Академический Документы
Профессиональный Документы
Культура Документы
(1.0)
REVISIONES
FECHA
VERSIN
DESCRIPCIN
AUTOR
10/07/2013
1.0
Informe Final de
Auditora Informtica
Cardozo, Alfonso
Martnez
(1.0)
NDICE
Pgina
1. Introduccin...............................................................................................................3
2. Objetivo General........................................................................................................3
3. Objetivos Especficos...............................................................................................4
4. Metodologa de la Auditora Informtica.................................................................5
5. Alcance de la Revisin..............................................................................................8
6. Procedimiento............................................................................................................8
7. Resultados...............................................................................................................16
8. Conclusiones...........................................................................................................28
9. Evidencias................................................................................................................30
Evidencia N1 Programa de Auditora....................................................................30
Evidencia N2 Gua de descripcin del Mdulo de Contabilidad...........................39
Evidencia N3 Encuestas de evaluacin................................................................40
Evidencia N4 CD grabado de entrevistas realizadas............................................42
(1.0)
1. Introduccin
El siguiente informe, muestra los resultados de la evaluacin efectuada al Mdulo de
Contabilidad del Sistema Integrado, Administrativo y Financiero del INAVI, sede Central.
La gestin de auditora informtica se realiz en concordancia con:
La Norma ISO 9126 que es un estndar internacional para la evaluacin de calidad del
software.
A este sentido, el instituto evaluado recibi propuestas ofrecidas por parte del equipo
auditor, relacionadas con la optimizacin de la calidad interna, externa y de uso del mdulo
de contabilidad del sistema escogido, incluyendo el planteamiento de una posible migracin a
otro software robusto y que cumpla con las polticas de la administracin pblica acerca de la
implantacin y utilizacin del software libre. sta gestin de auditora informtica se ejecuta
debido a que la institucin y sus departamentos (en este caso contabilidad) emplean para el
cumplimiento de sus funciones un sistema privativo el cual no ha recibido un estudio
especfico de calidad y conformidad de uso para los empleados de la organizacin.
(1.0)
3. Objetivos Especficos.
El proceso de auditora informtica abarc los siguientes objetivos especficos:
(1.0)
de la organizacin.
(1.0)
(1.0)
esfuerzo
requerido
por
el
usuario
para
utilizar
el
producto
satisfactoriamente.
-Eficiencia: relacin entre las prestaciones del software y los requisitos necesarios
para su utilizacin.
-Mantenibilidad: esfuerzo necesario para adaptarse a las nuevas especificaciones y
requisitos del software.
-Portabilidad: capacidad del software de ser transferido de un entorno a otro.
-Eficacia: capacidad del producto de software para permitir a los usuarios lograr las
metas especificadas con exactitud e integridad.
-Productividad: capacidad del producto de software para permitir a los usuarios
emplear cantidades apropiadas de recurso en relacin a la eficacia lograda.
-Seguridad: capacidad del software para lograr niveles aceptables de riesgo de dao a
las personas, institucin, software, propiedad o entorno, en un contexto especificado
de uso. Los riesgos son normalmente el resultado de deficiencias de la funcionalidad
(incluyendo seguridad), fiabilidad, usabilidad o facilidad de mantenimiento.
-Satisfaccin: capacidad del producto de software para satisfacer a los usuarios como
respuesta a su interaccin y actitudes hacia el uso del mismo.
Cada una de estas caractersticas se evaluaron dentro del software basndonos en la
recoleccin de informacin, pruebas de funcionamiento, pruebas de medicin y pruebas con
(1.0)
(1.0)
(1.0)
de contabilidad.
Nmero de puestos de trabajo, el equipo auditor comprobar que los nombres de los
puestos de trabajo corresponden a las distintas funciones reales.
Nmero de personas por puesto de trabajo, determinar si las personas que realizan
las mismas funciones coinciden con la estructura oficial de la organizacin.
10
(1.0)
En el Plan se establecen los recursos y esfuerzos globales que van a ser necesarios.
11
(1.0)
12
(1.0)
estructura:
Cuerpo expositivo: para cada tema, se seguir el siguiente orden a saber: situacin
actual, tendencias, puntos dbiles y amenazas, recomendaciones y planes de accin,
redaccin posterior a la carta de introduccin o presentacin.
Modelo conceptual de la exposicin del informe final, el documento debe incluir solo
hechos importante. La aparicin de un hecho en un informe de auditora implica
necesariamente la existencia de una debilidad que ha de ser corregida y debe ser
presentado de la siguiente forma: hecho encontrado, consecuencias del hecho,
repercusin del hecho, conclusin del hecho y recomendacin del auditor informtico.
13
(1.0)
Satisfactorio:
a) No hay hallazgos importantes.
b) Slo hallazgos menores.
c) Slo recomendaciones y/o comentarios.
Satisfactorio Excepto por:
a) De 1 a 4 hallazgos importantes y cualquier hallazgo menor, recomendaciones o
comentarios.
b) Numerosos hallazgos menores, recomendaciones o comentarios.
No Satisfactorio:
a) Incumplimiento de las polticas tanto establecidas por el banco, como por leyes y
reglamentos.
b) Posible prdida de ingreso patrimonial.
14
(1.0)
Excepciones
Hallazgos: desviaciones de los procedimientos operativos, mala organizacin de los
departamentos y del personal, fallas en el funcionamiento del mdulo de contabilidad.
Excepciones Tipo I:
Las clasificadas dentro de esta categora son consideradas de la ms alta importancia,
las excepciones citadas pueden tener un impacto negativo en la seguridad de datos,
desviacin total de las polticas ya establecidas, violacin a las leyes y regulaciones y la
aplicacin inapropiada de principios, se consideran de gran importancia. Las excepciones de
esta naturaleza deben recibir la prioridad y pronta atencin de parte de la gerencia, a fin de
tomar acciones correctivas.
Excepciones Tipo II:
Las excepciones dentro de esta categora son clasificadas de mediana importancia,
son consideradas menor que las de tipo I, pero no menos en su naturaleza. Las excepciones
no han causado omisin o error en el desenvolvimiento de la operacin diaria actual; sin
embargo, tales excepciones requieren la atencin de la gerencia para as evitar futuros o
posibles errores.
15
(1.0)
7. Resultados
Luego de cumplir con el programa de trabajo referenciado como evidencia N1 del
presente documento y relacionado con los objetivos especficos del proceso de auditora
informtica al mdulo de contabilidad, adems, habiendo aplicado el respectivo anlisis de
las evidencias recabadas producto de las herramientas de evaluacin y levantamiento de
informacin, se obtuvieron los siguientes resultados:
solicitudes
de
vivienda
de
inters
social,
desarrollando
proyectos
16
(1.0)
Su dependencia es del nivel de apoyo del INAVI, se divide en tres (3) divisiones:
Divisin de Anlisis Contable, Divisin de Registro Contable, Divisin de Asistencia
Administrativa.
Tendencias
La organizacin de la unidad administrativa est sujeta a cambios de corto y largo
plazo por modificaciones estructurales o incremento de los requerimientos del INAVI.
Recomendaciones
Se recomienda difundir en la cartelera o enviar por email a los empleados del
departamento, el organigrama del mismo.
La calificacin de este aspecto evaluado es: satisfactorio con excepcin de tipo III, ya
que a pesar de que existen problemas con la divulgacin de informacin, los procedimientos
operativos de los empleados hacia el uso del sistema no varan en exceso por la induccin
Trayecto IV, Proyecto Sociotecnolgico
17
(1.0)
b) Concordancia del mdulo de contabilidad con el estndar de calidad ISO 9126. (Calidad
interna y externa, y calidad de uso del software seleccionado).
18
(1.0)
necesarias para realizar todos los objetivos del departamento, observado dentro de una gua
suministrada por el personal de la institucin que refleja las caractersticas del mdulo
(Anexado como evidencia N2).
El mdulo solicita usuario y contrasea para ingresar y utilizar sus funciones que estn
19
(1.0)
Recomendaciones:
Se recomienda a la institucin hacer pruebas de funcionamiento al mdulo de
contabilidad y al sistema en general, con errores de diseo para observar el procesamiento
de datos y mejorar si es necesario la tolerancia del mismo ante este tipo de fallos,
desarrollando el cdigo fuente del mismo, cabe destacar, que dicha propuesta debe hacerse
Trayecto IV, Proyecto Sociotecnolgico
20
(1.0)
La mayora de los usuarios piensan que el mdulo de contabilidad no cumple con sus
expectativas de operabilidad y control en el manejo de su opciones, sin embargo,
registra al usuario que realiza una operacin contable que es muy importante en todo
sistema de informacin.
21
(1.0)
Los usuarios se sienten satisfechos con la implementacin y uso del software, sin
embargo, no todos piensan que se alcanza con exactitud e integridad las metas
especficas del departamento.
Recomendaciones:
Se recomienda al INAVI, desarrollar y establecer guas de utilizacin (manuales),
22
(1.0)
El porcentaje de uso promedio del CPU mientras ejecuta una tarea asignada al
mdulo de contabilidad est por debajo del 80% - 90% lo que ocasiona que no exista
retraso en el procesamiento de datos.
Recomendaciones
Se recomienda al INAVI, mantener la misma lnea de atencin a la eficiencia del
sistema ya que los usuarios lo consideran altamente efectivo y adems trabaja dentro de los
estndares requeridos para su correcto funcionamiento dentro de las estaciones de trabajo
del instituto.
23
(1.0)
Recomendaciones
Se recomienda al ente auditado, realizar un estudio de factibilidad para determinar la
posibilidad de adquirir o desarrollar un nuevo software que permita hacer modificaciones en
su codificacin y diseo sin invertir gran cantidad de tiempo, adems, el nuevo sistema debe
ofrecer al personal de mantenimiento un nmero ilimitado de correcciones y debe poseer la
tolerancia necesaria para los cambios que se le apliquen.
24
(1.0)
Recomendaciones
Se recomienda a la parte auditada, estudiar, desarrollar e implementar la
independencia de los mdulos para su portabilidad, es necesario hacer pruebas pertinentes
en ambiente LINUX sobre el funcionamiento del sistema ya que existe el Decreto 3.390 que
avala la migracin de todas las empresas pblicas a software libre, por tanto deben
realizarse las adecuaciones necesarias para su implantacin en esta plataforma, cabe
destacar que es un proceso complejo que lleva tiempo, por tal motivo se debe manejar como
proyecto a largo plazo.
25
(1.0)
Eficacia: capacidad del mdulo de contabilidad para permitir a los usuarios lograr las
metas especificadas con exactitud e integridad. En este aspecto, como resultado de la
informacin recabada gracias a las evidencias contundentes N3 y N4 (encuestas y
entrevistas), el mdulo de contabilidad cumple con las funciones bsicas de registro y control
de asientos contables, adems permite ubicar, consultar, modificar y anular operaciones
contables sin hacer gastar mucho tiempo a los usuarios, adems, la informacin contenida
en los informes que genera puede utilizarse perfectamente para la toma de decisiones. Por
tal motivo, no se encontraron hallazgos de gran significacin con excepciones, es decir, se
obtuvo un resultado satisfactorio de la evaluacin.
26
(1.0)
El mdulo valida usuario y contrasea para ingresar y utilizar sus funciones que estn
asignadas de acuerdo al rol de los empleados en el rea de contabilidad.
Los datos que maneja el mdulo de contabilidad es muy sensible, por tanto la
utilizacin de estas estrategias de seguridad mitigan la ocurrencia de un riesgo
operacional que afecte al INAVI.
27
(1.0)
encontraron hallazgos de gran importancia con excepciones de ningn tipo, que afecte la
gestin administrativa del mdulo de contabilidad, los usuarios se encuentran satisfechos con
la implantacin del mdulo de contabilidad y del sistema en general.
8. Conclusiones
28
(1.0)
retrasados en el tiempo.
satisfactorio ya que el equipo estuvo atento en cumplir con el programa de trabajo, hacer las
reuniones con el personal del rea evaluada, aplicar las herramientas de levantamiento de
informacin y aportar las conclusiones necesarias caracterizando el funcionamiento del
mdulo de contabilidad y recomendando mejorar para optimizar su uso, cabe destacar, que
se deja abierta la posibilidad a la institucin de ofrecer propuestas de mejora en beneficio del
Sistema Integrado, Administrativo y Financiero a fin de alcanzar los objetivos institucionales
con ahorro de tiempo y recursos.
29
(1.0)
9. Evidencias
Evidencia N1 Programa de Auditora
Todas las actividades que comprendan las acciones de solicitar, obtener, requerir,
comprobar, adquirir algn documento o informacin en especfico se deber marcar con una
X alguna casilla que indique el estado de lo solicitado, cuyo significado es el siguiente:
30
(1.0)
Procedimiento
N/S
N/N
Inicio: 25/06/2013
Fin: 12/07/2013
Fecha de Revisin:
17/07/2013
S/NU
S/INC
S/NOAC
S/N
ADEC
S/
CORR
1. Solicite documentos
relacionados con los objetivos
a corto y largo plazo del
departamento de
contabilidad.
2. Solicite un organigrama
estructural del departamento
de contabilidad.
3. Obtenga informacin
escrita donde figuren todos
los elementos fsicos y
lgicos del rea de
contabilidad. En cuanto a
hardware, figurarn las
CPU's, unidades de control
local y remotas, perifricos de
todo tipo, etc. En relacin al
software se representarn
todos los productos lgicos
del sistema, desde el
software bsico hasta los
programas de utilidad
adquiridos o desarrollados
internamente.
4. Requiera el manual de
polticas, reglamentos
internos y lineamientos
generales.
Observacin
Se obtuvo el
plano del piso 8,
que contiene la
distribucin de
los elementos
fsicos y lgicos
del
departamento de
contabilidad y se
observ un
inventario de
aplicaciones, que
poseen las
estaciones de
trabajo.
31
(1.0)
Procedimiento
N/S
N/N
Inicio: 25/06/2013
Fin: 12/07/2013
Fecha de Revisin:
17/07/2013
S/NU
5. Compruebe la existencia
de un previo estudio de
factibilidad del mdulo para
verificar si se consider la
disponibilidad y
caractersticas del equipo, los
sistemas operativos y
lenguajes disponibles, la
necesidad de los usuarios, las
formas de utilizacin del
mismo, el costo y los
beneficios que reportara el
sistema, el efecto que
producira en quienes lo
usaran y el efecto que ste
tendra sobre diferentes
sistemas.
S/INC
S/NOAC
S/N
ADEC
S/
CORR
6. Obtenga la fecha de
instalacin del software en
estudio.
Observacin
Por medio de las
entrevistas
realizadas al
Jefe de la
Divisin de
Registros
Contables, se
determino que
existi un estudio
de factibilidad
previo a la
implantacin del
mdulo auditado.
9. Solicite el manual de
normas y procedimiento del
mdulo de contabilidad.
32
(1.0)
Procedimiento
N/S
N/N
Inicio: 25/06/2013
Fin: 12/07/2013
Fecha de Revisin:
17/07/2013
S/NU
S/INC
S/NOAC
S/N
ADEC
S/
CORR
Observacin
El tipo de
configuracin es
cliente-servidor
con opcin a se
utilizado como
aplicativo web.
El sistema actual
tiene sus
especificaciones
adecuadas, y
estn reflejadas
en entregable de
atributos de
calidad.
12.Detalle si el mdulo de
contabilidad posee un
adecuado control y seguridad
sobre los datos.
Es fcil de usar
para empleados
que llevan
tiempo utilizando
el mdulo, pero
para usuarios
33
(1.0)
procedimiento existente?.
inexpertos
requiere de un
Procedimiento
N/S
N/N
Inicio: 25/06/2013
Fin: 12/07/2013
Fecha de Revisin:
17/07/2013
S/NU
S/INC
S/NOAC
S/N
ADEC
S/
CORR
Observacin
tiempo
prologando de
aprendizaje.
14. Observe el
funcionamiento del mdulo de
contabilidad y tomar nota
sobre Qu hace, quin lo
hace, cundo y cmo?.
El mdulo de
contabilidad
posee un buen
funcionamiento,
el analista
contable
introduce los
datos de las
cuentas no
modeladas, el
sistema procesa
la informacin y
arroja el asiento
contable.
El flujo de la
informacin es el
correcto y tiene
relacin con
todos los
mdulos del
sistema,
partiendo desde
el de
presupuesto y
finalizando con
34
(1.0)
tesorera.
Procedimiento
N/S
N/N
Inicio: 25/06/2013
Fin: 12/07/2013
Fecha de Revisin:
17/07/2013
S/NU
S/INC
S/NOAC
S/N
ADEC
S/
CORR
Observacin
El procedimiento
de entrada, es
sencillo: el
mdulo muestra
las ventanas
compuestas por
formularios que
el usuario que
conoce del tema
de contabilidad
debe ir llenando
para procesar el
registro contable.
Existe la
necesidad de
hacer mas
amigable el
entorno
operativo del
mdulo de
contabilidad para
usuarios
inexpertos e
incluir un mdulo
de ayuda en
lnea para
cualquier duda
que se tenga
35
(1.0)
sobre su uso.
Procedimiento
N/S
N/N
Inicio: 25/06/2013
Fin: 12/07/2013
Fecha de Revisin:
17/07/2013
S/NU
S/INC
S/NOAC
S/N
ADEC
S/
CORR
Observacin
El tamao de la
base de datos es
de 32 tablas y
contiene las
entidades
utilizadas por el
mdulo de
contabilidad para
crear el registro
correcto de los
datos.
Se conectan al
mdulo de
contabilidad
ocho (8) usuarios
con privilegios
diferenciados
entre el Jefe de
Divisin de
Registro
Contable y los
Analistas
Contables.
Se utilizan todas
las tcnicas de
seguridad
definidas en este
tem.
36
(1.0)
Procedimiento
N/S
N/N
Inicio: 25/06/2013
Fin: 12/07/2013
Fecha de Revisin:
17/07/2013
S/NU
S/INC
S/NOAC
S/N
ADEC
S/
CORR
Observacin
Se realizaron
entrevistas al
Jefe de Divisin
Registro
Contable y se
obtuvieron con
xito los
resultados de las
mismas,
quedando
demostrado en
las evidencias
del informe final
de auditora.
Se aplicaron con
xito las
encuestas a los
usuarios del
mdulo,
obteniendo
informacin
relacionada con
la calidad
interna, externa y
de uso del
mdulo de
contabilidad.
37
(1.0)
Se entrevisto a la
Jefe de Divisin
de Red y Base
de datos del
Procedimiento
N/S
N/N
Inicio: 25/06/2013
Fin: 12/07/2013
Fecha de Revisin:
17/07/2013
S/NU
en el departamento de
contabilidad, as como
tambin, su configuracin,
rendimiento y las fallas que
regularmente ocurren.
S/INC
S/NOAC
S/N
ADEC
S/
CORR
Observacin
INAVI,
obteniendo datos
sobre la
configuracin de
la red local, la
seguridad lgica
y la seguridad
fsica aplicada a
los equipos de
cmputo y
aplicaciones,
adems de las
fallas de
conexin que
regularmente
ocurren.
38
(1.0)
39
(1.0)
40
(1.0)
41
(1.0)
42