Informe Final de Auditoria Informаtica

COLEGIO UNIVERSITARIO DE CARACAS

Informe Final de Auditoría InformáticaGestión de Calidad y Auditoría Informática

del Módulo de Contabilidad del Sistema Integrado Administrativo y Financiero en el

INAVI, sede Central.

(1.0) Fecha: Julio 2013

REVISIONES

FECHA VERSIÓN DESCRIPCIÓN AUTOR

10/07/2013 1.0 Informe Final de

Auditoría Informática

Julio Blanco, Jesús

Cardozo, Alfonso

Martínez

Trayecto IV, Proyecto Sociotecnológico 1






ÍNDICE

Página

1. Introducción...............................................................................................................3

2. Objetivo General........................................................................................................3

3. Objetivos Específicos...............................................................................................4

4. Metodología de la Auditoría Informática.................................................................5

5. Alcance de la Revisión..............................................................................................8

6. Procedimiento............................................................................................................8

7. Resultados...............................................................................................................16

8. Conclusiones...........................................................................................................28

9. Evidencias................................................................................................................30

Evidencia N°1 – Programa de Auditoría....................................................................30

Evidencia N°2 – Guía de descripción del Módulo de Contabilidad...........................39

Evidencia N°3 – Encuestas de evaluación................................................................40

Evidencia N°4 – CD grabado de entrevistas realizadas............................................42







1. Introducción

El siguiente informe, muestra los resultados de la evaluación efectuada al Módulo de

Contabilidad del Sistema Integrado, Administrativo y Financiero del INAVI, sede Central.

La gestión de auditoría informática se realizó en concordancia con:

• Las Normas de Auditoría Generalmente Aceptadas (NAGAS).

• Las Normas Generales para la Auditoría de Sistemas de Información.

• La Norma ISO 9126 que es un estándar internacional para la evaluación de calidad del

software.

A este sentido, el instituto evaluado recibió propuestas ofrecidas por parte del equipo

auditor, relacionadas con la optimización de la calidad interna, externa y de uso del módulo

de contabilidad del sistema escogido, incluyendo el planteamiento de una posible migración a

otro software robusto y que cumpla con las políticas de la administración pública acerca de la

implantación y utilización del software libre. Ésta gestión de auditoría informática se ejecuta

debido a que la institución y sus departamentos (en este caso contabilidad) emplean para el

cumplimiento de sus funciones un sistema privativo el cual no ha recibido un estudio

específico de calidad y conformidad de uso para los empleados de la organización.







La importancia que obtuvo la realización de la auditoría informática radica en que a

través del análisis y revisión del sistema, se pudieron detectar debilidades y deficiencias a

través de los hallazgos encontrados y debidamente analizado por el equipo auditor y con las

mismas permitir sugerir recomendaciones para mejorarlas.

2. Objetivo General

La auditoría tuvo por objetivo revisar y evaluar el Módulo de Contabilidad del Sistema

Integrado, Administrativo y Financiero del INAVI, sede Central, de acuerdo a la norma ISO

9126, que describe un modelo de calidad para los productos de software, dividido en dos

partes:

• Calidad Interna y Externa, relacionada íntimamente con: la funcionalidad, fiabilidad,

usabilidad, eficiencia, capacidad de mantenimiento y portabilidad del módulo de

contabilidad.

• Calidad de Uso, que abarca: la eficacia, productividad, seguridad y satisfacción hacia

los usuarios.

3. Objetivos Específicos.

El proceso de auditoría informática abarcó los siguientes objetivos específicos:

• Determinar el estado general del departamento de contabilidad y su situación dentro







de la organización.

• Examinar el módulo de contabilidad del sistema seleccionado en concordancia con el

estándar de calidad ISO 9126 que abarca calidad interna y externa, y calidad de uso

del software seleccionado.

4. Metodología de la Auditoría Informática

En este apartado se utilizaron los aspectos de los estándares internacionales de la

gestión de la tecnología de información, que fueron utilizados como referencias para los

objetivos de evaluación del módulo de contabilidad con el fin de cumplir con el objetivo

general de la auditoría informática, como son los siguientes:

• Normas NAGAS: en la gestión de auditoría se aplicaron las Normas de Auditoría

Generalmente Aceptadas (NAGAS), que son los principios fundamentales de auditoría

a los que deben enmarcarse su desempeño los auditores durante el proceso de

auditoría. El cumplimiento de estas normas garantiza la calidad del trabajo profesional

del auditor. De estas normas se tomaron 3 ejes fundamentales:

- Normas Generales o Personales, (Entrenamiento, Independencia y Esmero

Profesional).

- Normas de Ejecución del Trabajo, (Planeamiento, Supervisión y Evidencia

Suficiente).







- Normas de Preparación del Informe. (Consistencia, Revelación Suficiente y Opinión

del Autor).

• Normas Generales para la Auditoría de Sistemas de Información: tiene por objeto

informar a los auditores del nivel mínimo de rendimiento aceptable para satisfacer las

responsabilidades profesionales establecidas en el Código de Ética Profesional. Se

hizo alusión a los siguientes documentos:

- N° S5 – Planeación de Auditoría de Sistemas de Información.

- N° S6 – Realización de Labores de Auditoría.

- N° S7 – Reporte de Auditoría.

- N° S11 – Uso de la Evaluación de Riesgos en la Planificación de Auditoría.

- N° S13 – Uso del Trabajo de Otros Expertos.

- N° S14 – Evidencias de Auditoría.

• Norma ISO 9126: es un estándar para la evaluación de la calidad del software. La

definición conforma a la norma ISO 9126 dice: “Capacidad de un producto de software

de ser entendido, aprendido, usado y atractivo para el usuario, cuando es usado bajo

unas condiciones específicas”.

Se usaron las siguientes características para evaluar el software:

-Funcionalidad: capacidad del software de proveer los servicios necesarios para







cumplir con los requisitos funcionales.

-Fiabilidad: capacidad del software para mantener las prestaciones requeridas del

sistema, durante un tiempo establecido y bajo un conjunto de condiciones definidas.

-Usabilidad: esfuerzo requerido por el usuario para utilizar el producto

satisfactoriamente.

-Eficiencia: relación entre las prestaciones del software y los requisitos necesarios

para su utilización.

-Mantenibilidad: esfuerzo necesario para adaptarse a las nuevas especificaciones y

requisitos del software.

-Portabilidad: capacidad del software de ser transferido de un entorno a otro.

-Eficacia: capacidad del producto de software para permitir a los usuarios lograr las

metas especificadas con exactitud e integridad.

-Productividad: capacidad del producto de software para permitir a los usuarios

emplear cantidades apropiadas de recurso en relación a la eficacia lograda.

-Seguridad: capacidad del software para lograr niveles aceptables de riesgo de daño a

las personas, institución, software, propiedad o entorno, en un contexto especificado

de uso. Los riesgos son normalmente el resultado de deficiencias de la funcionalidad

(incluyendo seguridad), fiabilidad, usabilidad o facilidad de mantenimiento.

-Satisfacción: capacidad del producto de software para satisfacer a los usuarios como

respuesta a su interacción y actitudes hacia el uso del mismo.

Cada una de estas características se evaluaron dentro del software basándonos en la

recolección de información, pruebas de funcionamiento, pruebas de medición y pruebas con







los usuarios que usan el sistema.

5. Alcance de la Revisión

El proceso de auditoría informática tuvo su alcance específico en la revisión y

evaluación del módulo de contabilidad de acuerdo a los estándares de calidad ISO 9.126 con

la finalidad de indicar los beneficios derivados del uso de éste software. También se

examinan los procedimientos para el procesamiento de datos y los controles necesarios para

la seguridad de la información contenida en sistema seleccionado, el tiempo destinado para

la duración del presente proceso de auditoría informática es de tres semanas.

6. Procedimiento

La evaluación del módulo de contabilidad del sistema integrado, administrativo y

financiero del INAVI, sede Central, usó las siguientes etapas que permitieron cumplir

debidamente el proceso de auditoría informática dentro del tiempo estimado de duración:

➢ Tomar la decisión de programar y ejecutar la auditoría informática, el módulo de

contabilidad cumple el trabajo requerido en la unidad administrativa pero no es muy

amigable ni intuitivo, por tal motivo existe la necesidad de aplicar el estudio de su

funcionamiento y usabilidad incluyendo la base de datos que lo conforma y los

equipos de cómputo dispuestos en el departamento. Se debe indicar que los procesos

de auditoría pueden ser programados por la organización, por ejemplo una evaluación







de los procedimientos de almacenado de datos cada tres semanas.

➢ Asignación del trabajo a un grupo de auditores, en esta etapa los integrantes del

equipo de proyecto constituyen los auditores encargados de cumplir con las

actividades a ejecutar durante el proceso de evaluación y revisión del módulo de

contabilidad, los mismos son técnicos en informática con experiencia en el área, en

análisis de sistemas, en base de datos y redes.

➢ Definición del alcance y objetivos de la auditoría informática, expresa los límites de la

misma y existe un acuerdo muy preciso entre los integrantes del equipo del proyecto

socio-tecnológico (auditores) y la Gerencia de Sistemas del INAVI (cliente) sobre las

funciones, las materias y el módulo del sistema a auditar. El alcance del actual

proceso de auditoría esta definido anteriormente con los objetivos respectivos.

➢ Estudio inicial del entorno auditable, se examinan las funciones y actividades

generales de la informática en el departamento de contabilidad. El equipo evaluador

deberá fijar la siguiente información:

• Organigrama, expresa la estructura oficial de la organización a auditar, en este caso el

departamento de contabilidad.

• Relaciones jerárquicas y funcionales entre los órganos del INAVI, verificar si el

organigrama implica la correspondiente subordinación y funciones en el departamento







de contabilidad.

• Flujos de información, son necesarios para la eficiente gestión del departamento de

contabilidad, siempre y cuando tales corrientes no distorsionen el propio organigrama.

Actualmente el equipo de auditores posee el flujo de trabajo del instituto, donde se

manifiesta la relación entre los diferentes órganos que constituyen la empresa.

• Número de puestos de trabajo, el equipo auditor comprobará que los nombres de los

puestos de trabajo corresponden a las distintas funciones reales.

• Número de personas por puesto de trabajo, determinar si las personas que realizan

las mismas funciones coinciden con la estructura oficial de la organización.

• Situación geográfica de los sistemas, se determinará la ubicación geográfica de los

distintos Centros de Proceso de Datos en la empresa. A continuación, se verificará la

existencia de responsables en cada unos de ellos, así como el uso de los mismos

estándares de trabajo.

• Documentación, verificar la existencia adecuada de los escritos de las aplicaciones y

programas que ayudan al mantenimiento de los mismos.

➢ Determinación de los recursos necesarios para realizar la auditoría, después de haber

realizado el estudio inicial, se determinan el recurso humano y material necesario para







el cumplimiento de la evaluación del Módulo de Contabilidad del Sistema Integrado,

Administrativo y Financiero del INAVI, sede Central, así como también la base de

datos que lo conforma y los equipos de cómputo que participan en el procesamiento

de la información.

➢ Elaboración del Plan y de los programas de trabajo, una vez asignado los recursos, el

equipo del proyecto socio-tecnológico establece un plan de trabajo y decidido éste, se

procede a la programación del mismo tomando en cuenta los siguientes criterios:

• En el Plan no se consideran calendarios, porque se manejan recursos genéricos y no

específicos.

• En el Plan se establecen los recursos y esfuerzos globales que van a ser necesarios.

• En el Plan se establecen las prioridades de materias auditables, de acuerdo siempre

con las prioridades del cliente.

• El Plan establece disponibilidad futura de los recursos durante la revisión.

• El Plan estructura las tareas a realizar por cada integrante del grupo.

• En el Plan se expresan todas las ayudas que el auditor ha de recibir del auditado.

➢ Actividades de la Auditoría Informática, una vez elaborado el plan, se procede a la

programación de actividades, las mismas se representan en una tabla que indica por







cada actividad a ejecutar, el tiempo y el responsable que la va a efectuar. Cómo el

actual proceso de auditoría se realiza específicamente en el módulo de contabilidad,

se abarcan todas la peculiaridades que afectan a la misma, de forma que el resultado

se obtiene más rápidamente y con la calidad necesaria.

➢ Aprobación con el Jefe de Auditoría la ejecución de las actividades concernientes al

Plan de Auditoría Informática.

➢ Emisión de Credencial y ejecución del Plan de Auditoría Informática.

➢ Detección de desviaciones y debilidades, en esta etapa los integrantes del equipo

determinan la aplicación incorrecta o ausencia de los controles necesarios para el

buen funcionamiento del módulo de contabilidad, la base de datos adjunta a él y la red

informática implantada en el instituto, tal información debe estar debidamente

soportada con evidencias.

➢ Elaboración del Informe Final, la función de la auditoría informática hacia el módulo de

contabilidad se materializa exclusivamente por escrito. Resulta evidente la necesidad

de redactar borradores e informes parciales previos al informe final, los que son

elementos de contraste entre opinión del auditor y el auditado y que pueden descubrir

fallos de apreciación en el auditor. El documento final debe constar de la siguiente







estructura:

• Definición de objetivos y alcance de la auditoría.

• Enumeración de temas considerados.

• Cuerpo expositivo: para cada tema, se seguirá el siguiente orden a saber: situación

actual, tendencias, puntos débiles y amenazas, recomendaciones y planes de acción,

redacción posterior a la carta de introducción o presentación.

• Modelo conceptual de la exposición del informe final, el documento debe incluir solo

hechos importante. La aparición de un hecho en un informe de auditoría implica

necesariamente la existencia de una debilidad que ha de ser corregida y debe ser

presentado de la siguiente forma: hecho encontrado, consecuencias del hecho,

repercusión del hecho, conclusión del hecho y recomendación del auditor informático.

➢ Carta de Introducción o Presentación del Informe Final, tiene especial importancia

porque en ella ha de resumirse la auditoría realizada. Se destina exclusivamente al

responsable máximo de la empresa, o la persona concreta que encargo o contrató la

auditoría, en este caso la Gerencia de Sistemas. Se debe llevar a cabo una reunión

donde exista una calificación del proceso de auditoría por parte del ente auditado con

la finalidad de ofrecer opiniones finales en conformidad de ambas partes y tener la

capacidad de mejorar los procesos dejando abierto la oportunidad de mejoramiento

continuo.







El informe final reúne los resultados obtenidos como producto de la información

recabada y los hallazgos encontrados durante el proceso de auditoría informática, los

mismos poseen un resumen de calificaciones que se basó en el siguiente orden:

Satisfactorio:

a) No hay hallazgos importantes.

b) Sólo hallazgos menores.

c) Sólo recomendaciones y/o comentarios.

Satisfactorio Excepto por:

a) De 1 a 4 hallazgos importantes y cualquier hallazgo menor, recomendaciones o

comentarios.

b) Numerosos hallazgos menores, recomendaciones o comentarios.

No Satisfactorio:

a) Incumplimiento de las políticas tanto establecidas por el banco, como por leyes y

reglamentos.

b) Posible pérdida de ingreso patrimonial.







Excepciones

Hallazgos: desviaciones de los procedimientos operativos, mala organización de los

departamentos y del personal, fallas en el funcionamiento del módulo de contabilidad.

Excepciones Tipo I:

Las clasificadas dentro de esta categoría son consideradas de la más alta importancia,

las excepciones citadas pueden tener un impacto negativo en la seguridad de datos,

desviación total de las políticas ya establecidas, violación a las leyes y regulaciones y la

aplicación inapropiada de principios, se consideran de gran importancia. Las excepciones de

esta naturaleza deben recibir la prioridad y pronta atención de parte de la gerencia, a fin de

tomar acciones correctivas.

Excepciones Tipo II:

Las excepciones dentro de esta categoría son clasificadas de mediana importancia,

son consideradas menor que las de tipo I, pero no menos en su naturaleza. Las excepciones

no han causado omisión o error en el desenvolvimiento de la operación diaria actual; sin

embargo, tales excepciones requieren la atención de la gerencia para así evitar futuros o

posibles errores.







Excepciones Tipo III:

Las excepciones citadas en esta categoría deben considerarse de naturaleza menor,

pueden incluir desviaciones de los procedimientos operativos, como errores de trascripción

en la entrada de los datos.

7. Resultados

Luego de cumplir con el programa de trabajo referenciado como evidencia N°1 del

presente documento y relacionado con los objetivos específicos del proceso de auditoría

informática al módulo de contabilidad, además, habiendo aplicado el respectivo análisis de

las evidencias recabadas producto de las herramientas de evaluación y levantamiento de

información, se obtuvieron los siguientes resultados:

a) Estado General del Departamento de Contabilidad y su situación dentro del INAVI.

El Instituto Nacional de la Vivienda es un ente público nacional cuya misión es

promover la ejecución de obras, incrementar la recaudación y satisfacer la demanda natural

de solicitudes de vivienda de interés social, desarrollando proyectos

urbanos y financiando proyectos presentados por las comunidades organizadas. Así mismo

el INAVI posee el organigrama estructural del departamento de contabilidad que sirve de

asistencia y orientación de ésta unidad administrativa dentro de la institución, además, refleja

el nivel de importancia que significa su gestión administrativa y contable.







Su dependencia es del nivel de apoyo del INAVI, se divide en tres (3) divisiones:

División de Análisis Contable, División de Registro Contable, División de Asistencia

Administrativa.

Tendencias

La organización de la unidad administrativa está sujeta a cambios de corto y largo

plazo por modificaciones estructurales o incremento de los requerimientos del INAVI.

Puntos débiles y amenazas

Los organigramas departamentales no se encuentran disponibles para acceder a ellos

fácilmente, pudiendo generar desconcierto entre los trabajadores de la institución.

Recomendaciones

Se recomienda difundir en la cartelera o enviar por email a los empleados del

departamento, el organigrama del mismo.

La calificación de este aspecto evaluado es: “satisfactorio” con excepción de tipo III, ya

que a pesar de que existen problemas con la divulgación de información, los procedimientos

operativos de los empleados hacia el uso del sistema no varían en exceso por la inducción







recibida antes de comenzar las funciones que ofrece el módulo de contabilidad.

b) Concordancia del módulo de contabilidad con el estándar de calidad ISO 9126. (Calidad

interna y externa, y calidad de uso del software seleccionado).

El módulo de contabilidad está direccionado a mantener el control sobre la recepción,

registro y generación de los Asientos Contables correspondientes para cada uno de los

documentos, emitidos por otras unidades y por otros creados manualmente, que afectan la

situación contable del organismo, así como la emisión de los informes contables exigidos en

las publicaciones oficiales. Éste posee un ámbito administrativo para la disponibilidad de

información contable y oportuna sobre la gestión contadora del instituto. El sistema consta de

tres (3) módulos generales divididos en: Módulos de Control (configuración del sistema),

Módulos Financieros (funciones del sistema) y Módulos de Logística (consulta de datos), los

mismos son de alta prioridad para el cumplimiento de los objetivos estratégicos de la

organización y se dividen en sub-módulos, dentro de las cuales está el de contabilidad y

cubren las transacciones diarias de la empresa.

El personal del departamento de contabilidad tiene sus responsabilidades demarcadas

según los servicios u objetivos que debe cometer el departamento en cuestión, definidas de

acuerdo a los servicios y objetivos que debe cumplir ésta unidad administrativa, esto

posibilita fijar un número de personal específico para cada responsabilidad. El Módulo de

Contabilidad del Sistema Integrado, Administrativo y Financiero abarca las operaciones







necesarias para realizar todos los objetivos del departamento, observado dentro de una guía

suministrada por el personal de la institución que refleja las características del módulo

(Anexado como evidencia N°2).

Se aplicaron encuestas y entrevistas (evidencias N°3 y N°4 respectivamente) de

acuerdo a las directrices de calidad del software establecidas en la norma ISO 9126, las

mismas son pruebas irrefutables de éste proceso de auditoría y el análisis de las mismas

llevaron a los siguientes resultados categorizados de la siguiente manera:

Funcionalidad: capacidad del módulo de contabilidad en proveer los servicios

necesarios para cumplir con los requisitos funcionales. En este aspecto “no” se detectaron

hallazgos significativos con excepciones de ningún tipo, que afecten la gestión administrativa

del módulo de contabilidad, es decir, fue satisfactorio. De acuerdo al análisis aplicado a las

encuestas realizadas se obtuvo lo siguiente:

• El módulo de contabilidad cumple con las funciones básicas de registro y control de

asientos contables, además permite ubicar, consultar, modificar y anular operaciones

contables sin hacer gastar mucho tiempo a los usuarios.

• El módulo de contabilidad emite informes y genera resultados que sirven de apoyo

para la toma de decisiones en el INAVI.

• El módulo de contabilidad interactúa con otros módulos del sistema a través de

soportes contables digitalizados.

• El módulo solicita usuario y contraseña para ingresar y utilizar sus funciones que están







asignadas de acuerdo al rol de los empleados en el área de contabilidad.

• El módulo tiene opciones especiales para evitar modificaciones en la información

contable contenida en los documentos oficiales ya habiendo procesado el cierre

mensual.

• El módulo de contabilidad cumple con los requerimientos u objetivos manejados en el

departamento.

Fiabilidad: capacidad del módulo de contabilidad para mantener las prestaciones

requeridas del sistema, durante un tiempo establecido y bajo un conjunto de condiciones

definidas. En relación a la fiabilidad del módulo se detectaron los siguientes hallazgos con

excepciones tipo III:

• El módulo de contabilidad no puede operar cuando existen errores de diseño en sus

pantallas como color, texto, ubicación de sus opciones, etc.

• Como no se han presentado apagones de luz recientemente con el sistema

implantado, los usuarios no conocen si el módulo de contabilidad reinicia su

funcionamiento y recupera los datos de las operaciones contables codificadas.

• Los usuarios no conocen si el módulo de contabilidad es fiable o no.

Recomendaciones:

Se recomienda a la institución hacer pruebas de funcionamiento al módulo de

contabilidad y al sistema en general, con errores de diseño para observar el procesamiento

de datos y mejorar “si es necesario” la tolerancia del mismo ante este tipo de fallos,

desarrollando el código fuente del mismo, cabe destacar, que dicha propuesta debe hacerse







a la empresa dueña del sistema ya que el software es propietario, además, se recomienda

establecer un procedimiento de recuperación de datos en caso de cortes de energía eléctrica

como medida de prevención en la pérdida de información.

La coordinación de contabilidad debe ofrecer a los empleados de ésta unidad

administrativa, charlas frecuentes relacionadas con las bondades que ofrece el módulo de

contabilidad para el cumplimiento de los objetivos del departamento y dar a conocer las

actualizaciones del mismo para prevenir fallos en los procedimientos de la gestión contable

que allí se desarrolla.

El resultado de la evaluación de este aspecto fue satisfactorio excepto por los

hallazgos menores encontrados y las recomendaciones anteriormente descritas.

Usabilidad: esfuerzo requerido por el usuario para utilizar el módulo de contabilidad

satisfactoriamente. Esta característica arrojó los siguientes hallazgos con excepciones de

tipo II:

• El módulo de contabilidad no posee manuales técnico y de usuario elaborados por el

INAVI, existen guías físicas elaboradas por la compañía Kentron (empresa vendedora

del sistema), además el sistema no contiene ayuda en línea.

• La mayoría de los usuarios piensan que el módulo de contabilidad no cumple con sus

expectativas de operabilidad y control en el manejo de su opciones, sin embargo,

registra al usuario que realiza una operación contable que es muy importante en todo

sistema de información.







• Los usuarios se sienten satisfechos con la implementación y uso del software, sin

embargo, no todos piensan que se alcanza con exactitud e integridad las metas

específicas del departamento.

Recomendaciones:

Se recomienda al INAVI, desarrollar y establecer guías de utilización (manuales),

propias de la empresa sobre el módulo de contabilidad para sus usuarios y programadores, a

fin de encontrar el apoyo necesario frente alguna duda existente con las opciones del

sistema o fallas de funcionamiento del mismo, además de esto, es necesario que un equipo

de informática del instituto, le realice chequeos periódicos a la arquitectura y código fuente,

con la finalidad de ofrecer mejoras continuas, cubriendo las expectativas de los usuarios en

función de la integridad y exactitud de las metas específicas de departamento. Partiendo de

lo recomendado se define esta evaluación como satisfactoria excepto por la falta de

manuales y la inconformidad de los usuario hacia él.

Eficiencia: relación entre las prestaciones del módulo de contabilidad y los requisitos

necesarios para su utilización. Como producto de la información recabada a raíz de la

aplicación de encuestas y entrevistas (evidencias N°3 y N°4) el resultado fue satisfactorio con

hallazgos positivos sin ningún tipo de excepciones, los mismos fueron los siguientes:

• El módulo de contabilidad provee los tiempos adecuados de respuesta y

procesamiento de datos cuando el usuario gestiona una operación contable, además,







no disminuye su tiempo cuando el usuario utiliza otros recursos del sistema.

• El porcentaje de uso promedio del CPU mientras ejecuta una tarea asignada al

módulo de contabilidad está por debajo del 80% - 90% lo que ocasiona que no exista

retraso en el procesamiento de datos.

• La memoria RAM no sobrepasa el 100% de uso, por tanto, el sistema operativo no

utiliza otros métodos de simulación de memoria.

• El módulo de contabilidad requiere de la atención de mas de 50 procesos o trabajos

por unidad de tiempo, lo que hace que el sistema gestione gran cantidad de datos y

utilice una mayor parte del CPU sin superar su porcentaje promedio de uso.

• El número de usuarios que genera peticiones del módulo de contabilidad al servidor

de aplicaciones no es superior a los 30, lo que permite atender correctamente la cola

de procesos y responder a las peticiones de las estaciones de trabajo.

• La red informática se encuentra en un 99% operativa para el funcionamiento del

módulo de contabilidad.

• Los usuarios informáticos encuestados consideran que el sistema es altamente

efectivo.

Recomendaciones

Se recomienda al INAVI, mantener la misma línea de atención a la eficiencia del

sistema ya que los usuarios lo consideran altamente efectivo y además trabaja dentro de los

estándares requeridos para su correcto funcionamiento dentro de las estaciones de trabajo

del instituto.







Mantenibilidad: esfuerzo necesario para adaptarse a las nuevas especificaciones y

requisitos del software. El resultado de la evaluación de éste aspecto fue satisfactorio

excepto por los siguientes aspectos de tipo II encontrados durante el proceso de

examinación (la información fue recabada gracias al análisis que realizó el equipo auditor de

la información contenida en las evidencias N°3 y N°4):

• El módulo de contabilidad permite cambios en su codificación o diseño pero requieren

de gran cantidad de tiempo.

• El INAVI puede realizar un número determinado de corrección en la codificación y en

el diseño del sistema, pero no en todo ya que el software es desarrollado por otra

compañía.

• El módulo de contabilidad no tiene la capacidad de evitar efectos inesperados cuando

se aplican cambios en la codificación del mismo, por tal motivo si se implantan

cambios no se pueden detectar los fallos que posiblemente generen.

Recomendaciones

Se recomienda al ente auditado, realizar un estudio de factibilidad para determinar la

posibilidad de adquirir o desarrollar un nuevo software que permita hacer modificaciones en

su codificación y diseño sin invertir gran cantidad de tiempo, además, el nuevo sistema debe

ofrecer al personal de mantenimiento un número ilimitado de correcciones y debe poseer la

tolerancia necesaria para los cambios que se le apliquen.







Portabilidad: capacidad del módulo de contabilidad de ser transferido de un entorno a

otro. La información recabada y examinada de las herramientas de evaluación aplicadas

(Evidencias N°3 y N°4), señaló los siguientes hallazgos dando un resultado satisfactorio con

excepciones tipo II, estos aspectos fueron:

• Como el módulo de contabilidad está íntimamente relacionado con otros módulos de

naturaleza similar, el mismo no puede ser reemplazado por un módulo de otro sistema

que opere bajo el mismo propósito y el mismo entorno.

• Los usuarios consideran alta la capacidad de portabilidad sólo si el sistema completo

con módulos se transfiere a otro entorno operativo, de lo contrario se considera baja

por la relación de sus módulos.

• El módulo de contabilidad no ha sido probado en plataforma LINUX.

Recomendaciones

Se recomienda a la parte auditada, estudiar, desarrollar e implementar la

independencia de los módulos para su portabilidad, es necesario hacer pruebas pertinentes

en ambiente LINUX sobre el funcionamiento del sistema ya que existe el Decreto 3.390 que

avala la migración de todas las empresas públicas a software libre, por tanto deben

realizarse las adecuaciones necesarias para su implantación en esta plataforma, cabe

destacar que es un proceso complejo que lleva tiempo, por tal motivo se debe manejar como

proyecto a largo plazo.







Eficacia: capacidad del módulo de contabilidad para permitir a los usuarios lograr las

metas especificadas con exactitud e integridad. En este aspecto, como resultado de la

información recabada gracias a las evidencias contundentes N°3 y N°4 (encuestas y

entrevistas), el módulo de contabilidad cumple con las funciones básicas de registro y control

de asientos contables, además permite ubicar, consultar, modificar y anular operaciones

contables sin hacer gastar mucho tiempo a los usuarios, además, la información contenida

en los informes que genera puede utilizarse perfectamente para la toma de decisiones. Por

tal motivo, “no” se encontraron hallazgos de gran significación con excepciones, es decir, se

obtuvo un resultado satisfactorio de la evaluación.

Productividad: capacidad del módulo de contabilidad para permitir a los usuarios

emplear cantidades apropiadas de recurso en relación a la eficacia lograda. Producto de la

encuesta anexada como evidencia N°3 y aplicada a los usuarios del sistema, e incluyendo la

observación directa del módulo de contabilidad el usuario al procesar una operación contable

lo hace sin gastar mucho tiempo y esfuerzo, además, el módulo de contabilidad utiliza

correctamente los recursos del CPU y la memoria RAM sin llegar a sus límites a pesar de

que requiera la atención de mas de 50 trabajos por unidad de tiempo. Se puede mencionar

que “no” se encontraron hallazgos significativos con excepciones de algún tipo, que afecten

el funcionamiento y operabilidad del sistema. El resultado fue satisfactorio.

Seguridad: capacidad del módulo de contabilidad para lograr niveles aceptables de

riesgo de daño a las personas, institución, software, propiedad o entorno, en un contexto







especificado de uso. Los riesgos son normalmente el resultado de deficiencias de la

funcionalidad (incluyendo seguridad), fiabilidad, usabilidad o facilidad de mantenimiento. De

acuerdo a la evaluación realizada y a las observaciones hechas al módulo de contabilidad, el

equipo auditor no detectó hallazgo alguno con excepciones, que atenten con la integridad de

los datos contables y que generen un riesgo operacional para el INAVI en general. Partiendo

de la información extraída de las evidencias irrefutables N°3 y N°4, se obtuvieron los

siguientes resultados:

• El módulo valida usuario y contraseña para ingresar y utilizar sus funciones que están

asignadas de acuerdo al rol de los empleados en el área de contabilidad.

• En este mismo contexto el módulo de contabilidad evita modificaciones posteriores a

la fecha de cierre mensual como medida de seguridad.

• Los datos que maneja el módulo de contabilidad es muy sensible, por tanto la

utilización de estas estrategias de seguridad mitigan la ocurrencia de un riesgo

operacional que afecte al INAVI.

• El módulo de contabilidad utiliza la encriptación para proporcionar privacidad a las

claves secretas.

De acuerdo a estos resultados, el equipo de auditores concluyó que el proceso de

evaluación aplicado a esta directriz fue satisfactorio.

Satisfacción: capacidad del módulo de contabilidad para satisfacer a los usuarios

como respuesta a su interacción y actitudes hacia el uso del mismo. En este aspecto “no” se







encontraron hallazgos de gran importancia con excepciones de ningún tipo, que afecte la

gestión administrativa del módulo de contabilidad, los usuarios se encuentran satisfechos con

la implantación del módulo de contabilidad y del sistema en general.

8. Conclusiones

Según la evaluación y examinación del módulo de contabilidad del sistema integrado,

administrativo y financiero del INAVI, sede Central, el equipo auditor concluyó que:

• El módulo de contabilidad es un subsistema completo que recoge todas y cada una de

las operaciones con contenido económico que figuran de acuerdo a la Oficina

Nacional de Contabilidad Pública (ONCOP).

• El módulo de contabilidad permite la captura de documentos en el lugar más cercano

a donde se producen, evitando, en lo posible, los procesos manuales de información.

Además la captura o toma de datos sólo se realiza una vez, produciéndose las

actualizaciones correspondientes en cada proceso relativo sin necesitar reiterar dicho

tratamiento de la información de entrada.

• El módulo de contabilidad maneja información procesada en tiempo real, lo que

posibilita que los resultados estén constantemente actualizados, y por tanto, no







retrasados en el tiempo.

• El módulo de contabilidad le permite al usuario extraer información, según sus

necesidades, y sin intervención de los departamentos de informática.

• El módulo de contabilidad tiene procedimientos que minimizan la posibilidad de

accesos no deseados a la información, ya sea para modificarla, ya sea sólo a

consultarla.

• El módulo de contabilidad realiza, en cada caso, las actualizaciones en la base de

datos de forma adecuada, permitiendo que la información en ella contenida sea no

sólo correcta, sino integra y coherente.

Para finalizar, el resultado del proceso de auditoría informática para el INAVI fue

satisfactorio ya que el equipo estuvo atento en cumplir con el programa de trabajo, hacer las

reuniones con el personal del área evaluada, aplicar las herramientas de levantamiento de

información y aportar las conclusiones necesarias caracterizando el funcionamiento del

módulo de contabilidad y recomendando mejorar para optimizar su uso, cabe destacar, que

se deja abierta la posibilidad a la institución de ofrecer propuestas de mejora en beneficio del

Sistema Integrado, Administrativo y Financiero a fin de alcanzar los objetivos institucionales

con ahorro de tiempo y recursos.







9. Evidencias

Evidencia N°1 – Programa de Auditoría

Todas las actividades que comprendan las acciones de solicitar, obtener, requerir,

comprobar, adquirir algún documento o información en específico se deberá marcar con una

“X” alguna casilla que indique el estado de lo solicitado, cuyo significado es el siguiente:

N/S: No se tiene, se necesita.

N/N: No se tiene, no se necesita.

S/NU: Se tiene pero no se usa.

S/INC: Se tiene pero esta incompleto.

S/NOAC: Se tiene pero no está actualizado.

S/N ADEC: Se tiene pero no es el adecuado.

S/ CORR: Se tiene, es el correcto, está actualizado y se usa.







Auditoría: Gestión de Calidad y Auditoría Informática. Realizado por:Equipo del PST

Inicio: 25/06/2013Fin: 12/07/2013

Módulo de Contabilidad, Sistema INAVI Fecha de Revisión:17/07/2013

Procedimiento N/S N/N S/NU S/INC S/NOAC S/N ADEC

S/ CORR

Observación

1. Solicite documentos relacionados con los objetivos a corto y largo plazo del departamento de contabilidad.

X

2. Solicite un organigrama estructural del departamento de contabilidad.

X

3. Obtenga información escrita donde figuren todos los elementos físicos y lógicos del área de contabilidad. En cuanto a hardware, figurarán las CPU's, unidades de control local y remotas, periféricos de todo tipo, etc. En relación al software se representarán todos los productos lógicos del sistema, desde el software básico hasta los programas de utilidad adquiridos o desarrollados internamente.

X

Se obtuvo el plano del piso 8, que contiene la distribución de los elementos físicos y lógicos del departamento de contabilidad y se observó un inventario de aplicaciones, que poseen las estaciones de trabajo.

4. Requiera el manual de políticas, reglamentos internos y lineamientos generales.

X








Inicio: 25/06/2013Fin: 12/07/2013



S/ CORR

Observación

5. Compruebe la existencia de un previo estudio de factibilidad del módulo para verificar si se consideró la disponibilidad y características del equipo, los sistemas operativos y lenguajes disponibles, la necesidad de los usuarios, las formas de utilización del mismo, el costo y los beneficios que reportaría el sistema, el efecto que produciría en quienes lo usarían y el efecto que éste tendría sobre diferentes sistemas.

X

Por medio de las entrevistas realizadas al Jefe de la División de Registros Contables, se determino que existió un estudio de factibilidad previo a la implantación del módulo auditado.

6. Obtenga la fecha de instalación del software en estudio.

X

7. Adquiera el manual técnico del módulo de contabilidad.

X

8. Requiera el manual usuario del módulo de contabilidad.

X

9. Solicite el manual de normas y procedimiento del módulo de contabilidad.

X








Inicio: 25/06/2013Fin: 12/07/2013



S/ CORR

Observación

10. Identifique el tipo de configuración operacional del módulo contabilidad.

El tipo de configuración es cliente-servidor con opción a se utilizado como aplicativo web.

11. Detalle las especificaciones técnicas del módulo de contabilidad.

El sistema actual tiene sus especificaciones adecuadas, y están reflejadas en entregable de atributos de calidad.

12.Detalle si el módulo de contabilidad posee un adecuado control y seguridad sobre los datos.

Posee una Base de datos Oracle que protege y da integridad a los datos y al igual que el módulo de contabilidad posee control de acceso.

13. Contemple la operatividad del módulo de contabilidad y detallar si: ¿Es fácil de usar?, ¿Es intuitivo?, ¿posee lagunas?, ¿hay faltas de control?, ¿se ajusta al

Es fácil de usar para empleados que llevan tiempo utilizando el módulo, pero para usuarios







procedimiento existente?. inexpertos requiere de un


Inicio: 25/06/2013Fin: 12/07/2013



S/ CORR

Observación

tiempo prologando de aprendizaje.

14. Observe el funcionamiento del módulo de contabilidad y tomar nota sobre ¿Qué hace, quién lo hace, cuándo y cómo?.

El módulo de contabilidad posee un buen funcionamiento, el analista contable introduce los datos de las cuentas no modeladas, el sistema procesa la información y arroja el asiento contable.

15. Determine el flujo, nivel y jerarquía de la información que tiene el módulo de contabilidad.

El flujo de la información es el correcto y tiene relación con todos los módulos del sistema, partiendo desde el de presupuesto y finalizando con







tesorería.


Inicio: 25/06/2013Fin: 12/07/2013



S/ CORR

Observación

16. Observe cómo es el procedimiento de entrada y salida de datos en el módulo de contabilidad.

El procedimiento de entrada, es sencillo: el módulo muestra las ventanas compuestas por formularios que el usuario que conoce del tema de contabilidad debe ir llenando para procesar el registro contable.

17. Determine si existe la posibilidad de simplificar el procesamiento de datos para aprovechar el funcionamiento del módulo de contabilidad.

Existe la necesidad de hacer mas amigable el entorno operativo del módulo de contabilidad para usuarios inexpertos e incluir un módulo de ayuda en línea para cualquier duda que se tenga







sobre su uso.


Inicio: 25/06/2013Fin: 12/07/2013



S/ CORR

Observación

18. Identifique el tamaño y características de las Bases de Datos del módulo de contabilidad (información general).

El tamaño de la base de datos es de 32 tablas y contiene las entidades utilizadas por el módulo de contabilidad para crear el registro correcto de los datos.

19. Especifique el número de usuarios que se conectan al módulo de contabilidad y los privilegios que poseen.

Se conectan al módulo de contabilidad ocho (8) usuarios con privilegios diferenciados entre el Jefe de División de Registro Contable y los Analistas Contables.

20. Identifique las técnicas de seguridad lógica aplicadas al módulo de contabilidad: control de acceso, autenticación, encriptación,

Se utilizan todas las técnicas de seguridad definidas en este ítem.







firewalls, antivirus, entre otros.


Inicio: 25/06/2013Fin: 12/07/2013



S/ CORR

Observación

21. Entreviste al Jefe de Contabilidad para determinar los cargos y las funciones específicas de los empleados del departamento de contabilidad.

Se realizaron entrevistas al Jefe de División Registro Contable y se obtuvieron con éxito los resultados de las mismas, quedando demostrado en las evidencias del informe final de auditoría.

22. Aplique encuestas y entrevistas a los usuarios del software seleccionado para determinar la calidad interna, externa y uso del mismo.

Se aplicaron con éxito las encuestas a los usuarios del módulo, obteniendo información relacionada con la calidad interna, externa y de uso del módulo de contabilidad.







23. Entreviste al Jefe de la División de Red y Base de Datos para determinar el tipo de red informática existente

Se entrevisto a la Jefe de División de Red y Base de datos del


Inicio: 25/06/2013Fin: 12/07/2013



S/ CORR

Observación

en el departamento de contabilidad, así como también, su configuración, rendimiento y las fallas que regularmente ocurren.

INAVI, obteniendo datos sobre la configuración de la red local, la seguridad lógica y la seguridad física aplicada a los equipos de cómputo y aplicaciones, además de las fallas de conexión que regularmente ocurren.







Evidencia N°2 – Guía de descripción del Módulo de Contabilidad







Evidencia N°3 – Encuestas de evaluación







Evidencia N°4 – CD grabado de entrevistas realizadas


Informe Final de Auditoria Informаtica

Documents

Transcript of Informe Final de Auditoria Informаtica