Auditoria Beca Centro Occidente C.A.

  • 1,103 views
Uploaded on

Documento presentado a la empresa caso estudio el cual puede usar por otras para encontrar hallazgos similares y poder obtener recomendaciones para la aplicación de mejoras en los servicios que se …

Documento presentado a la empresa caso estudio el cual puede usar por otras para encontrar hallazgos similares y poder obtener recomendaciones para la aplicación de mejoras en los servicios que se ofrecen a sus empleados.

More in: Career , Business , Technology
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Be the first to comment
    Be the first to like this
No Downloads

Views

Total Views
1,103
On Slideshare
0
From Embeds
0
Number of Embeds
0

Actions

Shares
Downloads
1
Comments
0
Likes
0

Embeds 0

No embeds

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
    No notes for slide

Transcript

  • 1. 1 AUDITORÍA BECA CENTRO OCCIDENTE C.A. Auditoria de sistemas de información Por: Ricardo Salinas, Luis Castro, Reinaldo Bermúdez
  • 2. 2 OBJETIVO GENERAL Redactar un informe comprensivo de las posibles fallas y errores que se puedan presentar en el uso y gestión del sistema de punto de ventas SICOM utilizado por la empresa auditada. Por: Ricardo Salinas, Luis Castro, Reinaldo Bermúdez
  • 3. 3 OBJETIVOS ESPECÍFICOS • Evaluar los componentes físicos (hardware) que componen el sistema auditado para la generalización de un documento de estado. • Determinar la interacción de los usuarios con el sistema; el manejo, control, y uso que ejercen sobre el mismo para la compresión del sistema a nivel de los usuarios. Por: Ricardo Salinas, Luis Castro, Reinaldo Bermúdez
  • 4. 4 OBJETIVOS ESPECÍFICOS • Evaluar el funcionamiento de las aplicaciones (software) que componen el sistema auditado con el propósito de la construcción de una visión global de cómo funciona el sistema. • Evaluar las redes, tanto a nivel de hardware como de software, que actúan en el funcionamiento del sistema auditado para la obtención de posibles oportunidades de mejora. Por: Ricardo Salinas, Luis Castro, Reinaldo Bermúdez
  • 5. 5 DESCRIPCIÓN EMPRESARIAL La empresa Beca Centro Occidente, C.A., nace en Venezuela en el año 2000, ante la necesidad inminente de descentralizar las operaciones, producto del auge y la expansión, de la marca “Burger King” en el país. Su sede administrativa y legal se ubica desde entonces en la ciudad de Valencia, específicamente en la Urb. La Alegría, Av. Bolívar Norte, Torre Principal, Piso 7, Oficina 7-A. Actualmente la empresa dirige las operaciones de doce (12) restaurantes de la marca “Burger King”, generando así más de trescientos (300) empleos directos en la región. Por: Ricardo Salinas, Luis Castro, Reinaldo Bermúdez
  • 6. 6 EVALUACIÓN DE SISTEMAS SICOM Systems Enterprise Management Solution Desarrollado por SICOM Systems, proveedor norteamericano ubicado en Doylestown, Pennsylvania, Estados Unidos, advocado al área de desarrollo de puntos de venta avanzados para la industria de los Restaurantes de Servicio Rápido. Por: Ricardo Salinas, Luis Castro, Reinaldo Bermúdez
  • 7. 7 EVALUACIÓN DE SISTEMAS Kitchen Minder QSR (Quick Service Restaurants) Desarrollado por el proveedor norteamericano Integrated Control Corporation, y se encarga básicamente de indicarle al Operador de Alimentos (Crew) que se encuentra laborando en el Broiler (parrilla donde son cocidas las carnes de hamburguesas en Burger King) cuántas piezas de carne debe colocar a cocinar. Por: Ricardo Salinas, Luis Castro, Reinaldo Bermúdez
  • 8. 8 EVALUACIÓN DE SISTEMAS Sistema de Auriculares y Medición de tiempo Auto Servicio de HME Los sistemas de HM Electronics, Inc. (HME) son los encargados de permitir un correcto funcionamiento de las comunicaciones entre los empleados y la clientela involucrada en el proceso de compra/venta a través del auto servicio del restaurant. Por: Ricardo Salinas, Luis Castro, Reinaldo Bermúdez
  • 9. 9 EVALUACIÓN DE SISTEMAS Sistema de control de asistencia de empleados por capta huellas. Este sistema se encarga de registrar, a través de marcajes en un terminal capta huellas, la hora de entrada y salida de cada empleado, con el fin de evitar vicios y malversación de esta data ya que la huella digital es única para cada empleado y sin ella no se puede registrar la asistencia. Por: Ricardo Salinas, Luis Castro, Reinaldo Bermúdez
  • 10. 10 EVALUACIÓN DE SISTEMAS Circuito de cámaras de seguridad o CCTV El CCTV de los restaurants varía de uno a otro dependiendo del tamaño de la tienda, en base a lo cual variará el número de cámaras y la capacidad del DVR en cuestión según corresponda. El DVR se conecta por red a la red de acceso a Internet de la tienda para que el CCTV sea accesible de manera remota. Por: Ricardo Salinas, Luis Castro, Reinaldo Bermúdez
  • 11. 11 EVALUACIÓN DE SISTEMAS Ambos proveedores, tanto SICOM Systems como Integrated Control Corporation tienen, según sus propias palabras, un compromiso perenne para con la innovación y el constante desarrollo de mejoras y avances que garanticen que sus sistemas estén en constante mejora y optimización. Sin embargo, más allá de eso resulta imposible determinar avances en tiempo real ya que ambos proveedores se encuentran fuera del país y no dan acceso a sus operaciones por motivos de confidencialidad industrial. Por: Ricardo Salinas, Luis Castro, Reinaldo Bermúdez
  • 12. 12 SEGURIDAD LÓGICA A nivel de seguridad lógica, que es precisamente el alcance objetivo de esta auditoría, el sistema SICOM parece contar de antemano con los requisitos mínimos para asegurar un nivel de seguridad acorde a la importancia que tiene la información que es manejada por su sistema SEMS para la empresa en cuestión. Por: Ricardo Salinas, Luis Castro, Reinaldo Bermúdez
  • 13. 13 SEGURIDAD LÓGICA Igualmente el sistema muestra en papel sólidos procesos de respaldo de la información, ya que diariamente la base de datos es respaldada en el disco duro del terminal SL master e inmediatamente copiada por éste en un servidor externo a través de Internet. Por: Ricardo Salinas, Luis Castro, Reinaldo Bermúdez
  • 14. 14 DERECHOS DE AUTOR SICOM Systems protege de manera muy celosa sus derechos de autoría sobre el sistema SEMS y por ello gran parte de las fallas son atendidas directamente por ellos mismos accediendo de manera remota al sistema, y en caso de que no haya una conexión a Internet disponible, te guían vía telefónica para encontrar una solución sin dar mayores explicaciones de los motivos o causas. Igualmente no se permite manipular los equipos a nivel de hardware puesto pierden automáticamente la garantía. Por: Ricardo Salinas, Luis Castro, Reinaldo Bermúdez
  • 15. 15 PLANIFICACIÓN DE LA AUDITORÍA Alcance, Objetivo, criterio y manejo de recursos Por: Ricardo Salinas, Luis Castro, Reinaldo Bermúdez
  • 16. 16 ALCANCE Se evaluará el sistema general de facturación de la empresa, SICOM SEMS. Basándose la investigación en el control de los recursos que aseguran la integridad de la data en este y generada por los usuarios, así como los diferentes niveles de acceso y su uso. También se apreciarán el flujo de los datos desde la entrada en las terminales de facturación hasta el control de la alta gerencia la cual genera una cierta cantidad de reportes para la toma de decisiones de la empresa. Por: Ricardo Salinas, Luis Castro, Reinaldo Bermúdez
  • 17. 17 OBJETIVO Esta auditoría tiene como propósito determinar la exactitud de los procesos que están establecidos en el sistema de facturación de Burger King. Para así poder generar un reporte completo de las áreas donde se encontraron oportunidades de mejora. Por: Ricardo Salinas, Luis Castro, Reinaldo Bermúdez
  • 18. 18 ALCANCE Se basa en la recolección de la información y entrevistas con los empleados, encontrar oportunidades de mejora en la empresa y reportar las mismas a ésta. Por: Ricardo Salinas, Luis Castro, Reinaldo Bermúdez
  • 19. 19 MANEJO DE RECURSOS Entrevistas con el personal que utiliza el sistema a diario, así como también con la alta gerencia para determinar el funcionamiento del sistema en la actualidad. Estas entrevistas estarán pautadas con anterioridad con la alta gerencia para no interrumpir las operaciones normales de la empresa. Por: Ricardo Salinas, Luis Castro, Reinaldo Bermúdez
  • 20. 20 EVALUACIÓN FINAL Equipos, seguridad, personal y actividades informáticas Por: Ricardo Salinas, Luis Castro, Reinaldo Bermúdez
  • 21. 21 EVALUACIÓN DE LOS EQUIPOS La adquisición de los equipos importados, todos aquellos relacionados con SICOM Systems, se lleva a cabo previo a la apertura de cada restaurant, dependiendo de las dimensiones del mismo, ya que en base a ello y al volumen de clientes estimado que atenderá la tienda dependerá el número de terminales que serán adquiridos. Por: Ricardo Salinas, Luis Castro, Reinaldo Bermúdez
  • 22. 22 EVALUACIÓN DE LOS EQUIPOS Los equipos pertenecientes al sistema SICOM vienen ya configurados para trabajar bajo los estándares de Burger King Venezuela desde EEUU, por lo que el personal técnico de Beca Centro Occidente, C.A., únicamente se limita a instalar y conectar correctamente cada terminal y equipo en su sitio correspondiente. Luego de ello la BD es cargada en el terminal master y el sistema ya se encuentra configurado como el de cualquier otro restaurant de la cadena a nivel nacional. Por: Ricardo Salinas, Luis Castro, Reinaldo Bermúdez
  • 23. 23 EVALUACIÓN DE LOS EQUIPOS Actualmente, proyectos de adquisición que incluyan equipos que no han sido utilizados anteriormente no existen. Las nuevas adquisiciones vienen sobre la marcha cuando se apertura una nueva sucursal o bien cuando algún equipo se avería y no tiene reparación y debe ser reemplazado. Por: Ricardo Salinas, Luis Castro, Reinaldo Bermúdez
  • 24. 24 EVALUACIÓN DE LOS EQUIPOS Toda la información que genera y concierne al sistema de facturación y producción SICOM es almacenada por el mismo en sus discos duros principal y el de respaldo ubicados en el terminal SL master. Dichos terminales cuentan con una batería que les da hasta seis (6) horas de autonomía en caso de apagones, así se garantiza la integridad y el correcto respaldo de la BD. Por: Ricardo Salinas, Luis Castro, Reinaldo Bermúdez
  • 25. 25 EVALUACIÓN DE LOS EQUIPOS Cada tienda cuenta con los servicios básicos de comunicación que se ofrecen en el país actualmente, siendo éstos: telefonía (CANTV regularmente o en su defecto el proveedor de la zona), acceso a internet y correo electrónico (CANTV regularmente o en su defecto el proveedor de la zona). Por: Ricardo Salinas, Luis Castro, Reinaldo Bermúdez
  • 26. 26 EVALUACIÓN DE LOS EQUIPOS En cada tienda existe una red interna basada en tecnología Ethernet para la integración de todos los componentes del sistema de facturación y producción SICOM. Cada terminal se encuentra interconectado con los demás a través de esta red que tiene su punto de encuentro en un switch central. Por: Ricardo Salinas, Luis Castro, Reinaldo Bermúdez
  • 27. 27 EVALUACIÓN DE LA SEGURIDAD El computador de la gerencia, a través del cual se accede a la aplicación web del SICOM, correo corporativo, y demás aplicaciones de oficina necesarias para el óptimo funcionamiento del restaurant, se encuentra protegido de manera lógica contra uso no autorizado a través de los mecanismos regulares que ofrece Windows XP (sistema operativo bajo el cual trabajan los PC Gerenciales de los restaurantes) de cuentas de usuario y clave secreta, habiendo una sola cuenta para todos los gerentes. Por: Ricardo Salinas, Luis Castro, Reinaldo Bermúdez
  • 28. 28 EVALUACIÓN DE LA SEGURIDAD La seguridad lógica de los equipos muestra ser robusta, para ingresar a la aplicación web que permite configurar las opciones del sistema SICOM se debe contar con un usuario y una clave, los cuales sólo pueden ser creados por el personal de sistemas. Por: Ricardo Salinas, Luis Castro, Reinaldo Bermúdez
  • 29. 29 EVALUACIÓN DE LA SEGURIDAD Cada usuario es asignado a un nivele de acceso que limita la cantidad y variedad de funciones a las cuales puede acceder. Únicamente a los gerentes de restaurant se les crea un usuario y el acceso del mismo se limita a la manipulación de opciones básicas propias de un gerente como montaje y desmontaje de cajeros, manejo de inventarios, apertura y cierre de facturación, supervisión remota de las pantallas de cada uno de los terminales activos, consulta e impresión de reportes variados, etc. Por: Ricardo Salinas, Luis Castro, Reinaldo Bermúdez
  • 30. 30 EVALUACIÓN DE LA SEGURIDAD La consulta y auditoría del material grabado a través del CCTV es de uso exclusivo del personal de sistema y de la alta gerencia de la empresa (Gerentes de Operaciones, Directores Generales, Gerente General); los gerentes de tienda no pueden acceder al mismo. Por: Ricardo Salinas, Luis Castro, Reinaldo Bermúdez
  • 31. 31 SEGURIDAD FÍSICA DE LOS EQUIPOS La seguridad física de los equipos podemos destacarla de aceptable. En al menos un noventa por ciento de las ocasiones, los equipos relevantes como el PC de la Gerencia, el DVR del CCTV, los terminales SL del sistema SICOM, los dispositivos biométricos de control de asistencia, los controladores de video de los monitores de Producción. Por: Ricardo Salinas, Luis Castro, Reinaldo Bermúdez
  • 32. 32 SEGURIDAD FÍSICA DE LOS EQUIPOS Los switches y routers de redes, contaban todos con su respectiva protección contra sobre-voltajes y en muchas ocasiones contaban con un UPS ya sea externo o propio (los terminales SL del sistema SICOM y los dispositivos biométricos cuentan con UPS internos propios). Por: Ricardo Salinas, Luis Castro, Reinaldo Bermúdez
  • 33. 33 SEGURIDAD EN EL PERSONAL La seguridad en el personal viene dada principalmente por el juicio que tenga la persona sobre la importancia del manejo prudente de los nombres de usuario y/o claves de acceso a los diversos módulos de configuración y consulta de los sistemas presentes, así como del resguardo adecuado de las tarjetas Manager del sistema SICOM. Por: Ricardo Salinas, Luis Castro, Reinaldo Bermúdez
  • 34. 34 SEGURIDAD EN EL PERSONAL Las PC de los Gerentes de tienda cuentan con licencias originales Kaspersky por lo que en este punto se consideran aceptables las medidas con las que cuenta la empresa. La empresa cuenta con pólizas de seguro que cubren todos los equipos presentes en las tiendas. Por: Ricardo Salinas, Luis Castro, Reinaldo Bermúdez
  • 35. 35 SEGURIDAD EN EL PERSONAL No existe un plan de contingencia ni procedimientos especificados en la empresa para casos de desastre. Las tiendas cuentan con UPS y plantas autónomas de energía que suplen de corriente eléctrica al restaurante en su totalidad en caso de apagones y fallas mayores en el suministro eléctrico, dándole autonomía operativa a las tiendas de hasta seis horas. Por: Ricardo Salinas, Luis Castro, Reinaldo Bermúdez
  • 36. 36 ACTIVIDADES INFORMÁTICAS En operación y desarrollo Por: Ricardo Salinas, Luis Castro, Reinaldo Bermúdez
  • 37. 37 SISTEMAS EN OPERACIÓN Se puede determinar que la empresa actualmente posee una situación estable de los sistemas, con una baja cantidad de reportes en errores de los mismos. Sin embargo la misma no posee un plan para controlar la situación en caso de que surja un problema y delega todo a una sola persona que en este caso se hace indispensable para el manejo de los diferentes sistemas. Por: Ricardo Salinas, Luis Castro, Reinaldo Bermúdez
  • 38. 38 SISTEMAS EN OPERACIÓN La empresa no posee los esquemas de los sistemas por lo que se desarrollara esta actividad netamente con la observación del auditor. El sistema de producción posee una composición de una base de datos en la nube, la cual es controlada por una aplicación web y una de escritorio en Linux. Por: Ricardo Salinas, Luis Castro, Reinaldo Bermúdez
  • 39. 39 SISTEMAS EN DESARROLLO Actualmente la empresa utiliza una compañía de Software contratada para el diseño de sus sistemas por lo cual no existe información en esta de sistemas en próximo desarrollo. Por: Ricardo Salinas, Luis Castro, Reinaldo Bermúdez
  • 40. 40 EVALUACIÓN DEL PERSONAL Participación y entrevistas realizadas dentro dela auditoría Por: Ricardo Salinas, Luis Castro, Reinaldo Bermúdez
  • 41. 41 PARTICIPACIÓN INTERNA La participación del personal con los auditores fue de gran ayuda. Todo el personal estuvo completamente dispuesto a describir las actividades que desempeña en su labor diaria, apuntar los riesgos y hallazgos que existen actualmente en la empresa como también entregar los diferentes documentos pertinentes a la investigación. Por: Ricardo Salinas, Luis Castro, Reinaldo Bermúdez
  • 42. 42 EVALUACIÓN DE LA INFORMACIÓN Se puede decir que los sistemas cumplen con las necesidades de los empleados y los requerimientos de los mismos, al punto en el que los empleados subutilizan el sistema y desaprovechan diferentes oportunidades que el mismo ofrece para facilitar la labor que desempeñan. Por: Ricardo Salinas, Luis Castro, Reinaldo Bermúdez
  • 43. 43 EVALUACIÓN DE LA INFORMACIÓN Un ejemplo de esto es el inventario, el empleado podría entrar al módulo de inventario del sistema, cargar que se compró y el sistema descuenta automáticamente por cada venta que se haga del inventario lo que se consume, sin embargo los empleados de la gerencia llevan esta labor a mano por desconocimiento del mismo. Por: Ricardo Salinas, Luis Castro, Reinaldo Bermúdez
  • 44. 44 RESUMEN Y CONCLUSIÓN Debilidades, Fortalezas, conclusiones y recomendaciones. Por: Ricardo Salinas, Luis Castro, Reinaldo Bermúdez
  • 45. 45 DEBILIDADES Con respecto a las debilidades podemos decir que no encontramos muchas, es un sistema verdaderamente completo, aunque el hecho de que los problemas que presenten las terminales solo los atiendan personas de afuera del país es algo limitante, esto representa una debilidad, si por ejemplo se quiere algo más personal simplemente la empresa no presta ese servicio. Por: Ricardo Salinas, Luis Castro, Reinaldo Bermúdez
  • 46. 46 FORTALEZAS Dentro de las fortalezas de SICOM tenemos que las soluciones de gestión de la empresa le darán acceso inmediato a la información sin tener que invertir miles de dólares para crear y mantener una infraestructura de TI. SICOM ofrece flexibilidad y confiabilidad a un costo significativamente menor que las soluciones de la competencia. Por: Ricardo Salinas, Luis Castro, Reinaldo Bermúdez
  • 47. 47 CONCLUSIONES Los resultados obtenidos en el presente trabajo de investigación del caso estudio a la empresa Beca Centro Occidente, C.A., nos llevan a las siguientes conclusiones. Por: Ricardo Salinas, Luis Castro, Reinaldo Bermúdez
  • 48. 48 CONCLUSIONES En sentido amplio podemos decir, que los sistemas de información, comprenden los medios para almacenar, procesar y manipular datos de cualquier naturaleza, mediante el uso de diferente software con diferentes funciones o especificaciones. Por: Ricardo Salinas, Luis Castro, Reinaldo Bermúdez
  • 49. 49 CONCLUSIONES La empresa en estudio no presenta muchos problemas a nivel lógico, físico o humano. Presenta unos sistemas muy bien estructurados que trabajan de una manera estándar de la cual han venido trabajando por muchísimos años. Esto le brinda mucha experiencia lo cual le permite saber o estar prevenidos a problemas anteriormente presentados. Por: Ricardo Salinas, Luis Castro, Reinaldo Bermúdez
  • 50. 50 RECOMENDACIONES Recomendamos a la empresa poseer un departamento de sistemas, de manera de que los problemas técnicos, aunque se resuelvan a larga distancia, sea más fácil su control así como poseer proveedores nacionales de manera de poder determinar avances en tiempo real Por: Ricardo Salinas, Luis Castro, Reinaldo Bermúdez
  • 51. 51 GRACIAS Informe de Auditoría de Sistemas de Información. Por: Ricardo Salinas, Luis Castro, Reinaldo Bermúdez