Auditoria de Software
33
Pág N°1 AUDITORÍA INFORMATICA AL SOFTWARE INSTALADO EN LOS COMPUTADORES PERSONALES DE XYZ. ANTECEDENTES En cumplimiento del Plan Anual de Auditoría Informática se realizó la revisión del software de los microcomputadores pertenecientes a la empresa, de acuerdo a la lista entregada por la Unidad de Sistemas de Información (memorando USI N° ...). Además, debido a que se encontraron computadores que no estaban en dicho registro, se tomó también como referencia el listado entregado por el departamento de Inventarios. El examen se dividió en dos etapas. La primera consistió en la captura de la estructura de los archivos por cada máquina, y toda esa información se almacenó en un computador de Auditoría, para el correspondiente análisis y la creación de una ficha individual por equipo, en la cual se detalla el software que se encontró instalado. En la segunda etapa, en las fichas elaboradas, se examinó nuevamente cada computador y se verificó el uso de los programas respectivos por parte del usuario responsable o el que opera. ALCANCE El examen comprendió la revisión de los microcomputadores de la empresa, excluyendo los de las agencias, proyectos y algunas subestaciones, lo que significó el análisis de 128 computadores.
-
Upload
jonathans-vargas -
Category
Documents
-
view
10 -
download
0
description
auditoria de software
Transcript of Auditoria de Software
Pág N°1
AUDITORÍA INFORMATICA AL SOFTWARE INSTALADO
EN LOS COMPUTADORES PERSONALES DE XYZ.
ANTECEDENTES
En cumplimiento del Plan Anual de Auditoría Informática se realizó la revisión del software
de los microcomputadores pertenecientes a la empresa, de acuerdo a la lista entregada por la
Unidad de Sistemas de Información (memorando USI N° ...). Además, debido a que se
encontraron computadores que no estaban en dicho registro, se tomó también como referencia
el listado entregado por el departamento de Inventarios.
El examen se dividió en dos etapas. La primera consistió en la captura de la estructura de los
archivos por cada máquina, y toda esa información se almacenó en un computador de
Auditoría, para el correspondiente análisis y la creación de una ficha individual por equipo, en
la cual se detalla el software que se encontró instalado. En la segunda etapa, en las fichas
elaboradas, se examinó nuevamente cada computador y se verificó el uso de los programas
respectivos por parte del usuario responsable o el que opera.
ALCANCE
El examen comprendió la revisión de los microcomputadores de la empresa, excluyendo los de
las agencias, proyectos y algunas subestaciones, lo que significó el análisis de 128
computadores.
Pág N°2
Es importante indicar que este informe no incluye el análisis referente al Hardware(equipos de
cómputo).
OBJETIVOS
En el programa específico de trabajo se definieron los siguientes objetivos principales:
1. Inventariar todos los programas, sean estos de aplicaciones específicas, sistemas
operativos, utilitarios, manejadores de base de datos, etc., que se hayan instalados en
los PC's (Microcomputadores) de la Empresa.
2. Revisar y verificar las licencias para el uso de los programas inventariados, al igual que
los diskettes y manuales correspondientes de los paquetes de software originales
adquiridos por la Empresa .
3. Evaluar el grado de cumplimiento y la responsabilidad del software asignada al
personal de la empresa por parte del Gerente General según lo que consta en el
memorando ref GG-96 #: ....
4. Evaluar el cumplimiento y el estudio técnico previo a la suscripción de los contratos
No... y No. ..., para la adquisición de software.
5. Analizar el uso actual de los computadores, en base a los programas instalados que se
haya detectado.
6. Evaluar el sistema de control instaurado por parte de la USI para el manejo de las
Pág N°3
licencias.
7. Recomendar políticas específicas para el manejo del Software instalado, que conduzcan
hacia un compromiso empresarial y la concientización del personal sobre la utilización
adecuada de los microcomputadores y los programas específicos de acuerdo a la
actividad que cumplen.
COMENTARIOS
1.a Se diseño una base de datos para almacenar toda la información recopilada, por lo que
se presenta el siguiente cuadro que resume todos los programas inventariados:
Software Existente
Cuadro General
TIPO
#
Preinstalado
s
por el
fabricante
#
Instalados
por el
usuario
#
Total
Aplicaciones (Sistemas de Información, PRG, DBF,...)
0
424
424
Sistemas Operativos (DOS, WINDOWS, OS/2, Netware)
144
78
222
Procesadores de Palabras
2
109
111
Hojas Electrónicas
1
193
194
Pág N°4
Diseño Gráfico (CAD)
0
30
30
Diagramación de Flujo
0
55
55
Manejadores de Base de Datos
0
126
126
Antivirus
0
140
140
Graficadores de Presentación
7
43
50
Manejadores de Red (Netware, AS/400)
2
68
70
Herramientas CASE
0
6
6
Traductores Inglés/Español
0
5
5
Juegos
25
87
112
Comunicaciones
52
99
151
Herramientas de Manejo de Ficheros
26
180
206
Manejadores de Proyectos
0
8
8
Manejadores de Multimedia
22
3
25
Diseño Eléctrico
0
6
6
Lenguajes de Programación
2
5
7
OFFICE (Programas integrados con Proc. Palabras, Hojas
Electrónicas, etc.)
16
34
50
OTROS (Programas demostrativos, utilitarios, etc.)
121
277
398
TOTAL
420
1976
2396
Como se indicó anteriormente, se revisaron 128 computadores, quedando exentos del análisis
19 computadores, según comparación del listado entregado por Inventarios (Inventario=147
Pág N°5
computadores, incluido el computador IBM RS/6000); además existe un incremento de 15
computadores según el listado entregado por la USI (memorando USI 165 /96: 113 PC's).
En el anexo #1 consta un listado ordenado por el nombre de todos los programas, exceptuando
las aplicaciones, en el cual se indica el número total de copias instaladas; aunque no constan
los duplicados en cada máquina, ya que existen computadores que tienen almacenado en el
mismo disco duro varias copias del programa. Además, se incluye una referencia (*),
indicando que el programa no tiene una relación fija con los fines de la empresa, o que su uso
es muy esporádico
En el anexo # 2 se detallan las aplicaciones instaladas en los PC's de la empresa. Este listado
está dividido exactamente igual que el anexo #1.
En el anexo #5 (5.a - 5.u), se enumera todo el tipo de software obtenido en esta auditoría, en
cada subanexo consta un código que indica el usuario responsable (en el anexo #8 se presenta
el listado necesario para relacionar el código con el nombre del responsable y su computador).
En el anexo # 6 se describe todas las fichas creadas por cada PC.
1.b Según datos brindados por la Unidad de Sistemas de Información (anexo #7), del
inventario realizado por esta unidad se tiene el siguiente resumen del mismo:
TABLA #1 RESUMEN DE INVENTARIO USI
SOFTWARE
Instalado o
Requerido
Pág N°6
AUTOCAD 11
EXCEL
1
EXPANDWIN
2
FLOW
15
FOX
2
FOXPRO
38
GENEXUS
1
HTPM
1
IBMAV
103
NORTON COMANDER
12
OFFICE
8
ORCAD
2
PROCESS CHARTER
3
QPRO
94
SYMPHONY
15
WORD
1
WORDPERFECT
93
TOTAL
402
2. Del uso de las licencias:
2.a Para la explicación del uso de las licencias, se debe diferenciar entre el software
Pág N°7
preinstalado y el software instalado posteriormente, donde en lo preinstalado se
considera todos los programas que están cargados en el disco duro por el fabricante, y
en programas instalados posteriormente, todo software que no forme parte del anterior.
En general, todo computador considerado de marca (IBM, Compaq,...), viene con
software preinstalado conjuntamente con sus licencias o certificado de autenticidad, lo
que realmente no se ha cumplido en determinadas máquinas. Así por ejemplo en el
contrato #XXX, para la adquisición de computadores IBM Value Point, con la empresa
..., en la solicitud de compra, ni en la proforma de ..., tampoco en la factura y estudio
técnico-económico (anexo # 9.a), no se toma en cuenta este aspecto, puesto que no se
incluye ninguna referencia del software preinstalado. Además por la constatación
realizada, los computadores vendidos no contienen una versión de DOS propia del
fabricante (IBM DOS); en cambio tienen instalado una versión de otro fabricante
(Microsoft DOS), del que no se tiene licencia o certificado que indique que vino
preinstalado. Por el hecho de que el computador sea de marca IBM no implica el
derecho a usar el DOS y Windows, ya que en el mercado se venden computadores IBM
sin disco duro, y por lo tanto sin software, dando como resultado un menor precio y la
posibilidad de ponerle un disco duro y software de manera ilegal.
Igual caso se presenta en el concurso epistolar # 73-93(anexo 9.b), con la misma
empresa antes mencionada, al adquirirse un total de 10 computadores con disco duro,
excepto el modelo de computador IBM Value Point 425SX que se cotizó con software
incluido: DOS 5.0 y Windows 3.1 (anexo # 9.b ). Dentro de este mismo pedido se han
adquirido computadores sin disco duro, para posteriormente comprar los discos duros,
los cuales no incluyen ningún tipo de licencia o software preinstalado, por lo que en
todas las máquinas que se compraron e instalaron los discos duros posteriormente, se
carece de licencia de uso de DOS y Windows (en los que tenga instalado).
Pág N°8
Otro ejemplo contrario al sucedido con ..., es el contrato #...-94 USI, con la empresa ...
Cía. Ltda., la cual si hace constar en la proforma el software preinstalado: DOS 6.1 y
Windows 3.1. En la constatación se comprobó que los computadores conservan la
versión cotizada, aunque en la solicitud de compra y estudio técnico-económico no
contempla como punto de análisis el software preinstalado (anexo # 9.c).
Para aclarar este asunto con los proveedores, se solicitó, a algunos de ellos, un
certificado (anexo # 10) que ratifique si entregó o no con software preinstalado. Las
empresas .... y ... confirmaron que todos los computadores vendidos a la Empresa ...
fueron entregados con software original, dependiendo del modelo para que incorporen
DOS y/o WINDOWS u otros programas. La empresa ... respondió que ciertamente los
fabricantes envían software preinstalado, pero no certifica que sus máquinas fueron
enviadas con ese software.
En las últimas adquisiciones realizadas se puede constar que en las proformas y estudio
técnico se describe el software preinstalado.
2.b Con respecto a las licencias existentes, sin contar las que vienen en el software
preinstalado se tiene los siguientes programas originales:
TABLA #2 Software Original Instalado de la XYZ
sin contar con los programas Preinstalados
y sistemas de información (aplicaciones)
Nombre del Software
Proveedor
Adminis.
#Lic
Observaciones
AutoCad DOS
Sistemas
... y USI
(1)
4
ver 12
Pág N°9
(1)
AutoCad Windows
DOS
...
1
Actualización a v.13
Symphony
USI
1
Actualización a v. 2.2
Process Charter Windows
DIFI
1
ver 1.01
MSOffice Profesional
(WORD, EXCEL, Power
Point, Access)
...
...
1
ver 4.2
Visual Basic
...
...
2
ver 3
Código de Barras
DIFI
1
programa de
evaluación(con costo)
WordPerfect Windows
…
USI
41
ver 6.1, no está
completo
WordPerfect DOS
…
USI
5
No entrega proveedor
Quattro Pro Windows
...
USI
70
ver 6.0
Perfect Office
…
USI
1
ver 3.0
Norton Utilities
...
USI
1
ver 8.0
Norton Antivirus para Red
..
USI
25
ver 2.0
FoxPro DOS
...
USI
5
ver 2.6
Norton Commander
...
USI
1
ver 4.0, no entregado,
ni reportado *
Pág N°10
CorelFlow Windows … USI 1 ver 8.0, no reportado
QPRO DOS
...
USI
5
ver 5.5, no entregado,
ni reportado *
Visual FoxPro Windows
...
USI
5
ver 3.0 **
Visual FoxPro Profesional
Windows
...
USI
5
ver 3.0 **
FoxPro para DOS
...
USI
1
ver 2.0
Datos obtenidos en el inventario y según indicaciones de los responsables de los programas.
* No constan en el listado entregado por la USI (memorando USI N° XXX)
** En el contrato de adquisición (XXX) se compra FOXPRO 2.6 para Windows, y se entrega Visual
FoxPro, lo cual es aceptado por la USI. Verbalmente el Sr... indicó que estos paquetes ofrecen mayores
ventajas para la empresa y que el proveedor indicó que la versión solicitada está discontinuada y que la
entregada es más actual y de mayor valor.
Según el literal 2.a, la Empresa cuenta con software original en determinadas máquinas
en lo que respecta a DOS Y WINDOWS, lo que no se podría comprobar al no existir
ningún registro o control por parte de la unidad encargada. También, existen máquinas
que vinieron con su software original, pero con el tiempo fueron actualizadas; por
ejemplo, un computador que vino preinstalado con IBM DOS 5.0, actualmente tiene
instalado MS DOS 6.20, siendo necesario para este cambio una licencia de
actualización (upgrade), lo que nunca se ha realizado, y por lo que no tendría
responsabilidad el proveedor.
2.c También se revisó los diskettes, CD's(discos compactos) y manuales que están a cargo
de cada usuario, notándose que pocos usuarios tienen a su cargo los mismos, siendo
Pág N°11
muchos de ellos manejados por la USI. En la mayoría no son entregados a la persona
responsable del computador, y tampoco existe el responsable de los paquetes no
entregados. En caso de los usuarios que tienen los paquetes, en especial de los equipos
IBM y Compaq Prolinea, no tienen registrado a su cargo los manuales y diskettes,
según datos obtenidos en los archivos magnéticos del departamento de Inventarios.
2.d Para generar una idea más exacta del costo que tendría que pagar la empresa o los
responsables por todo el software pirata que se tiene instalado, se asignó valores
referenciales a cada programa, según datos de revistas de computación, lista de precios
de proveedores, entre otras, obteniéndose un valor de 190.000 dólares; es decir
aproximadamente 613'000.000 sucres, sin contar las demandas y equipos incautados
que se pudieran producir en caso de una auditoría externa de software.
3. De la responsabilidad asignada por el gerente
- El 18 de Abril de 1996, con memorando GG-96 #:..., el Ing. ..., Gerente General, emite
una disposición que dice textualmente "se prohibe a los empleados realizar copias no
autorizadas de software. Los funcionarios de la empresa que estén a cargo de un
computador, serán los únicos responsables de los programas que estén instalados
en los mismos", que no se la cumple, por las siguientes razones:
- Existe aproximadamente un 70% de empleados que no tienen conocimiento de la
disposición, según respuesta de los usuarios analizados.
- Existe un 100% de los equipos revisados que no han cumplido con la disposición, ya
que aun tienen software no autorizado, esto incluye también a todos los equipos de la
Unidad de Sistemas de Información.
Pág N°12
- No existe un compromiso formal con cada funcionario, que indique cuales son los
programas que se hace responsable y las sanciones a las que se puede hacer acreedor
por no sujetarse a las normas.
- Parte del personal desconoce el software que tiene instalado en sus computadores, ya
que se limita mediante un menú a entrar a sus programas básicos, sin tener la
posibilidad de acceder a otros programas por tener clave de salida del menú, o no saber
manejarlos. Por lo que los empleados ubicados en este punto indican que "no se
pueden hacer responsables de algo que no conocen y que no saben que tienen".
Además no pudieron informar si sus máquinas vendrían con software preinstalado o no.
- Las licencias adquiridas no cumplen con las necesidades existentes, lo que se puede
constatar en el inventario realizado en esta auditoría (ver anexos del 1 al 5).
- En los computadores existen aplicaciones que fueron desarrollados en hoja electrónica
o en base de datos, por lo que se requiere un programa de Symphony, FoxBase o
FoxPro, pero si se retira estos programas por no contar con autorización, las
aplicaciones se verían paralizadas.
- El software original que se adquirió: WordPerfect y QPRO, están recién en proceso de
instalación, es así que hasta la fecha de finalización del inventario estuvieron
instalados 32 computadores con QPRO para Windows, y ningún computador con
WordPerfect para Windows por la falta de algunos de los diskettes que no vinieron
incluidos en el paquete, así como por falta de tiempo del personal de la USI.
4. De los contratos XXX, YYY
4.a Del cumplimiento de los contratos
Pág N°13
Los contratos fueron firmados el 11 de marzo de 1996 y el 29 de febrero de 1996,
respectivamente, de los cuales se comprobó que en la entrega de los items existe un
alto grado de incumplimiento por parte de los proveedores, ya que han transcurrido
más de 100 días, después de la fecha máxima, para entregar en su totalidad los
programas adquiridos. Como la parte del software que falta entregar es de bajo costo,
comparando con los ya entregados, las multas son relativamente bajas por lo que nunca
o difícilmente se llegue a cumplir con la cláusula décimo primera de los contratos. Por
esta larga espera, es justificada, según la indicación del Sr. ..., encargado de la
administración de los contratos por parte de la USI conjuntamente con compras,
porque se perdería todo el tiempo que se ha demorado para la adquisición.
Referente al contrato 4040-96, la fecha de entrega del anticipo fue el 21 de marzo/96,
con un plazo de 15 días calendarios, realizado con la empresa XXX. Se le ha
concedido una espera de 30 días para la entrega de los programas, por parte de la Eco.
..., directora de Finanzas, como se indica en el oficio XXX, debido a que la causa
principal es que los programas se encontraban discontinuados, lo que realmente es
cierto, pero en ese caso no debía haberse cotizado por parte del proveedor si no estaba
seguro de la existencia del paquete. Además, en cualquier caso lo que requiere
primordialmente la empresa son las licencias de uso, que en definitiva es un certificado,
así para legitimizar el software instalado.
Del contrato XXX, firmado con la empresa ..., se presenta que igualmente no puede
entregar determinados paquetes por las mismas razones que expone la empresa XXX..
4.b El preestudio técnico para la adquisición del software
Según datos solicitados a la USI, está unidad presenta los justificativos (memorando
USI # XXX del 1 de agosto de 1996 ), indicando que el estudio se lo realizó en el mes
Pág N°14
de junio y julio de 1995, de lo cual se generaron las necesidades de la adquisición.
Aunque realmente, no refleja las necesidades actuales, ni las que se presentaron a la
fecha del estudio, de acuerdo a las siguientes razones:
- Se adquirieron 5 licencias de WordPerfect 6.0 para DOS, siendo realmente la necesidad
de aproximadamente 35 licencias, ya que existe ese mismo número de computadores
que pueden cargar el programa y que requieren de un procesador de palabras, ya que
los computadores no pueden correr el programa WordPerfect 6.1 para WINDOWS
puesto que existen 81 computadores con 4 Mb o menos memoria RAM, en vista de que
son computadores con 1 a 4 Mbytes de RAM, y esa versión para Windows requiere de
8 Mbytes de memoria RAM como mínimo; además existen 3 computadores que tienen
menos de 1 Mbyte de memoria RAM y que requieren del programa, por lo que en estas
máquinas sólo se carga WordPerfect 5.1 para DOS, necesitándose 3 licencias de este
programa para que funcionen en estos computadores. Esto se ratifica en la misma
información proporcionada por la USI (memorando Ref. USI N°ΞΞΞ), que indica
textualmente "El resultado que se obtuvo se basó en el alto porcentaje de computadores
con procesadores menores a 386 los que no permitían un trabajo efectivo en el
ambiente Windows". Dando como resultado la adquisición de las licencias una
solución esporádica y parcial.
- El mismo caso se presenta con el programa QPRO, que se han adquirido 5 licencias de
QPRO 5.5 para DOS, necesitándose 36 licencias, por el mismo caso expuesto con
WordPerfect; además se adquieren 70 licencias de QPRO para Windows, contándose
en la Empresa con 66 computadores con la capacidad de cargar este programa. Además
no todos los 66 computadores necesitan de hoja electrónica QPRO.
- En el informe presentado por la USI (memorando Ref. USI No ...), se indica que
algunos de los factores que influenciaron en la compra de esos paquetes fue el tratar de
Pág N°15
unificar los lenguajes y programas que se están utilizando en la Empresa, y porque se
venía dando capacitación referente a QPRO y WordPerfect para DOS, de lo cual se
puede puntualizar lo siguiente:
- Al pasarse a un ambiente diferente, es decir de DOS a Windows, implica que
los programas presentarán muchos cambios, es así que al comparar las opciones
de los menúes del programa QPRO para Windows con QPRO para DOS, no
existe, prácticamente ningún parecido. Por otra parte, se requiere que se tenga
un conocimiento previo de manejo de Windows, por lo que la capacitación
realizada para aplicaciones DOS, no implica que los usuarios podrán
desempeñarse óptimamente en un nuevo ambiente. También, existe un menor
porcentaje de usuarios que conozcan el ambiente Windows.
- Con respecto a la unificación, es correcto que exista un estándar de programas a
usarse, ya que el programa Symphony, que tenía la función de procesador de
palabras, hoja electrónica y base de datos, ha sido y está siendo sustituido por
WordPerfect y QPRO para DOS, y por aplicaciones desarrolladas en FoxPro y
Access, lo que hasta la fecha no se ha concluido, lo que se refleja en el número
de programas Symphony instalados, 74 copias, de los cuales aun se usan 42.
En caso de comenzar a actualizarse con aplicaciones en ambiente Windows, se
debía tomar en cuenta otros aspectos tales como:
* Bajo ambiente Windows, un mayor número de usuarios tienden a usar
Microsoft Office (Word para Procesador de Palabras, Excel para hoja
electrónica, Power Point para presentaciones), por lo que existen 30
copias de este paquete instalados en la empresa, de las cuales 16 lo
utilizan para todas las tareas relacionadas a lo descrito.
Pág N°16
* Con respecto al fabricante de los programas QPRO Y WP, se debe
anotar que se tiene que acudir a subdistribuidores, los cuales se
contactan con sus distribuidores directos, y por último estos
distribuidores se contactan con el fabricante localizado en Estados
Unidos, lo que produce que el soporte sea lento y fuera de tiempo. Esta
situación queda demostrada en la adquisición del software, en vista de
que se adquirió QPRO y WP para DOS, y los proveedores lo cotizaron
y firmaron el contrato, para luego indicar que los programas están
discontinuados. En el caso de ... el paquete de WP para Windows, llegó
incompleto por error del fabricante, por lo que esta empresa solicitó los
diskettes faltantes, lo que hasta la fecha no ha sido entregado,
transcurriendo así más de 120 días, aduciendo que no es fácil
conseguirlos.
Otro detalle es que el fabricante no tiene licencias corporativas que
brinden menores precios y mayores ventajas. No existe en nuestro
medio centros de enseñanza autorizados y capacitados para dar soporte
del manejo de estos paquetes para Windows. WP Y QPRO para
Windows, no son paquetes que hayan sido calificados como los mejores
programas en sus categorías correspondientes, según documentación
especializada(anexo # 15). En nuestro medio y en especial en Cuenca,
la mayoría de empresas tales como ... han migrado a Microsoft Office,
lo que producirá que solo no haya la estandarización en la empresa sino
que no existirá la estandarización con las demás compañías con las que
se mantienen estrechas relaciones. Estas desventajas las podemos
resumir en el siguiente cuadro comparativo:
Pág N°17
CUADRO COMPARATIVO
WORD-EXCEL Vs WORDPERFECT-QPRO para Windows
CARACTERÍSTICA
WORD-EXCEL
para Windows 3.1x
WP-QPRO
para Windows 3.1x
Oficina del fabricante ubicada en el País
SI*
NO
Distribuidor directo en el País
SI
NO
Empresas autorizadas por el fabricante para la
capacitación en la ciudad
SI
NO
Capacitación brindada por la Empresa de los programas
NO
NO
Capacitación brindada por la Empresa de los programas
en ambiente DOS
NO
SI
Existencia previa de usuarios manejadores de los
paquetes en la empresa
SI
NO
Licencias Corporativas
SI**
NO
Calificados como los mejores programas
SI***
NO
Programas altamente difundidos en nuestro medio
SI
NO
Versión para Windows 95 (aplicaciones 32 bits)
SI
NO
Requerimientos mínimos de memoria RAM
4 Mbytes
8 Mbytes
* Permite dar soporte directo al usuario mediante su departamento de servicio al cliente en la ciudad de
Quito.
** El fabricante proporciona licencias corporativas llamadas MOLP (Microsoft Open Licence Pack) en las
cuales dependiendo del número de paquetes que se adquiera existirá un descuento proporcional, y
Pág N°18
además brindará la posibilidad de licencias de mantenimiento, es decir que, por un valor mínimo, toda
nueva versión que salga en al mercado, será automáticamente actualizada en la empresa, al igual que
licencias MOLP de actualización (upgrade).
*** Datos obtenidos en la Revista PC Computing, del mes de junio y julio de 1995, mayo y junio de 1996.
(anexo # 15)
5. Del uso de los computadores
5.a Según datos del inventario se puede notar que los computadores tienen almacenados
una gran cantidad de programas que en la mayoría no tienen ningún uso o utilidad, lo
que se puede observar en el anexo #3. En especial se puede observar una gran cantidad
de programas que corresponden a juegos, a más de que una parte de ellos vienen
preinstalados en los computadores recientemente adquiridos, dando como resultado el
ocupar un espacio en el disco duro, limitando los recursos de la máquina.
Parte de los programas instalados en los computadores son requeridos parcialmente,
con un uso poco frecuente, pero para facilitar el trabajo se mantiene una copia del
programa.
Otro inconveniente que se presenta en el uso de los computadores, es que se encuentra
en una misma máquina varias copias del mismo programa (anexo #13), siendo la
mayoría innecesarios o en otros casos se debería tener máximo otra copia de respaldo
dentro del disco duro. Lo más crítico se presenta en los programas XXX, XXX y XXX,
que son sistemas ubicados en el servidor RS/6000 de la red Netware, y que según su
objetivo debía ser un programa centralizado, para el acceso de diferentes estaciones de
trabajo, lo que realmente no está sucediendo, porque prácticamente existe una copia en
cada disco duro y directorio de los usuarios que utilizan los programas, requiriendo de
un gran espacio de disco.
Pág N°19
También, un significativo problema se presenta en la existencia de aplicaciones o
sistemas de información que no tienen ninguna relación con la empresa (anexo #4), las
que pueden generar grandes conflictos con sus autores, ya que en la mayoría son de
creación local. Según la revisión ,estos programas no presentan movimientos actuales,
aunque si de fechas anteriores, lo que permite deducir que fueron utilizados o que
solamente se los copió para un respaldo del usuario, a excepción de otras aplicaciones
que han sido desarrolladas por extrabajadores de la Empresa. Otro punto deficiente es
que la mayoría de estas aplicaciones se encuentran localizadas en el servidor Netware,
por lo que no se puede responsabilizar a la persona que está asignado el equipo, sino
que la responsabilidad será del usuario que tenga almacenado en su directorio de la red.
5.b Se solicitó a las unidades principales que han adquirido el software de la Empresa los
justificativos del uso y compra del que tienen a su cargo, es así que la Dirección de
Distribución, con memorando ... ..., indica en especial de los programas utilizados por
el departamento de análisis y registro, pero no de otros departamentos, tales como:
paquete de Visual Basic que tiene a cargo el Ing. XXX, Novell Lan Work Place a cargo
del Ing. ..., entre otros, según los datos obtenidos en el departamento de inventario, ya
que en el memorando de auditoría, se solicitó que se presenten también los otros
programas que no se encontraren en la lista enviada, demostrando que la dirección no
es conocedora total de los programas adquiridos. También se comprueba que no ha
existido un estudio técnico previo para la adquisición de determinados programas, por
lo que no tienen la aprobación de la Unidad de Sistemas que debe actuar en el control
previo en todo lo que tenga que ver con computación. La dirección también se ha
convertido en una unidad para desarrollar aplicaciones, lo que no es el objetivo del
área, aunque por circunstancias obligatorias muchas de las áreas se han convertido o se
están convirtiendo en lo mismo.
La Unidad de Sistemas de Información adquiere software para desarrollar base de
Pág N°20
datos, tal como FoxPro para DOS Y Windows, en un total de 15 licencias, mas la
licencia de FoxPro 2.0 (que debía ser realizada un upgrade), por lo que se tiene 5
licencias de Visual FoxPro para Windows, 5 licencias de Visual FoxPro Profesional
para Windows (paquete para obtener programas ejecutables .EXE), y 6 licencias de
FoxPro para DOS. Analizando el número de programadores existentes en la unidad (un
total de 7), y suponiendo que todos estén desarrollando aplicaciones para PC en el
mismo momento, lo cual no es lógico ni conveniente, por tener gran cantidad de
programas bajo el AS/400, y que implicaría que nadie esté utilizando el programa
GENEXUS, quedaría sobredimensionado las licencias, a no ser que se distribuyera a
otras áreas para que desarrollen, lo cual implicaría muchos aspectos y de lo cual la
Unidad de Sistemas no está de acuerdo en realizarlo por ser la unidad encargada de
ello.
El Visual FoxPro es un paquete que por el mismo hecho de ser actual, implica nuevos
fundamentos. Este programa es un software orientado a objetos, lo que implicará que
el personal de la USI tendrá que adaptarse a la nueva filosofía del software. Lo que
significa que hasta que se inicie el desarrollo de las aplicaciones de la Empresa, lo mas
posible es que los programas queden obsoletos y muchos de ellos no serán utilizados.
Dentro de la compra de FoxPro para DOS, se debía adquirir, un paquete de FoxPro con
Kit de distribución(distribution kit) o FoxPro Profesional para DOS, ya que existen 53
copias usadas de FoxBase y FoxPro, 99 en total, que en la mayoría solo son utilizadas
porque la aplicación los requiere, en cambio con este paquete las aplicaciones debían
ser transformadas en ejecutables (.EXE), evitando así la necesidad de tantas copias de
Fox.
Se adquiere por parte de la USI dos paquetes: Corel FLOW y Perfect Office, los cuales
se utilizan solamente para evaluación, según la indicación que consta en el memorando
USI Ref. N° 193, lo que no es tan lógico ya que se debió cumplir con los paquetes que
Pág N°21
realmente se requieren. La Empresa, además, adquiere una licencia y paquete del
software Process Charter, que es usado con el mismo fin del programa Corel Flow,
encontrando en la empresa 17 copias del mismo, que están instalados en algunos
computadores desde Diciembre de 1995. Con respecto a Perfect Office, este paquete
incorpora principalmente WordPerfect y QPRO para Windows, lo que ya se estaba
adquiriendo en el mismo contrato. Además existen software de evaluación, que
proporciona el fabricante para que lo prueben durante cierto tiempo, lo que confirma
nuevamente que no existe un enlace directo con el fabricante a través de los
proveedores.
La adquisición del programa Norton Utilities tiene total fundamento en su adquisición,
por la necesidad de un programa con esas características.
La empresa cuenta con acceso a Internet (dos licencias), lo que implicaría que la
Unidad de Sistemas de Información debe actualizar y mantener relaciones con los
fabricantes, sea por su dirección de correo electrónico o su dirección Web (WWW);
pero como se pudo notar en la contratación de software, no se refleja este tipo de
enlace, ya que en estas direcciones se puede solicitar al fabricante copias de evaluación
o realizar una copia de libre uso que proporciona el mismo, para así poder evaluar el
funcionamiento (performance) del software. También existen direcciones de revistas
informáticas que brindan las noticias de los últimos sucesos en computación.
La solicitud inicial de compra de la Unidad de Sistemas de Información para la
adquisición del software, estuvo orientada para centralizarse en la red Netware, lo cual
no se ha aplicado en ninguna forma. También se adquirió 25 licencias de Norton
Antivirus para red, lo cual si se justifica al existir 24 usuarios de la red, aunque en su
mayoría no son usuarios continuos y utilizan la red solo para almacenamiento de datos
y no de aplicaciones (en total 33 copias de software para estaciones de trabajo
Pág N°22
Netware). Cabe anotar que según la investigación realizada por parte de auditoría, se
comprobó que la red Netware presenta una velocidad de transferencia bien lenta, al
igual que el acceso a la información del servidor, con un tiempo muerto de
aproximadamente 5 minutos (tiempo que no realiza ninguna función, es decir paraliza
el funcionamiento de la estación de trabajo), lo que la Unidad de Sistemas no ha podido
definir técnica y exactamente el problema, lo que produce que la red Netware tenga un
mínimo uso.
La Empresa tiene dos licencias de Genexus, paquete que tiene como objetivo el agilitar
la creación de aplicaciones, reduciendo prácticamente todo el tiempo de programación,
ya que se define básicamente el diseño y requerimientos del sistema, y no exige de una
programación demorada y compleja. Cabe indicar que el personal de la USI fue
capacitado para el uso del mismo, teniendo que desarrollar una aplicación como
práctica del curso, lo que realmente no se refleja en su totalidad hasta la fecha. Es
así, por ejemplo, que se iba a desarrollar una aplicación de bienes de control, por lo
que el personal de la USI solicitó los datos necesarios para su desarrollo al
Departamento de Inventarios, pero, en definitiva se tuvo que acudir al desarrollo de
tesis para que se lo elabore. También se presenta demoras en las entregas de
programas tal como el caso que sucede con Sobretiempos, en el que la USI se
comprometió a entregar en un plazo de dos meses partiendo de la entrega del manual de
procedimientos, lo que ya se realizo hace más de dos meses por parte de nóminas. En
el departamento de Trabajo Social, no se ha dado ningún tipo de inicio de desarrollo
de las aplicaciones que esta área requiere.
6. Del control del uso del software y sus licencias
Para esta auditoría se intentó recopilar todas las licencias existentes, incluyendo del
software preinstalado, de lo que se obtuvo que están localizados en diferentes lugares y
Pág N°23
con diferentes usuarios, algunas de estas licencias se encuentran encajonadas, por lo
que no se pudo inventariarlas, además según indicación del Sr ..., sería innecesario.
En este momento existe una carpeta que almacena las licencias recientemente
adquiridas. No hay ningún registro del software preinstalado.
Pág N°24
CONCLUSIONES
1. Mediante la información de la tabla #1, y comparando con los resultados del cuadro
general, se puede deducir que el inventario realizado por la USI no refleja la realidad de
la Empresa.
2. De acuerdo a lo explicado en el texto del informe, se llega a los siguientes aspectos
significativos:
- Parte del software preinstalado de la impresa es ilegal, en especial de los
equipos vendidos por la empresa ....
- No existe licencias de actualización a nuevas versiones, en lo que respecta a
DOS y WINDOWS.
- Las empresas .. y ... Cía Ltda, certifican que todas las máquinas vendidas por
ellos incluían software preinstalado. La empresa ... no lo certifica.
- No existe un registro general de todas los paquetes y licencias de software
original que han sido adquiridos por la Empresa.
- No existe una persona que se responsabilize de los manuales, diskettes, CD's
y/o licencias que no son entregados al encargado de cada computador. Al igual
que no existe responsabilidad de algunos usuarios que tienen estos materiales,
así como tampoco han sido registrados por Inventarios.
- En caso de existir un proceso legal contra la empresa por el Software ilegal le
Pág N°25
tocaría pagar cantidades superiores a los quinientos millones de sucres,
sumando a esto las demandas e incautación de computadores.
3.
- La asignación de responsabilidades a cada usuario encargado del computador por parte
del gerente general es una disposición que prácticamente no se cumple, ni por la propia
Unidad de Sistemas de Información.
- En caso de que la Unidad de Sistemas de Información se encargara de crear y
administrar todas la aplicaciones de la Empresa, que podría crear un gran conflicto con
otras áreas, puesto que se han visto obligadas a desarrollar sus propias aplicaciones al
no existir un soporte inmediato y rápido para el desarrollo de los sistemas requeridos.
4.
- Las empresas ... y .. ., no han entregado parte del software adquirido, y que según los
mismos no se los podrá entregar, lo cual se produjo en mayor parte por la falta de un
buen soporte técnico, y en menor porcentaje por la falta de relación mas directa por
medio de Internet con los fabricantes de los programas a comprarse y la confianza
puesta a los proveedores en el cumplimiento de los contratos.
- Las multas resultan irrisorias para los vendedores, al ser montos pequeños de entregar y
que difícilmente llegan a representar el 5%.
- No existe ningún registro de entrega del software por parte del proveedor, y de la
recepción del mismo por parte de la unidad, es así que se comprueba en la fecha de
entrega por parte de ... (anexo # 10 ), y de la recepción (anexo #7), que indican que
Pág N°26
parte de la recepción se lo realizó el 4/04/96(4 de abril), siendo este día jueves santo,
por lo que no hubo ese día trabajo y en el registro de guardianía no constan ninguna
persona del proveedor o de la persona encargada de la USI para la recepción.
- Por parte del fabricante no se entregaron algunos diskettes de WordPerfect para
Windows, siendo esto no culpa directa de la empresa ..., por lo que se le había dado
más de 120 días para que pueda conseguirlos, lo que no se cumple hasta la fecha.
- No ha existido un estudio técnico, previo a la adquisición de software, que fundamente
los requerimientos de la Empresa por parte de la Unidad de Sistemas de Información
Simplemente las compras se han basado en criterios que no pueden formar parte de un
verdadero estudio técnico.
- La empresa está comprando software sin ningún control.
- La adjudicación del software a los proveedores se basó en especial en los precios y no
conjuntamente en el soporte técnico del mismo.
5.
- Los recursos de los computadores están sobrecargados con muchos programas
instalados que no son utilizados, o usados esporádicamente. Además, el software
preinstalado en su mayoría no es utilizado y resulta innecesario tenerlo en el disco duro,
donde los usuarios no utilizan sus ventajas o esas ventajas son requeridas en otras áreas
de la empresa.
- Existe una total desorganización de la información en varios computadores, siendo
almacenadores de varias copias de un mismo programa, archivos inservibles, en
Pág N°27
especial lo que se presentan almacenados en el computador RS/6000.
- La empresa cuenta con herramientas que no están siendo utilizadas para ningún fin
específico, mas que el de probarlos, existiendo copias sin costo para su evaluación.
- El servidor IBM RS/6000 es usado prácticamente como unidad de almacenamiento, y
no como un servidor de aplicaciones, en vista de que no brinda las facilidades, en
especial debido a la demora que produce trabajar con este equipo.
6.
- El control de las licencias existentes en toda la Empresa es realmente nulo, a excepción
de las recientes compras de software por parte de la Unidad de Sistemas de Información
que están siendo almacenadas en una carpeta.
- Las licencias del software preinstalados no son debidamente administradas, al no existir
una unidad que centralize ese manejo.
- Es obligación de la Unidad de Sistemas cumplir los términos de compra que regulen el
uso de programas adquiridos que vienen expuestos en cada licencia.
Pág N°28
RECOMENDACIONES
- El Jefe de la Unidad de Sistemas de Información tiene que arbitrar las medidas
respectivas con la finalidad de cumplir con los siguientes propósitos:
1. Realizar una revisión completa de todos los computadores de la Empresa ..., para
eliminar todos los programas innecesarios y/o no autorizados, la optimización y
revisión del estado del disco duro y la creación de una ficha individual por computador
para registrar sus características, software y responsable. Además se analizarán las
necesidades reales de software y de capacitación de cada usuario y que estén de acorde
a las funciones que desempeña.
2. Previo al eliminado de archivos, los usuarios deberán tener pleno conocimiento del
proceso a realizarse, para que puedan hacer sus respaldos de datos y procedan ellos
mismos a borrarlos. En caso de existir usuarios sin el conocimiento para realizar este
proceso, la unidad dará el soporte necesario para la depuración y respaldo de la
información.
3. Realizar un análisis profundo y sistemático de los requerimientos para la adquisición de
las licencias necesarias, incluyendo las de DOS y Windows.
4. La asignación de responsabilidades deberá ser revisada , para así poder asignar a la
persona que realmente maneja el computador. En caso de existir varios usuarios que
manejen el mismo computador, se compartirá la responsabilidad entre ellos. En caso
de usuarios de la red, cada uno de ellos se hará responsable de su directorio asignado,
en cambio el administrador se hará responsable de todos los demás directorios
incluyendo los de los usuarios que ya no laboran en la empresa.
Pág N°29
5. Todas las aplicaciones deberán ser transformadas en programas ejecutables, incluido las
que han sido desarrolladas en Symphony.
6. Posteriormente de la revisión, migración y adquisición del software, se procederá a
divulgar y suscribir el "memorando de compromiso" con las "políticas para gerenciar
el software" que fuere aprobado por el Directorio de la Compañía o el Gerente General.
7. Todo el personal a su cargo deberá cumplir y hacer cumplir las normas que se
enmarcan en las políticas de gerenciar el software
8. Crear un registro de todas las licencias de software, sean estos preinstalados o no.
9. Capacitar a todo el personal que utilice un computador, para que sea conocedor de las
políticas de gerencia del software.
10. Responsabilizar y entregar a cada usuario los manuales, diskettes y demás accesorios, a
excepción del manual técnico y de configuración, incluido sus diskettes, Además la
unidad deberá anotar la entrega en el registro de licencias.
11. Evaluar técnicamente todos los requerimientos de computación de la Empresa, con su
respectivo estudio completo, sin que esto implique que otras unidades tengan que dejar
de desarrollar sus aplicaciones. La unidad deberá tener conocimiento del desarrollo de
programas que se realiza en cualquier área y para que estas aplicaciones se conviertan
en ejecutables.
12. En caso de suceder una auditoría externa de software que produjera un proceso legal
contra la empresa, durante el proceso de legalización de software, la unidad será la
responsable hasta que los usuarios hayan firmado el compromiso de manejo de
Pág N°30
programas, lo que se tendrá que realizar de la manera más rápida, metodológica y
óptima en bien de la Empresa.
13. Como administradores de los contratos ...-96 y ....-96 y conjuntamente con compras y
el departamento legal, deberán tomar las medidas necesarias por incumplimiento para
la cancelación de los mismos. No se aceptará como entregado el programa WordPerfect
para Windows, aunque sea falla del fabricante y no del proveedor, ya que la empresa ...
debía entregarlos en un tiempo aceptable .
14. Crear un registro que certifique la recepción de equipos o software, y que sea aprobado
por su persona conjuntamente con el funcionario encargado.
15. Se deberá crear ordenes de trabajo y un registro para anotar las tareas que están
desempeñando el personal de la USI, dentro de la área o fuera de ella, lo cual implicará
cumplir los tiempos determinados en las órdenes.
16. Se llevará un registro de todas las aplicaciones de la empresa, en especial de las
desarrolladas por la USI, en las que se incluirán los tiempos de desarrollo, responsable,
área, departamento, herramientas a usar o usadas (software de desarrollo) y toda la
documentación relacionada con la aplicación.
17. El uso del Internet deberá dar soporte a todas las unidades que lo requieran, para lo cual
se debe dar conocimiento que se cuenta con ese acceso. Además se registrará los
ingresos realizados, la persona que ingreso, el objetivo y resultados del mismo. , todo
lo que constará en el reporte mensual de uso del Internet para poder revisar tiempos de
acceso, lugares ingresados y desde donde se ingreso.
18. La unidad deberá habilitar el control telefónico mediante la conexión del computador,
Pág N°31
el cual está detenido durante mucho tiempo, y que se utilizará también para el control
de acceso a Internet.
19. Realizar un estudio para optimizar el rendimiento del servidor RS/6000 y la razón de
los tiempos muertos que tiene la Red Netware..
20. Las aplicaciones que se requiera esporádicamente por los usuarios, deberán ser
localizadas en el servidor, para que sean asignadas temporalmente al usuario que los
requiera y se tenga el mínimo número de licencias. El administrador se encargará que
accedan a los programas dependiendo del número de licencias y que sean revocadas en
caso de no ser utilizadas.
21. El desarrollo de tesis relacionados con computación deberán ser manejados por su
unidad, conjuntamente con la unidad que lo requiera.
22. Capacitar al personal para el manejo de Windows, al igual que los principales
programas que funcionan en este ambiente.
23. Crear un plan de sistemas de información para todas las aplicaciones que requieren ser
migrados o ser desarrollados que indique el tiempo referencial a utilizarse, el
responsable, entre otras.
- El jefe de la Dirección de Distribución tiene que arbitrar las medidas respectivas con la
finalidad de cumplir con los siguientes propósitos:
1. Convertir sus aplicaciones desarrolladas por su unidad en ejecutables.
Pág N°32
2. Depurar sus aplicaciones, principalmente: XXX, XXX, XXX, que se encuentran
distribuidos en diferentes computadores, y que deberían estar centralizados en el
servidor, además dentro de este servidor se deberá manejar un programa principal y un
respaldo, para así no tener un gran número de copias y un desperdicio de espacio.
- El Asesor Jurídico tiene que arbitrar las medidas respectivas con la finalidad de cumplir
con los siguientes propósitos:
1. Revisar la responsabilidad que se asigna la empresa ... en su oficio enviado, para la
certificación de haber enviado todos los computadores con software preinstalado, y
poder tener un fundamento en caso de una auditoría externa y asignar a los
proveedores como responsables del software que vino preinstalado. (anexo # 10).
2. Tomar todas las medidas legales para la culminación por incumplimiento de los
contratos ...-96 y ...-96.
- El jefe de la Dirección de Finanzas tiene que arbitrar las medidas respectivas con la
finalidad de cumplir con los siguientes propósitos:
1. Toda adquisición referente a computación, exceptuando compras de costo menor,
deberán estar adjuntadas con el informe de estudio técnico-económico de la Unidad de
Sistemas de Información, es decir como requisito de aceptación de la solicitud para la
compra.
2. Registrar y comprobar todos los manuales, diskettes y accesorios que vienen en cada
computador, sea quien fuere la persona que se quede con ellos.
Pág N°33
3. Realizar una nueva selección de proveedores mediante un llamamiento público a las
empresas vendedoras de computadores y de software para que presenten toda la
documentación que sustente y que cumpla con los requerimientos de la Empresa.
Conjuntamente con la Unidad de Sistemas de Información se crearán las bases
necesarias para que califiquen como Proveedores. Según el número de seleccionados
dependerá posteriormente la cantidad de proformas a solicitarse.
