SlideShare una empresa de Scribd logo

Auditoria sistema ti

Ruben Robles
Ruben Robles

Auditoria de Un sistema de TI

Software
1 de 45
Descargar para leer sin conexión
UNIVERSIDAD TECNOLÓGICA DEL ESTADO DE ZACATECAS “UNIDAD ACADÉMICA DE PINOS” AUDITORÍA DE UN SISTEMA DE TI MATERIA: INTEGRADORA II MAESTRO: I.TIC ELOY CONTRERAS DE LIRA ALUMNAS: AZUCENA PÉREZ GALLEGOS ROCÍO MARBELÍN ZAPATA PALOMO ADRIANA BERENICE RENOVATO CEJA GRADO Y GRUPO: 10° CUATRIMESTRE “A” LUGAR Y FECHA: PINOS, ZAC 16 DE OCTUBRE DEL 2015
INTRODUCCIÓN El desarrollo constante de sistemas de información basados en computadoras ha convertido al procesador en una herramienta indispensable de las pequeñas empresas de hoy en día, proporcionándoles los medios para un control más efectivo sobre sus recursos y operaciones. Estos métodos proveen un acceso inmediato a la información donde y cuando es requerida, dando apoyo a las diferentes operaciones vitales de la rutina diaria de la pequeña empresa.
PLANTEAMIENTO DEL PROBLEMA La Auditoría Informática o de Sistemas es el conjunto de técnicas y procedimientos destinados a la evaluación y control de Sistemas Informáticos, entendidos estos en su más amplia área de acción con el desarrollo tecnológico y la complejidad de los diferentes ambientes de la tecnología. En tal sentido las organizaciones requieres mejorar, proteger y controlar los sistemas de información utilizados, además de evaluar los productos novedosos. Es ahí donde la Auditoría de Sistemas de Información juega un rol muy importante y comprende un servicio de apoyo a las organizaciones que requieres de controles apropiados para asegurar la confiabilidad, integridad de los datos y disponibilidad de la información.
OBJETIVOS Objetivo General Diseñar un Modelo de Auditoría de Sistema de Información de TI para la Tienda “Centro Botanero Mayte”. Objetivos Específicos  Estudiar el sistema para obtener una visión más amplia del mismo.  Analizar la situación partiendo del sistema en estudio.  Aplicar una metodología adecuada a fin de establecer los aspectos críticos del sistema.  Sugerir cambios factibles a realizar.
ALCANCE Esta Auditoría se centrara en el Sistema de Información Punto de Venta “Centro Botanero Mayte”, ubicada en el Municipio de Pinos Zacatecas. IMPORTANCIA La importancia de esta Auditoría radica en el hecho, una vez terminado el informa final de auditoria, se propondrá un modelo seguro de auditoria de sistemas, para ser desarrollado en un futuro podría ser una herramienta de mucha utilidad que a su vez entre otras cosas mejoraría notablemente la eficiencia en el procesamiento de los datos, así como también la seguridad de los datos manejada en dicha Tienda.
TÉCNICAS DE ESTIMACIÓN PUNTO DE VENTA “Centro Botanero Mayte”
Punto de Venta Centro Botanero “Mayte” Archivo Lógico Interno (ILF) Usuarios  Clave  Usuario  Password 1 ILF :usuarios 1 RET :clave 3 DET :clave,usuario,password Clasificación: Baja Proveedores  clave  apaterno  amaterno  nombres  dirección  teléfono  compania 1 ILF :proveedores 1 RET :clave_ proveedor 7 DET:clave_proveedor,apaterno,amaterno, nombres,dirección,teléfono,compania Clasificación: Baja Para ILF/EIF 1 a 14 DET 20 a 50 DET 51 o más DET 1 RET Baja Baja Media 2 a 5 RET Baja Media Alta 6 o más RET Media Alta Alta Complejidad /Tipo archivo Baja Media Alta Archivo Lógico Interno(ILF) 7 10 15 Archivo Interfaz Externa(EIF) 5 7 10
ILF : 5 * 7 = 35 Productos  clave  nombre  marca  fecha_de_caducidad  precio 1 ILF :productos 1 RET :clave 5 DET:clave,nombre,marca, fecha_de_caducidad, precio. Clasificación: Baja Generan  clave  Id_ venta Ventas  Id_venta  producto  fecha  cantidad 1 ILF :ventas 1 RET :Id_venta 4 DET:Id_venta , producto, fecha , cantidad Clasificación: Baja
Funciones Transaccionales EI(External Input) Entradas Externas Para EI/Entradas Externas 1 a 4 DET 5 a 15 DET 16 o más DET 0 a 1 FTR Baja Baja Media 2 FTR Baja Media Alta 3 o más FTR Media Alta Alta Para EO/EQ 1 a 4 DET 5 a 15 DET 16 o más DET 0 a 1 FTR Baja Baja Media 2 o 3 FTR Baja Media Alta 4 o más FTR Media Alta Alta Complejidad Baja Media Alta External Input(EI) 3 4 6 External Output(EO) 4 5 7 External Query(EQ) 3 4 6 Usuarios  Clave  Usuario  Password 1 FTR :clave 3 DET :clave,usuario,password Clasificación: Baja
EI: 3 * 3= 9 Proveedores  Id_proveedor  apaterno  amaterno  nombres  dirección  teléfono  compania 1 FTR : Id_proveedor 7 DET:id_proveedor,apaterno,amaterno, nombres,dirección,teléfono,compania Clasificación: Baja Productos  clave  nombre  marca  fecha_de_caducidad  precio 1 FTR :clave 5 DET:clave,nombre,marca, fecha_de_caducidad, precio. Clasificación: Baja
EO(External Output) Salidas Externas Lista de Usuarios Lista Proveedores Usuarios  Clave  Usuario  Password 1 FTR :clave 3 DET :clave,usuario,password Clasificación: Baja Proveedores  clave_proveedor  apaterno  amaterno  nombres  dirección  teléfono  compania 1 FTR : clave_proveedor 7 DET:clave_proveedor,apaterno,amaterno, nombres,dirección,teléfono,compania Clasificación: Baja
Lista Productos Productos  clave  nombre  marca  fecha_de_caducidad  precio 1 FTR :clave 5 DET:clave,nombre,marca, fecha_de_caducidad, precio. Clasificación: Baja EO: 3 * 4=12
EQ(External Query) Consultas Externas Consulta Usuario Consulta Proveedor Usuarios  Clave  Usuario  Password 1 FTR :clave 3 DET :clave,usuario,password Clasificación: Baja Proveedores  clave_proveedor  apaterno  amaterno  nombres  dirección  teléfono  compania 1 FTR : clave_proveedor 7 DET:clave_proveedor,apaterno,amaterno, nombres,dirección,teléfono,compania Clasificación: Baja
Consulta Producto Registro de Ventas Productos  clave  nombre  marca  fecha_de_caducidad  precio 1 FTR :clave 5 DET:clave,nombre,marca, fecha_de_caducidad, precio. Clasificación: Baja Ventas  Id_venta  producto  fecha  cantidad 1 FTR : Id_venta 4 DET:Id_venta , producto, fecha , cantidad Clasificación: Baja EQ: 4 * 3= 12
Tabla de Estimación de Puntos de Función Puntos de Función Valor Puntos ILF Baja 7*5 Madia 1 0*0 Alta 15*0 35 0 0 EIF Baja 5*0 Madia 7*0 Alta 10*0 0 0 0 EI Baja 3*3 Madia 4*0 Alta 6*0 9 0 0 E0 Baja 4*3 Madia 5*0 Alta 7*0 12 0 0 EQ Baja 3*4 Madia 4*0 Alta 6*0 12 0 0 Total 68 Valores posibles de cada factor 0 No está presente, no tiene ninguna influencia 1 Influencia poco significativa 2 Influencia moderada 3 Influencia mediamente significativa 4 Influencia significativa 5 Influencia muy fuerte
Factores de complejidad técnica Comunicación de datos 0 Actualización en línea 0 Servicios distribuidos 0 Procesamiento complejo 3 Desempeño 4 Reusabilidad 5 Ambiente de uso sobrecargado 4 Facilidad de instalación 5 Taza de transacciones 1 Facilidad de operación 5 Entrada de datos en línea 0 Múltiples lugares de operación 0 Eficiencia de usuario final 5 Facilidad de modificación 5 Nivel de Influencia 37  Factor de Ajuste = (nivel de influencia * 0,01) + 0,65 Factor de Ajuste = (37 * 0.01) + 0.65 Factor de Ajuste = 1,02  PF = PFSA * A PF = 68 * 1.02 PF = 69.36
TÉCNICAS DE RECOPILACIÓN DE INFORMACIÓN “Centro Botanero Mayte”
CHECKLIST DE AUDITORÍA 01/Oct/2015 Versión 1.0 Propósito General El propósito del presente Checklist es facilitar a los auditores la identificación y detección de anomalías en los procesos y el sistema auditado. Instrucciones  Durante la etapa de evaluación, cada auditor debe utilizar esta Checklist como guía para obtener información sobre el sistema auditado.  Una vez que haya concluido esta actividad, el auditor responderá el Checklist. Observación: Las posibles respuestas son: (1) Sí  Cumplimiento adecuado. (2) No  Incumplimiento
CHECKLIST DE AUDITORÍA Checklist: SQA Plan de Aseguramiento de la calidad del software 1. Identificación de la auditoría Tienda: Centro Botanero “Mayte” Centro Botanero “Mayte” Tipo de auditoría:  Interna  Externa 2. Auditor Azucena Pérez Gallegos e-mail josefeliciano@hotmail.com Tel 8640439 3. Checklist Sí No  ¿Se creó un plan de SQA como parte del plan del proyecto? ¿Se encuentra actualizado?   ¿El plan de SQA fue revisado y aprobado?   El plan de SQA incluye: (a) los requerimientos para SQA y las actividades que deben ser desarrolladas, (b) la calendarización de las actividades definidas, (c) los recursos requeridos, (d) la participación de SQA en el desarrollo de software, (e) la participación de SQA en el proceso de SCM, y (f) la participación de SQA en el proceso de pruebas.   ¿Existe evidencia sobre la implementación de las actividades de SQA? 
Checklist: SCM Gestión de Configuración del Software 1. Identificación de la auditoría Tienda: Centro Botanero “Mayte” Centro Botanero “Mayte” Tipo de auditoría:  Interna  Externa 2. Auditor Azucena Pérez Gallegos e-mail josefeliciano@hotmail.com Tel 8640439 3. Checklist Sí No  ¿Se preparó un plan de SCM? ¿Se encuentra actualizado?   ¿El plan de SCM fue revisado y aprobado?   ¿Se definen en el plan los mecanismos de selección e identificación de ítems de configuración? ¿Se define el esquema de versiones y revisiones?   ¿Existe un grupo de SCM con responsabilidades bien definidas? ¿Cuenta con los recursos adecuados?   ¿Existen procedimientos para gestionar el control de cambios adecuadamente?   ¿Se mantiene información sobre el estado de la configuración del software? ¿Actualizada? 
Checklist: Identificación y seguimiento de problemas 1. Identificación de la auditoría Tienda: Centro Botanero “Mayte” Centro Botanero “Mayte” Tipo de auditoría:  Interna  Externa 2. Auditor Azucena Pérez Gallegos e-mail josefeliciano@hotmail.com Tel 8640439 3. Checklist Sí No  ¿Existen procedimientos que aseguren la detección y corrección de los problemas y/o discrepancias detectadas?   ¿Se examinan los informes de problemas y de discrepancias para determinar las posibles causas?   ¿Se analiza la relación entre las diferentes actividades de desarrollo para prevenir disconformidades en los productos?   ¿Se definen y planifican acciones correctivas? ¿Se asignan los recursos adecuados?   ¿Las acciones correctivas son registradas y documentadas minuciosamente?   ¿Se revisan y monitorean las acciones correctivas para determinar su efectividad, completitud y complacencia respecto de los estándares? 
LISTA DE VERIFICACIÓN ISO 9001:2008 – Sistemas de Gestión de la Calidad – Objeto y campo de aplicación Esta lista de verificación tiene como objetivo conocer con mayor detalle el Sistema de Calidad implantado, será utilizada para la evaluación a la hora de la adjudicación de las distintas ofertas. Los códigos utilizados son los siguientes: No - Parcial - Si - No cumple Cumple parcialmente Cumple y hay evidencias objetivas Cuando algún requisito no se pueda aplicar debido a la naturaleza de la organización y de su producto, éste puede considerarse para su Exclusión. NOTA: en esta Norma Internacional, el término “producto” se aplica únicamente al producto destinado a, o solicitado por el cliente. (ISO 9001:2000, 1.1 Generalidades) A lo largo del texto de esta Norma Internacional, cuando se utiliza el término “producto”, éste puede significar también servicio. (ISO 9001:2000, 3 Términos y definiciones) Definiciones SGC- Sistema de Gestión de Calidad
REF. Requisitos del Documento Si No Parcial Observaciones 1 El Manual de la Calidad define: 1. El alcance del Sistema de Gestión de la Calidad incluyendo los instrumentos para los que se emitirá la Procedimientos documentados o referencia a ellos. Si existe un manual de calidad donde se detallan los procedimientos. REF. Control de los Registros Si No Parcial Observaciones 2 Se mantienen registros para proporcionar evidencia de la Conformidad de los requisitos, así como de la operación eficaz del SGC según un procedimiento documentado. No hay registros donde se establezcan las conformidades en base al SGC. 3 Se han definido controles para su: 1. Identificación. 2. Almacenamiento, protección y recuperación. 3. Tiempo de retención y disposición. Cuando corresponda, el tiempo de retención de los registros debe estar en relación con la vida útil del producto. Existen controles definidos para el almacenamiento, disposición, protección de información y delos productos. 4 Los registros son: 1. Legibles. 2. Identificables. 3. Recuperables. Todos los registros que se hacen son correctos y legibles y se encuentran a disposición del dueño en cualquier momento. 5 Se asegura la disponibilidad de recursos e información para apoyar la operación y el seguimiento de procesos? Si se asegura la disponibilidad de los recursos e información
# PREGUNTA Evaluación 1=Nada 2= No Cumple 3= Si Cumple 4=Totalmente Cumple 1 2 3 4 1 Describe cuál es el proceso, entradas y salidas 2 Conoce los procedimientos que aplican para su puesto 3 Utiliza instrucciones de trabajo para cumplir con sus labores? Muéstremelos 4 Maneja algunos otros registros para realizar su trabajo Muéstremelos LISTAS DE VERIFICACIÓN
5 Controla sus documentos y/o registros que genera 6 Maneja algún proceso o procedimiento para la retroalimentación del Cliente 7 De acuerdo a la retroalimentación por parte del cliente, utiliza esta Retroalimentación para realizar mejoras 8 Cuando van a comprar algún producto nuevo, tienen algún documento en donde se diga que ya está aprobado de acuerdo a sus requerimientos. 9 Hay algún documento que explique el proceso de las autorizaciones de los productos o materiales requeridos 10 Tiene algún proceso o procedimiento de inspección y/o verificación del producto comprado? Muéstramelo. 11 Controla su producto recibido 12 Tiene identificados sus productos Cómo los controla?
13 Tiene algún control que sirva para medir la satisfacción del cliente? Como encuestas, opiniones, garantías, calidad en la entrega, etc.
Análisis FODA Fortalezas  Contar con herramientas tecnológicas de fácil manejo por el usuario  Almacenamiento rápido, seguro de los datos de los productos.  Fácil manejo  Compatible en varios Windows Oportunidades  Contar con un mercado amplio aún no satisfecho.  Aprovechar los medios tecnológicos Debilidades  Falta de capacitación a los empleados  Problemas en la calidad de algunos productos Amenazas  Falta de credibilidad con los beneficios que ofrece el sistema  Resistencia al cambio de un nuevo sistema  Desaprovechar los recursos tecnológicos.  Mal uso de la información del sistema
AUDITORÍA DEL SISTEMA DE TI “Centro Botanero Mayte”
Objetivo: Conocer el estado actual de los sistemas de información en cuanto a la seguridad física, seguridad lógica y el cumplimiento de normas y estándares en el proceso y desarrollo de sus productos. Diseñar un Modelo de Auditoría de Sistema de Información de TI para la Tienda “Centro Botanero Mayte”. Auditor Líder: Adriana Berenice Renovato Ceja Reunión de Apertura Fecha: 21/09/2015 Reunión de Cierre Fecha: 08/10/2015 Auditores:  Azucena Pérez Gallegos  Adriana Berenice Renovato Ceja  Rocío Marbelín Zapata Palomo Alcance: Esta Auditoría se centrara en el Sistema de Información Punto de Venta “Centro Botanero Mayte”, ubicada en el Municipio de Pinos Zacatecas, de esta manera, obtener resultados y un informe final. Proceso: Se realizara una auditoria primero conociendo las áreas a auditar de la Tienda y con un auditor experto en la evolución de la seguridad de los sistemas, se realizaran entrevistas y se entregará un informe final. Criterios: Procedimiento/Actividad Auditor Auditado Recopilación de información básica: Una semana antes del comienzo de la auditoria realizaron técnicas de recopilación de información. Azucena Pérez Gallegos Jefe de la Tienda “Centro Botanero MAYTE” FORMATO PLAN DE AUDITORÍA
F-01-MP-03-01-06 Elaborado Por: Oficina de Control Intern V-01-2010 Entrevistas: El inicio de la auditoria comienza entrevistando a los responsables de las áreas a auditar. Adriana Berenice Renovato Ceja  Jefe de la Tienda  Empleados Identificación de riesgos: Se evaluara la forma de adquisición de nuevos productos Los procedimientos para adquirirlos deben estar regulados y aprobados Rocío Marbelín Zapata Palomo  Jefe de la Tienda Objetivos de control: Se evaluaran la existencia y la aplicación correcta de las políticas de seguridad. Se hará una revisión de los manuales de política de la empresa, que los procedimientos de los mismos se encuentren actualizados y que sean claros y que el personal los comprenda. Azucena Pérez Gallegos Obtención de los resultados: Se obtendrán los resultados que surjan Los datos obtenidos se registrarán en el informe. . Adriana Berenice Renovato Ceja Entrega del informe: Esta es la última parte de la auditoria y en una reunión se formaliza la entrega del informe final con los resultados obtenidos en la auditoria. Azucena Pérez Gallegos  Jefe de la Tienda
Sección No.1 DATOS GENERALES DE LA AUDITORÍA Procesos Responsable del proceso Auditoría de Sistemas de TI Azucena Pérez Gallegos Fecha de apertura Fecha de cierre Fecha elaboración informe Tipo de auditoría 21/09/2015 14/10/2015 14/08/2015 Externa Auditores Auditados Auditor líder: Adriana Berenice Renovato Ceja José Feliciano Silva Azucena Pérez Gallegos María Dolores Palomo Rocío Marbelín Zapata Palomo Objetivo general Conocer el estado actual de los sistemas de información en cuanto a la seguridad física, seguridad lógica y el cumplimiento de normas y estándares en el proceso y desarrollo de sus productos. Diseñar un Modelo de Auditoría de Sistema de Información de TI para la Tienda “Centro Botanero Mayte”. Alcance Esta Auditoría se centrara en el Sistema de Información Punto de Venta “Centro Botanero Mayte”, ubicada en el Municipio de Pinos Zacatecas, de esta manera, obtener resultados y un informe final. Sección No.2 RESULTADOS DELA AUDITORIA Hallazgo No 1 Ausencia de un Plan de Contingencia debidamente formalizado en el área de informática.  Tipo de hallazgo Criterio de auditoria NC:  Obs: No Conformidad Mayor(NCM) Hallazgo No 2 No existen normas y procedimientos que indiquen las tareas manuales e informáticas que son necesarias para realizar y recuperar la capacidad de procesamiento ante una eventual contingencia (desperfectos de equipos,  Tipo de hallazgo: NC: No conformidad y Obs: Observación INFORME DE AUDITORÍA Código: FR-SIC-010 Versión: 06 Proceso: Desarrollo de Sistemas y Procedimientos Fecha de emisión: 17/08/2015 Fecha de versión: 1
incendios, cortes de energía con más de una hora), y que determinen los niveles de participación y responsabilidades del área de sistemas y de los usuarios.  Tipo de hallazgo Criterio de auditoria NC:  Obs: No Conformidad Mayor(NCm) Hallazgo No 3 Ausencia de un plan  Tipo de hallazgo Criterio de auditoria NC:  Obs: Establecer un plan de prevención ante cualquier amenaza ya sea por motivos naturales, operacionales o tecnológicos para impedir o disminuir los efectos que producen con motivo de las ocurrencias de desastres y perdida de información del sistema. Hallazgo No 4 No se cuenta con un Software que permita la seguridad de las librerías de los programas y la restricción y/o control del acceso de los mismos.  Tipo de hallazgo Criterio de auditoria NC:  Obs: No Conformidad Mayor(NCM) Hallazgo No 5 No existe un control o registro formal de las modificaciones efectuadas al sistema  Tipo de hallazgo Criterio de auditoria NC:  Obs: Elaborar toda la documentación técnica correspondiente a los sistemas implementados, establecer normas y procedimientos para actualización. Hallazgo No 6 No se lleva un adecuado control de la documentación del SIGC.  Tipo de hallazgo Criterio de auditoria NC:  Obs: No Conformidad Mayor(NCM) Hallazgo No 7 No se siguen los lineamientos de acuerdo al reglamento con el empleado  Tipo de hallazgo Criterio de auditoria NC:  Obs: No Conformidad Mayor(Ncm) Hallazgo No 8 No se lleva una adecuada planeación para la supervisión y mantenimiento del sistema  Tipo de hallazgo Criterio de auditoria
NC:  Obs: No Conformidad Mayor(Ncm) Hallazgo No 9 No se cuenta con el diagrama de Gantt  Tipo de hallazgo Criterio de auditoria NC:  Obs: No Conformidad Mayor(Ncm) Hallazgo No 10 Lo problemas que surgen se resuelven pero no se lleva un registro  Tipo de hallazgo Criterio de auditoria NC:  Obs: No Conformidad Mayor(Ncm) Hallazgo No 11 Plan De comunicación  Tipo de hallazgo Criterio de auditoria NC:  Obs: No Conformidad Mayor(NCM) Hallazgo No 12 No se siguen los estándares para llevar cabo los procedimientos establecidos para tener un mejor servicio.  Tipo de hallazgo Criterio de auditoria NC:  Obs: No Conformidad Mayor(NCM) Hallazgo No 13 La base de datos del sistema tiene problemas y no se están actualizando los datos  Tipo de hallazgo Criterio de auditoria NC:  Obs: No Conformidad Mayor(NCm) Hallazgo No 14 No se tiene en cuenta el tiempo de respuesta del sistema
Sección No.3 FICHA DE RESUMEN DE LA AUDITORIA Numeral REQUISITOS DEL SISTEMA NO CONFORMIDADES No. Detectadas No. Solucionadas No. Pendientes NCM Ncm NCM Ncm NCM Ncm 1. APROBACIÓN, PLANIFICACIÓN Y GESTIÓN DEL PROYECTO 1.1 Estudio de factibilidad 0 0 0 0 0 0 1.2 Acta de inicio 0 0 0 0 0 0 1.3 gghjhjnhj Restricciones del proyecto 0 0 0 0 0 0 1.4 Nombramiento del administrador dproyecto 0 0 0 0 0 0 1.5 Plan de riesgos 0 0 0 0 0 0 1.6 Ciclo de vida 0 0 0 0 0 0 1.7 Información histórica de proyectos relacionados 0 0 0 1 0 1 1.8 Plan de Comunicación 0 0 1 0 0 0 1.9 Plan de Proyecto(Objetivos, justificación, recursos , presupustoProblematica) 0 0 0 0 0 0 1.10 Minutas de reuniones 0 0 0 0 0 0 1.11 Registro de problemática y soluciones 0 2 0 0 0 0 1.12 Diagrama de Gantt 1 0 1 0 0 0 1.13 Estructura de descomposición de trabajo (WBS) 0 0 0 0 0 0 2. ANÁLISIS 2.1 Documento formal donde se aprueba participantes del proyecto con nombramiento así como su puesto y funciones. 1 0 1 0 0 0 2.2 Plan de entrevistas, encuestas y Observaciones. 0 0 0 0 0 0 2.3 Evidencia de Entrevistas, encuestas y observaciones desarrolladas. 0 0 0 0 0 0 2.4 Modelo lógico del proyecto(Diagrama de flujo de datos) 0 0 0 0 0 0 2.5 Análisis de alternativas de requisitos (ventajas y desventajas 0 0 0 1 0 0 2.6 Catálogo de Requisitos (SRS 830) 1 0 1 0 0 0 3 DISEÑO 3.1 Modelo Lógico de Datos 0 0 0 0 0 0
3.1.1 Modelo Entidad-relación 0 0 0 0 0 0 3.1.2 Modelo Relacional 0 0 0 0 0 0 3.1.3 Diccionario de Datos 0 0 0 0 0 0 3.2 Diseño de Prototipos(Interfaces) 0 0 0 0 0 0 3.3 Selección de Elementos de Entornos (Servidores, contratación de servicios, periféricos, sistemas, aplicaciones, protocolos de comunicaciones, lenguajes de programación, gestor de Bases de Datos y herramientas case) 0 0 1 0 0 0 4 CONSTRUCCION 4.1 Creación DE BD 0 1 0 0 0 0 4.2 Creación de Módulos 0 1 0 0 0 0 4.3 Codificación de Módulos 0 0 0 0 0 0 4.4 Documentación de Código 0 0 1 0 0 0 4.5 Depuración de Código 0 1 0 0 0 0 4.6 Módulos Funcionales 0 0 0 0 0 0 4.7 Plan de pruebas 0 0 0 0 0 0 4.8 Manual de Usuario 0 0 0 0 0 0 4.9 Manual Técnico 0 0 0 0 0 0 4.10 Manual de Instalación 0 0 0 0 0 0 4.11 Paquete de Instalación 0 0 0 0 0 0 Calificación del proceso referente al nivel de cumplimiento con la norma, de uno (1) a diez (10) uno es el ítem más bajo: Nota: Recuerde que debe hacer el inventario de los hallazgos encontrados en el proceso de auditoria conforme a la norma, indicado en cada casilla de acuerdo al numeral cuantas no conformidades, observaciones o conformidades se encontraron.
Sección 4. TRATAMIENTO DE NO CONFORMIDADES Descripción de la no conformidad No conformidad Corrección propuesta (acción inmediata) Causa Raíz Plan de acción correctivo Estado Ausencia de un Plan Mayor:□ Menor: □ Requisito: Establecer un plan en donde se establezcan los procedimientos manuales e informáticos para establecer la operación del plan de la empresa y establecer los responsables de cada sistema. No se cuenta con el plan Actividad: Hacer un nuevo plan Fecha:10/09/2015 Fecha:14/09/2015 Inicial Aprobada: □ Rechazada:□ Fecha: 17/09/2015 Seguimiento Abierta: □ Cerrada:□ Fecha: 17/09/2015 No existen normas y procedimientos que indiquen las tareas manuales e informáticas que son necesarias para realizar y recuperar la capacidad de procesamiento ante una contingencia (desperfectos de equipos, incendios, cortes de energía con más de una hora), y que determinen los niveles de participación y responsabilidades del área de sistemas y de los usuarios. Mayor:□ Menor: □ Requisito: Efectuar pruebas simuladas en forma periódica a efectos de monitorear el desempeño de los responsables ante eventuales desastres. No se cuenta con la normatividad de calidad aplicable a los procesos y procedimientos por lo que nada se rige bajo normas. Actividad: Realizar un documento donde se plasmen las normas a seguir. Fecha: 13/09/2015 Fecha:14/09/2015 Inicial Aprobada: □ Rechazada:□ Fecha: 17/92015 Seguimiento Abierta: □ Cerrada:□ Fecha: 17/09/2015
No se cuenta con un Software que permita la seguridad de las librerías de los programas y la restricción y/o control del acceso de los mismos. Mayor:□ Menor: □ Requisito: Evaluar e implementar un software que permita mantener el resguardo de acceso de los datos. Cuando se instaló el sistema en el equipo no se aseguró que se tuviera la suficiente seguridad para que estos no fueran manipulados por otras personas. Actividad: Contar con un plan de seguridad o claves para el sistema Fecha: 14/09/2015 Fecha:15/09/2015 Inicial Aprobada: □ Rechazada:□ Fecha:21 /09/2015 Seguimiento Abierta: □ Cerrada:□ Fecha: 21/09/2015 No se lleva un adecuado control de la documentación del SIGC. Mayor:□ Menor: □ Requisito: Llevar a cabo una evidencia documental del uso de formatos declarados en el SIGC y en su caso revisión y validación. Al llevar a cabo la documentación sobre los controles acorde a los Sistemas de Gestión de Calidad se observó que la documentación está mal. Actividad: Documentación sobre el Sistema de Gestión de Calidad. Fecha: 15/09/2015 Fecha:15/08/2015 Inicial Aprobada: □ Rechazada:□ Fecha: 17/09/2015 Seguimiento Abierta: □ Cerrada:□ Fecha: 17/09/2015
No se siguen los lineamientos de los empleados. Mayor:□ Menor: □ Requisito: Llevar a cabo un buen proceso para seleccionar el personal que va a trabajar en la tienda como en la contratación y asignar los roles. A la hora de conformar el personal administrativo no se siguió el proceso correcto para elegir el personal por lo cual se hace lo que quiere. Actividad: Realizar los lineamientos correctos para llevar a cabo un buen manejo sobre el personal administrativo. Fecha: 21/09/2015 Fecha:21/09/2015 Inicial Aprobada: □ Rechazada:□ Fecha: 23/09/2015 Seguimiento Abierta: □ Cerrada:□ Fecha: 23/09/2015 No se lleva una adecuada planeación para la supervisión y mantenimiento del sistema Mayor:□ Menor: □ Requisito: Llevar acabo procedimientos para un adecuado mantenimiento. Esta conformidad se presentó en el momento de checar la tienda ya que no se cuenta con un mantenimiento correcto del sistema. Actividad: Realizar un planeación y establecer en ella como hacer mantenimiento y actualización. Fecha: 21/09/2015 Fecha:21/09/2015 Inicial Aprobada: □ Rechazada:□ Fecha: 25/09/2015 Seguimiento Abierta: □ Cerrada:□ Fecha: 25/09/2015
No se cuenta con el diagrama de Gantt Mayor:□ Menor: □ Requisito: Hacer un diagrama de Gantt con todas la actividades que se van a realizar. Desde el comienzo no se puso en marcha dicho diagrama por lo cual no se tomó en cuenta. Actividad: Elaborar un nuevo diagrama Fecha: 22/09/2015 Fecha:22/09/2015 Inicial Aprobada: □ Rechazada:□ Fecha: 26/09/2015 Seguimiento Abierta: □ Cerrada:□ Fecha: 26/09/2015 Información histórica de sistemas antes utilizados Mayor:□ Menor: □ Requisito: No existen sistemas de los que se pueda tener información. No existen proyectos anteriores o sistemas de los que se pueda tener información. Actividad: no se cuenta con ningún tipo de información de sistemas antes utilizados Fecha: 25/09/2015 Fecha:25/09/2015 Inicial Aprobada: □ Rechazada:□ Fecha: 28/09/2015 Seguimiento Abierta: □ Cerrada:□ Fecha: 28/09/2015
Plan De comunicación Mayor:□ Menor: □ Requisito: No existe un comunicación adecuada entre los empleados dentro de los sistemas y procedimientos a realizar. Establecer un plan de comunicación para mantener un mejor diálogo entre empleados. Actividad: Elaborar de plan de comunicación Fecha: 30/09/2015 Fecha:30/09/2015 Inicial Aprobada: □ Rechazada:□ Fecha: 01/10/2015 Seguimiento Abierta: □ Cerrada:□ Fecha: 01/10/2015
Sitio de la reunión: Pinos, Zacatecas Calle Encarnación Ortiz Fecha y Hora 15/10/2015 3:00 p.m. Auditoria: Punto de Venta “Centro Botanero Mayte” ORDEN DEL DIA. 1- Presentación de los participantes 2. Exposición de la metodología aplicada. 3. Presentación de los hallazgos y verificación de ajustes sugeridos. 4. Presentación de las No conformidades 5. Concretar fechas para el Plan de mejoramiento 6. Entrega del Plan 7. Otros. DESARROLLO TEMATICO PUNTO A TRATAR RESULTADO 1- Presentación de los participantes Es una reunión donde se involucran todos los responsables del o de los procesos a auditar y es realizada por el auditor para tratar puntos como son la presentación de los auditores, explicación del objeto y alcance de la auditoría, confirmación del programa de auditoría, validación de los medios logísticos, exposición de la metodología a utilizar, disponibilidad de recursos y la información sobre la reunión de cierre previa.  José Feliciano Silva Acosta  Ma. Dolores Palomo  Azucena Pérez Gallegos  Rocío Marbelín Zapata Palomo  Adriana Berenice Renovato Ceja PROCESO: MEJORA CONTINUA PROCEDIMIENTO: EJECUCION DE AUDITORIA INTERNA FORMATO: ACTA REUNION CIERRE DE AUDITORIA Código: F-MC-SI- 004 Versión: 1 Fecha: 15/10/2012 Página: 41 de 45
2. Exposición de la metodología aplicada. La metodología aplicada fueron técnicas de estimación de software para para verificar y evaluar las actividades relacionadas con la calidad cuya realización se inicia por solicitud de la administración, por exigencia del cliente, por solicitud a una entidad de certificación o por exigencia del propio sistema de gestión de la calidad. 3. Presentación de los hallazgos y verificación de ajustes sugeridos. Los resultados obtenidos a partir de la evaluación realizada de la evidencia recopilada en la auditoría frente a los requisitos de la norma fueron un poco satisfactorios ya que se encontraron no conformidades todavía no corregidas. Los hallazgos encontrados fueron plasmados en el informe de auditoría donde se menciona que hacer para corregirlos. 4. Concretar fechas para el Plan de mejoramiento La fecha que se acordó entre las partes de los auditores y los auditados fue el 30 de Octubre del 2015. 5. Otros. Se dará revisión y seguimiento al plan para llevar acabo un funcionamiento del sistema en base a los procedimientos y estándares establecidos. CONCLUSIONES. (Acuerdos, compromisos y responsables). El motivo esencial de esta auditoría estuvo representado por la necesidad de establecer métodos adecuados que permitan realizar evaluaciones y revisiones de las actividades Relacionadas con el procesamiento del sistema a de información. Se llegó al acuerdo con los auditados de que mantendrá actualizado el sistema y ellos se harán cargo de realizar y corregir lo que está en mal uso.
HORA DE TERMINACION: 7:00p.m. NOMBRE Y FIRMA DE LOS PARTICIPANTES Nombre y Apellidos Cargo Firma José Feliciano Silva Acosta Jefe de la Tienda José Feliciano Silva Acosta Ma. Dolores Palomo Empleada Ma. Dolores Palomo NOMBRE Y FIRMA DE LOS AUDITORES Nombre y Apellidos Cargo Firma Azucena Pérez Gallegos Auditora Azucena Pérez Gallegos Rocío Marbelín Zapata Palomo Auditora Rocío Marbelín Zapata Palomo Adriana Berenice Renovato Ceja Auditora Adriana Berenice Renovato Ceja
RESULTADOS Después de realizar lo anterior y de acuerdo a los resultados obtenidos, el auditor realizó un informe resultante con observaciones y/o aclaraciones para llevar a cabo dentro de las áreas involucradas para el mejor funcionamiento del sistema. Al realizar esta auditoría los resultados fueron favorables ya que por parte de los auditados se dio un trata respetuoso.  Se detectaron un número considerable de focos problemáticos, relacionados. Principalmente con la carencia de programas de evaluación, en este caso programas de Auditoría de Sistemas, entre los que se destacan las fallas existentes en la documentación de las actividades de programación y operación del Sistema  Se logró definir cuáles son las actividades necesarias que deben existir en el sistema para que se obtenga un funcionamiento más eficiente.  Se logró establecer procedimientos para llevar acabo un buen control de los productos.  Implementar Documentos de registros donde se detallen algunas anomalías que tengas los productos y estor ser regresados a los proveedores.
RECOMENDACIONES  Implementar y desarrollar programas de Auditoría de Sistemas Informática, según los planes señalados, contribuyendo de esta manera a la determinación de cursos alternativos que solventen las debilidades, o bien destaquen el logro eficiente de las actividades.  Hacer énfasis en la necesidad de documentar las actividades relacionadas con el desarrollo de sistemas, para lo cual debe lograrse la concientización del personal encargado, y por otro lado colocar una persona a cargo de controlar este proceso, y contribuir a que la documentación se mantenga actualizada.  Instruir a los usuarios en el uso del sistema, de forma tal de disminuir las fallas presentadas por utilización inadecuada de los mismos.  Mantener actualizada la documentación relacionada con la operación del Sistema  Controlar estrechamente las necesidades en cuanto a los empleados, ya que este es la base principal para el logro eficiente para obtener un buen posicionamiento.

Recomendados

Valuacion del Control Interno
Valuacion del Control InternoValuacion del Control Interno
Valuacion del Control Interno
UNAM
 
Planificación Auditoria Informática
Planificación Auditoria InformáticaPlanificación Auditoria Informática
Planificación Auditoria Informática
Luis Eduardo Aponte
 
La auditoria como actividad profecional, cracteristicas e implicaciones éticas.
La auditoria como actividad profecional, cracteristicas e implicaciones éticas.La auditoria como actividad profecional, cracteristicas e implicaciones éticas.
La auditoria como actividad profecional, cracteristicas e implicaciones éticas.
Jeaneth Espindola
 
Ejemplo de-auditoria de sistemas
Ejemplo de-auditoria de sistemasEjemplo de-auditoria de sistemas
Ejemplo de-auditoria de sistemas
Rocio Saenz
 
Estructura organizacional bancarios
Estructura organizacional bancariosEstructura organizacional bancarios
Estructura organizacional bancarios
Zandy Ariias
 
Dictamen de auditoria
Dictamen de auditoriaDictamen de auditoria
Dictamen de auditoria
Joselyn Castañeda
 
Fundamentos de la auditoria informatica
Fundamentos de la auditoria informaticaFundamentos de la auditoria informatica
Fundamentos de la auditoria informatica
mppc
 
Auditoria financiera v nivel i
Auditoria financiera v nivel iAuditoria financiera v nivel i
Auditoria financiera v nivel i
Daniel Delgado
 

Recomendados

Valuacion del Control Interno
Valuacion del Control InternoValuacion del Control Interno
Valuacion del Control Interno
UNAM
 
Planificación Auditoria Informática
Planificación Auditoria InformáticaPlanificación Auditoria Informática
Planificación Auditoria Informática
Luis Eduardo Aponte
 
La auditoria como actividad profecional, cracteristicas e implicaciones éticas.
La auditoria como actividad profecional, cracteristicas e implicaciones éticas.La auditoria como actividad profecional, cracteristicas e implicaciones éticas.
La auditoria como actividad profecional, cracteristicas e implicaciones éticas.
Jeaneth Espindola
 
Ejemplo de-auditoria de sistemas
Ejemplo de-auditoria de sistemasEjemplo de-auditoria de sistemas
Ejemplo de-auditoria de sistemas
Rocio Saenz
 
Estructura organizacional bancarios
Estructura organizacional bancariosEstructura organizacional bancarios
Estructura organizacional bancarios
Zandy Ariias
 
Dictamen de auditoria
Dictamen de auditoriaDictamen de auditoria
Dictamen de auditoria
Joselyn Castañeda
 
Fundamentos de la auditoria informatica
Fundamentos de la auditoria informaticaFundamentos de la auditoria informatica
Fundamentos de la auditoria informatica
mppc
 
Auditoria financiera v nivel i
Auditoria financiera v nivel iAuditoria financiera v nivel i
Auditoria financiera v nivel i
Daniel Delgado
 
Auditoría administrativa indicadores
Auditoría administrativa indicadoresAuditoría administrativa indicadores
Auditoría administrativa indicadores
Dayanna Silva Sánchez
 
Auditoria
AuditoriaAuditoria
Auditoria
Lizzet Juarez
 
FUNDAMENTOS DE AUDITORIA DE SISTEMAS
FUNDAMENTOS DE AUDITORIA DE SISTEMASFUNDAMENTOS DE AUDITORIA DE SISTEMAS
FUNDAMENTOS DE AUDITORIA DE SISTEMAS
Victor Hugo Imbaquingo Dueñaas
 
Estados financieros
Estados financierosEstados financieros
Estados financieros
Cristian Pasaca
 
Tipos de procedimiento de auditoria
Tipos de procedimiento de auditoriaTipos de procedimiento de auditoria
Tipos de procedimiento de auditoria
rubilp95
 
Presentación Sistemas funcionales de Negocios.
Presentación Sistemas funcionales de Negocios.Presentación Sistemas funcionales de Negocios.
Presentación Sistemas funcionales de Negocios.
Constanza Repetto
 
Clase N°1 Online Presupuesto Empresarial
Clase N°1 Online Presupuesto EmpresarialClase N°1 Online Presupuesto Empresarial
Clase N°1 Online Presupuesto Empresarial
guestef9e58
 
Auditoria administrativa
Auditoria administrativaAuditoria administrativa
Auditoria administrativa
Sandrita Sandoval
 
Sistemas De Informacion En La Empresa
Sistemas De Informacion En La EmpresaSistemas De Informacion En La Empresa
Sistemas De Informacion En La Empresa
Ricardo Mansilla
 
Como se clasifica la contabilidad
Como se clasifica la contabilidadComo se clasifica la contabilidad
Como se clasifica la contabilidad
Aliask11
 
Estructura del departamento de auditoria interna
Estructura del departamento de auditoria internaEstructura del departamento de auditoria interna
Estructura del departamento de auditoria interna
elizabeth070990
 
Catalogo de cuentas contables
Catalogo de cuentas contablesCatalogo de cuentas contables
Catalogo de cuentas contables
I - H y H Asociados
 
Requisitos y cualidades del contador público
Requisitos y cualidades del contador públicoRequisitos y cualidades del contador público
Requisitos y cualidades del contador público
Alfredo Hernandez
 
Sistemas de informacion
Sistemas de informacionSistemas de informacion
Sistemas de informacion
Lourdes Paredes
 
Diseño de las entradas y controles del sistema
Diseño de las entradas y controles del sistemaDiseño de las entradas y controles del sistema
Diseño de las entradas y controles del sistema
Fernando Kano
 
Control interno
Control internoControl interno
Control interno
TheGrinmjow
 
Auditoria y control informaticos
Auditoria y control informaticosAuditoria y control informaticos
Auditoria y control informaticos
Samuel_Sullon
 
Dinamica de-sistemas
Dinamica de-sistemasDinamica de-sistemas
Dinamica de-sistemas
José Pedro Avila
 
Tipos de auditoria
Tipos de auditoriaTipos de auditoria
Tipos de auditoria
cr7lalo7
 
Importancia de una Auditoria
Importancia de una AuditoriaImportancia de una Auditoria
Importancia de una Auditoria
Lucia Yambay
 
Taller metricas
Taller metricasTaller metricas
Taller metricas
Janes Durán
 
Monografía
MonografíaMonografía
Monografía
Alejandra Martinez
 

Más contenido relacionado

La actualidad más candente

Presentación Sistemas funcionales de Negocios.
Presentación Sistemas funcionales de Negocios.Presentación Sistemas funcionales de Negocios.
Presentación Sistemas funcionales de Negocios.
Constanza Repetto
 
Clase N°1 Online Presupuesto Empresarial
Clase N°1 Online Presupuesto EmpresarialClase N°1 Online Presupuesto Empresarial
Clase N°1 Online Presupuesto Empresarial
guestef9e58
 
Diseño de las entradas y controles del sistema
Diseño de las entradas y controles del sistemaDiseño de las entradas y controles del sistema
Diseño de las entradas y controles del sistema
Fernando Kano
 
Importancia de una Auditoria
Importancia de una AuditoriaImportancia de una Auditoria
Importancia de una Auditoria
Lucia Yambay
 

La actualidad más candente (20)

Auditoría administrativa indicadores
Auditoría administrativa indicadoresAuditoría administrativa indicadores
Auditoría administrativa indicadores
 
Auditoria
AuditoriaAuditoria
Auditoria
 
FUNDAMENTOS DE AUDITORIA DE SISTEMAS
FUNDAMENTOS DE AUDITORIA DE SISTEMASFUNDAMENTOS DE AUDITORIA DE SISTEMAS
FUNDAMENTOS DE AUDITORIA DE SISTEMAS
 
Estados financieros
Estados financierosEstados financieros
Estados financieros
 
Tipos de procedimiento de auditoria
Tipos de procedimiento de auditoriaTipos de procedimiento de auditoria
Tipos de procedimiento de auditoria
 
Presentación Sistemas funcionales de Negocios.
Presentación Sistemas funcionales de Negocios.Presentación Sistemas funcionales de Negocios.
Presentación Sistemas funcionales de Negocios.
 
Clase N°1 Online Presupuesto Empresarial
Clase N°1 Online Presupuesto EmpresarialClase N°1 Online Presupuesto Empresarial
Clase N°1 Online Presupuesto Empresarial
 
Auditoria administrativa
Auditoria administrativaAuditoria administrativa
Auditoria administrativa
 
Sistemas De Informacion En La Empresa
Sistemas De Informacion En La EmpresaSistemas De Informacion En La Empresa
Sistemas De Informacion En La Empresa
 
Como se clasifica la contabilidad
Como se clasifica la contabilidadComo se clasifica la contabilidad
Como se clasifica la contabilidad
 
Estructura del departamento de auditoria interna
Estructura del departamento de auditoria internaEstructura del departamento de auditoria interna
Estructura del departamento de auditoria interna
 
Catalogo de cuentas contables
Catalogo de cuentas contablesCatalogo de cuentas contables
Catalogo de cuentas contables
 
Requisitos y cualidades del contador público
Requisitos y cualidades del contador públicoRequisitos y cualidades del contador público
Requisitos y cualidades del contador público
 
Sistemas de informacion
Sistemas de informacionSistemas de informacion
Sistemas de informacion
 
Diseño de las entradas y controles del sistema
Diseño de las entradas y controles del sistemaDiseño de las entradas y controles del sistema
Diseño de las entradas y controles del sistema
 
Control interno
Control internoControl interno
Control interno
 
Auditoria y control informaticos
Auditoria y control informaticosAuditoria y control informaticos
Auditoria y control informaticos
 
Dinamica de-sistemas
Dinamica de-sistemasDinamica de-sistemas
Dinamica de-sistemas
 
Tipos de auditoria
Tipos de auditoriaTipos de auditoria
Tipos de auditoria
 
Importancia de una Auditoria
Importancia de una AuditoriaImportancia de una Auditoria
Importancia de una Auditoria
 

Similar a Auditoria sistema ti

Auditoria informatica: Resumen por daniel izquierdo
Auditoria informatica: Resumen por daniel izquierdoAuditoria informatica: Resumen por daniel izquierdo
Auditoria informatica: Resumen por daniel izquierdo
Daniel Izquierdo
 
Tecnicas de auditoria
Tecnicas de auditoriaTecnicas de auditoria
Tecnicas de auditoria
joseaunefa
 
Informatica sucesos tecnicos
Informatica sucesos tecnicosInformatica sucesos tecnicos
Informatica sucesos tecnicos
YAHISMARTINEZ
 
Tecnica de auditoria
Tecnica de auditoriaTecnica de auditoria
Tecnica de auditoria
joseaunefa
 
Metodos de Auditoría Informatica 4
Metodos de Auditoría Informatica 4 Metodos de Auditoría Informatica 4
Metodos de Auditoría Informatica 4
UNEFA
 

Similar a Auditoria sistema ti (20)

Taller metricas
Taller metricasTaller metricas
Taller metricas
 
Monografía
MonografíaMonografía
Monografía
 
El Auditor y la Organización.pdf
El Auditor y la Organización.pdfEl Auditor y la Organización.pdf
El Auditor y la Organización.pdf
 
Ciclo de Vida de un sistema de información y técnicas para su desarrollo
Ciclo de Vida de un sistema de información y técnicas para su desarrollo Ciclo de Vida de un sistema de información y técnicas para su desarrollo
Ciclo de Vida de un sistema de información y técnicas para su desarrollo
 
Auditoria informatica: Resumen por daniel izquierdo
Auditoria informatica: Resumen por daniel izquierdoAuditoria informatica: Resumen por daniel izquierdo
Auditoria informatica: Resumen por daniel izquierdo
 
Fases de un proyecto de desarrollo de software
Fases de un proyecto de desarrollo de softwareFases de un proyecto de desarrollo de software
Fases de un proyecto de desarrollo de software
 
Sistema para la gestión de interrupciones y medios informáticos en Artex S.A
Sistema para la gestión de interrupciones y medios informáticos en Artex S.ASistema para la gestión de interrupciones y medios informáticos en Artex S.A
Sistema para la gestión de interrupciones y medios informáticos en Artex S.A
 
Tecnicas de auditoria
Tecnicas de auditoriaTecnicas de auditoria
Tecnicas de auditoria
 
Plan de pruebas. casos de prueba
Plan de pruebas. casos de pruebaPlan de pruebas. casos de prueba
Plan de pruebas. casos de prueba
 
Presentación 3 eje tematico (3)
Presentación 3 eje tematico (3)Presentación 3 eje tematico (3)
Presentación 3 eje tematico (3)
 
Informatica sucesos tecnicos
Informatica sucesos tecnicosInformatica sucesos tecnicos
Informatica sucesos tecnicos
 
AUDITORIA DE LAS TICS
AUDITORIA DE LAS TICSAUDITORIA DE LAS TICS
AUDITORIA DE LAS TICS
 
Exposición grupal
Exposición grupalExposición grupal
Exposición grupal
 
Tecnica de auditoria
Tecnica de auditoriaTecnica de auditoria
Tecnica de auditoria
 
Plantilla unidad II
Plantilla unidad IIPlantilla unidad II
Plantilla unidad II
 
Auditoria de sistemas
Auditoria de sistemasAuditoria de sistemas
Auditoria de sistemas
 
TECNICAS DE AUDITORIA POR COMPUTADOR
TECNICAS DE AUDITORIA POR COMPUTADORTECNICAS DE AUDITORIA POR COMPUTADOR
TECNICAS DE AUDITORIA POR COMPUTADOR
 
Metodos de Auditoría Informatica 4
Metodos de Auditoría Informatica 4 Metodos de Auditoría Informatica 4
Metodos de Auditoría Informatica 4
 
Ciclo de Vida y Diseño de los Sistemas de Información
Ciclo de Vida y Diseño de los Sistemas de InformaciónCiclo de Vida y Diseño de los Sistemas de Información
Ciclo de Vida y Diseño de los Sistemas de Información
 
análisis y diseño de sistemas
análisis y diseño de sistemas análisis y diseño de sistemas
análisis y diseño de sistemas
 

Más de Ruben Robles

Centro de telecomunicaciones
Centro de telecomunicacionesCentro de telecomunicaciones
Centro de telecomunicaciones
Ruben Robles
 
Enlace punto a punto pinos la victoria
Enlace punto a punto pinos la victoriaEnlace punto a punto pinos la victoria
Enlace punto a punto pinos la victoria
Ruben Robles
 
Trabajo bdoo unidad 4_cp
Trabajo bdoo unidad 4_cpTrabajo bdoo unidad 4_cp
Trabajo bdoo unidad 4_cp
Ruben Robles
 
Trabajo bdoo unidad 4_cp
Trabajo bdoo unidad 4_cpTrabajo bdoo unidad 4_cp
Trabajo bdoo unidad 4_cp
Ruben Robles
 
Trabajo final plan de las comunicaciones
Trabajo final plan de las comunicacionesTrabajo final plan de las comunicaciones
Trabajo final plan de las comunicaciones
Ruben Robles
 
Gestion de recursos humanos
Gestion de recursos humanosGestion de recursos humanos
Gestion de recursos humanos
Ruben Robles
 
Mapa mental gestionar_el_equipo_del_proyecto
Mapa mental gestionar_el_equipo_del_proyectoMapa mental gestionar_el_equipo_del_proyecto
Mapa mental gestionar_el_equipo_del_proyecto
Ruben Robles
 

Más de Ruben Robles (19)

Hackear contraseña
Hackear contraseñaHackear contraseña
Hackear contraseña
 
Plantilla proyecto aler tic_
Plantilla proyecto aler tic_Plantilla proyecto aler tic_
Plantilla proyecto aler tic_
 
Informe de auditoria
Informe de auditoriaInforme de auditoria
Informe de auditoria
 
Sistemas de telecomunicaciones
Sistemas de telecomunicacionesSistemas de telecomunicaciones
Sistemas de telecomunicaciones
 
Centro de telecomunicaciones
Centro de telecomunicacionesCentro de telecomunicaciones
Centro de telecomunicaciones
 
Tarea 3
Tarea 3Tarea 3
Tarea 3
 
Clases abstractas
Clases abstractasClases abstractas
Clases abstractas
 
Polimorfismo
PolimorfismoPolimorfismo
Polimorfismo
 
Enlace punto a punto pinos la victoria
Enlace punto a punto pinos la victoriaEnlace punto a punto pinos la victoria
Enlace punto a punto pinos la victoria
 
Trabajo bdoo unidad 4_cp
Trabajo bdoo unidad 4_cpTrabajo bdoo unidad 4_cp
Trabajo bdoo unidad 4_cp
 
Trabajo bdoo unidad 4_cp
Trabajo bdoo unidad 4_cpTrabajo bdoo unidad 4_cp
Trabajo bdoo unidad 4_cp
 
Mr mer ddd
Mr mer dddMr mer ddd
Mr mer ddd
 
Trabajo final plan de las comunicaciones
Trabajo final plan de las comunicacionesTrabajo final plan de las comunicaciones
Trabajo final plan de las comunicaciones
 
Transaccionb
TransaccionbTransaccionb
Transaccionb
 
Gestion de recursos humanos
Gestion de recursos humanosGestion de recursos humanos
Gestion de recursos humanos
 
Mapa mental gestionar_el_equipo_del_proyecto
Mapa mental gestionar_el_equipo_del_proyectoMapa mental gestionar_el_equipo_del_proyecto
Mapa mental gestionar_el_equipo_del_proyecto
 
Estandares de ti
Estandares de tiEstandares de ti
Estandares de ti
 
Aplicacion movil
Aplicacion movilAplicacion movil
Aplicacion movil
 
A1 ap los usb
A1 ap los usbA1 ap los usb
A1 ap los usb
 

Auditoria sistema ti

  • 1. UNIVERSIDAD TECNOLÓGICA DEL ESTADO DE ZACATECAS “UNIDAD ACADÉMICA DE PINOS” AUDITORÍA DE UN SISTEMA DE TI MATERIA: INTEGRADORA II MAESTRO: I.TIC ELOY CONTRERAS DE LIRA ALUMNAS: AZUCENA PÉREZ GALLEGOS ROCÍO MARBELÍN ZAPATA PALOMO ADRIANA BERENICE RENOVATO CEJA GRADO Y GRUPO: 10° CUATRIMESTRE “A” LUGAR Y FECHA: PINOS, ZAC 16 DE OCTUBRE DEL 2015
  • 2. INTRODUCCIÓN El desarrollo constante de sistemas de información basados en computadoras ha convertido al procesador en una herramienta indispensable de las pequeñas empresas de hoy en día, proporcionándoles los medios para un control más efectivo sobre sus recursos y operaciones. Estos métodos proveen un acceso inmediato a la información donde y cuando es requerida, dando apoyo a las diferentes operaciones vitales de la rutina diaria de la pequeña empresa.
  • 3. PLANTEAMIENTO DEL PROBLEMA La Auditoría Informática o de Sistemas es el conjunto de técnicas y procedimientos destinados a la evaluación y control de Sistemas Informáticos, entendidos estos en su más amplia área de acción con el desarrollo tecnológico y la complejidad de los diferentes ambientes de la tecnología. En tal sentido las organizaciones requieres mejorar, proteger y controlar los sistemas de información utilizados, además de evaluar los productos novedosos. Es ahí donde la Auditoría de Sistemas de Información juega un rol muy importante y comprende un servicio de apoyo a las organizaciones que requieres de controles apropiados para asegurar la confiabilidad, integridad de los datos y disponibilidad de la información.
  • 4. OBJETIVOS Objetivo General Diseñar un Modelo de Auditoría de Sistema de Información de TI para la Tienda “Centro Botanero Mayte”. Objetivos Específicos  Estudiar el sistema para obtener una visión más amplia del mismo.  Analizar la situación partiendo del sistema en estudio.  Aplicar una metodología adecuada a fin de establecer los aspectos críticos del sistema.  Sugerir cambios factibles a realizar.
  • 5. ALCANCE Esta Auditoría se centrara en el Sistema de Información Punto de Venta “Centro Botanero Mayte”, ubicada en el Municipio de Pinos Zacatecas. IMPORTANCIA La importancia de esta Auditoría radica en el hecho, una vez terminado el informa final de auditoria, se propondrá un modelo seguro de auditoria de sistemas, para ser desarrollado en un futuro podría ser una herramienta de mucha utilidad que a su vez entre otras cosas mejoraría notablemente la eficiencia en el procesamiento de los datos, así como también la seguridad de los datos manejada en dicha Tienda.
  • 6. TÉCNICAS DE ESTIMACIÓN PUNTO DE VENTA “Centro Botanero Mayte”
  • 7. Punto de Venta Centro Botanero “Mayte” Archivo Lógico Interno (ILF) Usuarios  Clave  Usuario  Password 1 ILF :usuarios 1 RET :clave 3 DET :clave,usuario,password Clasificación: Baja Proveedores  clave  apaterno  amaterno  nombres  dirección  teléfono  compania 1 ILF :proveedores 1 RET :clave_ proveedor 7 DET:clave_proveedor,apaterno,amaterno, nombres,dirección,teléfono,compania Clasificación: Baja Para ILF/EIF 1 a 14 DET 20 a 50 DET 51 o más DET 1 RET Baja Baja Media 2 a 5 RET Baja Media Alta 6 o más RET Media Alta Alta Complejidad /Tipo archivo Baja Media Alta Archivo Lógico Interno(ILF) 7 10 15 Archivo Interfaz Externa(EIF) 5 7 10
  • 8. ILF : 5 * 7 = 35 Productos  clave  nombre  marca  fecha_de_caducidad  precio 1 ILF :productos 1 RET :clave 5 DET:clave,nombre,marca, fecha_de_caducidad, precio. Clasificación: Baja Generan  clave  Id_ venta Ventas  Id_venta  producto  fecha  cantidad 1 ILF :ventas 1 RET :Id_venta 4 DET:Id_venta , producto, fecha , cantidad Clasificación: Baja
  • 9. Funciones Transaccionales EI(External Input) Entradas Externas Para EI/Entradas Externas 1 a 4 DET 5 a 15 DET 16 o más DET 0 a 1 FTR Baja Baja Media 2 FTR Baja Media Alta 3 o más FTR Media Alta Alta Para EO/EQ 1 a 4 DET 5 a 15 DET 16 o más DET 0 a 1 FTR Baja Baja Media 2 o 3 FTR Baja Media Alta 4 o más FTR Media Alta Alta Complejidad Baja Media Alta External Input(EI) 3 4 6 External Output(EO) 4 5 7 External Query(EQ) 3 4 6 Usuarios  Clave  Usuario  Password 1 FTR :clave 3 DET :clave,usuario,password Clasificación: Baja
  • 10. EI: 3 * 3= 9 Proveedores  Id_proveedor  apaterno  amaterno  nombres  dirección  teléfono  compania 1 FTR : Id_proveedor 7 DET:id_proveedor,apaterno,amaterno, nombres,dirección,teléfono,compania Clasificación: Baja Productos  clave  nombre  marca  fecha_de_caducidad  precio 1 FTR :clave 5 DET:clave,nombre,marca, fecha_de_caducidad, precio. Clasificación: Baja
  • 11. EO(External Output) Salidas Externas Lista de Usuarios Lista Proveedores Usuarios  Clave  Usuario  Password 1 FTR :clave 3 DET :clave,usuario,password Clasificación: Baja Proveedores  clave_proveedor  apaterno  amaterno  nombres  dirección  teléfono  compania 1 FTR : clave_proveedor 7 DET:clave_proveedor,apaterno,amaterno, nombres,dirección,teléfono,compania Clasificación: Baja
  • 12. Lista Productos Productos  clave  nombre  marca  fecha_de_caducidad  precio 1 FTR :clave 5 DET:clave,nombre,marca, fecha_de_caducidad, precio. Clasificación: Baja EO: 3 * 4=12
  • 13. EQ(External Query) Consultas Externas Consulta Usuario Consulta Proveedor Usuarios  Clave  Usuario  Password 1 FTR :clave 3 DET :clave,usuario,password Clasificación: Baja Proveedores  clave_proveedor  apaterno  amaterno  nombres  dirección  teléfono  compania 1 FTR : clave_proveedor 7 DET:clave_proveedor,apaterno,amaterno, nombres,dirección,teléfono,compania Clasificación: Baja
  • 14. Consulta Producto Registro de Ventas Productos  clave  nombre  marca  fecha_de_caducidad  precio 1 FTR :clave 5 DET:clave,nombre,marca, fecha_de_caducidad, precio. Clasificación: Baja Ventas  Id_venta  producto  fecha  cantidad 1 FTR : Id_venta 4 DET:Id_venta , producto, fecha , cantidad Clasificación: Baja EQ: 4 * 3= 12
  • 15. Tabla de Estimación de Puntos de Función Puntos de Función Valor Puntos ILF Baja 7*5 Madia 1 0*0 Alta 15*0 35 0 0 EIF Baja 5*0 Madia 7*0 Alta 10*0 0 0 0 EI Baja 3*3 Madia 4*0 Alta 6*0 9 0 0 E0 Baja 4*3 Madia 5*0 Alta 7*0 12 0 0 EQ Baja 3*4 Madia 4*0 Alta 6*0 12 0 0 Total 68 Valores posibles de cada factor 0 No está presente, no tiene ninguna influencia 1 Influencia poco significativa 2 Influencia moderada 3 Influencia mediamente significativa 4 Influencia significativa 5 Influencia muy fuerte
  • 16. Factores de complejidad técnica Comunicación de datos 0 Actualización en línea 0 Servicios distribuidos 0 Procesamiento complejo 3 Desempeño 4 Reusabilidad 5 Ambiente de uso sobrecargado 4 Facilidad de instalación 5 Taza de transacciones 1 Facilidad de operación 5 Entrada de datos en línea 0 Múltiples lugares de operación 0 Eficiencia de usuario final 5 Facilidad de modificación 5 Nivel de Influencia 37  Factor de Ajuste = (nivel de influencia * 0,01) + 0,65 Factor de Ajuste = (37 * 0.01) + 0.65 Factor de Ajuste = 1,02  PF = PFSA * A PF = 68 * 1.02 PF = 69.36
  • 17. TÉCNICAS DE RECOPILACIÓN DE INFORMACIÓN “Centro Botanero Mayte”
  • 18. CHECKLIST DE AUDITORÍA 01/Oct/2015 Versión 1.0 Propósito General El propósito del presente Checklist es facilitar a los auditores la identificación y detección de anomalías en los procesos y el sistema auditado. Instrucciones  Durante la etapa de evaluación, cada auditor debe utilizar esta Checklist como guía para obtener información sobre el sistema auditado.  Una vez que haya concluido esta actividad, el auditor responderá el Checklist. Observación: Las posibles respuestas son: (1) Sí  Cumplimiento adecuado. (2) No  Incumplimiento
  • 19. CHECKLIST DE AUDITORÍA Checklist: SQA Plan de Aseguramiento de la calidad del software 1. Identificación de la auditoría Tienda: Centro Botanero “Mayte” Centro Botanero “Mayte” Tipo de auditoría:  Interna  Externa 2. Auditor Azucena Pérez Gallegos e-mail josefeliciano@hotmail.com Tel 8640439 3. Checklist Sí No  ¿Se creó un plan de SQA como parte del plan del proyecto? ¿Se encuentra actualizado?   ¿El plan de SQA fue revisado y aprobado?   El plan de SQA incluye: (a) los requerimientos para SQA y las actividades que deben ser desarrolladas, (b) la calendarización de las actividades definidas, (c) los recursos requeridos, (d) la participación de SQA en el desarrollo de software, (e) la participación de SQA en el proceso de SCM, y (f) la participación de SQA en el proceso de pruebas.   ¿Existe evidencia sobre la implementación de las actividades de SQA? 
  • 20. Checklist: SCM Gestión de Configuración del Software 1. Identificación de la auditoría Tienda: Centro Botanero “Mayte” Centro Botanero “Mayte” Tipo de auditoría:  Interna  Externa 2. Auditor Azucena Pérez Gallegos e-mail josefeliciano@hotmail.com Tel 8640439 3. Checklist Sí No  ¿Se preparó un plan de SCM? ¿Se encuentra actualizado?   ¿El plan de SCM fue revisado y aprobado?   ¿Se definen en el plan los mecanismos de selección e identificación de ítems de configuración? ¿Se define el esquema de versiones y revisiones?   ¿Existe un grupo de SCM con responsabilidades bien definidas? ¿Cuenta con los recursos adecuados?   ¿Existen procedimientos para gestionar el control de cambios adecuadamente?   ¿Se mantiene información sobre el estado de la configuración del software? ¿Actualizada? 
  • 21. Checklist: Identificación y seguimiento de problemas 1. Identificación de la auditoría Tienda: Centro Botanero “Mayte” Centro Botanero “Mayte” Tipo de auditoría:  Interna  Externa 2. Auditor Azucena Pérez Gallegos e-mail josefeliciano@hotmail.com Tel 8640439 3. Checklist Sí No  ¿Existen procedimientos que aseguren la detección y corrección de los problemas y/o discrepancias detectadas?   ¿Se examinan los informes de problemas y de discrepancias para determinar las posibles causas?   ¿Se analiza la relación entre las diferentes actividades de desarrollo para prevenir disconformidades en los productos?   ¿Se definen y planifican acciones correctivas? ¿Se asignan los recursos adecuados?   ¿Las acciones correctivas son registradas y documentadas minuciosamente?   ¿Se revisan y monitorean las acciones correctivas para determinar su efectividad, completitud y complacencia respecto de los estándares? 
  • 22. LISTA DE VERIFICACIÓN ISO 9001:2008 – Sistemas de Gestión de la Calidad – Objeto y campo de aplicación Esta lista de verificación tiene como objetivo conocer con mayor detalle el Sistema de Calidad implantado, será utilizada para la evaluación a la hora de la adjudicación de las distintas ofertas. Los códigos utilizados son los siguientes: No - Parcial - Si - No cumple Cumple parcialmente Cumple y hay evidencias objetivas Cuando algún requisito no se pueda aplicar debido a la naturaleza de la organización y de su producto, éste puede considerarse para su Exclusión. NOTA: en esta Norma Internacional, el término “producto” se aplica únicamente al producto destinado a, o solicitado por el cliente. (ISO 9001:2000, 1.1 Generalidades) A lo largo del texto de esta Norma Internacional, cuando se utiliza el término “producto”, éste puede significar también servicio. (ISO 9001:2000, 3 Términos y definiciones) Definiciones SGC- Sistema de Gestión de Calidad
  • 23. REF. Requisitos del Documento Si No Parcial Observaciones 1 El Manual de la Calidad define: 1. El alcance del Sistema de Gestión de la Calidad incluyendo los instrumentos para los que se emitirá la Procedimientos documentados o referencia a ellos. Si existe un manual de calidad donde se detallan los procedimientos. REF. Control de los Registros Si No Parcial Observaciones 2 Se mantienen registros para proporcionar evidencia de la Conformidad de los requisitos, así como de la operación eficaz del SGC según un procedimiento documentado. No hay registros donde se establezcan las conformidades en base al SGC. 3 Se han definido controles para su: 1. Identificación. 2. Almacenamiento, protección y recuperación. 3. Tiempo de retención y disposición. Cuando corresponda, el tiempo de retención de los registros debe estar en relación con la vida útil del producto. Existen controles definidos para el almacenamiento, disposición, protección de información y delos productos. 4 Los registros son: 1. Legibles. 2. Identificables. 3. Recuperables. Todos los registros que se hacen son correctos y legibles y se encuentran a disposición del dueño en cualquier momento. 5 Se asegura la disponibilidad de recursos e información para apoyar la operación y el seguimiento de procesos? Si se asegura la disponibilidad de los recursos e información
  • 24. # PREGUNTA Evaluación 1=Nada 2= No Cumple 3= Si Cumple 4=Totalmente Cumple 1 2 3 4 1 Describe cuál es el proceso, entradas y salidas 2 Conoce los procedimientos que aplican para su puesto 3 Utiliza instrucciones de trabajo para cumplir con sus labores? Muéstremelos 4 Maneja algunos otros registros para realizar su trabajo Muéstremelos LISTAS DE VERIFICACIÓN
  • 25. 5 Controla sus documentos y/o registros que genera 6 Maneja algún proceso o procedimiento para la retroalimentación del Cliente 7 De acuerdo a la retroalimentación por parte del cliente, utiliza esta Retroalimentación para realizar mejoras 8 Cuando van a comprar algún producto nuevo, tienen algún documento en donde se diga que ya está aprobado de acuerdo a sus requerimientos. 9 Hay algún documento que explique el proceso de las autorizaciones de los productos o materiales requeridos 10 Tiene algún proceso o procedimiento de inspección y/o verificación del producto comprado? Muéstramelo. 11 Controla su producto recibido 12 Tiene identificados sus productos Cómo los controla?
  • 26. 13 Tiene algún control que sirva para medir la satisfacción del cliente? Como encuestas, opiniones, garantías, calidad en la entrega, etc.
  • 27. Análisis FODA Fortalezas  Contar con herramientas tecnológicas de fácil manejo por el usuario  Almacenamiento rápido, seguro de los datos de los productos.  Fácil manejo  Compatible en varios Windows Oportunidades  Contar con un mercado amplio aún no satisfecho.  Aprovechar los medios tecnológicos Debilidades  Falta de capacitación a los empleados  Problemas en la calidad de algunos productos Amenazas  Falta de credibilidad con los beneficios que ofrece el sistema  Resistencia al cambio de un nuevo sistema  Desaprovechar los recursos tecnológicos.  Mal uso de la información del sistema
  • 28. AUDITORÍA DEL SISTEMA DE TI “Centro Botanero Mayte”
  • 29. Objetivo: Conocer el estado actual de los sistemas de información en cuanto a la seguridad física, seguridad lógica y el cumplimiento de normas y estándares en el proceso y desarrollo de sus productos. Diseñar un Modelo de Auditoría de Sistema de Información de TI para la Tienda “Centro Botanero Mayte”. Auditor Líder: Adriana Berenice Renovato Ceja Reunión de Apertura Fecha: 21/09/2015 Reunión de Cierre Fecha: 08/10/2015 Auditores:  Azucena Pérez Gallegos  Adriana Berenice Renovato Ceja  Rocío Marbelín Zapata Palomo Alcance: Esta Auditoría se centrara en el Sistema de Información Punto de Venta “Centro Botanero Mayte”, ubicada en el Municipio de Pinos Zacatecas, de esta manera, obtener resultados y un informe final. Proceso: Se realizara una auditoria primero conociendo las áreas a auditar de la Tienda y con un auditor experto en la evolución de la seguridad de los sistemas, se realizaran entrevistas y se entregará un informe final. Criterios: Procedimiento/Actividad Auditor Auditado Recopilación de información básica: Una semana antes del comienzo de la auditoria realizaron técnicas de recopilación de información. Azucena Pérez Gallegos Jefe de la Tienda “Centro Botanero MAYTE” FORMATO PLAN DE AUDITORÍA
  • 30. F-01-MP-03-01-06 Elaborado Por: Oficina de Control Intern V-01-2010 Entrevistas: El inicio de la auditoria comienza entrevistando a los responsables de las áreas a auditar. Adriana Berenice Renovato Ceja  Jefe de la Tienda  Empleados Identificación de riesgos: Se evaluara la forma de adquisición de nuevos productos Los procedimientos para adquirirlos deben estar regulados y aprobados Rocío Marbelín Zapata Palomo  Jefe de la Tienda Objetivos de control: Se evaluaran la existencia y la aplicación correcta de las políticas de seguridad. Se hará una revisión de los manuales de política de la empresa, que los procedimientos de los mismos se encuentren actualizados y que sean claros y que el personal los comprenda. Azucena Pérez Gallegos Obtención de los resultados: Se obtendrán los resultados que surjan Los datos obtenidos se registrarán en el informe. . Adriana Berenice Renovato Ceja Entrega del informe: Esta es la última parte de la auditoria y en una reunión se formaliza la entrega del informe final con los resultados obtenidos en la auditoria. Azucena Pérez Gallegos  Jefe de la Tienda
  • 31. Sección No.1 DATOS GENERALES DE LA AUDITORÍA Procesos Responsable del proceso Auditoría de Sistemas de TI Azucena Pérez Gallegos Fecha de apertura Fecha de cierre Fecha elaboración informe Tipo de auditoría 21/09/2015 14/10/2015 14/08/2015 Externa Auditores Auditados Auditor líder: Adriana Berenice Renovato Ceja José Feliciano Silva Azucena Pérez Gallegos María Dolores Palomo Rocío Marbelín Zapata Palomo Objetivo general Conocer el estado actual de los sistemas de información en cuanto a la seguridad física, seguridad lógica y el cumplimiento de normas y estándares en el proceso y desarrollo de sus productos. Diseñar un Modelo de Auditoría de Sistema de Información de TI para la Tienda “Centro Botanero Mayte”. Alcance Esta Auditoría se centrara en el Sistema de Información Punto de Venta “Centro Botanero Mayte”, ubicada en el Municipio de Pinos Zacatecas, de esta manera, obtener resultados y un informe final. Sección No.2 RESULTADOS DELA AUDITORIA Hallazgo No 1 Ausencia de un Plan de Contingencia debidamente formalizado en el área de informática.  Tipo de hallazgo Criterio de auditoria NC:  Obs: No Conformidad Mayor(NCM) Hallazgo No 2 No existen normas y procedimientos que indiquen las tareas manuales e informáticas que son necesarias para realizar y recuperar la capacidad de procesamiento ante una eventual contingencia (desperfectos de equipos,  Tipo de hallazgo: NC: No conformidad y Obs: Observación INFORME DE AUDITORÍA Código: FR-SIC-010 Versión: 06 Proceso: Desarrollo de Sistemas y Procedimientos Fecha de emisión: 17/08/2015 Fecha de versión: 1
  • 32. incendios, cortes de energía con más de una hora), y que determinen los niveles de participación y responsabilidades del área de sistemas y de los usuarios.  Tipo de hallazgo Criterio de auditoria NC:  Obs: No Conformidad Mayor(NCm) Hallazgo No 3 Ausencia de un plan  Tipo de hallazgo Criterio de auditoria NC:  Obs: Establecer un plan de prevención ante cualquier amenaza ya sea por motivos naturales, operacionales o tecnológicos para impedir o disminuir los efectos que producen con motivo de las ocurrencias de desastres y perdida de información del sistema. Hallazgo No 4 No se cuenta con un Software que permita la seguridad de las librerías de los programas y la restricción y/o control del acceso de los mismos.  Tipo de hallazgo Criterio de auditoria NC:  Obs: No Conformidad Mayor(NCM) Hallazgo No 5 No existe un control o registro formal de las modificaciones efectuadas al sistema  Tipo de hallazgo Criterio de auditoria NC:  Obs: Elaborar toda la documentación técnica correspondiente a los sistemas implementados, establecer normas y procedimientos para actualización. Hallazgo No 6 No se lleva un adecuado control de la documentación del SIGC.  Tipo de hallazgo Criterio de auditoria NC:  Obs: No Conformidad Mayor(NCM) Hallazgo No 7 No se siguen los lineamientos de acuerdo al reglamento con el empleado  Tipo de hallazgo Criterio de auditoria NC:  Obs: No Conformidad Mayor(Ncm) Hallazgo No 8 No se lleva una adecuada planeación para la supervisión y mantenimiento del sistema  Tipo de hallazgo Criterio de auditoria
  • 33. NC:  Obs: No Conformidad Mayor(Ncm) Hallazgo No 9 No se cuenta con el diagrama de Gantt  Tipo de hallazgo Criterio de auditoria NC:  Obs: No Conformidad Mayor(Ncm) Hallazgo No 10 Lo problemas que surgen se resuelven pero no se lleva un registro  Tipo de hallazgo Criterio de auditoria NC:  Obs: No Conformidad Mayor(Ncm) Hallazgo No 11 Plan De comunicación  Tipo de hallazgo Criterio de auditoria NC:  Obs: No Conformidad Mayor(NCM) Hallazgo No 12 No se siguen los estándares para llevar cabo los procedimientos establecidos para tener un mejor servicio.  Tipo de hallazgo Criterio de auditoria NC:  Obs: No Conformidad Mayor(NCM) Hallazgo No 13 La base de datos del sistema tiene problemas y no se están actualizando los datos  Tipo de hallazgo Criterio de auditoria NC:  Obs: No Conformidad Mayor(NCm) Hallazgo No 14 No se tiene en cuenta el tiempo de respuesta del sistema
  • 34. Sección No.3 FICHA DE RESUMEN DE LA AUDITORIA Numeral REQUISITOS DEL SISTEMA NO CONFORMIDADES No. Detectadas No. Solucionadas No. Pendientes NCM Ncm NCM Ncm NCM Ncm 1. APROBACIÓN, PLANIFICACIÓN Y GESTIÓN DEL PROYECTO 1.1 Estudio de factibilidad 0 0 0 0 0 0 1.2 Acta de inicio 0 0 0 0 0 0 1.3 gghjhjnhj Restricciones del proyecto 0 0 0 0 0 0 1.4 Nombramiento del administrador dproyecto 0 0 0 0 0 0 1.5 Plan de riesgos 0 0 0 0 0 0 1.6 Ciclo de vida 0 0 0 0 0 0 1.7 Información histórica de proyectos relacionados 0 0 0 1 0 1 1.8 Plan de Comunicación 0 0 1 0 0 0 1.9 Plan de Proyecto(Objetivos, justificación, recursos , presupustoProblematica) 0 0 0 0 0 0 1.10 Minutas de reuniones 0 0 0 0 0 0 1.11 Registro de problemática y soluciones 0 2 0 0 0 0 1.12 Diagrama de Gantt 1 0 1 0 0 0 1.13 Estructura de descomposición de trabajo (WBS) 0 0 0 0 0 0 2. ANÁLISIS 2.1 Documento formal donde se aprueba participantes del proyecto con nombramiento así como su puesto y funciones. 1 0 1 0 0 0 2.2 Plan de entrevistas, encuestas y Observaciones. 0 0 0 0 0 0 2.3 Evidencia de Entrevistas, encuestas y observaciones desarrolladas. 0 0 0 0 0 0 2.4 Modelo lógico del proyecto(Diagrama de flujo de datos) 0 0 0 0 0 0 2.5 Análisis de alternativas de requisitos (ventajas y desventajas 0 0 0 1 0 0 2.6 Catálogo de Requisitos (SRS 830) 1 0 1 0 0 0 3 DISEÑO 3.1 Modelo Lógico de Datos 0 0 0 0 0 0
  • 35. 3.1.1 Modelo Entidad-relación 0 0 0 0 0 0 3.1.2 Modelo Relacional 0 0 0 0 0 0 3.1.3 Diccionario de Datos 0 0 0 0 0 0 3.2 Diseño de Prototipos(Interfaces) 0 0 0 0 0 0 3.3 Selección de Elementos de Entornos (Servidores, contratación de servicios, periféricos, sistemas, aplicaciones, protocolos de comunicaciones, lenguajes de programación, gestor de Bases de Datos y herramientas case) 0 0 1 0 0 0 4 CONSTRUCCION 4.1 Creación DE BD 0 1 0 0 0 0 4.2 Creación de Módulos 0 1 0 0 0 0 4.3 Codificación de Módulos 0 0 0 0 0 0 4.4 Documentación de Código 0 0 1 0 0 0 4.5 Depuración de Código 0 1 0 0 0 0 4.6 Módulos Funcionales 0 0 0 0 0 0 4.7 Plan de pruebas 0 0 0 0 0 0 4.8 Manual de Usuario 0 0 0 0 0 0 4.9 Manual Técnico 0 0 0 0 0 0 4.10 Manual de Instalación 0 0 0 0 0 0 4.11 Paquete de Instalación 0 0 0 0 0 0 Calificación del proceso referente al nivel de cumplimiento con la norma, de uno (1) a diez (10) uno es el ítem más bajo: Nota: Recuerde que debe hacer el inventario de los hallazgos encontrados en el proceso de auditoria conforme a la norma, indicado en cada casilla de acuerdo al numeral cuantas no conformidades, observaciones o conformidades se encontraron.
  • 36. Sección 4. TRATAMIENTO DE NO CONFORMIDADES Descripción de la no conformidad No conformidad Corrección propuesta (acción inmediata) Causa Raíz Plan de acción correctivo Estado Ausencia de un Plan Mayor:□ Menor: □ Requisito: Establecer un plan en donde se establezcan los procedimientos manuales e informáticos para establecer la operación del plan de la empresa y establecer los responsables de cada sistema. No se cuenta con el plan Actividad: Hacer un nuevo plan Fecha:10/09/2015 Fecha:14/09/2015 Inicial Aprobada: □ Rechazada:□ Fecha: 17/09/2015 Seguimiento Abierta: □ Cerrada:□ Fecha: 17/09/2015 No existen normas y procedimientos que indiquen las tareas manuales e informáticas que son necesarias para realizar y recuperar la capacidad de procesamiento ante una contingencia (desperfectos de equipos, incendios, cortes de energía con más de una hora), y que determinen los niveles de participación y responsabilidades del área de sistemas y de los usuarios. Mayor:□ Menor: □ Requisito: Efectuar pruebas simuladas en forma periódica a efectos de monitorear el desempeño de los responsables ante eventuales desastres. No se cuenta con la normatividad de calidad aplicable a los procesos y procedimientos por lo que nada se rige bajo normas. Actividad: Realizar un documento donde se plasmen las normas a seguir. Fecha: 13/09/2015 Fecha:14/09/2015 Inicial Aprobada: □ Rechazada:□ Fecha: 17/92015 Seguimiento Abierta: □ Cerrada:□ Fecha: 17/09/2015
  • 37. No se cuenta con un Software que permita la seguridad de las librerías de los programas y la restricción y/o control del acceso de los mismos. Mayor:□ Menor: □ Requisito: Evaluar e implementar un software que permita mantener el resguardo de acceso de los datos. Cuando se instaló el sistema en el equipo no se aseguró que se tuviera la suficiente seguridad para que estos no fueran manipulados por otras personas. Actividad: Contar con un plan de seguridad o claves para el sistema Fecha: 14/09/2015 Fecha:15/09/2015 Inicial Aprobada: □ Rechazada:□ Fecha:21 /09/2015 Seguimiento Abierta: □ Cerrada:□ Fecha: 21/09/2015 No se lleva un adecuado control de la documentación del SIGC. Mayor:□ Menor: □ Requisito: Llevar a cabo una evidencia documental del uso de formatos declarados en el SIGC y en su caso revisión y validación. Al llevar a cabo la documentación sobre los controles acorde a los Sistemas de Gestión de Calidad se observó que la documentación está mal. Actividad: Documentación sobre el Sistema de Gestión de Calidad. Fecha: 15/09/2015 Fecha:15/08/2015 Inicial Aprobada: □ Rechazada:□ Fecha: 17/09/2015 Seguimiento Abierta: □ Cerrada:□ Fecha: 17/09/2015
  • 38. No se siguen los lineamientos de los empleados. Mayor:□ Menor: □ Requisito: Llevar a cabo un buen proceso para seleccionar el personal que va a trabajar en la tienda como en la contratación y asignar los roles. A la hora de conformar el personal administrativo no se siguió el proceso correcto para elegir el personal por lo cual se hace lo que quiere. Actividad: Realizar los lineamientos correctos para llevar a cabo un buen manejo sobre el personal administrativo. Fecha: 21/09/2015 Fecha:21/09/2015 Inicial Aprobada: □ Rechazada:□ Fecha: 23/09/2015 Seguimiento Abierta: □ Cerrada:□ Fecha: 23/09/2015 No se lleva una adecuada planeación para la supervisión y mantenimiento del sistema Mayor:□ Menor: □ Requisito: Llevar acabo procedimientos para un adecuado mantenimiento. Esta conformidad se presentó en el momento de checar la tienda ya que no se cuenta con un mantenimiento correcto del sistema. Actividad: Realizar un planeación y establecer en ella como hacer mantenimiento y actualización. Fecha: 21/09/2015 Fecha:21/09/2015 Inicial Aprobada: □ Rechazada:□ Fecha: 25/09/2015 Seguimiento Abierta: □ Cerrada:□ Fecha: 25/09/2015
  • 39. No se cuenta con el diagrama de Gantt Mayor:□ Menor: □ Requisito: Hacer un diagrama de Gantt con todas la actividades que se van a realizar. Desde el comienzo no se puso en marcha dicho diagrama por lo cual no se tomó en cuenta. Actividad: Elaborar un nuevo diagrama Fecha: 22/09/2015 Fecha:22/09/2015 Inicial Aprobada: □ Rechazada:□ Fecha: 26/09/2015 Seguimiento Abierta: □ Cerrada:□ Fecha: 26/09/2015 Información histórica de sistemas antes utilizados Mayor:□ Menor: □ Requisito: No existen sistemas de los que se pueda tener información. No existen proyectos anteriores o sistemas de los que se pueda tener información. Actividad: no se cuenta con ningún tipo de información de sistemas antes utilizados Fecha: 25/09/2015 Fecha:25/09/2015 Inicial Aprobada: □ Rechazada:□ Fecha: 28/09/2015 Seguimiento Abierta: □ Cerrada:□ Fecha: 28/09/2015
  • 40. Plan De comunicación Mayor:□ Menor: □ Requisito: No existe un comunicación adecuada entre los empleados dentro de los sistemas y procedimientos a realizar. Establecer un plan de comunicación para mantener un mejor diálogo entre empleados. Actividad: Elaborar de plan de comunicación Fecha: 30/09/2015 Fecha:30/09/2015 Inicial Aprobada: □ Rechazada:□ Fecha: 01/10/2015 Seguimiento Abierta: □ Cerrada:□ Fecha: 01/10/2015
  • 41. Sitio de la reunión: Pinos, Zacatecas Calle Encarnación Ortiz Fecha y Hora 15/10/2015 3:00 p.m. Auditoria: Punto de Venta “Centro Botanero Mayte” ORDEN DEL DIA. 1- Presentación de los participantes 2. Exposición de la metodología aplicada. 3. Presentación de los hallazgos y verificación de ajustes sugeridos. 4. Presentación de las No conformidades 5. Concretar fechas para el Plan de mejoramiento 6. Entrega del Plan 7. Otros. DESARROLLO TEMATICO PUNTO A TRATAR RESULTADO 1- Presentación de los participantes Es una reunión donde se involucran todos los responsables del o de los procesos a auditar y es realizada por el auditor para tratar puntos como son la presentación de los auditores, explicación del objeto y alcance de la auditoría, confirmación del programa de auditoría, validación de los medios logísticos, exposición de la metodología a utilizar, disponibilidad de recursos y la información sobre la reunión de cierre previa.  José Feliciano Silva Acosta  Ma. Dolores Palomo  Azucena Pérez Gallegos  Rocío Marbelín Zapata Palomo  Adriana Berenice Renovato Ceja PROCESO: MEJORA CONTINUA PROCEDIMIENTO: EJECUCION DE AUDITORIA INTERNA FORMATO: ACTA REUNION CIERRE DE AUDITORIA Código: F-MC-SI- 004 Versión: 1 Fecha: 15/10/2012 Página: 41 de 45
  • 42. 2. Exposición de la metodología aplicada. La metodología aplicada fueron técnicas de estimación de software para para verificar y evaluar las actividades relacionadas con la calidad cuya realización se inicia por solicitud de la administración, por exigencia del cliente, por solicitud a una entidad de certificación o por exigencia del propio sistema de gestión de la calidad. 3. Presentación de los hallazgos y verificación de ajustes sugeridos. Los resultados obtenidos a partir de la evaluación realizada de la evidencia recopilada en la auditoría frente a los requisitos de la norma fueron un poco satisfactorios ya que se encontraron no conformidades todavía no corregidas. Los hallazgos encontrados fueron plasmados en el informe de auditoría donde se menciona que hacer para corregirlos. 4. Concretar fechas para el Plan de mejoramiento La fecha que se acordó entre las partes de los auditores y los auditados fue el 30 de Octubre del 2015. 5. Otros. Se dará revisión y seguimiento al plan para llevar acabo un funcionamiento del sistema en base a los procedimientos y estándares establecidos. CONCLUSIONES. (Acuerdos, compromisos y responsables). El motivo esencial de esta auditoría estuvo representado por la necesidad de establecer métodos adecuados que permitan realizar evaluaciones y revisiones de las actividades Relacionadas con el procesamiento del sistema a de información. Se llegó al acuerdo con los auditados de que mantendrá actualizado el sistema y ellos se harán cargo de realizar y corregir lo que está en mal uso.
  • 43. HORA DE TERMINACION: 7:00p.m. NOMBRE Y FIRMA DE LOS PARTICIPANTES Nombre y Apellidos Cargo Firma José Feliciano Silva Acosta Jefe de la Tienda José Feliciano Silva Acosta Ma. Dolores Palomo Empleada Ma. Dolores Palomo NOMBRE Y FIRMA DE LOS AUDITORES Nombre y Apellidos Cargo Firma Azucena Pérez Gallegos Auditora Azucena Pérez Gallegos Rocío Marbelín Zapata Palomo Auditora Rocío Marbelín Zapata Palomo Adriana Berenice Renovato Ceja Auditora Adriana Berenice Renovato Ceja
  • 44. RESULTADOS Después de realizar lo anterior y de acuerdo a los resultados obtenidos, el auditor realizó un informe resultante con observaciones y/o aclaraciones para llevar a cabo dentro de las áreas involucradas para el mejor funcionamiento del sistema. Al realizar esta auditoría los resultados fueron favorables ya que por parte de los auditados se dio un trata respetuoso.  Se detectaron un número considerable de focos problemáticos, relacionados. Principalmente con la carencia de programas de evaluación, en este caso programas de Auditoría de Sistemas, entre los que se destacan las fallas existentes en la documentación de las actividades de programación y operación del Sistema  Se logró definir cuáles son las actividades necesarias que deben existir en el sistema para que se obtenga un funcionamiento más eficiente.  Se logró establecer procedimientos para llevar acabo un buen control de los productos.  Implementar Documentos de registros donde se detallen algunas anomalías que tengas los productos y estor ser regresados a los proveedores.
  • 45. RECOMENDACIONES  Implementar y desarrollar programas de Auditoría de Sistemas Informática, según los planes señalados, contribuyendo de esta manera a la determinación de cursos alternativos que solventen las debilidades, o bien destaquen el logro eficiente de las actividades.  Hacer énfasis en la necesidad de documentar las actividades relacionadas con el desarrollo de sistemas, para lo cual debe lograrse la concientización del personal encargado, y por otro lado colocar una persona a cargo de controlar este proceso, y contribuir a que la documentación se mantenga actualizada.  Instruir a los usuarios en el uso del sistema, de forma tal de disminuir las fallas presentadas por utilización inadecuada de los mismos.  Mantener actualizada la documentación relacionada con la operación del Sistema  Controlar estrechamente las necesidades en cuanto a los empleados, ya que este es la base principal para el logro eficiente para obtener un buen posicionamiento.