Ejercicio abusivo del derecho a la libertad de expresion de los medios de com...
Auditoría sistemas informáticos Nexo Logistics
1. MILLENIUM & ASOCIADOS
AUDITORES Y CONSULTORES
Universidad de San Carlos de Guatemala, Ciudad Universitaria – Edificio. S-3 Salón 202
INFORME DE AUDITORIA DE
SISTEMAS COMPUTACIONALES
Con enfoque en La Protección, Custodia y Niveles de Acceso a las Bases de
Datos y Evaluación de la Información, Documentación y Registros de los
sistemas.
2. MILLENIUM & ASOCIADOS
AUDITORES Y CONSULTORES
Universidad de San Carlos de Guatemala, Ciudad Universitaria – Edificio. S-3 Salón 202
ÍNDICE
TEMA PAG
1. INTRODUCCIÓN 1
2. OFICIO DE PRESENTACIÓN 3
3. DICTAMEN DE AUDITORIA DE
SISTEMAS INFORMÁTICOS 4
4. SITUACIONES RELEVANTES DETECTADAS 6
5. ANEXOS 9
3. MILLENIUM & ASOCIADOS
AUDITORES Y CONSULTORES
Universidad de San Carlos de Guatemala, Ciudad Universitaria – Edificio. S-3 Salón 202 1
1. INTRODUCCIÓN
El presente informe de auditoria, así como su previa planeación y trabajo de
campo resultante, surgen como un aporte que los estudiantes del noveno
semestre de la carrera de Auditoria y Contaduría Publica, de la Universidad de
San Carlos de Guatemala darán como reforzamiento a las operaciones que se
llevan a cabo dentro del departamento de la empresa Nexo Logistics.
Este tipo de auditoria se realiza cuando se presentan situaciones de emergencia y
condiciones extraordinarias en el área de sistemas, las cuales estén fuera de
control o difieran de los parámetros normales de operación. También se realiza
debido a la necesidad de medir y valorar las repercusiones que tuvieron esas
emergencias y/o condiciones especiales.
En este caso particular, en ejercicio de esta practica de auditoria informática y con
la colaboración de la entidad auditada, se estableció la necesidad de evaluar la
existencia de riesgos potenciales en la Protección, Custodia y Niveles de Acceso a
las Bases de Datos y Documentación y Registros de los Sistemas de Información.
Con la realización de esta auditoria se pretendían dos objetivos generales, que
son:
1. Evaluar el sistema computacional en relación, al resguardo, protección y
custodia de información desde el momento de la captura de datos,
proceso de transformación, niveles de acceso y almacenamiento de la
misma. Esto con el objeto de sugerir la implementación o reforzamiento
del control interno del área de cómputo.
2. Comprobar si la empresa cuenta con registros de la información que
procesa en su sistema de cómputo, así también, determinar si existe
documentación que se desprenda de dicho registro y sea competente al
giro del negocio, con sus respectivas copias de respaldo y verificar si la
compañía cuenta con controles internos para asegurar el resguardo de
los datos en forma física y electrónica.
En función de alcanzar dichos objetivos y evaluar los componentes que conforman
dicho departamento, fue necesaria la aplicación de diferentes técnicas de
auditoria, tales como la entrevista, el cuestionario, la encuesta, la observación
directa y participativa, la toma física de inventarios, el muestreo y algunos otros
mas.
4. MILLENIUM & ASOCIADOS
AUDITORES Y CONSULTORES
Universidad de San Carlos de Guatemala, Ciudad Universitaria – Edificio. S-3 Salón 202 2
La Auditoria de Sistemas Computacionales deberá comprender no solo la
evaluación de los equipos físicos de computación (Hardware), del departamento
de informática o los departamentos relacionados, sino que además se evaluarán
los paquetes informáticos que procesan la información general desde las
entradas, procedimientos, controles, archivos, seguridad y obtención de
información.
Esta auditoria es de vital importancia para el buen desempeño de los sistemas de
información en general, ya que proporcionará los controles necesarios para que
los paquetes informáticos y los sistemas físicos sean confiables y con un buen
nivel de seguridad. Además de evaluar su desempeño y correcta utilización con
ello maximizando su uso y mejorando su aprovechamiento.
A continuación, en las posteriores páginas se pone a su disposición el resultado
de la aplicación de nuestras técnicas y procedimientos de auditoria, las cuales
fueron ejecutadas con el único propósito de alcanzar los objetivos generales de la
auditoria en beneficio del área auditada.
5. MILLENIUM & ASOCIADOS
AUDITORES Y CONSULTORES
Universidad de San Carlos de Guatemala, Ciudad Universitaria – Edificio. S-3 Salón 202 3
2. OFICIO DE PRESENTACIÓN
Guatemala, abril 26 de 2011.
Daniel Hernández
NEXO LOGISTICS
Ciudad.
Me permito remitir a usted el informe de resultados de la auditoria en sistemas
computacionales practicada a las instalaciones del departamento de informática
de la compañía, la cual se llevo a cabo durante el periodo comprendido del 13 de
enero al 26 de abril del año en curso, realizada por los estudiantes del grupo
No.14 del noveno semestre de la carrera de Contaduría Pública y Auditoría de la
Universidad de San Carlos de Guatemala.
La revisión realizada, fue de carácter integral y comprendió la evaluación de los
siguientes aspectos: estructura organizacional del departamento de informática, la
operación de los sistemas computacionales (paquetes de software), protección y
custodia de datos, así como los niveles de acceso y evaluación de información,
documentación y registro de datos.
En el citado informe encontrara el dictamen y las condiciones a las cuales se llegó
después de la aplicación de las técnicas y procedimientos de la auditoría de
sistemas de tipo integral.
A la espera de que la información presentada a usted, sea de utilidad y en
beneficio de aportar cualquier procedimiento que coadyuve a mejorar o ampliar los
procesos que se llevan a cabo en el área de informática. Quedo de usted para
cualquier aclaración al respecto.
Marylin Reyes
Coordinadora Grupo No.14
Millenium & Asociados
Auditores y Consultores
6. MILLENIUM & ASOCIADOS
AUDITORES Y CONSULTORES
Universidad de San Carlos de Guatemala, Ciudad Universitaria – Edificio. S-3 Salón 202 4
3. DICTAMEN DE AUDITORIA EN SISTEMAS COMPUTACIONALES
Guatemala, abril 26 de 2011.
Daniel Hernández
NEXO LOGISTICS
Ciudad.
Hemos auditado de acuerdo con la practica de auditoria de sistemas
computacionales, que fue autorizada por su persona y realizada por estudiantes
del noveno semestre de la carrera de Auditoría y Contaduría Pública de la
Universidad de San Carlos de Guatemala, practicada al departamento de
informática, con especial énfasis en la administración, funcionamiento y operación
del sistema de red de la institución, así como la protección, custodia, niveles de
acceso de datos, evaluación de la información, documentación y registro de los
sistemas, misma que se llevo a cabo del 13 de enero al 26 de abril del año en
curso. Es importante resaltar la responsabilidad de la administración tanto en el
cumplimiento y fortalecimiento de los sistemas de control utilizados adecuado a la
custodia y operación de los sistemas, nuestra responsabilidad es expresar una
opinión sobre las situaciones encontradas basadas en nuestra auditoría.
De los resultados obtenidos durante la evaluación, me permito informarle a usted
las siguientes situaciones relevantes encontradas:
1. Del acceso a los sistemas en general,
2. De los password para acceder al sistema,
3. De los Back Ups que se realizan,
4. Del Resguardo físico de los distintos servidores,
5. Del acceso a la Intranet por parte de los empleados,
6. Del Acceso a Internet por parte de los empleados,
7. Del acceso a los suministros o accesorios de computación
8. De la detección de duplicidad de errores,
9. De la confidencialidad de la información de la empresa,
10.De la instalación de programas y las tareas de los usuarios,
11.De la impresión de los reportes,
12.Del entrenamiento del personal del departamento de informática
Así mismo me permito presentarle las desviaciones de auditoria detectadas
durante el examen de control interno, nuestra evaluación no debe considerarse
7. MILLENIUM & ASOCIADOS
AUDITORES Y CONSULTORES
Universidad de San Carlos de Guatemala, Ciudad Universitaria – Edificio. S-3 Salón 202 5
como un estudio detallado del sistema de control interno y no necesariamente
revela todas las posibles deficiencias del mismo; Sin embargo, observamos las
situaciones que se comentan más adelante, las cuales deben ser analizadas con
la finalidad de fortalecer los controles existentes.
Efectuamos una evaluación con el alcance que consideramos necesario del
sistema de control interno y de los procedimientos de acuerdo con las pruebas
realizadas a la administración, funcionamiento, registro, custodia, accesos y
operación con los criterios de evaluación para las redes computacionales, nos
permitimos dictaminar que salvo los aspectos anteriormente descritos, los
sistemas computacionales (paquetes de software y equipo de computo físico), así
como su funcionamiento, mantenimiento, son óptimos para la presentación de la
información de la empresa, cabe recordar que en la medida en que se pongan en
practica las soluciones recomendadas, se dará el optimo aprovechamiento de las
redes computacionales con las que cuenta la empresa.
Deseamos agradecer la colaboración y cortesía mostrada a nuestro personal
durante el desarrollo del trabajo, con gusto se ampliará el contenido de la presente
carta, si así lo considera conveniente.
Atentamente,
Marylin Reyes
Coordinadora Grupo No.14
Millenium & Asociados
Auditores y Consultores
8. MILLENIUM & ASOCIADOS
AUDITORES Y CONSULTORES
Universidad de San Carlos de Guatemala, Ciudad Universitaria – Edificio. S-3 Salón 202 6
4. SITUACIONES RELEVANTES DETECTADAS
Situaciones Causas Solución
1. El personal de la compañía
tiene acceso a documentos
compartidos de importancia
sin ninguna restricción o
permisos.
1. se cuenta con acceso a los
usuarios, sin ningún control de
autorización, para y hacia
documentos compartidos en
red los cuales son de
importancia relativa.
1. Delimitar usuarios al personal
según sus prioridades.
2. Los sistemas no solicitan
actualización de password
periódicos, (semanal,
mensual, trimestral, etc.)
2. No se le ha instalado un
medio de actualización de
password,
2. Analizar la creación de
actualización de password por
cierto periodo de tiempo.
3. No se realizan back ups por
medios magnéticos
únicamente a través del
sistema y servidores.
3. Por falta de un manual no se
establecen los procedimientos
a realizar, en cuanto a la
realización de back ups.
3. La administración de la
empresa deberá autorizar la
realización de back ups por
medios magnéticos externos
(discos, Diskettes, Zip Zap, etc).
4. El resguardo de servidores
no satisface las necesidades
de seguridad, ambiente y
control de los mismos, no se
cuenta con alarmas de
detección de humo y fuego.
4. Debido a la mala distribución
de los departamentos, ya que
esta área deberá ser restringida
y con el ambiente físico
adecuado para el hardware.
4. Redistribución del área física
para asegurar y resguardar los
equipos, así como la colocación
de dispositivos de seguridad para
delimitar el acceso a dicha área.
5. No se cuenta con el debido
control en cuanto a inventario
de hardware se refiere, ya que
se cuenta con un listado que
no refleja la realidad.
5. La falta de asignación de
responsabilidades o
delimitación de funciones en el
departamento de informática,
con lleva a no tener clara la
importancia que representa el
inventario físico del equipo de
computo.
5. Establecer por medio escrito la
delimitación de funciones y
responsabilidades de cada
miembro del departamento, como
también elaborar un nuevo
registro de inventario físico de
equipo de cómputo, el cual
deberá ser congruente con la
realidad.
9. MILLENIUM & ASOCIADOS
AUDITORES Y CONSULTORES
Universidad de San Carlos de Guatemala, Ciudad Universitaria – Edificio. S-3 Salón 202 7
Situaciones Causas Solución
6. El requerimiento de
suministros por parte del
personal, no cuenta con el
debido procedimiento ni
manual establecido.
6. No se cuenta con formas
para la solicitud de suministros,
ni su debida autorización.
6. Establecimiento de formas
prenumeradas para la solicitud
de suministros y el
establecimiento del control de
inventario de suministros.
7. Los soportes magnéticos
(discos, manuales, llaves,
claves, etc.) de los programas
o software utilizados dentro de
la organización no se
encuentran debidamente
organizados.
7. La falta de un archivo o
cintoteca, que permita el buen
manejo de los recursos, que en
cuanto a software se refiere,
genera la falta de orden al
momento de requerir
información elemental al
momento de instalaciones
primarias de los respectivos
programas.
7. Establecer o determinar la
elaboración de archivos físicos
de los distintos soportes
magnéticos que puedan
requerirse al momento de
problemas futuros que puedan
ocasionarse, no dejando a un
lado el espacio físico que estos
puedan ocupar.
8. Al personal no se le ha
solicitado un contrato de
confidencialidad de la
información que se maneja
dentro de la empresa.
8, La administración no se
preocupado por la realización
de dichos contratos para la
salvaguarda de la información.
8. Realizar los contratos de
confidencialidad.
9. No se cuenta con un
adecuado control sobre los
programas instalados en las
computadoras, (cualquier
usuario puede instalar y
desinstalar programas).
9. No se realiza una revisión
periódica del software instalado
en las computadoras
9. Restricción de accesos y
determinar la responsabilidad a
un administrador redes.
10. El encargado del sistema
elabora copias de respaldo
semanalmente, sin embargo,
todo queda guardado en
forma electrónica en el
servidor y en la computadora
del mismo, y no se hace un
respaldo físico de los mismos.
10. No existen políticas para
asegurar el resguardo de la
información, además, no existe
una adecuada segregación de
funciones ni se le reporta a un
superior que ya fue hecha la
copia de respaldo respectiva.
10. Establecer políticas que
aseguren el adecuado resguardo
de la información, que incluyan
por lo menos la quema de discos
con las copias de respaldo cada
vez que sean realizados e
informar formalmente a gerencia
cuando termina el proceso.
11. La gerencia no tiene
contemplado un plan de
entrenamiento para el
personal de cómputo en
cuanto al resguardo de la
documentación y registros de
la información generada por el
sistema.
11. El no tener un plan de
entrenamiento del personal de
cómputo en cuanto al
resguardo de información,
ocasiona, que se trabaje
empíricamente y se pueda
perder información importante.
11. Crear planes de
entrenamiento sobre el uso de la
documentación y registros de la
información generada por el
sistema.
10. MILLENIUM & ASOCIADOS
AUDITORES Y CONSULTORES
Universidad de San Carlos de Guatemala, Ciudad Universitaria – Edificio. S-3 Salón 202 8
Situaciones Causas Solución
12. Inadecuada organización
del resguardo de los registros
generados por el sistema, lo
cual puede provocar la
perdida de información física
12. Por la falta de un manual
donde indique el correcto
resguardo de la información
ingresada en el sistema.
12. Realizar un manual con las
técnicas y procedimientos para el
adecuado resguardo y manejo de
la documentación generada por
el sistema.
13. La gerencia no cuenta con
planes o programas para la
prevención de contingencias
con relación a la información
generada por el sistema.
13. Se puede perder
información muy importante al
no tener un programa para
prevenir contingencias sobre la
información que genera el
sistema.
13. Diseñar procedimientos
mínimos y adecuamos para la
prevención de contingencias por
parte de la gerencia.
14 El departamento de
cómputo no cuenta con
estándares, normas, políticas
o lineamientos previamente
establecidos por la gerencia
en cuanto a operación,
documentación, registro,
distribución y clasificación de
la información generada por el
sistema.
14. Lo anterior conlleva a un
desorden en el departamento
de cómputo generalizado a los
demás departamentos con
relación al manejo de la
documentación y registros de la
información que proporciona el
sistema.
14. Delinear procedimientos y
atribuciones generales para los
integrantes del departamento de
cómputo.
15. No se cuenta con un plan
de entrenamiento, para el
personal del departamento de
informática, además de no
contar con un programa de
capacitación para los usuarios
y así desarrollar pro actividad
en operaciones que no
requieran la ayuda de un
experto.
15. La dependencia de los
usuarios hacia los integrantes
del departamento de
informática, para resolución de
problemas que pudieran ser de
fácil solución, lo cual se
repercute en actividades que
puedan ocupar en el desarrollo
de procesos novedosos.
15. Establecer un plan de
entrenamiento y capacitación
para los usuarios del sistema,
además este deberá incluir el
seguimiento y la evaluación de
los conocimientos adquiridos por
cada uno de los usuarios del
sistema.
11. MILLENIUM & ASOCIADOS
AUDITORES Y CONSULTORES
Universidad de San Carlos de Guatemala, Ciudad Universitaria – Edificio. S-3 Salón 202 9
ANEXOS