEL: 773 33 83 - 3163245399
Ipiales, 21 de Enero de 2012
SeñoresFLASH NETCiudad.
De acuerdo con su petición para realizar la auditoria de sistemas de su empresa FLASH NET nos es grato presentar, realizar y ejecutar la auditoría de sistemas para el año terminado el 31 de Diciembre de 2012, la cual hemos preparado teniendo en cuenta el alcance de la auditoria de sistemas, las normas de auditoría generalmente aceptadas en Colombia y demás disposiciones legales que regulan las actividades de la empresa. Dichas normas requieren que planeemos y desarrollemos la auditoría de sistemas para obtener una certeza razonable sobre si la empresa en toda su parte informática y en los programas que utiliza se encuentra libre de manifestaciones erróneas importantes. Una auditoría incluye el examen, sobre una base de pruebas, de la evidencia que soporta la empresa en sus equipos informáticos y programas que esta utiliza.
Atentamente,
ITM AUDITORES LTDA.CONTADORES PÚBLICOS
__________________________SANDRA CHARFUELAN
Auditor EncargadoT P 400002-T
7
ANTECEDENTES
Nuestra firma fundada desde el año de 2001 por la actual socia y directora C.P. Marcelly Guano, el compromiso como tal ha sido el de prestar a sus clientes el más completo y profesional servicio de contaduría pública con absoluta integridad y de acuerdo a las normas establecidas por la profesión. Los servicios básicos de la Firma abarcan el servicio integral de contabilidad, auditoría financiera y operacional, de cumplimiento, de gestión y resultados, administrativa, operativa, de control interno, de cumplimiento de normas, de sistemas, consultoría administrativa, financiera, en sistemas e impuestos, así como la asistencia en operaciones o negocios internacionales, y revisoría fiscal.
Todos estos servicios, orientados a negocios grandes y pequeños, son prestados a través de profesionales altamente calificados, utilizando como herramienta la más alta tecnología disponible en cada una de las áreas maximizando las oportunidades de sus clientes en el mercado nacional e internacional.
PERFIL PROFESIONAL
C.P MARCELLY GUANO
FORMACION ACADEMICA
CONTADOR PÚBLICO, Pontificia Universidad Javeriana
ESPECIALISTA EN AUDITORIA FINANCIERA, Pontificia Universidad Javeriana
ESPECIALISTA EN ALTA GERENCIA, Universidad Nacional de Colombia
ESPECIALISTA EN FINANZAS Y ADMINISTRACION PUBLICA, Universidad Santo Tomas
EXPERIENCIA LABORAL
COLTEJER, Auditor Externo.
MOTORES COLOMBIA, Revisor Fiscal
BANCOLOMBIA, Auditor Externo.
UNIVERSIDAD NACIONAL DE COLOMBIA, Docente
UNIVERSIDAD COOPERATIVA DE COLOMBIA, Docente
8
ALPINA, Contador Publico
BANCO POPULAR, Revisor Fiscal
BIMBO, Asesor
BBVA, Auditor Externo
ING.SISTEMAS DAVID NARVAEZ
FORMACION ACADEMICA
INGENIERO DE SISTEMAS, Fundación Universitaria San Martin. ‘FUSM’.
DIPLOMADO EN NUEVAS TECNOLOGIAS EN LAS ORGANIZACIONES, Universidad Manuela Beltrán.
ESPECIALISTA EN AUDITORIA DE SISTEMAS, Universidad del Rosario
EXPERIENCIA LABORAL
FUNDACION UNIVERSITARIA SAN MARTIN, Docente.
PERSONERIA MUNICIPAL DE IPIALES, Asesor en sistemas.
BANCO AV VILLAS, Ingeniero encargado
ALMACENES ÉXITO, Ingeniero encargado
ING.SISTEMAS INES VASQUEZ
FORMACION ACADEMICA
INGENIERO DE SISTEMAS, Universidad Nacional Bogotá D.C.
ESPECIALISTA EN AUDITORIA DE SISTEMAS, Universidad Manuela Beltrán
EXPERIENCIA LABORAL
9
UNIVERSIDAD SANTIAGO DE CALI, Docente.
ALCALDIA MUNICIPAL DE PASTO, Asesor en sistemas.
BANCO DE BOGOTA PASTO, Ingeniero encargado
BANCO DE OCCIDENTE IPIALES, Ingeniero encargado
C.P.SANDRA CHARFUELAN
FORMACION ACADEMICA
CONTADOR PUBLICO, Universidad del Rosario
ESPECIALISTA EN REVISORIA FISCAL, Pontificia Universidad Javeriana
ESPECIALISTA EN AUDITORIA FINANCIERA , Universidad Nacional Bogotá D.C
ESPECIALISTA EN AUDITORIA DE SISTEMAS, Universidad Santiago de Cali
EXPERIENCIA LABORAL
UNIVERIDAD NACIONAL DE BOGOTA, Docente.
BANCO BBVA DE BOGOTA, Auditor Financiero.
ALMACEN ÉXITO PASTO, Auditor en Sistemas
ALCALDIA MAYOR DE BOGOTA, Jefe de Control Interno
RESUMEN EJECUTIVO
Efectuaremos nuestra propuesta de auditoría de sistemas de acuerdo con las Normas de Auditoría de General Aceptación vigentes en Colombia, dicha
10
propuesta la damos a conocer en el presente resumen ejecutivo, y desde ya garantizamos los resultados esperados.
Las normas requieren que planeemos y desarrollemos la auditoría de sistemas para así obtener una certeza razonable, evaluando como tal la gestión y el movimiento informático en los equipos de computo y los programas de uso de la empresa FLASH NET de la ciudad de Ipiales. En nuestra auditoría de sistemas se elaborara e implementara un programa de actividades que analice, verifique y detecte los posibles errores en el funcionamiento de los equipos de computo y de sus programas, con el propósito de perfeccionar y corregir las fallas técnicas y tecnológicas de la empresa antes mencionada, y de esta manera proporcionar un mayor control, eficiencia y eficacia de la entidad.
Esta propuesta define nuestra capacidad de servicio para desempeñar la Auditoria de sistemas en la empresa.
RECONOCIMIENTO Y EXPERIENCIA
La entidad requiere una Auditoria de sistemas personalizada, con el reconocimiento profesional apropiado y la capacidad de servir y satisfacer sus necesidades presentes y futuras.
El compromiso de la Firma ITM AUDITORES LTDA, ha sido el de prestar a sus clientes el más completo y profesional servicio de contaduría pública con absoluta integridad y de acuerdo a las normas establecidas por la profesión. Los servicios básicos de la Firma abarcan el servicio integral de contabilidad, auditoría financiera y operacional, consultoría administrativa, financiera, en sistemas e impuestos, así como la asistencia en operaciones o negocios internacionales.
Todos estos servicios, orientados a negocios grandes y pequeños, son prestados a través de profesionales altamente calificados, utilizando como herramienta la más alta tecnología disponible en cada una de las áreas maximizando las oportunidades de sus clientes en el mercado nacional e internacional.
Merece especial mencion enfatizar que nuestro trabajo será en su totalidad personalizado, esto es, que seremos nosotros mismos los que desarrollemos la Auditoria de sistemas en las instalaciones de la empresa, ya que por la importancia de la misma, no confiaremos en asistentes la responsabilidad que una Auditoria de sistemas seria debe ofrecer.
Ademas, la entidad necesita que la Auditoria de sistemas se dedique por mucho mas tiempo a sus labores de revision y fiscalizacion, por consiguiente, en nuestra propuesta planificamos la realizacion de tres (3) visitas a la semana.
Nuestro examen se efectuará de conformidad con las normas de auditoría generalmente aceptadas en Colombia, incluirá todas las pruebas que juzguemos oportunas en vista de las circunstancias. Dichas pruebas son de carácter selectivo
11
y no necesariamente servirán para detectar todas las irregularidades que pudieran existir en la entidad, sin embargo, tendríamos en mente esa posibilidad, que de presentarse las haríamos de su conocimiento inmediatamente. Nuestra opinión con respecto a los equipos y programas a auditar, se emitirá con plena independencia de la entidad y será el resultado de la aplicación de las normas de auditoría antes mencionadas.
EQUIPO PROFESIONAL
Para este compromiso que lo asumiremos personalmente utilizaremos las pruebas físicas para la comprobación de evidencia con la aplicación dentro de una auditoría de sistemas o prestación de servicios de aseguramiento por parte de nosotros como contadores públicos.
Como firma auditora y asesora actuaremos con profesionalismo, sin limitación de tiempo ni horario, pero con toda la amplitud que sea necesaria para lograr una eficiente y decorosa actuación profesional.
Para poder desarrollar el trabajo propuesto, ITM AUDITORES LTDA se obliga a mantener un sistema de comprobantes y archivo ordenados, facilidad de inspección física de los documentos, equipos y programas de la empresa y a suministrarnos cuanta información sea necesaria para el total cumplimiento de nuestras obligaciones.
PROGRAMA
Se realizaran las pruebas de cumplimiento y se determinara el manejo adecuado de los programas y de la información importante de la empresa, además del buen estado de los equipos y de las instalaciones.
1. Preparar un informe con el resultado del trabajo.
2. Planear y realizar las pruebas sustantivas y físicas de las operaciones que ejecutan los programas dentro de la empresa y el buen funcionamiento de estos.
Se utilizaran como tal diferentes técnicas para la realización de la auditoria o de sistemas, como las siguientes:
LA TECNICA DE VERIFICACION VERBAL como la indagación; El empleo cuidadoso de esta técnica puede determinar la obtención de información valiosa que sirve más como apoyo que como evidencia directa en el juicio definitivo al auditor. La respuesta a una sola pregunta es excepcionalmente una porción minúscula del elemento de juicio en el que se puede confiar, pero las respuestas a
12
muchas preguntas que se relacionan entre sí pueden suministrar un elemento de juicio satisfactorio, si todas son razonables y consistentes.
La indagación es de especial utilidad en la auditoría de desempeño cuando se examinan áreas específicas no documentadas, mas sin embargo los resultados de la indagación por si solos no constituyen evidencia suficiente y competente.
LA CONFIRMACION, a través de ella se realizara la ratificación por parte de terceras personas sobre la autenticidad de la información, la ejecución de una operación o hecho similar en la que tomó parte, lo cual le .da plena capacidad para informar válidamente sobre lo ocurrido.
Con esta técnica además se verificara la autenticidad de las operaciones, procesos y procedimientos, observando si cumplen con su adecuado registro y control.
LA INSPECCION, a través de esta técnica y mediante el análisis físico de las instalaciones, de los equipos, de documentos, de los programas utilizados, se justificara que el importe de los equipos y programas está acorde con las necesidades de la empresa.
LA COMPROBACION, se comprobara como tal que las obligaciones relacionadas con los equipos y programas que maneja la empresa, representan transacciones válidas, están determinadas adecuadamente y están reconocidos, descritos y clasificadas adecuadamente.
INFORMES A PRESENTAR
INFORMES Y COMUNICACIONES
Documentación de la Auditoría
Preparación del informe de la auditoría. El informe de la auditoría será preparado bajo la dirección del auditor principal, el cual es responsable de su exactitud e integridad.
Informe de Auditoría
Redacción:
Veraz, objetivo, breve, sencillo.
Finalmente, expresamos un sincero agradecimiento por la oportunidad que nos brindan de presentarles nuestra propuesta de servicios profesionales y estamos seguros que nuestra relación será mutuamente beneficiosa.
13
Cordialmente,
Sandra CharfuelanSANDRA CHARFUELAN.
Auditor EncargadoT.P 400002-T
14
CARRERA 5TA CON CALLE 6 # 4NBIS 84
BARRIO TOTORAL
Ipiales, 25 de Enero de 2012
SEÑORESITM AUDITORES LTDACIUDAD Cordial saludo.
Me permito comunicarle que la propuesta de auditoría informática enviada por su empresa, nos ha impresionado favorablemente, por consiguiente su firma ITM AUDITORES LTDA ha sido elegida para realizar dicha auditoria.
Del mismo modo me gustaría informarle acerca de los términos del contrato relacionados con la auditoria informática que se va a ejecutar. Hemos preparado los documentos pertinentes que se le enviarán a usted junto con esta carta. También nos gustaría hablar acerca de su propuesta y los planes para su ejecución. Queremos tener una reunión para discutir sobre la auditoria a realizar y sus trámites. Por lo tanto esperamos su presencia en nuestras instalaciones el día 31 de Enero de 2013 en las horas de la mañana y así concretar los trámites concernientes al contrato de la auditoria a ejecutar.
Le agradecemos de antemano la oportunidad que nos brinda de iniciar una relación laboral con usted y quedamos a la espera de recibir el contrato.
Atentamente
Rigo Antonio Ortega HernándezRIGO ANTONIO ORTEGA HERNANDEZ
GERENTEAnexo: contrato.
CONTRATO DE AUDITORIA EN INFORMATICAContrato de prestación de servicios profesionales de auditoría en informática que celebran por una parte FLASH NET, representado por RIGO ANTONIO ORTEGA HERNANDEZ su carácter de propietario y que en lo sucesivo se denominara “el cliente”, por otra parte ITM AUDITORES, representada por MARCELLY GUANO ERIRA a quien se denominara “el auditor”, de conformidad con las declaraciones y clausulas siguientes:
15
DECLARACIONESI. El cliente declara:
a) Que es una ___________________________________b) Que está representando para este acto por Rigo Antonio Ortega Hernández y
que tiene como su domicilio Carrera 5ta Con Calle 6 # 4-84 Barrio Totoral.
c) Que requiere obtener servicios de auditoría en informática, por lo que ha decidido contratar los servicios del auditor.
II. Declara el auditor: a) Que es una sociedad anónima, constituida y existente de acuerdo con las
leyes y que dentro de sus objetivos primordiales está el de prestar auditoria informática, _____________________________________
b) Que está constituida legalmente según escritura numero _______ de fecha ________________ ante el notario público número _______ del __________________ Lic. __________________________.
c) Que señala como su domicilio Calle 14 N° 7-59 Ipiales-Nariño.III. Declaran ambas partes:a) Que habiendo llegado a un acuerdo sobre lo antes mencionado, lo formalizan
otorgando el presente contrato que se contiene en las siguientes:
CLAUSULASPRIMERA. OBJETOEl autor se obliga a prestar al cliente los servicios de auditoría en informática para llevar a cabo la evaluación de la dirección de informática del cliente, que se detalla en la propuesta de servicios anexada que, firmada por las partes, forma parte integrante del contrato. SEGUNDA. ALCANCE DEL TRABAJO El alcance de los trabajos que llevara a cabo el auditor interno dentro de este contrato son: a. Evaluaciones de la dirección de informática en lo que corresponde a:
Su organización Funciones Estructura Cumplimiento de objetivos Recursos humanos Normas y políticas Capacitaciones Planes de trabajo Controles Estándares Condiciones de trabajo Situación presupuestal y financiera
b. Evaluación de los sistemas:
16
Evaluación de los diferentes sistemas en operación (flujo, procedimientos, documentación, organización de archivos, estándares de programación, controles, utilización de los sistemas)
Opiniones de los usuarios Evaluación de avances de los sistemas de desarrollo y congruencia con el
diseño general, control de proyectos, modularidad de los sistemas. Evaluación de prioridades y recursos asignados (humanos y equipos de
computo) Seguridad lógica de los sistemas, confidencialidad y respaldos. Derechos del autor y secretos industriales, de los sistemas propios y de los
utilizados por la organización. Evaluación de las bases de datos
c. Evaluación de los equipos: Adquisición, estudios de viabilidad y costo-beneficio Capacidades Utilización Estandarización Controles Nuevos proyectos de adquisición Almacenamiento Comunicación Redes Equipos adicionales Respaldos de equipos Contratos de compra, renta o renta con opción a compra. Planes y proyectos de adquisición de nuevos equipos Mantenimientos
d. Evaluación de la seguridad: Seguridad lógica y confidencialidad Seguridad en el personal Seguridad física Seguridad contra virus Seguros Seguridad en la utilización de los equipos Seguridad en la restauración de los equipos y de los sistemas Plan de contingencia y procedimientos en caso de desastres
e. Elaboración de informes que contengan conclusiones y recomendaciones por cada uno de los trabajos señalados en los inicios a, b, c, d de esta clausula.
TERCERA. PROGRAMA DE TRABAJO.El cliente y el auditor convienen en desarrollar en forma conjunta un programa de trabajo en el que se determine con precisión las actividades a desarrollar por cada una de las partes, los responsables de llevarlas a cabo y con las fechas de realización.CUARTA. SUPERVISION.
17
El cliente o quien designe tendrá derecho a supervisar los trabajos que se le han encomendado al auditor dentro de este contrato y a dar por escrito las instrucciones que estime convenientes.QUINTA. COORDINACION DE LOS TRABAJOS. El cliente designara por parte d la organización a un coordinador del proyecto, quien será el responsable de coordinar la recopilación de la información que solicite el auditor, y de
que las reuniones y entrevistas establecidas en el programa de trabajo se lleven a cabo en las fechas establecidas.SEXTA. HORARIO DE TRABAJO.El personal del auditor dedicara el tiempo necesario para cumplir satisfactoriamente con los trabajos materia de la celebración de este contrato, de acuerdo al programa de trabajo convenio por ambas partes, y gozara de libertad fuera del tiempo destinado al cumplimiento de las actividades, por lo que no estará sujeto a horarios y jornadas determinadas. SEPTIMA. PERSONAL ASIGNADO. El auditor designara para el desarrollo de los trabajos objeto de este contrato a socios del despacho. Quienes, cuando consideren necesario, incorporaran personal técnico capacitado de que dispone la firma, en el número que se requieran de acuerdo a los trabajos a realizar. OCTAVO. RELACION LABORAL.El personal del auditor no tendrá ninguna relación laboral con el cliente y queda expresamente estipulado que este contrato se suscribe en atención a que el auditor en ningún momento se considera intermediario del cliente respecto al personal que ocupe para dar cumplimiento de las obligaciones que se deriven de las relaciones entre él y su personal, y que exime al cliente de cualquier responsabilidad que a este respecto existiere. NOVENA. PLAZO DE TRABAJO.El auditor se obliga a terminar los trabajos señalados en las clausulas segunda de este contrato en 20 dias habiles despues de la fecha en que se firme el contrato y sea cobrado el anticipo correspondiente. El tiempo estimado para la terminacion de los trabajos esta con relacion a la oportunidad con que el cliente entregue los documentos requeridos por el auditor y al cumplimiento de las fechas esti´puladas en el programa de trabajo aprobado por las parte, por lo que cuaalquier retraso ocasionado por parte del personal dsel cliente o de usuarios de los sitemas repercutira en el plazo estipulado, el cual debera incremetnarse de acuerdo a las nuevas fechas establecidas en el programa de trabajo sin perjuicio alguno para el auditor. DECIMA. HONORARIOS.El cliente parara al auditor por los trabajos objeto del presente contrato, honorarios por la cantidad de $ 5.000.000 mas el impuesto al valor agregado correspondiente. La forma de pago sera la siguiente:
a. 50% a la firma del contrato.b. 30 % a los 11 dias habiles despues de iniciados los trabajos. c. 20 % a la terminacion de los trabajos y presentacion del informe final.
UNDECIMA. ALCANCE DE LOS HONORARIOS. El importe señalado en la clausula decima compensara al auditor por sueldo, honorarios, organización y deireccion tecnica propia de los servicios de auditoria, prestaciones sociales y laborales de su personal. DUODECIMA. INCREMENTO DE HONORARIOS.En caso de que se tenga un retraso debido a la falta de entrega de informacion, demora o cancelacion de las reuniones, o cualquier otra causa imputable al cliente, este contrato se
18
incrementara en form a proporcional al retraso y se señalara el incremento de comun acuerdo.DECIMOTERCERA. TRABAJOS ADICIONALES. De ser necesaria alguna adicion a los alcances o productos del presente contrato, las partes celebrearn por separado un convenio que formara parte Integrante de este intrumento y en forma conjunta se acordara el nuevo costo. DECIMOCUARTA. VIATICOS Y PASAJES. El importe de los viaticos y pasajes en que incurra el auditro en el traslado, hospedaje y alimentacion que requieran durante su permanencia en la ciudad de IPIALES, como concecuencioa de los trabajos objeto de este contrato, sera por cuenta del cliente. DECIMOQUINTA. GASTOS GENERALES. Los gastos de fotocopiado y dibujo que se produzaca con motivo de este contrato correran por cuentadel cliente. DECIMOSEXTA. CAUSAS DE RESCISION. Seran causa de recision del presente contrato la violacion o incumplimiento de cualquiera de las causas de este contrato. DECIMOSEPTIMA. CAUSAS DE RESCISION. Todo lo no preevisto en este contrato se regira por las disposiciones relativas, contenidas en el Codigo Civil del ____________________ y, en caso de controversia para su ointerpretacion y cumplimiento, las partes se someten a la jurisdiccion de los tribunales federales, renunciado al fuero que les pueda corresponder en razon de su domicilio presente o futuro. Enteradas las partes del contrato y alcance legal de este contrato, lo rubrican y firman de conformidad, en original y tres copias, en la ciudad de IPIALES, el dia 31 de Enero de 2013.
Rigo Antonio Ortega Hernandez Marcelly Guano Erira EL CLIENTE EL AUDITOR
19
CARRERA 5TA CON CALLE 6 # 4NBIS 84
BARRIO TOTORAL
Ipiales, 01 de Febrero 2013
Para: Todos los empleados de FLAH NETAsunto: Inicio de la auditoria informática
Se les informa por este medio el inicio de la auditoria informática que va a ser realizada por la firma ITM AUDITORES, esperamos la colaboración de todos en la entrega oportuna de toda la documentación que sea requerida para dicha auditoria.
Atentamente
Rigo Antonio Ortega HernándezRIGO ANTONIO ORTEGA HERNANDEZ
GERENTE FLASH NET
PLAN DE AUDITORIA
1. ACTIVIDADES DE LA AUDITORIA INFORMATICAa. Origen de las transacciones de full carga y Cyber Planet
20
b. Entrada de datos de full carga y Cyber Planetc. Procesamiento de datos de full carga y Cyber Planetd. Salida de información de full carga y Cyber Planete. Pruebas a realizar de full carga y Cyber Planet
2. ALCANCE DE LA AUDITORIA INFORMATICANuestra auditoria, comprende el presente periodo 2013 y se ha realizado en la empresa FLASH NET específicamente en los programas de Cyber Planet y Full Carga los cuales son los que permiten el funcionamiento de la empresa de acuerdo a las normas y demás disposiciones aplicable al efecto.
RecursosEl numero de personas que integraran el equipo de auditoria sera de cuatro entre ellas encontramos:
David Narvaez Ing Sist. Ines Vasquez Ing. Sist. Sandra Charfuelan C.P Marcelly Guano C.P
3. OBJETIVO GENERAL
Revisar y Evaluar los controles, sistemas, procedimientos de informática; de los equipos de cómputo, su utilización, eficiencia y seguridad, de la empresa que participan en el procesamiento de la información, por medio de una auditoria de sistemas basada en la seguridad física y revisión objetiva y analítica de los programas utilizados, a fin de que por medio del señalamiento de las falencias encontradas se logre una utilización más eficiente y segura de la información que servirá para una adecuada toma de decisiones.
OBJETIVOS ESPECIFICOS
Evaluar el diseño y prueba de los programas Cyber Planet y Full Carga en el servidor.
Determinar la veracidad de la información registrada en estos programas.
Evaluar la forma como se administran los dispositivos de almacenamiento básicos y los programas informáticos utilizados pare el desarrollo y funcionamiento de la empresa.
Evaluar el control que se tiene sobre el mantenimiento y las fallas de los equipos de cómputo.
Verificar si están estipuladas las disposiciones y reglamentos que ayuden al mantenimiento y orden de la empresa.
Calificar la seguridad de la información y física de cada equipo de cómputo y de las instalaciones de la empresa.
21
4. DIAGNOSTICO PRELIMINAR
Descripción
Consiste en realizar un análisis del estado actual en materia de su manejo informático y la prestación del servicio. Teniendo en cuenta las existencias dentro de la empresa se espera que la recolección preliminar de estos datos sea ágil ya que de esto depende el mejoramiento de la empresa, su buena imagen y de la prestación de un buen servicio a sus clientes.
Estado actual de la empresa
Flash Net, actualmente atraviesa por momentos críticos en cuanto a situaciones administrativas, financieras, los programas que desarrolla la empresa no funcionan adecuadamente, pues falta conocimiento de los empleados para el manejo de dichos programas, aunque cabe resaltar que las instalaciones si son adecuadas, al igual que la estructura organizacional de la empresa, cuenta con suficientes empleados para el desarrollo de la actividad.
Necesidad de una auditoria
No coinciden los objetivos de toda el área de sistemas.
No cuentan con soportes de los sistemas lo cual Puede causar el cierre de la empresa por parte de la DIAN por el uso ilegal de sus programas.
Se perciben fallas de internet y recargas.
No existe una adecuada atención a los clientes.
No se lleva un registro adecuado de entradas y salidas de dinero.
Incremento desmesurado de costos.
No se encuentra un punto de equilibrio dentro de los ingresos de la empresa,
pues falta control económico-administrativo.
Tiempo presupuestado
1 mes
Fecha de inicio
1 de Febrero de 2013
Fecha de Entrega Final
1 de Marzo de 2013
Objetivo
22
Obtener el modelo real y actual del manejo y funcionamiento de cada uno de sus programas y de esta manera poder determinar el estado de la empresa y sus falencias.
Responsables DirectosSandra Charfuelan C.P Marcelly Guano C.PDavid Narváez ING. SISInés Vásquez ING. SIS.
Obtención de los Resultados
En esta etapa se obtendrán los resultados que surjan de la aplicación de los procedimientos de control y las pruebas realizadas a fin de poder determinar si se cumple o no con los objetivos de control. Los datos obtenidos se registrarán en planillas realizadas a medida para cada procedimiento a fin de tener catalogado perfectamente los resultados con el objetivo de facilitar la interpretacion de los mismos y evitar interpretaciones erroneas.
5. ESTUDIO INICIAL DEL ENTORNO
INFORMACION DE LA EMPRESA
RAZON SOCIAL: FLASH NET
DIRECCION: CARRERA 5TA CON CALLE 6 # 4NBIS 84 BARRIO TOTORAL
PROPIETARIO: RIGO ANTONIO ORTEGA FERNANDEZ
23
1. FAMILIARIZACION
1.1 ESTUDIO AMBIENTAL
Flash net se encuentra ubicada en la carrera 5ta con calle 6 # 4-84 Barrio Totoral
en la ciudad de Ipiales, donde se encuentran las instalaciones para atención y
servicio al cliente.
Flash net cuenta con personal joven, con experiencia en sistemas, dispuesto a dar
lo mejor de cada uno para posesionarse en el mercado como una de las mejores
salas de internet, que presta un servicio con eficiencia y eficacia.
24
1.2OBJETIVOS
OBJETIVO GENERAL
Generar un espacio de interconectividad innovador, con su funcionamiento
basado en profundos conceptos tecnológicos y comerciales, manteniendo
un esquema de servicio al cliente dirigido, cumplible y medible, con el fin de
llegar al nivel más cercano de satisfacción total en la prestación de nuestro
servicio.
OBJETIVOS ESPECIFICOS
Reproducir en el centro de tecnología la sensación de calidez humana y
comodidad que se siente al utilizar una herramienta tecnológica en el hogar.
Crear un formato tecnológico innovador, que abarque tanto las diferentes
formas de conectividad.
Ofrecer una alternativa de entretención y capacitación a los usuarios, por
medio del diseño previo de un calendario de actividades.
1.3MISION
Satisfacer al usuario la necesidad de comunicación con los diversos medios
tecnológicos existentes, por medio de un servicio integral y compacto de atención
personalizada, comodidad en las instalaciones y disponibilidad de los recursos
existentes para una rápida comunicación de internet, telefonía e interactividad
virtual.
1.4VISION
Posicionarnos en el mercado como una de las mejores salas de Internet, que
contribuya en la capacitación de la nueva era informática de la sociedad ipialeña,
además de crear una cultura en el uso de los computadores, formación informática
y sistemas, como una herramienta que permita hacer más fácil y ameno el que
25
hacer diario en la casa, en la oficina, en el colegio, en la universidad y en cada una
de las actividades propias del desempeño humano.
2. POLITICA
Nos centramos en una política de Servicio al Cliente, brindándole las herramientas
necesarias que permitan el cumplimiento de los objetivos. La satisfacción de las
necesidades de comunicación, con un valor agregado que nos den un rasgo
diferenciador en el mercado, con una estructura organizacional definida, nos
permitirá regirnos por un estándar de calidad que lleven a la organización a un
seguro crecimiento.
3. SERVICIOS
Navegación por internet servicio de impresión en blanco y negro o color, servicio
de fotocopias servicio de escaneo de imágenes y documentos servicio de
quemado de dvd’s y cd’s, servicio de llamadas a celular, local y larga distancia
nacional e internacional, servicio de fax, venta de recargas electrónicas.
4. VALORES
Organización orientada al cliente.
Gente con calidad y continuo desarrollo.
Responsabilidad con la clientela.
Ética y honestidad.
Calidad en los servicios.
Excelente tecnología
5. ANALISIS FODA.
FORTALEZAS DEBILIDADES
26
ADMINISTRADOR
PLANTA DE EMPLEADOS
INGENIERO DE
SISTEMAS
Alta demanda por dicho servicio, dado que es un bien bastante necesario en estos días.
Poca incorporación de competidores directos en este rubro.
Diversidad de productos, amplia unidad de negocio
Obtención de patentes y permisos municipales.
Alto costo en implementación tecnológica.
OPORTUNIDADES AMENAZAS
Valor agregado de flash net Buena relación con proveedores. Posicionamiento estratégico del
local. Baja rivalidad entre competidores
directos. Precios relativamente cómodos.
Entrada de nuevos participantes con grandes capitales
Rápidos cambio tecnológicos en el área computacional.
Entrada de redes domiciliarias a bajo precio.
6. ESTRUCTURA ORGANIZACIONAL
7. VISITA A LAS INSTALACIONES
27
ADMINISTRADOR
PLANTA DE EMPLEADOS
INGENIERO DE SISTEMAS
6. AREAS SUSCEPTIBLES DE AUDITORIA
Por ser una empresa pequeña solo posee un área que es la prioridad de nuestra auditoria y es en la que abarca todo el sistema requerido para nuestro trabajo a realizar.
7. ORGANIZACIÓN
ORGANIGRAMA
28
NÚMERO DE PUESTOS DE TRABAJO
8. PLAN DE TRABAJO
PLAN DE AUDITORIA1. AREAS A AUDITAR
Nuestra empresa por ser pequeña y de poca trayectoria solo tiene un área en la cual se realizara el proceso de auditoría, esta empresa se dedica al servicio del cliente, sus principales actividades son internet, recargas de celular y minutos; en cuanto al internet y las recargas la empresa maneja unos programas los cuales serán nuestro principal centro de atención ya que ellos son los que permiten el funcionamiento de la misma.
2. RESPONSABLES En nuestra auditoria los principales responsables de esta área son:
1. Jairo Rosero. Realiza el manejo de los computadores y el programa Cyber Planet
2. Juan C. Hidalgo. Realiza las recargas, maneja el programa de Full Carga y se encarga de los minutos.
3. METODOLOGIA
La metodología de investigación a utilizar en nuestra auditoria se presenta a
continuación:
1. Para la evaluación del Área de Informática y de sus equipos se llevarán a
cabo las siguientes actividades:
Solicitud de los documentos y licencias de los programas
Solicitud de las características de los equipos actuales
Solicitud de contratos de compra y mantenimientos de equipo y
sistemas
29
Núm. NOMBRES Y APELLIDOS CARGO TIEMPO1 Rigo Antonio Ortega Administrador No maneja
2 Jairo Rosero Empleado 1 Completo
3 Juan C Hidalgo Empleado 2 Completo
Solicitud de contratos de Seguros
Aplicación del cuestionario al personal
Análisis de la información
Elaboración y presentación del informe final ( conclusiones y
recomendaciones)
3. MOTIVO O NECESIDAD DE UNA AUDITORIA INFORMATICA:
Síntomas de descoordinación y desorganización
No coinciden los objetivos del área de Informática.
No cuentan con soportes de los sistemas lo cual Puede causar el cierre de la empresa por parte de la DIAN por el uso ilegal de sus programas.
Síntomas de mala imagen e insatisfacción de los usuarios:
No se encuentran satisfechos con el servicio prestado en cuanto al sistema
de internet y fallas en las recargas.
El usuario percibe que está abandonado y desatendido permanentemente.
No se está cobrando lo que es por el servicio de internet estos es debido al
mal manejo del programa.
Síntomas de debilidades económico-financieras:
Incremento desmesurado de costos.
No se encuentra un punto de equilibrio dentro de los ingresos de la
empresa.
Síntomas de Inseguridad: Evaluación de nivel de riesgos
Seguridad Lógica
Seguridad Física
Confidencialidad
9. CRONOGRAMA DE TRABAJO
FECHA: HOJA:EMPRESA: FLASH NET 01-Feb-13 1
ACTIVIDAD HORAS ESTIMADAS
ENCARGADOS
Solicitud de Documentaciones de los equipos. 2 HORAS
David Narváez Inés Vásquez
Recopilación de la información.
30
DESARROLLO DE LA AUDITORIA
10 HORAS Sandra Charfuelan
Marcelly Guano David Narváez Inés Vásquez
Aplicación del cuestionario al personal.
Entrevistas al administrador y empleados.
Análisis de las claves de acceso, control, seguridad, confiabilidad y respaldos.
Evaluación de los sistemas: relevamiento de Hardware y Software, evaluación del diseño lógico y del desarrollo del sistema.
Evaluación del Proceso de Datos y de los Equipos de Cómputos: Seguridad de los datos, control de operación, seguridad física y procedimientos de respaldo.
REVISION Revisión de los papeles de trabajo.
2 HORASSandra
Charfuelan Marcelly Guano
Determinación del Diagnostico.
INFORME
Elaboración y presentación del Informe. 2 HORAS
Sandra Charfuelan
Marcelly Guano David Narváez Inés Vásquez
MARCELLY GUANO ERIRAAuditor
T.P 400001-T
31
NIT. 800.456.768-9
Calle 14 N° 7-59 IPIALES-NARIÑO
TEL: 773 33 83 - 3163245399
Del 01 De Febrero Al 01 De Marzo De 2013
CRONOGRAMA DE ACTIVIDADES
TIEMPO 1SEMANA 2-3 SEMANA 4 SEMANA
Nº ACTIVIDADES L M M J V L M M J V L M M J V
1CONOCIMIENTO DE LA
EMPRESA.
2
CAPTAR INFORMACION NECESARIA EN CUANTO A
DOCUMENTOS
4REVISON DETALLADA DEL AREA
DE INFORMATICA
5
1er INFORME, AVANCE DE LA AUDITORIA EN CUANTO A
DIAGNOSTITO Y PRONOSTICO
6
REUNION JUNTA DIRECTIVA CON SUS RESPECTIVAS
OPINIONES Y DICTAMEN FINAL
10.POSIBLES COSTOS DE LA AUDITORIA
32
11. ENTORNO OPERACIONAL
SITUACIÓN GEOGRÁFICA DE LOS SISTEMAS
Dentro de la empresa a auditar por ser una empresa muy pequeña solo tiene
un área en donde se encuentra funcionando su sistema informático estas
instalaciones se encuentran ubicadas en Carrera 5ta Con Calle 6 # 4 – 84
Barrio Totoral
ARQUITECTURA Y CONFIGURACIÓN DE HW Y SW
HADWARE
TIPO
TWIN N 3ª 00 COMPUTER
PTM DCORE E6700 3,2 GHZ 2GB DDR/HD 500/DVD-RW/18.5
PULGADAS LED LIN
1 PENTIUM DE CORE E6700 3,2 GHZ 2MK 1066MHZ LGA 775
1 mATX-DG41WV LGA 775 MX 4GB DDR3 SATA GB 1333 MHZ, VGA
2PCI
1 DDR3 2048 MB PC310600 1333MHZ
1 TWIN KBOX, PFORM, NO MBD, PSU300W, SPAN KBD, OPT
MOUSE W/CARD READER
MONITOR LG 1366*768 LED WAIT MONITOR
1 DVD-RW 24X INTERNAL SATA
1 H-DISK 500GB 7200RPM SATA 300
WEB CAM GENIUS
IMPRESORA CANON MO250 SISTEMA DE TINTA CONTINUA
UPS QBEX 850W
33
Estos equipos fueron comprados a Fénix informática y servicios. Con una garantía
de 18 meses por defecto de fabrica en computadores y 1 año de garantía en la
impresora.
SOFTWARE
PROGRAMAS UTILIZADOS
Windows 7
Office 2010
Nod 32
Programas para el quemador
Nero express
Adobe catcher
Cyber planet
Full Recargas S.A
Adobe PDF
Face cam
Winrar
Skype
Internet explorer
Windows live
Movie maker
COMUNICACIÓN Y REDES DE COMUNICACIÓN
Por ser su actividad esta empresa usa varios computadores que maneja una red de banda ancha y posee una topología de red tipo estrella, para proporcionar a los clientes mayor cobertura y agilidad en su servicio, esto se pudo verificar según el conocimiento de los encargados y del propietario de la empresa auditada, mas información no se ha logrado obtener por falta de conocimiento.
34
PROGRAMAS AUDITADOS
CYBER PLANET. Este programa fue instalado aproximadamente un año y medio.Por medio de él se realiza el control de los computadores para cada usuario, este controla internet, impresiones, USB y al finalizar el servicio del cliente este le genera el costo del tiempo utilizado por todas las actividades realizadas.
35
FULL CARGA. este se realiza mediante una empresa que le genera el programa, fue adquirido desde hace un año, su actividad es el de realizar el servicio de recargas de celular que puede ser por medio de internet, Boucher o celular.
36
INFORME REPORTADO POR EL PROGRAMA FULL CARGA. en este informe se genera todas y cada una de las recargas realizadas a diario, la referencia, el cliente, el numero de celular a recargar, el propietario del plan, el operador, la fecha, el estado de la factura o plan, la ciudad, departamento y usuario. Por medio de este programa se puede controlar en cierta manera el manejo del plan y el cumplimiento a sus clientes.
37
HALLAZGOS
1. FALTA DE DOCUMENTOS LEGALES
HALLAZGOS Y RECOMENDACIONES
HALLAZGO No: 1NOMBRE: FALTA DE DOCUMENTOS LEGALES
ELABORO: INES VASQUEZ REVISO: SANDRA CHARFUELANFECHA: 18 DE FEBRERO DE 2013
DESCRIPCION: La empresa no cuenta con soportes legales que demuestren que el software utilizado en los equipos es legal.
CAUSA: Esto se debe al alto costo de adquisición de estas licencias.
EFECTO: Puede causar el cierre de la empresa por parte de la DIAN por el uso ilegal de sus programas.
RECOMENDACIÓN: Buscar la manera de adquirir los recursos con el fin de que la empresa incorpore los software legales.
38
2. CODIGOS Y CONTRASEÑAS
HALLAZGOS Y RECOMENDACIONES
HALLAZGO No: 2NOMBRE: CODIGOS Y CONTRASEÑAS
ELABORO: INES VASQUEZ REVISO: SANDRA CHARFUELANFECHA: 18 DE FEBRERO DE 2013
DESCRIPCION: La empresa no cambia las contraseñas y códigos de los programas de una manera periódica.
CAUSA: Esto se debe al descuido y autoconfianza por parte del administrador.
EFECTO: Esta expuesto al riego que las contraseñas y códigos sean utilizados por personas no autorizadas y ajenas a la empresa, y de esta manera hacer fraudes en las transacciones que se realizan por medio de los programas (FULL CARGA)
RECOMENDACIÓN: Cambiar de una manera periódica los códigos y contraseñas de los programas utilizados, sobre todo cuando haya despido de algún empleado.
39
3. ALMACENAMIENTO DE COPIAS DE LA INFORMACION
HALLAZGOS Y RECOMENDACIONES
HALLAZGO No: 3NOMBRE: ALMACENAMIENTO DE COPIAS DE LA INFORMACION
ELABORO: INES VASQUEZ REVISO: SANDRA CHARFUELANFECHA: 18 DE FEBRERO DE 2013
DESCRIPCION: La empresa no almacena copias físicas de las transacciones realizadas por los aplicativos Cyber Planet y Full Carga, para así llevar un control detallado de sus movimientos.
CAUSA: Se debe a que el administrador solo maneja un reporte, el que se registra en el servidor y ve innecesaria tener una copia física de los informes.
EFECTO: Esto ocasiona que la información de la empresa solo se maneje desde el servidor.
RECOMENDACIÓN: Tener por lo menos un reporte físico mensual de los movimientos.
40
4. CONTROL DE SEGURIDAD
HALLAZGOS Y RECOMENDACIONES
HALLAZGO No: 4NOMBRE: CONTROL DE SEGURIDAD
ELABORO: DAVID NARVAEZ REVISO: MARCELLY GUANOFECHA: 19 DE FEBRERO DE 2013
DESCRIPCION: No existe mayor control ni un medio de seguridad para el ingreso de personas no autorizadas al servidor.
CAUSA: Autoconfianza del administrador y falta de un control que permita restringir el acceso de personas no autorizadas
EFECTO: Esto ocasiona que la información sea manipulada o que existan daños y robos en los equipos y/o pérdida de dinero ya que en el servidor se maneja la caja.
RECOMENDACIÓN: Implementar un control más riguroso, restringiendo el acceso a los equipos de personas no autorizadas.
41
5. ORGANIZACIÓN EMPRESARIAL
HALLAZGOS Y RECOMENDACIONES
HALLAZGO No: 5NOMBRE: ORGANIZACIÓN EMPRESARIAL
ELABORO: DAVID NARVAEZ REVISO: MARCELLY GUANOFECHA: 19 DE FEBRERO DE 2013
DESCRIPCION: La empresa no cuenta con un manual de funciones ni de instrucciones que indique a sus empleados como actuar en caso de que aparezcan errores en las transacciones y la manera de corregirlos y procesarlos
CAUSA: Por falta de una buena organización dentro de la empresa.
EFECTO: Ocasiona un daño en los equipos o en la información que está siendo procesada, y la posible pérdida de un cliente.
RECOMENDACIÓN: Elaborar por lo menos una guía básica de cómo actuar al momento de que ocurra algún error y cómo manejar los programas aplicativos
42
6. SEGURIDAD EN LAS INSTALACIONES
HALLAZGOS Y RECOMENDACIONES
HALLAZGO No: 6NOMBRE: SEGURIDAD EN LAS INSTALACIONES
ELABORO: DAVID NARVAEZ REVISO: MARCELLY GUANOFECHA: 19 DE FEBRERO DE 2013
DESCRIPCION: No cuenta con un sistema de seguridad como alarmas o cámaras que permitan la constante vigilancia de los equipos para la disminución de riesgos.
CAUSA: Falta de recursos económicos.
EFECTO: Posibles robos y daños a las instalaciones.
RECOMENDACIÓN: En lo posible implementar un sistema de alarmas y cámaras de vigilancia.
43
7. PREVENCION O ATENCION DE CATASTROFES
HALLAZGOS Y RECOMENDACIONES
HALLAZGO No: 7NOMBRE: PREVENCION O ATENCION DE CATASTROFES
ELABORO: DAVID NARVAEZ REVISO: MARCELLY GUANOFECHA: 19 DE FEBRERO DE 2013
DESCRIPCION: No existe implementos de seguridad en caso de que ocurra eventualidades o catástrofes como incendios o sobrecargas en los equipos, ni existe una capacitación al personal en cómo actuar en caso de que se presenten estas eventualidades.
CAUSA: Falta de recursos económicos y falta de prevención.
EFECTO: Posibles daños de los equipos e instalaciones.
RECOMENDACIÓN: Adquirir por lo menos un extinguidor y asesorarse en el manejo de este.
44
NIT. 800.456.768-9Calle 14 N° 7-59 IPIALES-NARIÑO
TEL: 773 33 83 - 3163245399
INFORME FINAL
Señor:RIGO ANTONIO ORTEGAPROPIETARIOFLASH NET
Cordial saludo
Nos es grato comunicarles que en relación con la auditoría de sistemas realizada en el periodo comprendido entre el 01 de Febrero al 01 de Marzo del año 2013 de la empresa FLAH NET, se ha evaluado el desempeño de los programas utilizados por la empresa, el estado y funcionamiento de estos, observando personalmente las instalaciones y los equipos a auditados.
El propósito de la auditoria fue el determinar si los equipos y sus aplicativos se encuentran funcionando de una manera adecuada, y en buen estado, además de determinar y evaluar si estos programas se encuentran sometidos a las licencias exigidas por la ley, y establecer si la empresa cuenta con buenas instalaciones de los equipos y su red eléctrica.
EN GENERAL EL EXAMEN SE EFECTUO AL MANEJO DE LOS EQUIPOS Y PROGRAMAS INFORMATICOS Y CUBRIO LAS SIGUIENTES OPERACIONES ESPECÍFICAS:
Revisión de los documentos como: facturas, garantías, licencias informáticas.
Identificar y Conocer la calidad y el estado de los equipos, y el funcionamiento de estos con el fin de asegurar un buen servicio al cliente.
Supervisar y Constatar que se adelante un adecuado control y un buen manejo de equipos y programas.
45
Adelantar un estudio de prevención que permita determinar posibles riesgos informáticos en los equipos, con el fin de estar preparados a dichos riesgos y eventualidades.
Adelantar una visita periódica a las instalaciones de la empresa.
Comprobar las actividades realizadas por los empleados en cuanto al manejo de los programas y el reporte que dejan dichos programas.
A TRAVEZ DE LA EVALUACION DE LOS ANTERIORES ASPECTOS SE IDENTIFICARON LAS SIGUIENTES PARTICULARIDADES:
Se observa que la empresa no cuenta con soportes legales que demuestren que el software utilizado en los equipos es legal.
Se observa que la empresa no cambia las contraseñas y códigos de los programas de una manera periódica.
La empresa no almacena copias físicas de las transacciones realizadas por los aplicativos Cyber Planet y Full Carga, para así llevar un control detallado de sus movimientos y transacciones.
No existe mayor control ni un medio de seguridad para el ingreso de personas no autorizadas al servidor.
La empresa no cuenta con una guía de instrucciones que indique a sus empleados como actuar en caso de que aparezcan errores en los programas al momento de realizar las transacciones y la manera de corregirlos y procesarlos.
No cuenta con un sistema de seguridad como alarmas o cámaras que permitan la constante vigilancia de los equipos para la disminución de riesgos.
No existe implementos de seguridad en caso de que ocurra eventualidades o catástrofes como incendios o sobrecargas en los equipos, ni existe una capacitación al personal en cómo actuar en caso de que se presenten estas eventualidades.
POR LO ANTERIOR SE RECOMIENDA:
Buscar la manera de adquirir los recursos con el fin de que la empresa incorpore el software legal.
46
Cambiar de una manera periódica los códigos y contraseñas de los programas utilizados, sobre todo cuando haya despido de algún empleado.
Realizar un reporte físico mensual de los movimientos y transacciones realizadas en los programas que maneja la empresa y guardar una copia de estos reportes en caso de que en un futuro se necesite esta información.
Implementar un control más riguroso, restringiendo el acceso al servidor de personas no autorizadas.
Elaborar una guía básica para que los empleados sepan cómo actuar al momento que ocurra algún error en los programas y la manera cómo manejar dichos programas.
En lo posible implementar un sistema seguridad como alarmas y cámaras que permita a la empresa estar en una vigilancia constante de los equipos y recursos que posee.
CONSEJOS
Utilizar un buen antivirus y actualizarlo frecuentemente. Comprobar que el antivirus incluye soporte técnico, detección urgente de
nuevos virus y servicios de alerta. Asegurarse de que el antivirus esté siempre activo. Evitar la descarga de programas en el servidor de lugares no seguros en
Internet. Analizar siempre con el antivirus los dispositivos externos que se vayan a usar
en el servidor. Mantenerse informado. Utiliza siempre software legal.
Atentamente,
Marcelly Guano EriraMARCELLY GUANO
T.P 40000-1
47
CONCLUSIONES
Como resultado de la Auditoria podemos manifestar que hemos cumplido con evaluar cada uno de los objetivos contenidos en el programa de auditoría.
El centro de cómputo presenta deficiencias sobre el debido cumplimiento de Normas de seguridad y manejo de los computadores.
La escasez de personal debidamente capacitado.
48
ANEXOS
49
CUESTIONARIO N° 1
APLICACIÓN AUDITABLE: Programas Cyber Planet y Full Carga de la Empresa FLASNET.CUESTIONARIO No 1: ENTRADA DE DATOSN° PREGUNTA SI NO N.A OBSERVACIONES
1.Se revisa que los números de celular a recargar estén funcionando normalmente?
X
2.Se han establecido procedimientos de prueba para los programas?
X
3. Siempre se prueban las modificaciones y actualizaciones de los programas? X
No se han realizado modificaciones y actualizaciones
4.Se revisa la documentación como facturas de compra, seguros y garantías de los equipos?
X No se han revisado desde la compra de los equipos.
5. Que funcionario realiza esta labor? X
6.Incluyen los programas del computador los siguientes tipos de pruebas de validez:
a. Códigos X b. Transacción X
7.
Se utiliza algún dispositivo que borre automáticamente los códigos y contraseñas del ingreso a los programas Cyber Planet y Full Carga cuando dejen de ser utilizados al cierre del día. ?
X
8.
Comprobar que procedimientos se han implementado para ensayar el correcto funcionamiento del los programas Cyber Planet y Full Carga
X
9.Se requieren contraseñas o códigos de seguridad para:
a. Ingresar a los sistemas que tiene el servidor
X
b. Accesar a los programas de aplicaciones X c. Efectuar transacciones X
10.Se requieren diferentes códigos y contraseñas de autorización para realizar diferente transacciones?
X
11.Se cambia periódicamente los códigos y contraseñas? X
Salvo por bloqueo automático debido a errores.
12.Existen controles para evitar que las transacciones mal realizadas en el aplicativo Full Carga no se vuelvan a realizar?
X
13. Todas las correcciones de errores son revisadas y aprobadas por personas
X
50
diferentes al operador que la realizo.14. La empresa cuenta con un buen antivirus? X
15.Se actualiza frecuentemente el antivirus utilizado por el servidor y los equipos?
X
16.Se analiza todos los dispositivos externos al momento de ejecutarlos en el servidor? X
Este análisis no se realiza en los otros equipos.
David NarváezDAVID NARVAEZ
Ingeniero en Sistemas
CUESTIONARIO N° 2
51
APLICACIÓN AUDITABLE: Programas Cyber Planet y Full Carga de la Empresa FLASNET.CUESTIONARIO No 2: PROCESAMIENTO DE DATOSN° PREGUNTA SI NO N.A OBSERVACIONES
1. Todas las transacciones pueden seguir adelante hasta un control de salida final
X
2. Todas las transacciones pueden rastrearse desde su origen X
3. Se registran las transacciones realizadas con fecha y hora de ejecución. X
4. Se almacenan copias de las transacciones realizadas por los aplicativos Cyber Planet y Full Carga
XSolo se cuenta con un reporte de 20 días atrás.
5. Existe algún medio de seguridad para el ingreso de personas no autorizadas al servidor.
XFalta de control riguroso en el acceso al servidor.
6. Existen reguladores de voltaje de corriente y de frecuencia.
X
David NarváezDAVID NARVAEZ
Ingeniero en Sistemas
CUESTIONARIO N° 3
52
APLICACIÓN AUDITABLE: Programas Cyber Planet y Full Carga de la Empresa FLASNET.
CUESTIONARIO No 3: SALIDA DE INFORMACIONN° PREGUNTA SI NO N.A OBSERVACIONES
1. Resume el programa todos los valores de las transacciones procesadas en el día?
XCyber Planet también registra las operaciones realizadas erróneamente.
2. Se entregan informes a la persona debidamente autorizada?
X
3. Los informes se distribuyen acompañados de un sello o firma de quien lo realiza, y se deja evidencia de ello?
X
4. Se realizan inspección a los datos presentados en los informes a fin de asegurar la exactitud de la información?
X
5. Existen instrucciones de cómo actuar en caso de que aparezcan mensajes de error y la manera de corregirlos y procesarlos?
X
El operario resuelve a su capacidad de manejo del problema.
6. Existen instrucciones a los empleados de cómo resolver los errores hechos en las transacciones,
X De acuerdo al problema.
7. Está la responsabilidad adecuadamente separada para garantizar que una persona no realice una transacción y movimiento no permitida?
X
David NarváezDAVID NARVAEZ
Ingeniero en Sistemas
OBSERVACION: Este cuestionario fue realizado y basado en pruebas oculares y de revisión física a las instalaciones
CARACTERISTICAS DE VERIFICACION DE AUDITORIA FISICA
53
EXCELENTE BUENA REGULAR MINIMONO
CUMPLEInstalación física de los computadores
X
Los componentes físicos de los computadores
X
La conexiones de los equipos de lascomunicaciones e instalaciones físicas
X
La infraestructura Y medio donde se encuentra es
X
Los equipos son X
La distribución de los computadores.
X
Inés VásquezINES VASQUEZ
Ingeniero en Sistemas Encargado
FORMATO ENCUESTA
54
1. ¿El área de cómputo cumple con las funciones de su actividad desarrollada?
Si ______ No ______
2. ¿las personas que laboran en el centro de cómputo son suficientes?
Si _____ No ______
Porque, ________________________________________________________________________________________________________________________
3. ¿Considera que el área de trabajo es la adecuada o apropiada para el desempeño de sus labores?
Si _____ No ______
Porque, ________________________________________________________________________________________________________________________
4. ¿Se deja de realizar alguna actividad por falta de personal?
Si _____ No ______
Porque, ________________________________________________________________________________________________________________________
5. ¿Está el personal que utiliza el computador educado en las necesidades de seguridad?
Si _____ No ______
Porque, ________________________________________________________________________________________________________________________
6. Con respecto a la parte física de la empresa; ¿se cumple con las normas de seguridad establecidas para los equipos de cómputo?
Si _____ No ______
Porque, ________________________________________________________________________________________________________________________
55
7. ¿Está el área del computador libre de material combustible, o de cualquier otro material que cause algún problema a los computadores?
Si _____ No ______
Porque, ________________________________________________________________________________________________________________________
8. ¿Existe en la empresa extinguidores de incendio claramente identificados?
Si _____ No ______
9. Sobre el mantenimiento del equipo; ¿cuenta con las herramientas necesarias para brindar un buen servicio en el momento requerido?
Si _____ No ______ A veces ______
10.En algún momento han recibido quejas o reclamos de algunos de los clientes por los servicios prestados?
Si _____ No ______
Como cuales, ________________________________________________________________________________________________________________________
PUNTOS A TENER EN CUENTA:
DIAGNOSTICO: Esla especificación de como se encuentra la empresa actualmente y por que es necesaria una auditoria, descripción general
Descripción de los programas auditados
Los costos se deben calcular teniendo en cuenta la cantidad de personal que se va ha emplear en la auditoria (medio tiempo o tiempo completo, profesionales o técnicos o tecnólogos), los gastos administrativos (papelería, transporte etc) La utilidad que puede ser de un 25 a 30 %
56