1. INSTITUTO UNIVERSITARIO POLITÉCNICO
―SANTIAGO MARIÑO‖
EXTENSIÓN PORLAMAR
ESCUELA DE INGENIERÍA DE SISTEMAS
AUDITORÍA Y EVALUACIÓN DE SISTEMAS
AUDITORIA INFORMÁTICA AL DEPARTAMENTO DE INFORMATICA DEL
CENTRO CLINICO UNIVERSITARIO DE ORIENTE
Autores:
Br. Elizabeth Vásquez C.I. v- 20.536.370
Br. Leirys Rojas C.I. v- 18.337.417
Br. Yonatan González C.I. v- 20.111.318
Br. José Cortez C.I. v- 17.898.476
Sección: 4A Nocturno.
Prof. Lcdo. Eliecer Boadas
Porlamar, enero de 2014
i

2. INDICE GENERAL
pp.
INTRODUCCIÓN
I.
1
GERALIDADES DE LA EMPRESA
Naturaleza de la Empresa
2
Ubicación
2
Misión
3
Visión
3
Análisis Foda
4
Organigrama de la Empresa
5
Descripción de los Procesos y Funciones
6
Metodología Cobit
10
Modelo de Madurez
10
Auditoria de tics Aplicando Cobit
13
Área a Auditar
13
Proceso de recolección de Información.
14
Documentos de Gestión en el Área Informática
16
Plan de la Auditoria en el Área Informática
16
Herramientas y Técnicas
17
Motivo o Necesidad de la Auditoria.
17
Modelos de Madurez a Nivel Cualitativo (coso)
19
ii

3. II.
EJECUCIÓN DE LA AUDITORIA
Situación Actual del Área de Sistemas
20
Objetivos del Departamento
20
Organigrama del Departamento
21
Seguridad del Departamento
21
Características de la plataforma Tecnológica
22
Determinación de los Problemas y Planteamiento de Hipótesis
23
Posibles Problemas
23
Formulación de Hipótesis
23
Aplicación de la Auditoria
24
Modelo de Madurez de los Procesos
24
Reporte General de los Grados de Madurez
24
Resumen de Procesos y Criterios de Información por Impacto
25
Resultados Finales del Impacto Sobre los Criterios de Información
26
Gráfica Representativa del Impacto de los Criterios de Información
26
III. ANALISIS DE LOS RESULTADOS
Informe Técnico.
27
Informe Ejecutivo
34
IV. CONCLUSIONES Y RECOMENDACIONES
Recomendaciones
37
iii

4. Conclusiones
38
GLOSARIO
39
REFERENCIAS BIBLIOGRAFICAS
40
ANEXO
42
iv

5. INTRODUCCIÓN
Los avances tecnológicos y los sistemas de información han tomado
un curso muy importante en el desarrollo de la las industrias por eso muchas
empresas han determinado colocarlas en práctica para mejorar la calidad de
sus actividades, esto trae como consecuencia que se desarrollen sistemas
que de información que abarquen las necesidades de las instituciones.
En la actualidad el Centro Clínico de universitario de oriente no cuenta
con un departamento de informática óptimo para el desarrollo de sus
funciones, ya que los sistemas de información no son capaces de facilitar a
los usuarios un excelente desempeño y control de calidad. Por tal motivo se
necesita realizar la auditoria al departamento ya mencionado para la
verificación de la información y determinar por qué los
sistemas de
información no cumplen con los requisitos necesarios para la solución de
problemas.
1

6. CAPITULO I
GENERALIDADES DE LA EMPRESA
Caracterización de la Empresa
Naturaleza de la empresa.
El Centro Clínico Universitario de Oriente es una organización de
servicios de salud, destinado a garantizar al usuario atención integral en
Salud, ya sea bajo la modalidad ambulatoria u hospitalaria.
Reseña histórica:
Para el año 1998 comienza a gestarse la idea del ―cambio‖ de parte de
un grupo de profesionales de la salud y de la Directiva de APUDOAnzoátegui. Después de varios esfuerzos mancomunados entre autoridades
universitarias y APUDO – Anzoátegui, se pone en marcha el funcionamiento
de un consultorio médico en un área de la Asociación. En ese entonces, un
grupo de Médicos emprendedores liderizados por el Prof. Félix Castillo y
estudiantes del último año de medicina, miembros de la agrupación
estudiantil MAGEM, eran el cimiento humano para crear una institución
propia dispensadora de la salud, que hoy es una realidad.
El Centro Clínico Universitario de Oriente se concibe bajo la idea de
un grupo estratégico conformado por personas provenientes de las
siguientes instituciones: APUDO–ANZOATEGUI, IPSPUDO y FONDOUDO.
En el seno de este grupo estratégico y a partir de ideas surgen necesidades
para apoyar la creación e implantación de distintas organizaciones para el
beneficio de los profesores y a toda la comunidad en general. Es así como se
aprueban las ideas provenientes del grupo estratégico y se procede a la
inyección de recursos para la creación de distintas organizaciones, entre las
cuales se encuentra el Centro Clínico Universitario de Esta institución se
fundó el 5 de diciembre del año 2002, con el aporte financiero y logístico de
2

7. la Asociación de Profesores de la Universidad de Oriente (APUDO) del
estado Anzoátegui, el Instituto de Previsión Social de los Profesores
(IPSPUDO), y del Fondo de Pensiones y Jubilaciones (FONDOUDO).
Con un gran esfuerzo logístico y operativo, el C.C.U.D.O empieza a
expandirse en el oriente del país, concretando la segunda sede el 01 de
Octubre de 2.005 en Nueva Esparta, el 06 de Junio de 2.006 se inaugura la
sede de Sucre, dos años después la cuarta sede en abrir sus puertas fue la
sede Monagas el 12 de Diciembre de 2.008, y finalmente el 28 de Diciembre
de 2.010 formalmente es inaugurada y abierta al público la sede de Bolívar.
Es importante destacar que en el 2009 se ejecutó un cambio de Junta
Directiva
pasando
nuestra
razón
social
CORPORACION
CLINICA
UNIVERSITARIA A.C pero manteniéndose nuestra razón comercial Centro
Clínico
Universitario
de
Oriente.
La
―CORPORACIÒN
CLÌNICA
UNIVERSITARIA DE ORIENTE, (C.C.U.D.O), fue originalmente constituida
ante la Oficina Subalterna de Registro Público del Distrito Heres del Estado
Bolívar, el día quince (15) de noviembre de dos mil cinco (2005), bajo el No.
39, Tomo 15, Protocolo primero, modificados sus estatutos según asiento
protocolizado ante la mencionada Oficina Subalterna de Registro, el día
quince (15) de marzo de dos mil seis (2006), bajo el No. 24, Protocolo
Primero, con posterior cambio de domicilio a la ciudad de Cumanà, Estado
Sucre, tal como se evidencia de instrumento protocolizado en el citado
Registro Público en fecha dos (02) de noviembre de dos mil siete (2007),
bajo el No. 2, folio 4 al 6, tomo 13, Protocolo Primero, inscrito en el Registro
de información fiscal (J-31501758-0), se creó para funcionar bajo la figura de
Asociación Civil, para la Atención Integral en Salud, que ofrece servicios
accesibles con modernas instalaciones y alta tecnología.
Actualmente el CCUDO mantiene sedes activas y operativas en
Anzoátegui, Nueva Esparta, Sucre, Monagas y Bolívar, continua uniendo
esfuerzos para ampliar sus servicios a la comunidad universitaria y el público
en general, promoviendo la generación de recursos a través de la
3

8. autogestión, que permitan mejorar la infraestructura, la tecnología, sistemas y
equipos, que permitan ofrecer un servicio la más alta calidad a todos sus
usuarios.
Visión
Brindar a la comunidad asistencia de salud integral especializada,
accesible y de alta calidad, mediante programas de salud, con la
participación de personal altamente capacitado, responsable y
comprometido, utilizando recursos tecnológicos e instalaciones modernas.
Sumamos esfuerzos con el fin de obtener el máximo beneficio, contribuyendo
a una mejor calidad de vida de la sociedad; además de generar aportes para
la docencia, la investigación y la extensión comunitaria.
Misión
Ser un instituto de salud modelo de referencia de gestión en la
prestación de servicio de asistencia médica integral a la comunidad, con
carácter preventivo y curativo, que satisfaga las necesidades de nuestros
clientes.
Ubicación
Ubicación Principal. Av 4 de Mayo, Frente al Jumbo, Centro Empresarial
Galerías Fente, 2do piso, Porlamar, Estado Nueva Esparta.
Política de calidad
Ofrecer un servicio accesible de atención médica integral con apoyo a
la investigación y la comunidad, utilizando para ello instalaciones adecuadas,
personal capacitado y recursos tecnológicos de alta calidad comprometidos
al mejoramiento continuo, con el fin de garantizar la satisfacción de nuestros
usuarios.
Valores
Integridad
4

9. Honestidad y transparencia en nuestros actos y decisiones, respeto a
Análisis Interno.
las personas, a la comunidad y al ambiente. Humildad para reconocer
nuestros errores. Ser justos, responsables y congruentes.
5

10. Fortalezas
 Tratamiento
Debilidades
personalizado
 No se cuenta con manuales de
a
Pacientes mediante a atenciones
normas y procedimientos.
medicas.
 No

Combinación de atenciones
de
se
realizan
Backups
o
respaldos de la información que se
primera calidad buscando satisfacer
encuentran en los servidores.
las necesidades de los usurios
 No se realizan auditorías internas
 Innovación constante.
y externas en la empresa.
 Personal
capacitado
y
comprometido con la visión de la
empresa.
Análisis Externo.
Oportunidades
Amenazas
 Valoración positiva de las TIC en  Competitividad cerca del centro
la organización.
clínico a menor costo
 Costos cada vez menores para las  La
inestabilidad
económica
y
organizaciones para la aplicación de
escasez de insumos por falta de
las TIC.
divisas.
 Lealtad de los clientes hacia la  Falta de actualización de los
organización.
sistemas informáticos.
 Ubicación estratégica del local.
 Escasez de productos de primera
necesidad.
Análisis FODA
Organigrama de la empresa.
6

11. Estructura Organizativa del Centro Clínico Universitario de
Oriente.
Fuente: elaboración propia 2014
Descripción de las Áreas.
Coordinación
General
Departamento
de Informático
Administración
Enfermería
Servicio
General
Atención al
Paciente
El centro Clínico Universitario de Oriente presenta en un organigrama
de tipo Vertical. Se muestra de la siguiente forma:
Un Coordinador General, es el que se encarga de tomar las grandes
decisiones y supervisar todo el movimiento operativo, en la sede principal,.
Es quien evalúa también operaciones administrativas y evalúa las decisiones
tomadas por la directiva, relacionadas con los objetivos y el desarrollo de la
organización.
Un departamento de Administración, que supervisa todo lo relacionado
al
control
de
las
operaciones
contables
de
los
departamentos
correspondientes, entre ellos están (Servicio general, enfermería y Atención
7

12. al paciente).
Un departamento de informática que se encarga de llevar los registros
de verificación de información, todo lo referente al registro de pacientes y sus
respectivas historias clínicas.
METODOLOGIA COBIT
Modelo de Madurez
El modelo de madurez para la administración y el control de los
procesos de TI se basa en un método de evaluación de la organización, de
tal forma que se pueda evaluar a sí misma desde un nivel de no-existente (0)
hasta un nivel de optimizado (5). Este enfoque se deriva del modelo de
madurez que el Software Engineering Institute definió para la madurez de la
capacidad del desarrollo de software. Cualquiera que sea el modelo, las
escalas no deben ser demasiado granulares, ya que eso haría que el sistema
fuera difícil de usar y sugeriría una precisión que no es justificable debido a
que en general, el fin es identificar dónde se encuentran los problemas y
cómo fijar prioridades para las mejoras. El propósito no es evaluar el nivel de
adherencia a los objetivos de control.
Utilizando los modelos de madurez desarrollados para cada uno de los
34 procesos TI de COBIT, la dirección superior podrá identificar:
• El desempeño real de la empresa—Dónde se encuentra la empresa
hoy.
• El objetivo de mejora de la empresa—Dónde desea estar la
empresa.
• El crecimiento requerido entre ―como es‖ y ―como será‖.
8

13. Gráficamente el modelo de madurez se describe a continuación.
El modelo de madurez es una forma de medir qué tan bien están
desarrollados los procesos administrativos, esto es, qué tan capaces son en
realidad. Qué tan bien desarrollados o capaces deberían ser, principalmente
dependen de las metas de TI y en las necesidades del negocio subyacentes
a las cuales sirven de base.
A continuación se presenta el modelo de madurez genérico a usarse en esta
auditoría:
Nivel de Madurez
Estado del Entorno de Control
Establecimiento de Control Interno
Interno
No se reconoce la necesidad del control
interno. El control no es parte de la cultura o
0 No Existe
misión organizacional. Existe un alto riesgo
de deficiencias e incidentes de control.
No existe la intención
de evaluar
la
necesidad del control interno. Los incidentes
se manejan conforme van surgiendo.
Se reconoce algo de la necesidad del
los
evaluar lo que se necesita en términos de
requerimientos de riesgo y control es a
controles de TI. Cuando se llevan a cabo,
desorganizado,
1 Inicial / ad hoc
No existe la conciencia de la necesidad de
control
o
son solamente de forma ad hoc, a alto nivel
las
y como reacción a incidentes significativos.
están
La evaluación sólo se enfoca al incidente
interno.
El
enfoque
sin
supervisión.
No
deficiencias.
Los
hacia
comunicación
se
identifican
empleados
no
consientes de sus responsabilidades.
Existen
Repetible
Intuitivo
pero
pero
La evaluación de la necesidad de control
sucede solo cuando se necesita para ciertos
conocimiento y motivación de los individuos.
procesos
La efectividad no se evalúa de forma
determinar el nivel actual de madurez del
adecuada. Existen muchas debilidades de
control,
control
forma
alcanzado, y las brechas existentes. Se
apropiada; el impacto puede ser severo.
utiliza un enfoque de taller informal, que
y no se resuelven
no
presente.
están
documentados. Su operación depende del
2
controles
de
9
seleccionados
el
nivel
meta
de
que
TI
debe
para
ser

14. Las medidas de la gerencia para resolver
involucra a los gerentes de TI y al equipo
problemas de control no son consistentes ni
interesado en el proceso, para definir un
tienen prioridades. Los empleados pueden
enfoque adecuado hacia el control para los
no
procesos, y para generar un plan de acción
estar
conscientes
de
sus
responsabilidades.
acordado.
Existen controles y están documentados de
Los procesos críticos de TI se identifican
forma adecuada. Se evalúa la efectividad
con base en impulsores de valor y de
operativa de forma periódica y existe un
riesgo. Se realiza un análisis detallado para
número
identificar requisitos de control y la causa
promedio
de
problemas.
Sin
embargo, el proceso de evaluación no está
desarrollar
manejar la mayoría de los problemas de
Además
control
algunas
herramientas y se realizan entrevistas para
debilidades de control persisten y los
apoyar el análisis y garantizar que los
impactos
3 Definido
raíz
documentado. Aunque la gerencia puede
Los
dueños de los procesos de TI son realmente
sus
los dueños e impulsan al proceso de
de
forma
pueden
empleados
están
predecible,
ser
severos.
consientes
de
responsabilidades de control.
de
las
brechas,
así
oportunidades
de facilitar
como
de
talleres,
para
mejora.
se usan
evaluación y mejora.
Se define de forma periódica qué tan
Existe un ambiente efectivo de control
interno y de administración de riesgos. La
evaluación de los requisitos de control se
basa en las políticas y en la madurez real
realizan de forma periódica. Es probable
de estos procesos, siguiendo un análisis
que la gerencia detecte la mayoría de los
meticuloso y medido, involucrando a los
problemas de control, aunque no todos los
Interesados
problemas se identifican de forma rutinaria.
rendición
Hay
y
periódica.
Muchos controles están automatizados y se
Administrado
de
controles
Medible
y acuerdo completo por parte de los dueños
evaluación formal y documentada de los
4
críticos son los procesos de TI con el apoyo
para
evaluaciones es clara y está reforzada. Las
un
manejar
ocurre
de
seguimiento
las
forma
consistente
debilidades
de
los
procesos
correspondientes.
(Stakeholders)
de
cuentas
La
clave.
sobre
La
estas
control
estrategias de mejora están apoyadas en
identificadas. Se aplica un uso de la
casos de negocio. El desempeño para
tecnología táctico y limitado a los controles
lograr los resultados deseados se supervisa
automatizados.
de forma periódica. Se organizan de forma
ocasional revisiones externas de control.
Un programa organizacional de riesgo y
que tan críticos son los procesos de TI, y
efectiva a problemas de control y riesgo. El
cubren cualquier necesidad de re-evaluar la
control interno y la administración de
capacidad del control de los procesos. Los
riesgos
5 Optimizado
Los cambios en el negocio toman en cuenta
control proporciona la solución continua y
dueños de los procesos realizan auto-
siente
empresariales,
gran
a
apoyadas
las
prácticas
con
una
evaluaciones
de
forma
periódica
para
supervisión en tiempo real, y una rendición
confirmar que los controles se encuentran
de cuentas completa para la vigilancia de
en el nivel correcto de madurez para
los controles, administración de riesgos, e
satisfacer las necesidades del negocio, y
implantación
La
toman en cuenta los atributos de madurez
evaluación del control es continua y se basa
para encontrar maneras de hacer que los
del
cumplimiento.
10

15. en auto-evaluaciones y en análisis de
controles sean más eficientes y efectivos.
brechas y de causas raíz. Los empleados
La organización evalúa por comparación
se involucran de forma pro-activa en las
con las mejoras prácticas externas y busca
mejoras de control.
asesoría externa sobre la efectividad de los
controles internos. Para procesos críticos,
se realizan evaluaciones independientes
para proporcionar seguridad de que los
controles se encuentran al nivel deseado de
madurez y funcionan como fue planeado.
AUDITORIA DE TICS APLICANDO COBIT
La Auditoría de Gestión a las Tecnologías de Información y
Comunicaciones,
(independiente),
consiste
en
el
crítico (evidencia),
examen
de
sistemático
carácter
(normas)
objetivo
y selectivo
(muestral) de las políticas, normas, funciones, actividades, procesos e
informes de una entidad, con el fin de emitir una opinión profesional
(imparcial) con respecto a: eficiencia en el uso de los recursos informáticos,
validez y oportunidad de la información, efectividad de los controles
establecidos y la optimización de los recursos tecnológicos.
Este enfoque es totalmente compatible con las prácticas y controles
contenidos en COBIT, ITIL, estándares o normativa que relaciona el enfoque
COSO, SAC, NIAS, Estándares de Seguridad de la Información (ISO 27000)
entre otros, que hacen referencia a las pistas de auditoría en los sistemas
informáticos, controles de acceso a los sistemas, bases de datos, Áreas de
Tecnología de la Información y Comunicaciones (TIC) área de servidores,
codificación de la información, prevención de virus, fraude,detección y
mitigación de intrusos, entre otros; estos estándares no proporcionan un
criterio legal aplicable si no han sido adoptados por la entidad, pero sí
procedimientos de auditoría para examinar la gestión tecnológica en las
diferentes organizaciones del sector público.
11

16. Área a Auditar
El área a auditar es el departamento de informática del centro clínico
universitario de oriente, debido a que allí se encuentran los equipos
servidores donde se almacena la base de datos que contiene los registros de
información de las historias clínicas de los pacientes.
PROCESO DE RECOLECCIÓN DE INFORMACIÓN
Técnicas de Recolección de Datos
En un proceso de investigación para buscar alternativas de solución a
un problema determinado de la realidad o, para la producción de nuevos
conocimientos, que requiere de la aplicación de técnicas e instrumentos de
recolección de información (Castañeda, De la Torre, Morán y Lara, 2004).
Para esta investigación las técnicas de recolección de datos utilizadas
fueron:
Observación Directa no Participe o Simple
Según Arias (2006) define observación como ―aquella que se realiza
cuando el investigador observa de manera neutral sin involucrarse en el
medio o realidad en la que se realiza el estudio‖, (p. 69). Es una técnica que
consiste en observar atentamente el fenómeno, hecho o caso, tomar
información y registrarla para su posterior análisis. La observación es un
elemento fundamental de todo proceso investigativo; en ella se apoya el
investigador para obtener el mayor número de datos.
Ventajas de la observación.

Se puede obtener información independientemente del deseo de
proporcionarla.

Los fenómenos se estudian dentro de su contexto.
12

17. 
Los hechos se estudian sin intermediarios.
Limitaciones de la observación.

La proyección del observador.

Es posible confundir los hechos observados y la interpretación de
esos hechos.

Es posible la influencia del observador sobre la situación observada.

Existe el peligro de hacer generalizaciones no válidas a partir de
observaciones parciales.
La Entrevista
La entrevista, según Sabino, Carlos. El proceso de la investigación
científica. Buenos Aires: El Cid Editor. (1978). es un encuentro cara a cara
entre personas que conversan con la finalidad, al menos de una de las
partes, de obtener información respecto de la otra. En el contexto específico
de la investigación, la entrevista se define como una conversación entre un
investigador y una persona que responde a preguntas orientadas a obtener
la información exigida por los objetivos específicos de estudio. La tenemos
Dos modalidades: entrevista estructurada y no estructurada (ob. cit).

La entrevista estructurada o cerrada, es aquella que se
conduce de manera rígida por medio de una lista de preguntas que funcionan
como guía, de la cual el entrevistador no puede desviarse. (James Gordon
Bennett 1836)

La entrevista no estructurada o abierta, se trata de una
conversación que dirige el entrevistado, pero que controla el entrevistador;
esta no sigue orden o guía, se van realizando las preguntas, según el curso
que vaya tomando el evento, como las entrevistas realizadas a los
informantes claves: Tsu. Ruben Millán, encargado del área de informática.
13

18. Ventajas de la entrevista:

Es eficaz para obtener datos relevantes.

La información obtenida es susceptible de cuantificar y de aplicar
tratamiento estadístico.
Limitaciones de la entrevista:

Todas las respuestas tienen igual validez.

Posibilidad de incongruencias entre lo que se dice y lo que se hace.

Las respuestas dependen del interés y motivación del entrevistado.
DOCUMENTOS DE GESTION EN EL ÁREA INFORMÁTICA
Para explicar lo que es Gestión de Documentos o Gestión Documental
partiremos de la definición presentada por Elisa García-Morales que nos
dice:―es la parte del sistema de información de la empresa desarrollada con
el propósito de almacenar y recuperar documentos, que debe estar diseñada
para coordinar y controlar todas aquellas funciones y actividades específicas
que
afectan
a
la
creación,
recepción,
almacenamiento,
acceso
y
preservación de los documentos, salvaguardando sus características
estructurales, y contextuales, y garantizando su autenticidad y veracidad."
Actualmente el centro clínico Universitario de oriente no cuenta con un
adecuado manteamiento preventivo y correctivo de sus sistemas.

Mantenimiento del sistema de información.

Un Plan preventivo y correctivo.
PLAN DE LA AUDITORIA EN EL AREA INFORMÁTICA
Para el Plan de desarrollo de la Auditoria, se cuenta con el apoyo de la
alta gerencia de la Organización, solicitando la participación de los
principales trabajadores de la Organización y en donde se realizaran las
14

19. siguientes acciones:
Nº
ACTIVIDADES
1
Observación General del Área de Informática.
2
Entrevistas a los trabajadores del Área de Informática.
3
Analizar con que documentos de Gestión y Técnicos.
Análisis de las claves de acceso, control, seguridad, confiabilidad y
4
respaldos.
Evaluar las tecnologías de información (TI), tanto en hardware como
5
en software.
6
Evaluación de la seguridad física, lógica y de redes.
HERRAMIENTAS Y TECNICAS
HERRAMIENTAS
Libreta
de
Notas,
Guía
TECNICAS
de
Observación, Papel, Lapicero, entre
otros.
Observación Directa, Entrevistas y
Cuestionarios
MOTIVO O NECESIDAD DE LA AUDITORIA
Con la introducción de las computadoras en los negocios, comienza la
preocupación por parte de la gerencia en lo relacionado con la información,
encontrando como principales razones las siguientes:

Los controles Insuficientes

La complejidad de la Información.

La Participación Insuficiente del Sistema.

La Falta de Normas en la Clasificación de la Información.
15

20. 
El Peligro del Fraude.

La Falta de Auditoría Independiente Adecuada.

El Rendimiento Inadecuado Sobre la Inversión.

La pérdida potencial como resultado de errores y omisiones.

La pérdida potencial por controles inadecuados.

La pérdida potencial por fraude o desfalco.
Normalmente las áreas de preocupación arribas mencionadas, son en
su mayoría controlables a través de una buena auditoría interna de sistemas.
Pero unas de las debilidades tradicionales, en gran parte de las empresas e
instituciones privadas y gubernamentales, en el ambiente latinoamericano, es
la ausencia de una adecuada función de la auditoría interna del sistema.
Unos de los objetivos de esta auditoría de sistema en particular es
precisamente la de colaborar arduamente para la superación de estos tipos
de problemas en dicha empresa.
A continuación se enumera de manera resumida, los beneficios que
esta auditoría de sistemas ha traído a la empresa o que traerá una vez
implantada dicha auditoria.

Mejores controles en los sistemas de aplicación.

Menor posibilidad de pérdida o fraude.

Mayor confianza y satisfacción del usuario.

Menos errores y omisiones de operación debido a mejores
controles.

Costos inferiores de operación en la información.

Mejor uso de equipos y mayor eficiencia de operación.

Menor costo y tiempo en el desarrollo de los sistemas de aplicación.

Mejores servicios y satisfacción de sus clientes.
16

21. MODELOS DE MADUREZ A NIVEL CUALITATIVO (COSO)
EL
informe
COSO,
emitido
por
el
Committee
of
Sponsoring
Organization of Treadway Commission (Comité de la Organización de
Patrocinio de la comisión de Marcas) sobre Control Interno, presenta la
siguiente definición:
El control interno es un
proceso, efectuado por el consejo de
administración, la dirección y el resto del personal de una entidad, diseñado
con el objeto de proporcionar un grado de seguridad razonable en cuanto a
la consecución de objetivos dentro de las siguientes categorías:
• Eficacia y eficiencia de las operaciones
• Fiabilidad de la información financiera
• Cumplimiento de las leyes y normas aplicables
COMPONENTES DEL CONTROL INTERNO
Los componentes del sistema de Control Interno pueden considerarse
como un conjunto de normas que son utilizados para evaluar el control
interno y determinar su efectividad; la estructura de control interno en el
sector gubernamental tiene los siguientes componentes:
a) Ambiente de control
b) Evaluación de riesgos
c) Actividades de control
d) Información y comunicación
e) Supervisión y seguimiento
17

22. CAPÍTULO II
EJECUCIÓN DE LA AUDITORÍA
Situación Actual del Área De Sistemas
Ubicación.
El área de infraestructura se encuentra al lado de la oficina principal
de coordinación general. Tiene la responsabilidad de resolver todo lo
relacionado con los procesos de sistemas y equipos tecnológicos con que
cuenta la empresa para cumplir su función.
Objetivos del departamento
 Garantizar la asistencia a los usuarios que reportan fallas con
hardware y software de aplicaciones que son necesarios para su labor diaria.
 Ejecutar las actividades requeridas por las demás áreas y gerencia en
cuanto a soporte técnico se refiera.
 Suministrar mecanismos de seguridad física y lógica de hardware,
software y redes del centro clínico.
 Mantener un inventario considerado de hardware y periféricos.
 Realizar mantenimiento preventivo a equipos de tecnológicos de todas
las áreas de la institución
18

23. Organigrama del Departamento de infraestructura.
Coordinador
General
Analista de Soporte
Técnico
Analista de
Soporte Técnico
T.s.u. Rubén Millán = Coordinador General de Soporte Técnico
T.s.u. Andrea Agostini = Analista de Soporte Técnico
T.s.u. Andrea Agostini = Analista de Soporte Técnico
Seguridad Del Departamento
Seguridad física:
 Establecer un sistema contra incendio y la capacitación adecuada
para el manejo de estos, tanto en el cuarto de servidores como oficina.
 Dividir el cuarto de servidores, de manera que los equipos que se
encuentran en stock estén independientes del área.
 Hacer uso de estándares de calidad de acuerdo a las normas
ISO/IEC, IEEE, ITIL y otros.
 Realizar una auditoría de la tecnología de la información externa a al
centro clínico universitarios de oriente, debido a que lo necesita.
Seguridad de los datos:
 Realizar mensualmente Backups de la base de datos de los
servidores.
El departamento de infraestructura cuenta con:
19

24. Seguridad física:
 Puerta principal que solo el personal de esa área tiene acceso
 Puerta que da acceso a la parte de los servidores y que solo el
personal de esa área tiene acceso a través de llaves.
 Dos cámaras de seguridad, una el área de servidores y otra en el área
de oficina.
Respecto a los datos:
 Algunos usuarios poseen permiso para utilizar en los equipos
unidades extraíbles y la unidad de cd.
 No se permite realizar descargas ni instalar programas a usuarios no
autorizados. En dado caso que el usuario requiera instalar una aplicación
necesaria en su equipo el personal de soporte técnico, podrá acceder a
través de una cuenta y clave que solo ellos poseen y es permitida en casos
que requieran.
 Solo el personal de soporte tiene acceso a los servidores y bases de
datos.
Características De La Plataforma Tecnológica
La plataforma tecnológica está formada por los diferentes servidores y
programas de desarrollo propio que permiten integrar todos los servicios que
ofrece en único entorno de trabajo de funcionamiento Empresarial.
En cuanto a la plataforma tecnológica el área cuenta con un cuarto de
servidores, y un enlace de red banda ancha suministrado a través de
antenas con Sistema Telecom. El departamento posee:
 3 (Tres) Servidores físicos.
 2 (Dos) Switch.
 2 (Dos) Pachpanel.
 1 (Un) Ups de comunicación NXb 30 KVA, Marca Emerson que da
20

25. comunicación al tercer servidor.
 2 (Dos) Antenas de comunicación a través de la red de banda ancha
telecom. La red principal es de Movilnet y el secundario es de la
telefónica Movistar.
Determinación de los Problemas y Planteamiento de Hipótesis.
Posibles Problemas
 Pueda que algún servidor se quede inhibido debido a que están
activos los 365 días del año.
 Falla en alguno de los discos duros de los servidores.
 Falta
de
una
planificación
estratégica
del
departamento
de
infraestructura.
 Falla en la seguridad de algún equipo, lo que puede generar
desviación de la información y datos que maneja la empresa.
 Falla en el encendido del ups de comunicación.
 Falla en la seguridad lógica y física de los equipos informáticos.
Formulación de hipótesis:
La organización cuenta con buena seguridad en cuanto a los recursos
informáticos y humanos, debido a que existen políticas de usuarios y manejo
de equipos.
En dado caso ocurra algún problema con los servidores, la
organización cuenta con un sistema de monitoreo de plataforma tecnológica,
el cual recibe una alerta y actúa de inmediato para solucionar la problemática
que se presente.
21

26. APLICACIÓN DE LA AUDITORIA
Modelo de Madurez de los Procesos
Nota: Elaboración propia 2014.
Reporte General de los Grados de Madurez
DOMINIO
1
Definir los procesos, la información y las
relaciones de TI.
2
Identificar soluciones automatizadas
1
Adquirir recursos de tecnologías de información.
ADQUIRIR E
IMPLEMENTAR
NIVEL DE
MADUREZ
Definir el plan estratégico tecnológico
PLANIFICAR Y
ORGANIZAR
PROCESO
4
Nota: Elaboración propia 2014.
22

27. Resumen de Procesos y Criterios de Información por Impacto
Procesos
Total nivel de
impacto
Total nivel de
impacto
Total real nivel
de impacto
Total real nivel
de impacto
Total nivel real
de impacto
Total nivel real
de impacto
Total nivel de
impacto
Criterios de
Información
Efectividad
Procesos TI
Nivel de
Madurez
4
Confiabilidad
Recursos
Humanos
Sistemas de
Aplicación
Tecnología
Confidencialidad
Sistematización
1
Integridad
Instalaciones
2
Disponibilidad
Datos
3
Cumplimiento
Computo
1
Eficiencia
Nota: Elaboración propia 2014
Análisis de Criterios
Efectividad: en este criterio se obtuvo un 4% de 10%
Eficiencia: en este criterio se obtuvo un 3% de 10%
Confiabilidad: en este criterio se obtuvo un 4% de 10%
Confidencialidad: en este criterio se obtuvo un 1% de 10%
Integridad: en este criterio se obtuvo un 2% de 10%
Disponibilidad: en este criterio se obtuvo un 3% de 10%
Cumplimiento: en este criterio se obtuvo un 2% de 10%
Recursos humanos: en este criterio se obtuvo un 4% de 10%
Sistemas de aplicación: en este criterio se obtuvo un 3% de 10%
Tecnología: en este criterio se obtuvo un 4% de 10%
23
3
4

28. Sistematización: en este criterio se obtuvo un 2% de 10%
Instalación: en este criterio se obtuvo un 2% de 10%
Datos: en este criterio se obtuvo un 3% de 10%
Computo: en este criterio se obtuvo un 1% de 10%
Resultados Finales del Impacto sobre los Criterios de la Información
Total nivel real de impacto
Total real nivel de impacto
Porcentaje alcanzado
4,3
5,6
9,9
Gráfica Representativa del Impacto de los Criterios de Información.
Actividad 7
Actividad 6
Actividad 5
Sitemas de aplicacion
Recursos Humanos
Actividad 4
Confidencialidad
Eficiencia
Actividad 3
Efectividad
Actividad 2
Actividad 1
0
1
2
3
Nota: Elaboración propia 2014.
24
4
5

29. CAPÍTULO III
ANÁLISIS DE LOS RESULTADOS
Informe Técnico
Alcance
La auditoría pretende evaluar el departamento de informática de la
empresa Centro Clínico Universitario de Oriente, mediante el proceso el
auditor proporcionará conclusiones y recomendaciones a las actividades que
son realizadas en dicha organización empleando la metodología COBIT 4.1.
Objetivos
Objetivo General
 Realizar auditoria al departamento de informática del Centro Clínico
Universitario de Oriente mediante el uso de la metodología COBIT 4.1.
Objetivos Específicos
 Describir los problemas técnicos en el departamento de sistemas del
Centro Clínico Universitario de Oriente
 Mencionar cuáles controles permitirán reducir los riesgos en el
departamento de sistemas del Centro Clinico Universitario de Oriente
 Elaborar el informe técnico y ejecutivo de la auditoría.
Dominio Planear y Organizar
PO1. Definir un plan estratégico.
El proceso de definir un plan estratégico de TI a alcanzado el nivel de
madurez.
25

30. RecomendaciónCobit: Alinear el departamento de sistema con el
negocio, e instruir a los encargados del área sobre las capacidades
tecnológicas de la actualidad y el futuro.
PO2. Definir la Arquitectura de la Información.
Conclusion La Organización ha tomando en cuenta lo importante en el
uso de una arquitectura para la información lo cual ah alcanzado el nivel de
madurez 5.
 Recomendación Cobit: Definir e implementar procedimientos para
brindar integridad y consistencia de los datos o información crítica y sensible
que se encuentran almacenados en el departamento de informática del
Centro Clínico Universitario de Oriente
PO3. Determinar la Dirección Tecnológica.
Conclusión.- El procesode madurez nivel 1, ya que el desarrollo de
componentes tecnológicos de tecnologías emergentes son aisladas.
Recomendación
Cobit:
Crear
y
complementar
un
plan
de
infraestructura tecnológica que se acople con los planes estratégicos dentro
de la empresa.
PO4. Definir los Procesos la Organización y las Relaciones del
Departamento de Sistemas.
Conclusión.-el proceso se encuentra en el nivel demadurez 2 ya que
las necesidades de los usuarios y relaciones con proveedores se responden
de forma táctica aunque inconsistentemente.
Recomendación Cobit: Definir un marco de trabajo para el proceso del
departamento.
PO5. Administrar la Inversión del Departamento de Infraestructura.
Conclusión.-
la
responsabilidad
26
cuenta
para
la
selección
de

31. presupuestos de inversiones sonasignadas en específico al Jefe del
departamento de sistemas
.
Recomendación Cobit: Incluir un análisis de costo y beneficio a largo
plazo del ciclo total de vida.
Dominio Adquirir e Implementar.
AI1. Identificar Soluciones Automatizadas.
Conclusión.-el proceso se encuentra en el nivel de madurez 1 ya que
no existe la conciencia de la necesidad dedefinir requerimientos y de
identificar soluciones tecnológicas
 Recomendación Cobit: Organizar y especificar los requerimientos
funcionales y técnicos del departamento de sistemas del Centro Clínico
Universitario de Oriente.
 AI2. Adquirir y Mantener Software Aplicativo.
Conclusión-el proceso se encuentra en el nivel de madurez 2 por
cuanto existen procesos de adquisición y mantenimiento de software.
Recomendación
Cobit:
Realizar
un
diseño
detallado,
y
los
requerimientos técnicos del software y garantizar integridad de la
información.
AI3. Adquirir y Mantener la Infraestructura Tecnológica.
Conclusión.-el proceso se encuentra en el nivel demadurez 1, ya que
no se cuenta con un plan de adquisición de tecnología, por Io tanto no se
controlan los procesos de adquirir implantar y actualizar infraestructura
tecnológica.
Recomendación
Cobit:
Proteger
la
infraestructura
tecnológica
mediante medidas de control interno, seguridad durante la configuración,
27

32. integración y mantenimiento dehardware y software de la infraestructura
tecnológica.
AI4. Facilitar la Operación y el Uso.
Conclusión.-el proceso se encuentra en el nivel de madurez1, puesto
que no existe una generación de documentación, pero se tiene la conciencia
de que es necesario.
Recomendación Cobit:Realizar transferencia de conocimientos a la
partegerencial Io cual permitirá que tomen posesión del sistemay los datos.
AI5. Adquirir Recursos de Tecnología de Información.
Conclusión-el proceso se encuentra en el nivel de madurez 4, ya que
la adquisición se integra totalmente con los sistemas generales del gobierno,
sigue el proceso de compras públicas en de algún recurso de tecnología de
información.
Recomendación Cobit: Establecer buenas relaciones con la mayoría
de proveedores y socios y hacer cumplir los derechos y obligaciones de
ambas partes en los términos contractuales.
Dominio Entregar Y Dar Soporte
DS1. Definir y Administrar los Niveles de Servicio.
Conclusión.-el proceso se encuentra en el nivel de madurez 1, ya que
no se administra los niveles de servicio con la debida importancia, tratando
de prestar un servicio de mejor calidad.
Recomendación Cobit: Se debe definir un marco de trabajo para la
administración de los niveles de servicio y realizar un monitoreo y reporte del
cumplimiento.
DS2. Administrar los Servicios de Terceros.
Conclusión.-el proceso se encuentra en el nivel de madurez 3 ya que
28

33. existen procedimientos documentados para el control de los servicios de los
usuarios
Recomendación Cobit:Establecer criterios formales y estandarizados
para realizar la definición de los términos del acuerdo y asignar responsables
para la administración del contrato y del proveedor.
DS3. Administrar el Desempeño y la Capacidad.
Conclusión- el proceso se encuentra en el nivel de madurez2, ya que
los procesos se siguen según lo establecido por la clínica esto con el fin de
aplacar las limitaciones que se susciten.
Recomendación
Cobit:Establecer
métricas
de
desempeño
y
evaluación de la capacidad y realizar un monitoreo continuo del desempeño
y la capacidad de los recursos.
DS4. Garantizar la Continuidad del Servicio.
Conclusión.-el proceso se encuentra en el nivel de madurez 2, se
cuenta con un plan de continuidad de servicios.
Recomendación Cobit: Realizar pruebas regulares del plan de
continuidad, de forma que asegure que los sistemas sean recuperados de
forma efectiva.
DS5. Garantizar la Seguridad de los Sistemas.
Conclusión.-el proceso se encuentra en el nivel de madurez 1, ya que
la seguridad de los sistemas se encuentra a cargo de un solo individuo el
cual es el Jefe del departamento de sistemas.
Recomendación Cobit: Realizar pruebas a la implementación de la
seguridad,
de
igual
forma
monitorearla,
para
garantizar
que
las
características de posibles incidentes de seguridad sean definidas y
comunicadas de forma clara y oportuna.
29

34. Dominio Monitorear y Evaluar.
ME1. Monitorear y Evaluar el Desempeño del Departamento de
Sistemas.
Conclusión-el proceso se encuentra en el nivel de madurez 0, por
cuanto no se cuenta con un proceso implementado de monitoreo, ni de
reportes precisos sobre el desempeño.
Recomendación Cobit:Definir y recolectar los datos del monitoreo
mediante un conjunto de objetivos, mediciones, metas y comparaciones de
desempeño, comparándolo periódicamente con las metas.
ME2. Monitorear y Evaluar el control Interno.
Conclusión.-el proceso se encuentra en el nivel de madurez0, por
cuanto, No se tiene procedimientos para monitorear la efectividad de los
controles internos.
Recomendación Cobit:Realizar una auto-evaluación del control interno
de la administración de procesos, políticas y contratos, mediante revisiones
de terceros asegurar la completitud y efectividad de los controles internos.
ME3. Garantizar El Cumplimiento Regulatorio.
Conclusión.- el proceso se encuentra en el nivel de madurez 1 por
cuanto, se siguen procesos informales para mantener el cumplimiento
regulatorio.
Recomendación Cobit: Tener muy en cuenta las leyes y reglamentos
del comercio electrónico, privacidad, flujo de datos, reporte financieros,
propiedad intelectual, etc.
M4. Proporcionar Gobierno De Tecnología de Información.
Conclusión.-el proceso se encuentra en el nivel de madurez 0 por
30

35. cuanto no existe procesos de gobierno tecnología de información.
Recomendación Cobit:Garantizar la optimización de la inversión uso y
asignación de la tecnología de información.
Impacto Sobre los Criterios de Información
Criterios de la Información Porcentajes
Efectividad
85%
Eficiencia
92%
Confiabilidad
80%
Integridad
60%
Disponibilidad
85%
85%
Cumplimiento
Factibilidad
Observaciones
El objetivo es alcanzar el 100%, para esto
la información
el
Centro Clínico
Universitario de Oriente debe ser
entregada de forma oportuna, correcta y
consistente.
El objetivo es alcanzar el 100%, para esto
la información debe ser generada
optimizando los recursos.
El objetivo es alcanzar el 100%, para esto
la información debe de estar protegida
contra la revelación no autorizada.
El objetivo es alcanzar el 100%, para
lograrlo la información debe ser correcta,
completa y valida.
El objetivo es alcanzar el 100%, para la
cual la información esté disponible
cuando esta sea necesaria para su uso
por parte de las áreas de la clínica en
cualquier momento.
El objetivo es alcanzar el 100%, para la
cuales deben seguir las leyes y
reglamentos contractuales a los que está
sujeto el proceso del negocio.
El objetivo es alcanzar el 100%, para la
cuales debe seguir correctamente y
proporcionar la información apropiada con
el fin de que la Gerencia General
administre la entidad.
60%
Nota: Ejemplo. Tomado de proyecto de auditoría de la organización DATA CENTER E.I.R.L
Informe Ejecutivo
A continuación se detallaran los resultados de la evaluación de
procesos que recomienda COBIT 4.1, siendo evaluado en el departamento
de informática del el Centro Clínico Universitario de Oriente, los criterios de
información, encontrando el siguiente porcentaje, todos sobre el 100 %.
31

36. Sevisios Medicos
15%
Efectividad
Deficit
85%
La efectividad consiste en que la información de consultas sea
entregada de forma oportuna, correcta, consistente y utilizable, el criterio
tiene un promedio del 85%.
Criterio de Información:
Eficiencia
8%
92%
Eficiencia
Déficit
La eficiencia consiste en que la información debe ser generada
optimizando los recursos, el criterio tiene un promedio del 92%.
32

37. Criterio de Información:
Confiabilidad
20%
80%
Confidencialidad
Déficit
La confiabilidad consiste en que la información vital sea protegida
contra la revelación no autorizada, el criterio tiene un promedio del 80%.
Criterio de Información:
Integridad
60%
Déficit
Integridad
40%
La integridad consiste en que la información debe ser precisa, completa
y valida, el criterio tiene un promedio del 60%.
Criterio de Información:
Disponibilidad
15%
85%
Disponibilidad
Déficit
La disponibilidad consiste en que la información esté disponible cuando
33

38. sea requerida por parte de las áreas del negocio en cualquier momento, el
criterio tiene un promedio del 85%.
Criterio de Información:
Cumplimiento
15%
85%
Cumplimiento
Déficit
El cumplimiento consiste en que se debe respetar las leyes,
reglamentos y acuerdos contractuales a los que está sujeta el proceso del
negocio, como políticas internas, el criterio tiene un promedio del 85%.
Criterio de Información:
Factibilidad
40%
60%
Factibilidad
Déficit
La confiabilidad consiste en que se debe respetar y proporcionar la
información apropiada con el fin de que la Gerencia General administre la
entidad, el criterio tiene un promedio del 60%.
34

39. CAPÍTULO IV
RECOMENDACIONES Y CONCLUSIONES
Recomendaciones
La aplicación de la auditoría interna en el centro clínico universitario de
oriente, se efectúo con el fin de obtener un mejor rendimiento del área de
informática para alcanzar los objetivos establecidos, por tal motivo, se
recomienda:

Proponer un mantenimiento continuo a los sistemas de información en
el centro clínico universitario de oriente que garantice una mejor
eficiencia en el proceso de registro de datos.

Realizar auditorías externas cada 9 meses.

Realizar respaldos a toda la información que manejan los servidores.

Realizar una copia de seguridad a la bases de datos.
35

40. CONCLUSIONES
Durante la ejecución de la auditoria aplicando la metodología COBIT,
se determino la problemática que presentaba el departamento de informática
del centro clínico universitario de oriente. Lo que conllevo a proponer
soluciones para el mejoramiento de las actividades que realiza la empresa
mediante sus sistemas de información.
Con la propuesta, se busca mejorar las condiciones y el rendimiento
de los servidores con los cuales cuenta la institución, estos con la finalidad
de obtener una mejor confiabilidad, disponibilidad, fiabilidad y resguardo de
la información. Que son necesarias para atender las necesidades y los
requerimientos de los pacientes que acuden a las consultas médicas.
36

41. GLOSARIO
Auditoria: Tiene como finalidad evaluar y mejorar la eficacia y eficiencia de
una organización, al examinar su gestión.
Administración: Valida las operaciones de recaudación, realiza la
facturación y cobranza y ejecuciones presupuestarias, compras y servicios,
recursos humanos y generación y entrega de indicadores de gestión.
Registro y Análisis: Cuya función corresponde a la auditoría interna de los
procesos y administración del archivo físico.
Sistematización de información: Ordenamiento y clasificación bajo
determinados criterios, relaciones y categorías de todo tipo de datos, ejemplo
la creación de una base de datos
Sistematización de experiencias: Las experiencias son vistas como
procesos desarrollados por diferentes actores en un período determinado de
tiempo, envueltas en un contexto económico y social, en una institución
determinada.
Sistematización: Proceso constante y aditivo de elaboración de
conocimiento luego de la experiencia en una realidad específica. Consiste en
el primer nivel de teorización de la práctica.
37

42. REFERENCIAS ELECTRONICAS
Fuente: http://es.scribd.com/doc/75065036/23/Factibilidad-Psicosocial [Fecha
de consulta: Julio 2013]
Fuente: http://www.tecnologiadiaria.com/2010/07/diagramas-gantt-excel.html
[Fecha de consulta: Julio 2013]
Fuente:
http://es.wikipedia.org/wiki/Programaci%C3%B3n_orientada_a_objeto
[Fecha de consulta: Julio 2013]
Fuente:
http://www.esxoops.com/modules/news/article.php?storyid=311
[Fecha de consulta: Julio 2013]
Fuente: http://www.tecnologiadiaria.com/2010/07/diagramas-gantt-excel.html
[Fecha de consulta: Julio 2013]
Fuente:
http://es.answers.yahoo.com/question/index?qid=20080805201057AARY0TM
[Fecha de consulta: Julio 2013]
Fuente:http://www.mty.itesm.mx/die/ddre/transferencia/Transferencia47/eli04.htm [Fecha de consulta: Julio 2013]
Fuente: http://es.wikipedia.org/wiki/PHP[Fecha de consulta: Julio 2013]
38

43. ANEXOS
39

44. Presupuesto de Costos del Proyecto
RECURSOS
PRECIOS
Cartucho de tinta a color para impresiones
800 Bs.
Cartucho de tinta negra para impresiones
750 Bs.
Resma de papel de 500 hojas (3)
350 Bs.
Viáticos
1500 Bs.
TOTAL
3400Bsf
Nota: Elaboración Propia (2014)
40