Auditoria Final Compuillescas
description
Transcript of Auditoria Final Compuillescas
1
UNIVERSIDAD TECNOLÓGICA AMERICA
“UNITA”
AUDITORIA INFORMÁTICA
TEMA:
DESARROLLO DE UNA AUDITORIA INFORMÁTICA EN EL CENTRO DE
COMPUTO “COMPUILLESCAS”
AUDITOR:
DANY JOSUE DUEÑAS L.
TUTOR:
ING. JORGE MIRANDA
IBARRA-ECUADOR
2
CARTA DE PRESENTACIÓN ¡ERROR! MARCADOR NO DEFINIDO.
INTRODUCCIÓN 5
ANTECEDENTES 6
JUSTIFICACIÓN 7
OBJETIVO GENERAL 8
OBEJTIVOS ESPECÍFICOS 8
ALCANCES DE LA AUDITORIA 9
METODOLOGIA 10
AUDITOR 11
MISIÓN DEL AUDITOR 11
VISION DEL AUDITOR 11
METODOLOGIA 12
CAPITULO I 13
1. ESTUDIO PRELIMINAR 14
1.1. DIAGNOSTICO DE LA MICROEMPRESA 14
1.1.1. MISION Y VISION DEL CENTRO DE COMPUTO “COMPUILLESCAS” 14
1.1.2. OBJETIVOS ESPECIFICOS DEL CENTRO DE COMPUTO “COMPUILLECAS”15
1.1.3. LA MICROEMPRESA 16
1.1.3.1. VALORES 16
1.1.4. ESTRATEGIA DEL NEGOCIO 17
1.1.5. ANÁLISIS GENERAL 17
1.1.6. ORGANIGRAMA ESTRUCTURAL (SITUACIÓN ACTUAL) 18
1.1.7. ORGANIGRAMA ESTRUCTURAL (RECOMENDADO) 18
1.2. DIAGNOSTICO ADMINISTRATIVO 19
1.2.1. DETECCIÓN DEL PROBLEMA 20
1.2.2. PERSONAL QUE LABORA EN EL CENTRO DE COMPUTO “COMPUILLESCAS” 20
1.3. DIAGNOSTICO DE INFORMÁTICA 21
1.3.1. DIAGNOSTICOS DE SERVICIOS INFORMÁTICOS 21
1.3.1.1. DIAGNOSTICOS DE SOFTWARE 21
1.3.1.2. DETENCIÓN DE RIESGOS 23
1.3.1.3. DIAGNOSTICOS DE SOFTWARE 24
1.3.1.3.1. EQUIPOS 25
1.3.1.3.2. ESTANDARIZACIÓN DE LOS EQUIPOS 25
1.3.1.3.3. SEGURIDADES 26
1.3.1.3.4. UTILIZACIÓN Y MANTENIMIENTO 27
1.3.1.3.5. DIAGNOSTICO DE INVENTARIOS 28
1.3.1.3.6. DIAGNOSTICO DE RED 28
1.3.1.3.7. DISEÑO DE LA RED 28
1.3.1.3.8. DIAGNOSTICO DE SERVICIOS VARIOS 29
1.3.1.3.9. RECOMENDACIONES 29
CAPITULO II 30
2. ETAPA DE JUSTIFICACIÓN 31
2.1. DEFINICIÓN DE ÁREAS AUDITABLES 31
2.2. MATRIZ FODA 31
2.2.1. FORTALEZAS Y DEBILIDADES 32
3
2.2.2. OPORTUNIDADE Y AMENAZAS 33
2.3. MATRIZ DE RIESGO 34
2.4. PLAN GENERAL DEL CENTRO DE CÓMPUTO “COMPUILLESCAS” 36
2.5. APROBACIÓN DEL PLAN 39
CAPITULO III 40
3. ADECUACIÓN 41
3.1. VERIFICACIÓN DE DATOS 41
3.1.1. DATOS DEL PROYECTO 41
3.2. ESTUDIOS APLICATIVOS 41
3.2.1. ENTREVISTAS 41
CAPITULO IV 42
4. FORMALIZACIÓN 43
4.1. DOCUMENTO DE FORMALIZACIÓN DEL CENTRO DE COMPUTO “COMPUILLESCAS” 43
4.2. PLAN GENERAL DETALLADO 43
INDICE DE TABLAS
Tabla 1: ÁREAS POR AUDITAR ........................................................................................................ 9
Tabla 2: METODOLOGIA ............................................................................................................... 10
Tabla 3: AUDITOR ........................................................................................................................ 11
Tabla 4: ESTUDIO DE MERCADEO ................................................................................................. 17
Tabla 5: ESTRATEGIAS DE LA EMPRESA ........................................................................................ 17
Tabla 6: SOFTWARE INSTALADO ................................................................................................... 23
Tabla 7: ESTANDARIZACIÓN DE LOS EQUIPOS .............................................................................. 25
Tabla 8: MATRIZ FODA ................................................................................................................. 32
Tabla 9: MATRIZ DE RIESGO ......................................................................................................... 35
Tabla 10: PLAN GENERAL ............................................................................................................. 37
Tabla 11: PLAN DE ACTIVIDADES .................................................................................................. 38
Tabla 12: PLAN GENERAL DETALLADO .......................................................................................... 44
4
Ibarra, 25 de Junio de 2010
A petición formal presentada por el señor Dueñas Josue, en la cual se solicita realizar una auditoria
al Centro de Computo “COMPUILLESCAS” como trabajo para aprobar la asignatura de Auditoria
Informática, en la Universidad Tecnológica América, le comunico que el Gerente Propietario Sr.
Fausto Illescas resolvió autorizar dicha petición.
Atentamente,
Sr. Fausto Illescas
GERENTE PROPIETARIO DEL
CENTRO DE COMPUTO “COMPUILLESCAS”
5
INTRODUCCIÓN
En la actualidad los Sistemas Informáticos juegan un papel cada vez más importante en las
modernas organizaciones empresariales, hasta el punto de condicionar su éxito o fracaso
en un entorno económico y social tan dinámico y turbulento como el que caracteriza al
mundo actual. Nuevos aspectos como la globalización o el tránsito hacia una economía
más basada en el conocimiento han inducido importantes cambios en las organizaciones
empresariales. En este nuevo contexto, los Sistemas y las Tecnologías de la Información y
Comunicación se han convertido en un elemento esencial como motor del cambio y
fuente de ventajas competitivas.
Dentro de una organización los Sistema Informáticos actúan como un “sistema nervioso”,
ya que éste es el que encarga de manipular la información en los departamentos, áreas
funcionales, equipos de trabajo, etc. Para cumplir con sus objetivos y por la importancia
que los Sistemas Informáticos tienen, la empresa puede recurrir a la Auditoría Informática.
La Auditoria Informática es aquel instrumento de gestión que ha de incluir una evaluación
sistemática, documentada y objetiva de la eficacia del sistema de prevención para lo cual
deberá ser realizada de acuerdo con las normas técnicas establecidas para la auditoria de
los sistemas de información, teniendo en cuenta en la información obtenida de los
trabajadores. Para hacer una planeación de la auditoría en informática eficaz, lo primero
que se requiere es obtener información general sobre la organización y sobre la función
de informática a evaluar. Para ello es preciso hacer una investigación preliminar y algunas
entrevistas previas, con base en esto planear el programa de trabajo, el cual deberá incluir
tiempo, costo, personal necesario y documentos auxiliares a solicitar o formular durante
el desarrollo de la misma.
Esta labor tiene como objetivo controlar que todas las actividades relacionadas a los
sistemas de información automatizados se realicen cumpliendo las normas, estándares,
procedimientos y disposiciones legales establecidas interna y externamente.
6
ANTECEDENTES
El centro de Computo “COMPUILLESCAS” es una microempresa fundada por el Sr. Fausto
Illescas, quien es el propietario hasta la presente fecha.
Esta ubicada en la calle Fray Vacas Galindo y Jaime Rivadeneira en la ciudad de Ibarra.
Esta microempresa nació hace 6 años de la necesidad del barrio a un sitio que brindará la
conectividad a la Internet y su alquiler, pues este servicio daba sus comienzos a grandes
pasos con la aparición de los “Cyber”, la microempresa fue creada con el fin de colaborar a
la ciudadanía, brindando además Juegos en red que han tenido una gran acogida, copias a
color y blanco y negro y anillados.
Se desea llevar a cabo una preauditoria informática bajo la dirección del Tcnlg. Josue
Dueñas, estudiante del decimo nivel de la Facultad de Ciencias de la Computación y
Electrónica de la Universidad Tecnológica América, modalidad semipresencial en convenio
con el Instituto Superior José Chiriboga “ITCA”.
La auditoria tiene como propósito principal, poner en práctica los conocimientos
adquiridos en la materia de Auditoria Informática, efectuando procedimientos relativos al
área informática, destinados a recoger, agrupar y evaluar evidencias para determinar si un
Sistema de Información salvaguarda el activo empresarial, mantiene la integridad de los
datos, lleva a cabo eficazmente los fines de la organización y utiliza eficientemente los
recursos.
7
JUSTIFICACIÓN
La necesidad de realizar una auditoria en informática en el Centro de Computo
“COMPUILLESCAS” es tener una visión formal y sistemática para determinar hasta qué
punto la organización está cumpliendo los objetivos establecidos por el gerente, así como
identificar los que requieren mejorarse, sobretodo la estructura, los planes y objetivos,
métodos y controles, su forma de operación y sus equipos humanos y físicos en cuanto al
punto de vista informático.
El desarrollo de la presente auditoria pretende establecer el control de la función
informática, el análisis de la eficiencia de los Sistemas Informáticos, la verificación del
cumplimiento de la Normativa en este ámbito y la revisión de la eficaz gestión de los
recursos informáticos.
Otro de los propósitos de la auditoria es poner en práctica los conocimientos obtenidos
en la materia de Auditoria Informática, lo cual se llevara a cabo mediante procesos
relativos al área de informática, que requieren el uso de métodos y técnicas que ayuden
ha recopilar información para poder determinar los puntos claves que se pueden
presentar vulnerables dentro de la microempresa, para mejorar aspectos como:
- Eficiencia
- Eficacia
- Rentabilidad
- Seguridad
8
OBJETIVO GENERAL
� Desarrollar un Auditoria Informática en el Centro de Computo “COMPUILLESCAS”,
para dar un análisis general del ambiente de control de los recursos informáticos y
poder identificar riesgos y evaluar la efectividad de los controles.
OBEJTIVOS ESPECÍFICOS
� Controlar que todas las actividades se realizan cumpliendo los procedimientos y
normas fijados, evaluar su bondad y asegurarse del cumplimiento de las normas
legales.
� Definir, implantar y ejecutar mecanismos y controles para comprobar el grado de
cumplimiento de los servicios informáticos.
� Realizar en los diferentes sistemas y entornos informáticos el control de las
diferentes actividades que se realizan.
� Difundir y controlar el cumplimiento de las normas, estándares y procedimientos al
personal de operadores.
� Incrementar la satisfacción de los usuarios de los sistemas computarizados.
� Asegurar una mayor integridad, confidencialidad y confiabilidad de la información
mediante la recomendación de seguridades y controles.
� Evaluar cada una de las áreas para encontrara posible problemas y dar soluciones a
cada uno de ellos.
9
ALCANCES DE LA AUDITORIA
El alcance ha de definir con exactitud el entorno y los limites en que va a desarrollarse la Auditoria Informática.
ÁREAS PARA AUDITAR
AC
TIV
IDA
DES
HARDWARE Y SOFTWARE RED ESTRUCTURA ORGÁNICA
CONTRONL DE PROYECTOS
SEGURIDAD FÍSICA
� Evaluar la situación actual de hardware y software
� Evaluar el estado del hardware.
� Estandarización de equipos y programas en uso.
� Los sistemas en operación.
� Evaluar las seguridades físicas y lógicas de los sistemas
� Recomendaciones
� Utilización � Distribución � Seguridad � Mantenimiento � Recomendaciones
� Situación actual � Recomendaciones
� Organización � Seguimiento � Análisis
Costo/Beneficio � Recomendaciones
� Situación actual � Controles de
seguridad � Recomendaciones
Tabla 1: ÁREAS POR AUDITAR
10
METODOLOGIA Personal informático Hardware Software Red Control de proyectos Infraestructura
� Aplicación de Cuestionarios.
� Análisis y evaluación del trabajo dentro de sus funciones.
� Elaboración del Informa.
� Diseño de los sistemas en desarrollo/operación.
� Solicitud de los documentos de los sistemas en operación.
� Recopilación y análisis de los procedimientos de administración de cada sistema.
� Análisis de seguridades, redundancia, respaldos de los datos.
� Entrevistas a los usuarios.
� Cuestionarios � Análisis de la
información recopilada.
� Elaboración del Informe.
� Cuestionarios. � Análisis de las
seguridades. � Análisis de la
información recopilada.
� Elaborar el
informe.
� Observación del medio.
� Entrevistas. � Observación de las
seguridades físicas/lógicas.
� Elaborar el
Informe.
� Observación de la organización de la microempresa.
� Análisis del
organigrama estructural y funcional.
� Elaboración del
Informe.
� Análisis del medio. � Observación de los
controles de seguridad.
� Elaboración del
Informe.
Tabla 2: METODOLOGIA
11
AUDITOR
Nombre Dirección Teléfonos
Dany Josue Dueñas Lanchimba
Ibarra, Avenida Atahualpa y Teodoro Gómez de la Torre, Dep. 201 B
(06) 2955395 (08) 8599681
Tabla 3: AUDITOR
MISIÓN DEL AUDITOR
Planificar y desarrollar una Auditoria Informática al Centro de Computo
“COMPUILLESCAS”, utilizando la metodología y estudio por etapas, lo cual permitirá
encontrar las fortalezas y debilidades de la microempresa. Con este análisis se podrá
poner a consideración las recomendaciones para solucionar las falencias encontradas, y
que de esta manera la microempresa alcance su visión.
VISION DEL AUDITOR
La visión del auditor es que la empresa pueda desarrollarse y las debilidades que a través
de la auditoria se encuentren convertirlas en fortalezas, de igual manera los riesgos en
oportunidades y finalmente tener una mejor atención al cliente y satisfacer las
necesidades requeridas por los usuarios del centro de computo “COMPUILLESCAS”.
12
METODOLOGIA
Las metodologías son necesarias para desarrollar cualquier proyecto que nos
propongamos de manera ordenada y eficaz. En base a los conocimientos adquiridos se ha
decidió adoptar la metodología que propone el texto “Auditoria Informática” de Enríquez
Hernández Hernández.
En el proceso metodológico presentado en el texto se muestran las siguientes etapas:
13
CAPITULO I
� ETAPA PRELIMINAR
1.1 Diagnóstico de la microempresa 2.1 Diagnóstico de informática 3.1 Diagnóstico del personal informático
14
1. ESTUDIO PRELIMINAR
1.1. DIAGNOSTICO DE LA MICROEMPRESA
El centro de computo “COMPUILLESCAS” se encuentra ubicado en la calle Fray Vacas
Galindo y Avenida Jaime Rivadeneira, en la ciudad de Ibarra, el centro de Computo
“COMPUILLESCAS” es una microempresa fundada por el Sr. Fausto Illescas, quien es
el propietario hasta la presente fecha.
Este centro de cómputo ofrece servicios informáticos de diferente índole como son:
� El negocio cuenta con el alquiler de Internet para todos sus usuarios.
� Para el entretenimiento de los usuarios cuenta con juegos en red.
� Brinda asesorías en deberes y tareas.
� Ofrece el servicio de copias a color y blanco y negro.
� Realiza anillados.
� Diseño e impresión en cd´s.
1.1.1. MISION Y VISION DEL CENTRO DE COMPUTO
“COMPUILLESCAS”
MISION
Prestar servicios de alto nivel a nuestros clientes colaborando con la
preparación de nuevos entes profesionales en la sociedad, brindando
recursos informáticos y servicios varios (copias y anillados) para un correcto
desempeño académico e intelectual de nuestros usuarios.
15
VISIÓN
Nuestra visión es la de ser un centro computo a la vanguardia en
tecnología, con cobertura para toda la ciudad con nuestro propio local en
cinco años, brindando la mejor calidad en servicios de Internet y servicios
varios como copias y anillados proyectándonos hacia el desarrollo de
nuestro país.
1.1.2. OBJETIVOS ESPECIFICOS DEL CENTRO DE COMPUTO
“COMPUILLECAS”
� Satisfacer las necesidades de nuestros clientes en el campo de la
informática.
� Brindar asesorías en deberes y trabajos escolares y académicos de
toda índole.
� Brindar un servicio ágil y eficaz en el área de copias y anillados
16
1.1.3. LA MICROEMPRESA
NOMBRE O RAZÓN SOCIAL: El nombre que lleva la empresa: es
“COMPUILLESCAS”.
TITULARIDAD DE LA MICROEMPRESA: Es una microempresa de propiedad de
ÚNICO, no es una sociedad.
TIPO DE MICROEMPRESA: La microempresa esta dentro del sector privado
desarrollando la actividad de servicio de Internet y servicios de copiadora y
anillado.
PROPUESTA ESTRATÉGICA DE LA MICROEMPRESA
DEFINICIÓN DE LA MICROEMPRESA.- Ofrece productos de alta calidad y
servicios personalizados.
1.1.3.1. VALORES
� El respeto, la confianza, la consideración y reconocimiento a los usuarios y
clientes.
� Honestidad en el desarrollo de las actividades empresariales.
� Responsabilidad para cumplir con eficiencia todas las actividades que se
desarrollan en la empresa.
17
1.1.4. ESTRATEGIA DEL NEGOCIO
Jerarquización de Mezcla de Mercadeo
Estrategia Porcentaje
Servicio 30% Precio 30%
Producto 20%
Comunicación 20%
Total 100% Tabla 4: ESTUDIO DE MERCADEO
1.1.5. ANÁLISIS GENERAL
ESTRATEGIAS DE MERCADEO
ESTRATEGIA DESCRIPCIÓN
SERVICIO El cliente siempre será el beneficiado según sus necesidades ya que los servicios serán variados y personalizados con posibilidades de expansión de acuerdo a los requerimientos establecidos.
PRECIO El margen de calidad siempre tendrá un control oportuno sin necesidad de establecer precios altos, sino más bien muy competitivos y de buena utilidad, teniendo en cuenta el análisis costo/beneficio.
PRODUCTO Los productos siempre serán de buena calidad, y al margen de lo establecido por el cliente, ya que se cuenta con proveedores reconocidos y con un alto renombre en el mercado.
COMUNICACIÓN Se realizan los contactos directamente con los clientes para la presentación delos servicios y la microempresa.
Tabla 5: ESTRATEGIAS DE LA EMPRESA
18
1.1.6. ORGANIGRAMA ESTRUCTURAL (SITUACIÓN ACTUAL)
1.1.7. ORGANIGRAMA ESTRUCTURAL (RECOMENDADO)
Este es el organigrama estructural recomendado por el auditor ya que se ha visto
necesario reestructurar el organigrama de la microempresa.
19
1.2. DIAGNOSTICO ADMINISTRATIVO
Una de las partes más importantes en la planeación de la auditoria en informática es
el personal que va a participar, ya que se debe contar con el equipo seleccionado y
con ciertas características que puedan ayudar a llevar la auditoria de manera
correcta y en el tiempo estimado.
En esta instancia lo que se deberá considerar son exactamente las características
que debe cumplir cada uno del personal que habrá de participar en la auditoria.
Uno de los esquemas generalmente aceptados para tener un adecuado control es
que el personal que intervenga este debidamente capacitado, que tenga un alto
sentido de moralidad, al cual se le exija la optimización de recursos (eficiencia) y se
le retribuya o compense justamente por su trabajo.
Este es un punto muy importante ya que, de no tener el apoyo del gerente, ni contar
con un grupo multidisciplinario en el cual estén presentes una o varias personas de
la microempresa, será casi imposible obtener información en el momento y con las
características deseadas.
Una vez planificada la auditoria, se puede utilizar algunas técnicas de recopilación de
información para poder determinar la calidad en el que trabaja el personal de la
microempresa.
20
1.2.1. DETECCIÓN DEL PROBLEMA
� El espacio de trabajo en muy reducido.
� El negocio no cuenta con un manual de políticas y procedimientos
internas informáticas.
� Reubicación de la estructura informática en la estructura organizacional.
� El negocio no cuenta con un plan de contingencia.
Luego de haber efectuado las observaciones pertinentes dentro del negocio
se puede concluir que:
� El gerente propietario es el responsable del área de informática, servicios
de alquiler de internet y juegos en red, mantenimiento de PC´s, y red y
contabilidad del negocio, en este caso realiza las distintas actividades.
� Es la Sra. Susana Morocho, esposa del gerente/propietario quien es la
responsable del área de servicios varios, como las copias y anillados.
� Falta de personal en informática.
� Falta de personal en servicios varios.
1.2.2. PERSONAL QUE LABORA EN EL CENTRO DE COMPUTO
“COMPUILLESCAS”
� Sr. Fausto Illescas Gerente/Propietario
� Sra. Susana Morocho Subgerente
21
1.3. DIAGNOSTICO DE INFORMÁTICA
La estructura interna del negocio esta formado por una red que tiene 6
computadoras, 1 servidor y 5 Clientes, su principal objetivo es brindar servicio de
Internet a los usuarios manteniendo estrategias de ventas y planes para su mejor
acogida.
1.3.1. DIAGNOSTICOS DE SERVICIOS INFORMÁTICOS
1.3.1.1. DIAGNOSTICOS DE SOFTWARE
En esta etapa que corresponde al análisis del software se deberán
auditar los programas, su diseño, el lenguaje utilizado, interconexión
entre los programas. Al evaluar un sistema de información se tendrá
presente que todo sistema debe proporcionar información para planear,
organizar y controlar de manera eficaz y oportuna, para reducir la
duplicidad de datos y de reportes y además obtener una mayor
seguridad en la forma más económica posible.
En el centro de computo “COMPUILLESCAS” se va a diagnosticar cada
una de las áreas que a continuación se describen con respecto a los
servicios informáticos:
� Sistemas
� Programas
22
SISTEMA.- El centro de computo “COMPUILLESCAS”, cuenta son un Sistema
informático para el control de usuarios, sin embargo no cuenta con un sistema
para el control de inventario y facturación.
PROGRAMACIÓN.- En lo que se refiere a programas tiene instalado Windows XP
Profesional en el Servidor y asimismo en 5 maquinas, lo que resulta una ventaja
pues estos sistemas operativos sustentan las tareas que se realizan diariamente en
el centro.
El software que se encuentra instalado en cada una de las maquinas de centro de
cómputo “COMPUILLESCAS” son:
Sistemas Operativos
� Windows XP (Servidor)
� Windows XP (Clientes)
Utilitarios
� Procesadores de Palabras � Microsoft Word 2007
� Hojas de Calculo � Microsoft Excel 2007
� Presentadores Gráficos � Power Point 2007
Diseño Gráfico y Autoedición
� Publisher � Paint
� Corel � Front Page
Software de Aplicación
� Nero-Burning � Acrobat Reader 8.0
� Winap � Paquete de Global Link
Navegadores
� Internet Explorer � Mozilla
Multimedia
� Flash � Movie Maker
23
� Media Player � Winap
� Real Player
Programas de Comunicación
� Outlook Express � Windows Messenger
Empaquetamiento
� Winzip
Juegos
� Age of Empires � Age of Mitology
� Moto Racer
Tabla 6: SOFTWARE INSTALADO
1.3.1.2. DETENCIÓN DE RIESGOS
Después de tomar en cuenta las observaciones que se han detallado se
han encontrado los siguientes problemas:
� Software pirata.- Susceptibilidad de virus computacionales.
� Falta de metodologías con respecto al desarrollo del negocio.
� Desconocimiento de los requerimientos del negocio.
� No existen políticas de evaluación de software.
� No existe un inventario de software que maneja este negocio.
24
1.3.1.3. DIAGNOSTICOS DE SOFTWARE
Hardware, equipo utilizado para el funcionamiento de una
computadora. El hardware se refiere a los componentes materiales de
un sistema informático. La función de estos componentes suele dividirse
en tres categorías principales:
Entradas, Salidas y almacenamiento. Los componentes de esas
categorías están conectados a través de un conjunto de cables o
circuitos llamados bus con la unidad central de proceso (CPU) del
ordenador, el microprocesador que controla la computadora y le
proporciona capacidad de cálculo.
Estos programas suelen almacenarse y transferirse a la CPU a través del
hardware de la computadora. El software también rige la forma en que
se utiliza el hardware, como por ejemplo la forma de recuperar
información de un dispositivo de almacenamiento. La interacción entre
el hardware de entrada y de salida es controlada por un software
llamado BIOS (Siglas en inglés de sistema básico de entrada/salida).
El centro de cómputo esta compuesto por 6 computadoras, 1 Servidor y
5 clientes que a continuación se detallan cada uno de los equipos para
determinar el estado en que se encuentran.
25
ESTANDARIZACIÓN DE EQUIPOS
Core (TM2 CPU) 6.240@ 2,13
Ghz.
Intel Celeron 2,40 Ghz.
1.3.1.3.1. EQUIPOS
En el siguiente cuadro se detalla una breve descripción de cada uno
de los equipos informáticos:
Centro de Computo “COMPUILLESCAS”
Nro. MAQUINA DEPARTAMENTO SEGURIDAD ESTADO
1 Core (TM2 CPU) 6.240@ 2,13
Ghz.
SERVIDOR No tienen clave de acceso Aceptable
2 Intel Celeron 2,40 Ghz. CLIENTE No tienen clave de acceso Aceptable
3 Intel Celeron 2,40 Ghz. CLIENTE No tienen clave de acceso Aceptable
4 Intel Celeron 2,40 Ghz. CLIENTE No tienen clave de acceso Aceptable
5 Intel Celeron 2,40 Ghz. CLIENTE No tienen clave de acceso Aceptable
6 Intel Celeron 2,40 Ghz. CLIENTE No tienen clave de acceso Aceptable
Tabla 7: ESTANDARIZACIÓN DE LOS EQUIPOS
1.3.1.3.2. ESTANDARIZACIÓN DE LOS EQUIPOS
El siguiente cuadro muestra un breve resumen de los equipos con
los que cuenta el centro de cómputo “COMPUILLESCAS”.
26
En la actualidad en el mercado informático encontramos máquinas
con mayor capacidad de almacenamiento, velocidad en el
procesamiento de la información, que tienden a mejorar con el
transcurso del tiempo y el avance de la tecnología.
Es así que llegamos a la conclusión de:
Como análisis al cuadro anterior se puede decir que generalmente
los equipos de la empresa se encuentran en un nivel intermedio
ante las tecnologías actuales, con excepción del Servidor que cuenta
con una buena capacidad en procesamiento y memoria.
1.3.1.3.3. SEGURIDADES
En cuanto a las seguridades los aspectos más sobresalientes se
detallan a continuación:
� Los cables de energía se encuentran a vista de todos y no están
bien distribuidos por lo que son vulnerables a daños físicos por
estropeo, pisadas, etc.
� Los interruptores de energía se encuentran sin ningún tipo de
protección por lo que en cualquier momento personas
inescrupulosas pueden desconectar las máquinas provocando
daños y truncando el trabajo de los demás.
� No existe un generador eléctrico para dar servicio de emergencia
para más de 10 horas.
� No existe un Plan de Contingencia.
� No existen los suficientes cortapicos para las computadoras, ya
que dos comparten uno, en dos ocasiones, lo cual es un riesgo
que si ocurre algún inconveniente con alguno de ellos se verían
afectados también las otras computadoras que dependen del
cortapicos afectad
27
1.3.1.3.4. UTILIZACIÓN Y MANTENIMIENTO
Mantenimiento Preventivo
El mantenimiento Preventivo del computador puede tener uno o
varios procesos.
Estos se realizan apara solucionar y prevenir fallas operativas de
software o hardware; cambio o instalación de nuevos componentes
de hardware; configuraciones de Correo Electrónico; Internet y
conexiones a la red.
Mantenimiento Correcto
El servicio Correctivo del computador se realiza para solucionar
fallas operativas de hardware; cambio o instalación de nuevos
componentes de hardware y cuando la presencia de un Virus afecta
al desempeño del computador.
En la microempresa se realiza mantenimiento a los equipos, cada
vez que estas sufren algún daño o presentan alguna.
Los programas antivirus, se actualizan automáticamente, porque
tienen conexión directa a Internet.
Los juegos forman parte importante de este negocio y siempre están
al día con nuevas alternativas y actualizaciones en óptimas
condiciones para prestar una buena atención a los clientes.
28
1.3.1.3.5. DIAGNOSTICO DE INVENTARIOS
No existe un inventario formal de hardware y software.
1.3.1.3.6. DIAGNOSTICO DE RED
La red distribuida en una tipología de tipo estrella
� El cableado de la red llega a los ordenadores sin ningún tipo de
protección.
� La información en la red se puede manipular ampliamente.
� La red es utilizada para la diversión de los usuarios con los juegos
en red que brinda este local.
1.3.1.3.7. DISEÑO DE LA RED
A continuación se presenta el diseño actual de la red.
29
1.3.1.3.8. DIAGNOSTICO DE SERVICIOS VARIOS
� Ofrece diversas alternativas sobre servicios de fotocopias, las
cuales pueden ser a color y blanco y negro, además de contar
con el servicio de anillado para los clientes que lo requieren.
� Una dificultad encontrada en este negocio es que en varias
ocasiones suceden ciertos inconvenientes por la falta de
personal, para atender a los clientes que requieren copias y al
mismo tiempo el alquiler de un computador.
1.3.1.3.9. RECOMENDACIONES
� La estructura de este negocio debe ser más amplia, ya que en
este momento solo cuenta con una oficina, que realiza todos los
servicios, debería estar definida por departamentos y áreas para
el mejor desempeño.
� Se puede notar en el área de informática falta implementar un
sistema informático de facturación e inventarios ya que esto
permitiría el mejor rendimiento en cuanto tiempo y control se
puede referir.
� Una de las restricciones mas relevante que se ha podido
constatar en este negocio es que no existe el personal suficiente
para laborar, ya que el responsable de informática en este caso
el Gerente/propietario no debe ser su propio juez, para poder
encontrar las fallas que tiene dicho negocio.
� Además se puede recomendar la contratación de un analista de
Sistemas que pueda cumplir con la tarea de mantenimiento
tanto en software como en hardware.
� Elaborar un cronograma de funciones y de responsabilidades
para los empleados, con la finalidad de que exista un equilibrio
entre las funciones que cada uno de ellos tiene que cumplir.
30
CAPITULO II
� ETAPA DE JUSTIFICACIÓN
2.1 Definición de áreas auditables 2.2 Matriz FODA 2.3 Matriz de Riesgos 2.4 Plan general de Informática 2.5 Aprobación del plan
31
2. ETAPA DE JUSTIFICACIÓN
2.1. DEFINICIÓN DE ÁREAS AUDITABLES
En la etapa de justificación se ha de establecer la Matriz de Riesgos del centro
de cómputo “COMPUILLESCAS”, por lo cual se han definido y establecido las
áreas que se van auditar durante su desarrollo:
� Cumplimiento de la Ley y Ordenanzas
� Redes y Comunicaciones
� Software
� Hardware
� Seguridades
� Servicios varios(Copias y anillados)
Para hacer de esto posible se realizará a continuación la Matriz FODA, en el
que se han obtenido importantes resultados para reconocer los riesgos que se
presentan en las áreas antes mencionadas.
2.2. MATRIZ FODA
El análisis a través de la matriz FODA consiste principalmente en evaluar las
Fortalezas y Debilidades que están relacionados con el ambiente interno como
por ejemplo los recursos humanos, técnicos, financieros, tecnológicos, etc., y
las Oportunidades y Amenazas que se refieren al entorno externo como los
proveedores, competidores, canales de distribución, consumidores de la
microempresa.
32
MATRIZ FODA
FORTALEZAS OPORTUNIDADES
� Reinversión � Innovación tecnológica
� Internet con banda ancha � Actualización de hardware y
Software
� Mercado en crecimiento
� Mantenimiento permanente
DEBILIDADES AMENAZAS
� Mala adecuación de la oficina � Robo
� Falta de planta eléctrica � Competencia
� Cables de energía sin protección
� Espacio de oficina reducido
Tabla 8: MATRIZ FODA
2.2.1. FORTALEZAS Y DEBILIDADES
En esta etapa del análisis se desarrollará la primera parte del FODA, acrónimo
de las palabras fortalezas, oportunidades, que son factores que afectan a la
empresa de forma interna.
Este tipo de análisis permite examinar la situación actual de la interacción
entre las características particulares de la empresa del caso y el mercado en
el cual compite.
El factor interno se debe enfocar solamente hacia aquellos factores claves
para mantener una ventaja diferencial sostenible. Las fortalezas yd
debilidades surgirán durante el análisis de la situación.
33
2.2.2. OPORTUNIDADE Y AMENAZAS
Los problemas críticos son también una perta importante cuando se hace
este tipo de análisis, que luego de haberlo fundamentado se pueden localizar
claramente las oportunidades y amenazas que confronta la empresa del caso.
Las oportunidades y las amenazas se encuentran formando parte externa el
análisis FODA. El ambiente externo de la empresa esta conformado por
variables socioculturales, económicas, políticas, legislativas, tecnológicas y
competitivas que no están bajo nuestro control. Estas amenazas las debemos
clasificar de acuerdo con su gravedad y posibilidad de ocurrencia. En este
caso lo mejor es tener un plan de contingencia que pueda ayudar cuando el lo
requiera por ejemplo cuando existe un incremento de impuestos,
implantación de seguros entre otros.
Las oportunidades que se pueden encontrar en el negocio no son la pauta
para que lo próximo sea actuar en estas situaciones. Lo primero será una
evaluación del atractivo de esas oportunidades, la probabilidad de éxito y
mirar si las fortaleza y recursos de la microempresa se las pueden aprovechar
para convertirla en una ventaja competitiva, de no serlo así, no existe el valor
estratégico apara estas circunstancias.
34
2.3. MATRIZ DE RIESGO
Entre los procedimiento establecidos, se incluye la elaboración de la Matriz
de riesgos, la cual es muy importante para crear una conciencia en los
usuarios de la microempresa sobre el riesgo que corre la información y
hacerles comprender que la seguridad es parte de su trabajo. Para esto se
deben conocer los principales riesgos que acechan a la función informática y
los medios de prevención que se deben tener.
Además, la Matriz de Riesgos permite evaluar los controles que deben estar
presentes tanto en las aplicaciones como en su entorno, y una vez realizado
esto se pueden determinar los riesgos las causas de riesgo para aplicar
procedimiento de simulación y comprobación, para así comprobar la
efectividad de los planes de contingencia.
El diseño de la Matriz de Riesgo permite obtener señales y advertencias
concluyentes sobre los controles existentes y su efectividad real respecto a la
esperada. También permitirá planear, organizar coordinar dirigir y controlar
las actividades relacionadas a mantener y garantizar la integridad física de los
recursos implicados en la función informática, así como el resguardo de los
activos de la empresa, así como a definir los siguientes puntos:
� Definir políticas de seguridad
� Contemplar la seguridad física contra catástrofes (incendios, terremotos,
inundaciones, etc.)
� Definir prácticas de seguridad para el personal.
� Plan de emergencia (plan de evacuación, uso de recursos de emergencia
como extinguidores).
� Números telefónicos de emergencia
� Flujo de energía
� Cableados locales y externos
� Política de destrucción de basura copias, fotocopias, etc.
35
MATRIZ DE RIESGO
Gerencia: Sr. Fausto Illescas Fecha de elaboración: 28/05/2010
Áreas Susceptibles de Auditoria
Aspectos o componentes por evaluar en el área
Riesgo por componente
Clasificación del riesgo por área(total)
Áreas por Auditar según su clasificación
Mantenimiento
1.- Software 65% Instalación, administración, desarrollo 2.- Hardware 35% 35%
TOTAL 100%
Red Local
1.- Administración 65% Instalación, administración, operatividad
2.- Instalación 35% 45%
TOTAL 100%
Seguridad
1.- Hardware 655% Área Técnica 2.- Software 35% 20%
TOTAL 100%
Servicios Varios
1.-Servicio en copias 65% Administración, operatividad
2.- Servicios en anillados 35% 20%
TOTAL 100%
TOTAL 100% 100% Tabla 9: MATRIZ DE RIESGO
36
2.4. PLAN GENERAL DEL CENTRO DE CÓMPUTO “COMPUILLESCAS”
La formulación del plan general de informática, consiste básicamente en
plantear las tareas más importantes que se ejecutan durante el período de la
realización de la auditoria informática.
Los principales aspectos del plan son:
� Diagnostico preliminar
� Metodología
� Áreas de oportunidad Matriz e riesgos
El plan elaborado en el centro de cómputo “COMPUILLESCAS” esta
desarrollado de acuerdo al organigrama estructural recomendado, ya que en
este negocio no existen definidos los departamentos y las áreas que se
evalúan con las que se sugiere de acuerdo a la auditoria realizada por el
auditor.
37
PLAN GENERAL
Gerencia: Sr. Fausto Illescas Fecha de elaboración: 28/05/2010
Áreas por auditar según clasificación y
prioridad
Aspectos o componentes del área por auditar
Actividades Responsable Clasificación del riesgo por área
(total)
Fecha de inicio
Mantenimiento
1.- Software Conocer el estado de funcionamiento de los equipos y sus componentes
Josue Dueñas
35%
12/06/2010
2.- Hardware Conocer la existencia de programas
Red Local
1.- Administración Estado de la red local Josue Dueñas
45%
18/06/2010 2.- Instalación Interconexiones
Seguridad
1.- Hardware Áreas que tienen seguridad Josue Dueñas
20%
22/06/2010 2.- Software Tipo de seguridad
Servicios Varios
1.-Servicio en copias Determinar la calidad de los servicios
Josue Dueñas
20%
28/06/2010
2.- Servicios en anillados Eficiencia y optimo servicio Tabla 10: PLAN GENERAL
38
PLAN DE ACTIVIDADES
PLAN DE ACTIVIDADES
OBJETIVO RESPONSABLE FECHA
Conocimiento general de la
microempresa.
Tener una visión inicial para el análisis de la auditoria en el
negocio.
Auditor 01/05/2010
Revisión del ambiente de
hardware
Conocer el estado de las maquinas y accesorios
Auditor 26/05/2010
Revisión del ambiente de
software
Reconocer programas existentes y su estado de
funcionamiento
Auditor 26/05/2010
Revisión de red y seguridad
Revisar la red y seguridades del negocio
Auditor 26/05/2010
Análisis Matriz FODA
Realizar un diagnostico previo al desarrollo de lo
procedimientos de la auditoria informática
Auditor 27/052010
Definición del alcance de la
auditoria
Especificar la cobertura de estudio de auditoria para la
aplicación de los procedimientos
Auditor 27/05/2010
Realizar entrevistas Conocer la opinión del gerente/propietario
Auditor 27/05/2010
Analizar cuestionarios
Conocer la opinión delos clientes
Auditor 27/05/2010
Análisis de la información
Determinar, comparar, detallar y documentar los
aspectos más importante que se definen en el área
Auditor 28/06/2010
Identificación de riesgos
Obtener una idea precisa de la estructura y funcionamiento
del área de informática
Auditor 28/05/2010
Obtención de conclusiones
Elaborar una lista de los primeros resultados sobre el
estudio de la información recopilada
Auditor 28/05/2010
Elaboración de informes
Documentar el informe para la entrega
Auditor 28/05/2010
Presentación del informe Final
Entregar el informe. Auditor 29/05/2010
Tabla 11: PLAN DE ACTIVIDADES
39
2.5. APROBACIÓN DEL PLAN
Esta es la ultima tarea dentro de la etapa de Justificación y su objetivo
principal es obtener la aprobación inicial de parte del Gerente/propietario.
Los aspectos fundamentales para lograr el compromiso ejecutivo son:
� Resumen diagnostico preliminar.
� Áreas a auditar.
� Matriz de riesgos.
� Prioridades.
40
CAPITULO III
� ETAPA DE ADECUACIÓN
3.1 Verificación de datos 3.2 Estudios Aplicados
41
3. ADECUACIÓN
3.1. VERIFICACIÓN DE DATOS
Dada la aprobación por parte del Gerente/Propietario, que en la etapa de
justificación se presenta en la matriz de riesgos con sus prioridades, ahora
se da paso a las entrevistas y cuestionarios que han de formularse para la
recolección de datos.
3.1.1. DATOS DEL PROYECTO
Después de realizar un diagnostico preliminar en el de computo
“COMPUILLESCAS”, se determinan las fortalezas, debilidades,
oportunidades, y amenazas de acuerdo a la Matriz FODA que esta
constituido en la etapa de Justificación.
3.2. ESTUDIOS APLICATIVOS
Los estudios que se dispondrán en el centro de cómputo
“COMPUILLESCAS” para la evaluación de las áreas por auditar son:
� Realizar entrevistas
� Aplicar Cuestionarios
3.2.1. ENTREVISTAS
La entrevista que se realizará ha sido dirigida al Gerente/propietario del
negocio, para analizar la información y determinar la situación actual del
negocio
42
CAPITULO IV
� ETAPA DE FORMALIZACIÓN
4.1 Documento de formalidad 4.2 Plan general detallado
43
4. FORMALIZACIÓN
4.1. DOCUMENTO DE FORMALIZACIÓN DEL CENTRO DE COMPUTO “COMPUILLESCAS”
El documento que respalda la formalidad de este proceso, de parte del centro de
cómputo “COMPUILLESCAS” se encuentra en los anexos.
4.2. PLAN GENERAL DETALLADO
44
PLAN GENERAL DETALLADO
Gerencia: Sr. Fausto Illescas Fecha de elaboración: 28/05/2010
Líder del proyecto: Josue Dueñas
Áreas por auditar según clasificación y
prioridad
Aspectos o componentes del área por auditar
Actividades Responsable Clasificación del riesgo por área
(total)
Fecha de inicio
Mantenimiento
1.- Software Conocer el estado de funcionamiento de los equipos y sus componentes
Josue Dueñas
35%
12/06/2010
2.- Hardware Conocer la existencia de programas
Red Local
1.- Administración Estado de la red local Josue Dueñas
45%
18/06/2010 2.- Instalación Interconexiones
Seguridad
1.- Hardware Áreas que tienen seguridad Josue Dueñas
20%
22/06/2010 2.- Software Tipo de seguridad
Servicios Varios
1.-Servicio en copias Determinar la calidad de los servicios
Josue Dueñas
20%
28/06/2010
2.- Servicios en anillados Eficiencia y optimo servicio Tabla 12: PLAN GENERAL DETALLADO
45
ANEXOS
46
ANEXO 1
ENTREVISTA DIRIGIDO AL GERENTE GENERAL
1. ¿Qué es para usted estar a la vanguardia en tecnología?
2. ¿Considera que es necesario hacer un seguimiento a las actividades en el área de informática?
3. ¿Cuándo fue la ultima innovación que realizó en este centro de cómputo?
4. ¿Considera necesario un mejor equipamiento para cumplir con todos los objetivos?
5. ¿El centro de computo esta organizado de una manera adecuada?
6. ¿Qué tipo de publicidad utilizaría para promocionar su negocio?
7. ¿Existe un control de personal para hacer cumplir con los reglamentos y políticas del negocio?
8. ¿El personal se capacita permanentemente?
9. ¿Existe puntualidad en el horario de trabajo?
10. ¿Existen medidas de seguridad en el negocio, cuales?
11. ¿El centro de computo cuenta con alarmas de seguridad?
12. ¿Existen planificaciones mensuales o anuales?
13. ¿Si se realiza la planificación, se esta cumpliendo con lo establecido?
14. ¿Se realiza una auditoria en la microempresa con frecuencia?
47
ANEXO 2
CUESTIONARIO DIRIGIDA A LOS CLIENTES
1) ¿Ud. frecuenta este centro de cómputo?
Si ( ) No ( )
¿Porque?
…………………………………………………………………………………………………………………………………………………………
………………………………………………………………………………………………………..
2) ¿Con que propósito visita este local?
Servicio de Internet ( )
Juegos ( )
Transcripción de trabajo ( )
Copias ( )
Anillados ( )
3) ¿El servicio que usted ha recibido en este centro de computo es?
Excelente ( )
Muy buena ( )
Buena ( )
Mala ( )
Pésima ( )
4) ¿Está conforme con la atención que ha tenido en este local?
……………………………………………………………………………………………………………………….........
5) ¿Cuándo tiene alguna dificultad la persona encargada le facilita ayuda?
Si ( ) No ( )
6) ¿Cree usted que las condiciones físicas son adecuadas para el servicio que presta este local?
Si ( ) No ( )
¿Porque?
48
…………………………………………………………………………………………………………………………………
7) ¿Le parece que los costos por los servicios recibidos son?
Altos ( )
Justos ( )
Bajos ( )
8) ¿Esta satisfecho con la atención recibida?
Si ( ) No ( )
9) ¿Cree que este centro de cómputo necesita actualizarse?
Si ( ) No ( )
¿Porque?
…………………………………………………………………………………………………………………………………
10) Para ofrece un mejor servicio al cliente que tipo de cambio sugiere usted.
…………………………………………………………………………………………………………………………………………………………
………………………………………………………………………………………………………..
49
ANEXO 3
CUESTIONARIO DIRIGIDA AL DEPARTAMENTO DE INFORMÁTICA
(RECOMENDADO)
1) ¿Existen licencias de software aplicativo adquirido?
Si ( ) No ( )
2) ¿Existen manuales de software utilizado en el centro de cómputo?
Si ( ) No ( )
¿Cuales? ............................................................................................................
3) ¿Existe un inventario del software utilizado?
Si ( ) No ( )
4) ¿Se controlo el acceso a los sistemas mediante claves únicas y seguridades?
Si ( ) No ( )
¿Cuales? ............................................................................................................
5) ¿Existe algún procedimiento que conlleve a la recuperación de información perdida?
Si ( ) No ( )
¿Cuales? ............................................................................................................
6) ¿Cree usted que es necesario la implantación de otro software para cubrir ciertas necesidades
dentro del centro de cómputo?
Si ( ) No ( )
¿Por qué? ............................................................................................................
7) ¿Es suficiente el personal que trabaja en el área?
Si ( ) No ( )
8) ¿El numero de Pc’s son los necesarios para la atención a los clientes?
Si ( ) No ( )
9) ¿Existe un inventario de quipos de cómputo?
Si ( ) No ( )
50
10) ¿Se da solución inmediata a equipos que no funcionan correctamente?
Si ( ) No ( )
¿Por qué? ............................................................................................................
11) ¿Los equipos de cómputo están asegurados?
Si ( ) No ( )
¿Por qué? ............................................................................................................
12) ¿Se hace un mantenimiento regular a los equipos de computo?
Si ( ) No ( )
¿Cada que tiempo? .....................................................................................................
13) ¿Existen suficientes reguladores para el centro de cómputo?
Si ( ) No ( )
¿Por qué? ............................................................................................................
51
ANEXO 4
CUESTIONARIO DIRIGIDA AL DEPARTAMENTO DE SERVICIOS VARIOS
(RECOMENDADO)
1) ¿El numero de personas que trabajan es eta área son las suficientes para cubrir las
necesidades?
Si ( ) No ( )
¿Por qué? ............................................................................................................
2) ¿Tiene el personal capacitación permanente?
Si ( ) No ( )
3) ¿El numero de copiadoras son las necesarios para la atención a los clientes?
Si ( ) No ( )
4) ¿Existe un inventario de quipos de eta área?
Si ( ) No ( )
5) ¿Se da solución inmediata a equipos que no funcionan correctamente?
Si ( ) No ( )
¿Por qué? ............................................................................................................
6) ¿Las fotocopiadoras están aseguradas?
Si ( ) No ( )
¿Por qué? ............................................................................................................
7) ¿Se hace un mantenimiento regular a los equipos de fotocopiado?
Si ( ) No ( )
¿Cada que tiempo? .....................................................................................................
8) ¿El ambiente de trabajo es el adecuado para las tareas o funciones que realiza?
Si ( ) No ( )
¿Por qué? ............................................................................................................