1. INSTITUTO UNIVERSITARIO POLITÉCNICO
“SANTIAGO MARIÑO”
EXTENSIÓN PORLAMAR
ESCUELA DE INGENIERÍA DE SISTEMAS
AUDITORÍA Y EVALUACIÓN DE SISTEMAS
AUDITORIA INFORMÁTICA AL DEPARTAMENTO DE SISTEMAS
DE RATTAN HYPERMARKET C.A
Preparado por:
Br. Pinto G, Migerlin A
C.I. V- 19.318.173
Sección: 4A SAIA.
Prof. Lcdo. Eliecer Boadas
Porlamar, Enero de 2014
i
2. INDICE GENERAL
pp.
INTRODUCCIÓN
I.
1
GERALIDADES DE LA EMPRESA
Naturaleza de la Empresa
2
Ubicación
2
Misión
3
Visión
3
Análisis Foda
4
Organigrama de la Empresa
5
Descripción de los Procesos y Funciones
6
Metodología Cobit
10
Modelo de Madurez
10
Auditoria de tics Aplicando Cobit
13
Área a Auditar
13
Proceso de recolección de Información.
14
Documentos de Gestión en el Área Informática
16
Plan de la Auditoria en el Área Informática
16
Herramientas y Técnicas
17
Motivo o Necesidad de la Auditoria.
17
Modelos de Madurez a Nivel Cualitativo (coso)
19
ii
3. II.
EJECUCIÓN DE LA AUDITORIA
Situación Actual del Área de Sistemas
20
Objetivos del Departamento
20
Organigrama del Departamento
21
Seguridad del Departamento
21
Características de la plataforma Tecnológica
22
Determinación de los Problemas y Planteamiento de Hipótesis
23
Posibles Problemas
23
Formulación de Hipótesis
23
Aplicación de la Auditoria
24
Modelo de Madurez de los Procesos
24
Reporte General de los Grados de Madurez
24
Resumen de Procesos y Criterios de Información por Impacto
25
Resultados Finales del Impacto Sobre los Criterios de Información
26
Gráfica Representativa del Impacto de los Criterios de Información
26
III. ANALISIS DE LOS RESULTADOS
Informe Técnico.
27
Informe Ejecutivo
34
IV. CONCLUSIONES Y RECOMENDACIONES
Recomendaciones
37
iii
5. INTRODUCCIÓN
Actualmente en la Empresa “Rattan Hypermarket C.A” no cuentan con
un manual de procedimientos administrativos informáticos, ni tampoco
cuentan con algunos documentos requeridos como por ejemplo:
Mantenimiento de Equipos de Cómputo.
Un Plan de Contingencias.
Se realizará una auditoría interna con el fin de colaborar arduamente
para la superación de los problemas que esta presenta, ya sea complejidad
de la información, participación insuficiente del sistema, falta de normas en la
clasificación de la información, peligros de fraude, entre otros que se
estudiarán y se enfocarán más adelante.
Por estas razones y las siguientes en la búsqueda de más
conocimientos y experiencia sobre la auditoria de sistemas se pondrá un
gran empeño en la elaboración de un buen proyecto y así lograr que se haga
un buen funcionamiento de todos los procedimientos que se llevan a cabo en
dicha empresa.
1
6. CAPITULO I
GENERALIDADES DE LA EMPRESA
Caracterización de la Empresa
Naturaleza de la empresa.
El camino se inicia con dos tiendas textiles, que le dan paso a Rattan
C.A. en el año de 1978 ubicada en la Av. 4 de Mayo en un local propio de
aproximadamente 1000 m2, su objetivo principal comercializar mercancía
bajo el Régimen de Puerto Libre de Margarita. Los principales rubros que
ofrecía en venta eran artículos del hogar, ferretería, mueblería y alfombras.
Manteniendo siempre su confianza y visión de futuro, el grupo introduce
en Venezuela específicamente en Margarita el innovador concepto de
Hypermarket convirtiéndose así en una gran tienda por departamento con
supermercado y panadería en un área de 17.000 m2.
La compañía redobla sus esfuerzos y para el año 1990 invierte en la
creación de un centro comercial, Rattan Plaza ubicado en la Urb. Playa el
Ángel - Pampatar e incluye dos nuevos locales Rattan Depot orientada
fundamentalmente al sector construcción y Rattan Cash & Carry a la
distribución al por mayor y al detal de víveres e insumos para hoteles,
restaurantes, entre otros.
En el año 2005 se constituye Rattan Hypermarket C.A. Iniciándose un
vital crecimiento y expansión hacia otros municipios dentro de la Isla. De
acuerdo a las exigencias del mercado Cash&Carry cambia su concepto y
pasa a ser un nuevo hipermercado “RATTAN HYPERPLAZA”.
2
7. A fin de brindarles más comodidad, conveniencia y rapidez se crearon
Rattan Express ubicado en el Hotel Macanao de Margarita y Rattan Express
Paraguachí ubicado estratégicamente en la Av. 31 de Julio vía Playa el
Agua.
El año 2009, culmina abriendo una de sus más modernas tiendas con lo
último en mobiliario, equipo y tecnología, Rattan Paraguaná ubicada dentro
de las instalaciones del Sambil Ciudad Turística Punto Fijo – Falcón
Ubicación de la empresa.
Ubicación principal Av. 4 de Mayo. Centro Comercial Rattan
Porlamar, isla de Margarita, Estado Nueva Esparta, Venezuela. Zona postal
6301.
Rattan Hypermarket
Sucursales:
3
8. Rattan HyperPlaza
Ubicación:
Centro Comercial Rattan Plaza
Av. Jovito Villalba con Av. Aldonza
Manrique
Urb. Playa El Ángel
Pampatar – Isla de Margarita
Edo. Nueva Esparta – Venezuela
Rattan Express Macanao
Ubicación:
Calle Los Uveros, Hotel Macanao
Urb. Costa Azul
Pampatar – Isla de Margarita
Edo. Nueva Esparta – Venezuela
Rattan Express Paraguachi
Ubicación:
Av. 31 de Julio, Sector Paraguachí,
vía playa El Agua, Municipio Antolín
del Campo, Isla de Margarita, Edo.
Nueva Esparta – Venezuela
4
9. Rattan Express Paraguaná
Ubicación:
Av. Alí Primera, sector Hato Muerto
de Punto Fijo, dentro de las
instalaciones Sambil Ciudad
Turística, Falcón – Venezuela
Rattan Barquisimeto
Ubicación:
Centro Comercial Sambil
Barquisimeto
Av. Venezuela con Av. Bracamonte y
Av. Críspulo Benítez
Zona Este, Barquisimeto
Edo. Lara – Venezuela
Código postal 3001
Visión
Ser la tienda líder, por departamento garantizando el mejor servicio a
sus clientes, así como la mayor variedad y calidad en sus productos
nacionales e importados.
Misión
Ser líderes en cadenas de tiendas por departamento diferenciados
por la innovación, la calidad de servicio, la variedad y calidad de los
productos ofrecidos con el fin de satisfacer en forma óptima las necesidades
de nuestros clientes y obtener una rentabilidad adecuada, contando para ello
con un personal altamente comprometido con la organización.
5
11. Análisis FODA
Análisis Interno.
Fortalezas
Tratamiento
Debilidades
personalizado
a
No se cuenta con manuales de
clientes, orientación y asesoramiento.
Integración
de
productos
normas y procedimientos.
y
No
se
realizan
Backups
o
servicios buscando sinergias entre
respaldos de la información que se
ellos.
encuentran en los servidores.
Innovación constante.
Personal
No se realizan auditorías internas
capacitado
y externas en la empresa.
y
comprometido con la visión de la
empresa. Sistema de información
integrado
(compras
ventas,
almacén).
Análisis Externo.
Oportunidades
Amenazas
Valoración positiva de las TIC en
Oferta de productos a menor
la organización.
precio
por
parte
de
la
competencia.
Costos cada vez menores para las
organizaciones para la aplicación de
La
las TIC.
escasez de divisas.
Lealtad de los clientes hacia la
inestabilidad
económica
y
Falta de actualización de los
organización.
sistemas informáticos.
Ubicación estratégica del local.
Escasez de productos de primera
necesidad.
7
12. Organigrama de la empresa.
Estructura Organizativa de la Empresa Rattan Hypermarket C.A
DIRECTOR
PRINCIPAL
COMITÉ
DIRECTIVO
DIRECCIÓN DE
OPERACIONES
GERENCIA POR
CATEGORÍA
GERENCIA
TRADE
MARKETING
GERENCIA DE
PLANTA
DIRECCIÓN DE
COMPRAS E
INSUMOS
DIRECCIÓN DE
TECNOLOGÍA
DIRECCIÓN DE
ADMINISTRACIÓN
DIRECCIÓN DE
PROYECTOS E
IMAGEN
DIRECCIÓN DE
LOGÍSTICA Y
SEGURIDAD
DIRECCIÓN DE
CAPITAL HUMANO
GERENCIA
COMPRAS
NACIONALES
GERENCIA
INFRAESTRUCTUR
A
GERENCIA
CONTABILIDAD
GERENCIA
DE IMAGEN
GERENCIA
ALMACÉN
GERENCIA
CAPTACIÓN Y
SELECCIÓN
GERENCIA
COMPRAS E
IMPORTACIONES
GERENCIA
TELECOMUNICAC.
GERENCIA
PAGOS
GERENCIA DE
MANTENIMIENTO
GERENCIA
PROTECCIÓN
Y SERVICIO
GERENCIA
DE GESTIÓN
HUMANA
GERENCIA
SISTEMAS
GERENCIA
INMOBILIARIA
GERENCIA DE
DIBUJO
ARQUITECTÓNICO
GERENCIA
DE SSL
GERENCIA DE
UNIVERSIDAD
CORPORATIVA
GERENCIA
RECEP.
MERCANCÍA
GERENCIA DE
CAPITAL SOCIAL
GERENCIA DE
PRODUCCIÓN DEL
CPA
GERENCIA
DE VALIDACIÓN
GERENCIA DE
CONSTRUCCIÓN
GERENCIA
ASESORÍA LEGAL
GERENCIA DE
DESARROLLO
ORG.
GERENCIA
AUDITORÍA
GERENCIA DE
INVENTARIO
GERENCIA DE
COMUNIC.
INTERNAS
GERENCIA DE
ADM. DE
PERSONAL
Fuente: elaboración propia 2014
8
13. Descripción de las Áreas.
La Empresa Rattan Hypermarket C.A, presenta en un organigrama de
tipo mixto. Según Enrique B. Franklin, un organigrama mixto: “utiliza
combinaciones verticales y horizontales para ampliar las posibilidades de
graficación. Se recomienda utilizarlos en el caso de organizaciones con un
gran número de unidades en la base.”
En cuanto a su estructura organizacional, se muestra de la siguiente
forma:
Un Director Principal, que toma las grandes decisiones y supervisa todo
el movimiento operativo, tanto de la sede principal, como en todas las
sucursales de RATTAN HYPERMARKET C.A. Es quien evalúa también
operaciones administrativas y evalúa las decisiones tomadas por la directiva,
relacionadas con los objetivos y el desarrollo de la organización.
Un Comité Directivo, que se encarga de la toma de decisiones
importantes junto con el Director Principal, relacionadas al desarrollo de la
organización.
Una Dirección de Administración, que supervisa el movimiento de las
ventas, las operaciones contables de los departamentos correspondientes,
es garante del buen desempeño de todos los departamentos administrativos;
Contabilidad, Pagos, Inmobiliaria, Auditoria, Asesoría Legal, Validación,
Administración de Personal.
Una Dirección de Operaciones, que tiene como función velar por el
cumplimiento de las normativas de la empresa, así como también supervisar
el movimiento de las ventas diarias de cada uno de los departamentos
correspondientes para tal fin, por cada sucursal. A la par, esta dirección tiene
en su haber la Gerencia de Trade Marketing, Gerencia por categoría. Sus
funciones son velar de forma constante las actividades importantes y los
9
14. objetivos de todos los departamentos de la organización; es quien trabaja y
evalúa las propuestas que se hacen ver como metas de cada departamento.
También cuenta con el Centro de Procesamiento de Alimentos, el cual se
encarga de todo lo relacionado a la elaboración de productos (carnicería,
frutas, legumbres, panadería y pastelería) para luego ser llevados a la venta.
Una Dirección de Tecnología, que se encarga de mantener en óptimas
condiciones todo el entorno de sistemas, instruir a los usuarios sobre las
distintas herramientas que posee para satisfacer las necesidades de la
empresa y velar por el buen funcionamiento de los equipos de computación,
así como también supervisar en forma constante el inventario lógico de la
empresa. Está compuesto por las siguientes Gerencias: Infraestructura,
Telecomunicaciones y Sistemas.
Una Dirección de Logística, que se encarga de supervisar las
actividades realizadas por el Departamento de Recepción de Mercancía y
Despacho, Almacén, Protección y Servicio, Seguridad y Salud Laboral.
Una Dirección de Capital Humano, conformada por Gestión Humana,
Captación y Selección, Capital Social, Comunicaciones Internas. Desarrollo
Organizacional; que tiene como función, administrar las actividades del
personal que labora en RATTAN HYPERMARKET C.A, llevar a cabo las
actividades de formación, preparación y desarrollo de cada empleado de la
empresa, estudiar todos y cada uno de los datos previamente escritos en
planilla de solicitud de empleo, por la persona que desee optar por un cargo
dentro de la misma, en fin, todo lo relacionado con el personal que se
encuentre dentro de la organización y quien aspire a estarlo.
Una Dirección de Compras e Insumos, el cual se encarga de canalizar
las compras de altos costos, entre ellas el mobiliario de la empresa, y atiende
todo lo relacionado con la importación de mercancía y nacionalización de la
misma.
10
15. Una Dirección de Proyectos, que está conformado a su vez por una
Gerencia
de
Imagen,
de
Mantenimiento,
Construcción
y
Dibujo
Arquitectónico. Esta dirección se ocupa del diseño y desarrollo de proyectos
arquitectónicos y todo lo referente a la estructura de la empresa, manejo de
equipos y mobiliarios para la misma, además de su imagen.
Organigrama de la Sucursal Hypermarket
Gerencia de sucursal
Área
Administrativa
Tecnología
e imagen
Logística y
seguridad
Área de
perecederos
Áreas no
perecederas
Capital
Humano
Infraestructura
Almacén
Carnicería
Cajas
Inventario
Mantenimiento
técnico
Protección y
servicio
Charcutería
Cuidado
personal
Seguridad
laboral
Congelados
Farmacia
Recepción
mercancía
Frulever
Licores
Panadería
Pasillo
Validación
Pescadería
Fuente: Elaboración Propia 2014
11
16. METODOLOGIA COBIT
Modelo de Madurez
El modelo de madurez para la administración y el control de los
procesos de TI se basa en un método de evaluación de la organización, de
tal forma que se pueda evaluar a sí misma desde un nivel de no-existente (0)
hasta un nivel de optimizado (5). Este enfoque se deriva del modelo de
madurez que el Software Engineering Institute definió para la madurez de la
capacidad del desarrollo de software. Cualquiera que sea el modelo, las
escalas no deben ser demasiado granulares, ya que eso haría que el sistema
fuera difícil de usar y sugeriría una precisión que no es justificable debido a
que en general, el fin es identificar dónde se encuentran los problemas y
cómo fijar prioridades para las mejoras. El propósito no es evaluar el nivel de
adherencia a los objetivos de control.
Utilizando los modelos de madurez desarrollados para cada uno de los
34 procesos TI de COBIT, la dirección superior podrá identificar:
• El desempeño real de la empresa—Dónde se encuentra la empresa
hoy.
• El objetivo de mejora de la empresa—Dónde desea estar la
empresa.
• El crecimiento requerido entre “como es” y “como será”.
Gráficamente el modelo de madurez se describe a continuación.
12
17. El modelo de madurez es una forma de medir qué tan bien están
desarrollados los procesos administrativos, esto es, qué tan capaces son en
realidad. Qué tan bien desarrollados o capaces deberían ser, principalmente
dependen de las metas de TI y en las necesidades del negocio subyacentes
a las cuales sirven de base.
A continuación se presenta el modelo de madurez genérico a usarse en esta
auditoría:
Nivel de Madurez
Estado del Entorno de Control
Establecimiento de Control Interno
Interno
No se reconoce la necesidad del control
interno. El control no es parte de la cultura o
0 No Existe
misión organizacional. Existe un alto riesgo
de deficiencias e incidentes de control.
No existe la intención
de evaluar
la
necesidad del control interno. Los incidentes
se manejan conforme van surgiendo.
Se reconoce algo de la necesidad del
los
evaluar lo que se necesita en términos de
requerimientos de riesgo y control es a
controles de TI. Cuando se llevan a cabo,
desorganizado,
1 Inicial / ad hoc
No existe la conciencia de la necesidad de
control
o
son solamente de forma ad hoc, a alto nivel
las
y como reacción a incidentes significativos.
están
La evaluación sólo se enfoca al incidente
interno.
El
enfoque
sin
supervisión.
No
deficiencias.
Los
hacia
comunicación
se
identifican
empleados
no
consientes de sus responsabilidades.
Existen
Repetible
pero
La evaluación de la necesidad de control
sucede solo cuando se necesita para ciertos
conocimiento y motivación de los individuos.
Intuitivo
están
documentados. Su operación depende del
2
controles
pero
procesos
La efectividad no se evalúa de forma
determinar el nivel actual de madurez del
adecuada. Existen muchas debilidades de
control,
control
forma
alcanzado, y las brechas existentes. Se
apropiada; el impacto puede ser severo.
utiliza un enfoque de taller informal, que
Las medidas de la gerencia para resolver
involucra a los gerentes de TI y al equipo
problemas de control no son consistentes ni
interesado en el proceso, para definir un
y no se resuelven
no
presente.
de
13
seleccionados
el
nivel
meta
de
que
TI
debe
para
ser
18. tienen prioridades. Los empleados pueden
enfoque adecuado hacia el control para los
no
procesos, y para generar un plan de acción
estar
conscientes
de
sus
responsabilidades.
acordado.
Existen controles y están documentados de
Los procesos críticos de TI se identifican
forma adecuada. Se evalúa la efectividad
con base en impulsores de valor y de
operativa de forma periódica y existe un
riesgo. Se realiza un análisis detallado para
número
identificar requisitos de control y la causa
promedio
de
problemas.
Sin
embargo, el proceso de evaluación no está
documentado. Aunque la gerencia puede
desarrollar
manejar la mayoría de los problemas de
Además
control
algunas
herramientas y se realizan entrevistas para
debilidades de control persisten y los
apoyar el análisis y garantizar que los
impactos
3 Definido
raíz
Los
dueños de los procesos de TI son realmente
sus
los dueños e impulsan al proceso de
de
forma
pueden
empleados
están
predecible,
ser
severos.
consientes
de
responsabilidades de control.
de
las
brechas,
así
oportunidades
de facilitar
como
de
talleres,
para
mejora.
se usan
evaluación y mejora.
Se define de forma periódica qué tan
Existe un ambiente efectivo de control
críticos son los procesos de TI con el apoyo
interno y de administración de riesgos. La
y acuerdo completo por parte de los dueños
evaluación formal y documentada de los
de
controles
La
evaluación de los requisitos de control se
basa en las políticas y en la madurez real
de estos procesos, siguiendo un análisis
que la gerencia detecte la mayoría de los
meticuloso y medido, involucrando a los
problemas de control, aunque no todos los
Interesados
rendición
Hay
y
periódica.
problemas se identifican de forma rutinaria.
Administrado
para
evaluaciones es clara y está reforzada. Las
un
manejar
seguimiento
las
forma
correspondientes.
realizan de forma periódica. Es probable
Medible
de
procesos
Muchos controles están automatizados y se
4
ocurre
los
consistente
debilidades
de
(Stakeholders)
de
cuentas
clave.
sobre
La
estas
control
estrategias de mejora están apoyadas en
identificadas. Se aplica un uso de la
casos de negocio. El desempeño para
tecnología táctico y limitado a los controles
lograr los resultados deseados se supervisa
automatizados.
de forma periódica. Se organizan de forma
ocasional revisiones externas de control.
Un programa organizacional de riesgo y
Los cambios en el negocio toman en cuenta
control proporciona la solución continua y
que tan críticos son los procesos de TI, y
efectiva a problemas de control y riesgo. El
cubren cualquier necesidad de re-evaluar la
control interno y la administración de
capacidad del control de los procesos. Los
riesgos
dueños de los procesos realizan auto-
siente
empresariales,
5 Optimizado
gran
a
apoyadas
las
prácticas
con
una
evaluaciones
de
forma
periódica
para
supervisión en tiempo real, y una rendición
confirmar que los controles se encuentran
de cuentas completa para la vigilancia de
en el nivel correcto de madurez para
los controles, administración de riesgos, e
satisfacer las necesidades del negocio, y
implantación
La
toman en cuenta los atributos de madurez
evaluación del control es continua y se basa
para encontrar maneras de hacer que los
en auto-evaluaciones y en análisis de
controles sean más eficientes y efectivos.
brechas y de causas raíz. Los empleados
La organización evalúa por comparación
del
cumplimiento.
14
19. se involucran de forma pro-activa en las
con las mejoras prácticas externas y busca
mejoras de control.
asesoría externa sobre la efectividad de los
controles internos. Para procesos críticos,
se realizan evaluaciones independientes
para proporcionar seguridad de que los
controles se encuentran al nivel deseado de
madurez y funcionan como fue planeado.
AUDITORIA DE TICS APLICANDO COBIT
La Auditoría de Gestión a las Tecnologías de Información y
Comunicaciones,
(independiente),
consiste
en
el
crítico (evidencia),
examen
de
sistemático
carácter
(normas)
objetivo
y selectivo
(muestral) de las políticas, normas, funciones, actividades, procesos e
informes de una entidad, con el fin de emitir una opinión profesional
(imparcial) con respecto a: eficiencia en el uso de los recursos informáticos,
validez y oportunidad de la información, efectividad de los controles
establecidos y la optimización de los recursos tecnológicos.
Este enfoque es totalmente compatible con las prácticas y controles
contenidos en COBIT, ITIL, estándares o normativa que relaciona el enfoque
COSO, SAC, NIAS, Estándares de Seguridad de la Información (ISO 27000)
entre otros, que hacen referencia a las pistas de auditoría en los sistemas
informáticos, controles de acceso a los sistemas, bases de datos, Áreas de
Tecnología de la Información y Comunicaciones (TIC) área de servidores,
codificación de la información, prevención de virus, fraude, detección y
mitigación de intrusos, entre otros; estos estándares no proporcionan un
criterio legal aplicable si no han sido adoptados por la entidad, pero sí
procedimientos de auditoría para examinar la gestión tecnológica en las
diferentes organizaciones del sector público.
15
20. Área a Auditar
El área a auditar es el departamento de sistemas de la empresa
RATTAN HYPERMARKET C.A, debido a que allí se encuentran ubicados
gran parte de los equipos de cómputo con los que cuenta la Organización en
esa sucursal.
PROCESO DE RECOLECCIÓN DE INFORMACIÓN
Técnicas de Recolección de Datos
En un proceso de investigación para buscar alternativas de solución a
un problema determinado de la realidad o, para la producción de nuevos
conocimientos, que requiere de la aplicación de técnicas e instrumentos de
recolección de información (Castañeda, De la Torre, Morán y Lara, 2004).
Para esta investigación las técnicas de recolección de datos utilizadas
fueron:
Observación Directa no Participe o Simple
Según Arias (2006) define observación como “aquella que se realiza
cuando el investigador observa de manera neutral sin involucrarse en el
medio o realidad en la que se realiza el estudio”, (p. 69). Es una técnica que
consiste en observar atentamente el fenómeno, hecho o caso, tomar
información y registrarla para su posterior análisis. La observación es un
elemento fundamental de todo proceso investigativo; en ella se apoya el
investigador para obtener el mayor número de datos.
Ventajas de la observación.
Se puede obtener información independientemente del deseo de
16
21. proporcionarla.
Los fenómenos se estudian dentro de su contexto.
Los hechos se estudian sin intermediarios.
Limitaciones de la observación.
La proyección del observador.
Es posible confundir los hechos observados y la interpretación de
esos hechos.
Es posible la influencia del observador sobre la situación observada.
Existe el peligro de hacer generalizaciones no válidas a partir de
observaciones parciales.
La Entrevista
La entrevista, según Sabino, Carlos. El proceso de la investigación
científica. Buenos Aires: El Cid Editor. (1978). es un encuentro cara a cara
entre personas que conversan con la finalidad, al menos de una de las
partes, de obtener información respecto de la otra. En el contexto específico
de la investigación, la entrevista se define como una conversación entre un
investigador y una persona que responde a preguntas orientadas a obtener
la información exigida por los objetivos específicos de estudio. La tenemos
Dos modalidades: entrevista estructurada y no estructurada (ob. cit).
La entrevista estructurada o cerrada, es aquella que se
conduce de manera rígida por medio de una lista de preguntas que funcionan
como guía, de la cual el entrevistador no puede desviarse. (James Gordon
Bennett 1836)
La entrevista no estructurada o abierta, se trata de una
conversación que dirige el entrevistado, pero que controla el entrevistador;
esta no sigue orden o guía, se van realizando las preguntas, según el curso
17
22. que vaya tomando el evento, como las entrevistas realizadas a los
informantes claves: Lcdo. Dimas Bucaritto, Director de Personal, y el Lcdo.
Freddy Santana, encargado del Departamento de Registro y Estadística,
para recolectar la información de los procesos que realiza el departamento.
Ventajas de la entrevista:
Es eficaz para obtener datos relevantes.
La información obtenida es susceptible de cuantificar y de aplicar
tratamiento estadístico.
Limitaciones de la entrevista:
Todas las respuestas tienen igual validez.
Posibilidad de incongruencias entre lo que se dice y lo que se hace.
Las respuestas dependen del interés y motivación del entrevistado.
DOCUMENTOS DE GESTION EN EL ÁREA INFORMÁTICA
Para explicar lo que es Gestión de Documentos o Gestión Documental
se partirá de la definición presentada por Elisa García-Morales que nos
dice:“es la parte del sistema de información de la empresa desarrollada con
el propósito de almacenar y recuperar documentos, que debe estar diseñada
para coordinar y controlar todas aquellas funciones y actividades específicas
que
afectan
a
la
creación,
recepción,
almacenamiento,
acceso
y
preservación de los documentos, salvaguardando sus características
estructurales, y contextuales, y garantizando su autenticidad y veracidad."
Actualmente “RATTAN HYPERMARKET C.A” no cuenta con el manual
de procedimientos administrativos informáticos, ni tampoco cuenta con la
documentación requerida las cuales son:
Mantenimiento de Equipos de Cómputo.
Un Plan de Contingencias.
18
23. PLAN DE LA AUDITORIA EN EL AREA INFORMÁTICA
Para el Plan de desarrollo de la Auditoria, se cuenta con el apoyo de la
alta gerencia de la Organización, solicitando la participación de los
principales trabajadores de la Organización y en donde se realizaran las
siguientes acciones:
Nº
ACTIVIDADES
1
Observación General del Área de Informática.
2
Entrevistas a los trabajadores del Área de Informática.
3
Analizar con que documentos de Gestión y Técnicos cuentas.
4
5
6
7
Verificar si que los equipos de los que se cuenta en la actualidad
concuerdan con su inventario.
Análisis de las claves de acceso, control, seguridad, confiabilidad y
respaldos.
Evaluar las tecnologías de información (TI), tanto en hardware como
en software.
Evaluación de la seguridad física, lógica y de redes.
HERRAMIENTAS Y TECNICAS
HERRAMIENTAS
Libreta
de
Notas,
Guía
TECNICAS
de
Observación, Papel, Lapicero, entre
otros.
19
Observación Directa, Entrevistas y
Cuestionarios
24. MOTIVO O NECESIDAD DE LA AUDITORIA
Con la introducción de las computadoras en los negocios, comienza la
preocupación por parte de la gerencia en lo relacionado con la información,
encontrando como principales razones las siguientes:
Los controles Insuficientes
La complejidad de la Información.
La Participación Insuficiente del Sistema.
La Falta de Normas en la Clasificación de la Información.
El Peligro del Fraude.
La Falta de Auditoría Independiente Adecuada.
El Rendimiento Inadecuado Sobre la Inversión.
La pérdida potencial como resultado de errores y omisiones.
La pérdida potencial por controles inadecuados.
La pérdida potencial por fraude o desfalco.
Normalmente las áreas de preocupación arribas mencionadas, son en
su mayoría controlables a través de una buena auditoría interna de sistemas.
Pero unas de las debilidades tradicionales, en gran parte de las empresas e
instituciones privadas y gubernamentales, en el ambiente latinoamericano, es
la ausencia de una adecuada función de la auditoría interna del sistema.
Unos de los objetivos de esta auditoría de sistema en particular es
precisamente la de colaborar arduamente para la superación de estos tipos
de problemas en dicha empresa.
A continuación se enumera de manera resumida, los beneficios que
esta auditoría de sistemas ha traído a la empresa o que traerá una vez
implantada dicha auditoria.
Mejores controles en los sistemas de aplicación.
Menor posibilidad de pérdida o fraude.
20
25. Mayor confianza y satisfacción del usuario.
Menos errores y omisiones de operación debido a mejores
controles.
Costos inferiores de operación en la información.
Mejor uso de equipos y mayor eficiencia de operación.
Menor costo y tiempo en el desarrollo de los sistemas de aplicación.
Mejores servicios y satisfacción de sus clientes.
MODELOS DE MADUREZ A NIVEL CUALITATIVO (COSO)
EL
informe
COSO,
emitido
por
el
Committee
of
Sponsoring
Organization of Treadway Commission (Comité de la Organización de
Patrocinio de la comisión de Marcas) sobre Control Interno, presenta la
siguiente definición:
El control interno es un
proceso, efectuado por el consejo de
administración, la dirección y el resto del personal de una entidad, diseñado
con el objeto de proporcionar un grado de seguridad razonable en cuanto a
la consecución de objetivos dentro de las siguientes categorías:
• Eficacia y eficiencia de las operaciones
• Fiabilidad de la información financiera
• Cumplimiento de las leyes y normas aplicables
COMPONENTES DEL CONTROL INTERNO
Los componentes del sistema de Control Interno pueden considerarse
como un conjunto de normas que son utilizados para evaluar el control
interno y determinar su efectividad; la estructura de control interno en el
sector gubernamental tiene los siguientes componentes:
21
26. a) Ambiente de control
b) Evaluación de riesgos
c) Actividades de control
d) Información y comunicación
e) Supervisión y seguimiento
CAPÍTULO II
EJECUCIÓN DE LA AUDITORÍA
Situación Actual del Área De Sistemas
Ubicación.
El área de infraestructura se encuentra al lado de las oficinas de
capital humano y seguridad y salud laboral. Tiene la responsabilidad de
resolver todo lo relacionado con los procesos de sistemas y equipos
tecnológicos con que cuenta la sucursal para cumplir su función.
Objetivos del departamento
Garantizar la asistencia a los usuarios que reportan fallas con
hardware y software de aplicaciones que son necesarios para su labor diaria.
Ejecutar las actividades requeridas por las demás áreas y gerencia en
cuanto a soporte técnico se refiera.
Suministrar mecanismos de seguridad física y lógica de hardware,
software y redes de Rattan Hypermarket C.A.
Mantener un inventario considerado de hardware y periféricos.
Realizar mantenimiento preventivo a equipos de tecnológicos de todas
las áreas de Rattan Hypermarket C.A.
22
27. Conservar y nutrir la empresa de equipos tecnológicos de manera que
este en primeros lugares de innovación tecnológica.
Organigrama del Departamento de infraestructura.
Coordinador
General
Analista de Soporte
Técnico
Analista de
Soporte Técnico
Lcdo. Deivis Acosta = Coordinador General de Soporte Técnico
Ing. César Alfonzo = Analista de Soporte Técnico
Lcdo. Carlos Moreno = Analista de Soporte Técnico
Seguridad Del Departamento
Seguridad física:
Establecer un sistema contra incendio y la capacitación adecuada
para el manejo de estos, tanto en el cuarto de servidores como oficina.
Dividir el cuarto de servidores, de manera que los equipos que se
encuentran en stock estén independientes del área.
Hacer uso de estándares de calidad de acuerdo a las normas
ISO/IEC, IEEE, ITIL y otros.
23
28. Realizar una auditoría de la tecnología de la información externa a
Rattan Hypermarket C.A, debido a que lo necesita.
Seguridad de los datos:
Realizar mensualmente Backups de la base de datos de los
servidores.
El departamento de infraestructura cuenta con:
Seguridad física:
Puerta principal que solo el personal de esa área tiene acceso
Puerta que da acceso a la parte de los servidores y que solo el
personal de esa área tiene acceso a través de llaves.
Dos cámaras de seguridad, una el área de servidores y otra en el área
de oficina.
Respecto a los datos:
Algunos usuarios poseen permiso para utilizar en los equipos
unidades extraíbles y la unidad de cd.
No se permite realizar descargas ni instalar programas a usuarios no
autorizados. En dado caso que el usuario requiera instalar una aplicación
necesaria en su equipo el personal de soporte técnico, podrá acceder a
través de una cuenta y clave que solo ellos poseen y es permitida en casos
que requieran.
Solo el personal de soporte tiene acceso a los servidores y bases de
datos.
Características De La Plataforma Tecnológica
La plataforma tecnológica está formada por los diferentes servidores de
24
29. Internet y programas de desarrollo propio que permiten integrar todos los
servicios que ofrece en único entorno de trabajo de funcionamiento
Empresarial.
En cuanto a la plataforma tecnológica el área cuenta con un cuarto de
servidores, y un enlace de red banda ancha suministrado a través de
antenas con Sistema Canopy. El departamento posee:
4 (Cuatro) Servidores físicos.
6 (Seis) Servidores virtuales.
7 (Sietes) Switch.
12 (Doce) Pachpanel.
1 (Un) Ups de comunicación NXb 30 KVA, Marca Emerson que da
comunicación al cuarto de servidores.
2 (Dos) Antenas de comunicación a través de la red de banda ancha
Canopy. La red principal es de Digitel y el secundario es de la
telefónica Movistar.
Determinación de los Problemas y Planteamiento de Hipótesis.
Posibles Problemas
Pueda que algún servidor se quede inhibido debido a que están
activos los 365 días del año.
Falla en alguno de los discos duros de los servidores.
Falta
de
una
planificación
estratégica
del
departamento
de
infraestructura.
Falla en la seguridad de algún equipo, lo que puede generar
desviación de la información y datos que maneja la empresa.
Falla en el encendido del ups de comunicación.
Falla en la seguridad lógica y física de los equipos informáticos.
25
30. Formulación de hipótesis:
La organización cuenta con buena seguridad en cuanto a los recursos
informáticos y humanos, debido a que existen políticas de usuarios y manejo
de equipos.
En dado caso ocurra algún problema con los servidores, la
organización cuenta con un sistema de monitoreo de plataforma tecnológica,
el cual recibe una alerta y actúa de inmediato para solucionar la problemática
que se presente.
APLICACIÓN DE LA AUDITORIA
Modelo de Madurez de los Procesos
Nota: Elaboración propia 2014.
26
31. Reporte General de los Grados de Madurez
DOMINIO
1
Definir los procesos, la información y las
relaciones de TI.
2
Identificar soluciones automatizadas
1
Adquirir recursos de tecnologías de información.
ADQUIRIR E
IMPLEMENTAR
NIVEL DE
MADUREZ
Definir el plan estratégico tecnológico
PLANIFICAR Y
ORGANIZAR
PROCESO
4
Nota: Elaboración propia 2014.
Resumen de Procesos y Criterios de Información por Impacto
Procesos
Total nivel de
impacto
Total nivel de
impacto
Total real nivel
de impacto
Total real nivel
de impacto
Total nivel real
de impacto
Total nivel real
de impacto
Total nivel de
impacto
Criterios de
Información
Efectividad
Procesos TI
Nivel de
Madurez
4
Confiabilidad
Recursos
Humanos
Sistemas de
Aplicación
Tecnología
Confidencialidad
Sistematización
1
Integridad
Instalaciones
2
Disponibilidad
Datos
3
Cumplimiento
Computo
1
Eficiencia
Nota: Elaboración propia 2014
Análisis de Criterios
Efectividad: en este criterio se obtuvo un 4% de 10%
27
3
4
32. Eficiencia: en este criterio se obtuvo un 3% de 10%
Confiabilidad: en este criterio se obtuvo un 4% de 10%
Confidencialidad: en este criterio se obtuvo un 1% de 10%
Integridad: en este criterio se obtuvo un 2% de 10%
Disponibilidad: en este criterio se obtuvo un 3% de 10%
Cumplimiento: en este criterio se obtuvo un 2% de 10%
Recursos humanos: en este criterio se obtuvo un 4% de 10%
Sistemas de aplicación: en este criterio se obtuvo un 3% de 10%
Tecnología: en este criterio se obtuvo un 4% de 10%
Sistematización: en este criterio se obtuvo un 2% de 10%
Instalación: en este criterio se obtuvo un 2% de 10%
Datos: en este criterio se obtuvo un 3% de 10%
Computo: en este criterio se obtuvo un 1% de 10%
Resultados Finales del Impacto sobre los Criterios de la Información
Total nivel real de impacto
Total real nivel de impacto
Porcentaje alcanzado
4,3
5,6
9,9
Gráfica Representativa del Impacto de los Criterios de Información.
28
33. Actividad 7
Actividad 6
Actividad 5
Sitemas de aplicacion
Recursos Humanos
Actividad 4
Confidencialidad
Eficiencia
Actividad 3
Efectividad
Actividad 2
Actividad 1
0
1
2
3
4
5
Nota: Elaboración propia 2014.
CAPÍTULO III
ANÁLISIS DE LOS RESULTADOS
Informe Técnico
Alcance
La auditoría pretende evaluar el departamento de infraestructura de la
empresa RATTAN HYPERMARKET C.A, mediante el proceso el auditor
proporcionará conclusiones y recomendaciones a las actividades que son
realizadas en dicha organización empleando la metodología COBIT 4.1.
Objetivos
Objetivo General
29
34. Realizar auditoria al departamento de infraestructura de RATTAN
HYPERMARKET C.A, mediante el uso de la metodología COBIT 4.1.
Objetivos Específicos
Identificar los problemas técnicos en el departamento de sistemas de
RATTAN HYPERMARKET C.A.
Detallar cuáles controles permitirán reducir los riesgos en el
departamento de infraestructura de RATTAN HYPERMARKET C.A.
Elaborar el informe técnico y ejecutivo de la auditoría.
A continuación se muestran detalladamente los resultados de evaluar
cada proceso.
Dominio Planear y Organizar
PO1. Definir un plan estratégico.
Conclusión.- el proceso se encuentra en el nivel de madurez debido a
que no cuenta con un plan estratégico establecido.
Recomendación Cobit: Alinear el departamento de sistema con el
negocio, e instruir a los encargados del área sobre las capacidades
tecnológicas de la actualidad y el futuro.
PO2. Definir la Arquitectura de la Información.
Conclusión.- el proceso se encuentra en el nivel de madurez 1, a pesar
de su importancia no se elabora.
Recomendación Cobit: Definir e implementar procedimientos para
brindar integridad y consistencia de los datos o información crítica y sensible
que se encuentran almacenados en el departamento de infraestructura de
RATTAN HYPERMARKET C.A.
PO3. Determinar la Dirección Tecnológica.
Conclusión.- el proceso se encuentra en el nivel de madurez 1, puesto
que el desarrollo de componentes tecnológicos e implantación de tecnologías
30
35. emergentes son aisladas.
Recomendación Cobit: Crear y mantener un plan de infraestructura
tecnológica que se empareje con los planes estratégicos.
PO4. Definir los Procesos la Organización y las Relaciones del
Departamento de Sistemas.
Conclusión.- el proceso se encuentra en el nivel de madurez 2 puesto
que las necesidades de los usuarios y relaciones con proveedores se
responden de forma táctica aunque inconsistentemente.
Recomendación Cobit: Definir un marco de trabajo para el proceso del
departamento de infraestructura para ejecución del plan estratégico,
incluyendo la estructura y relaciones de procesos.
PO5. Administrar la Inversión del Departamento de Infraestructura.
Conclusión.- la responsabilidad y rendición de cuenta para la selección
de presupuestos de inversiones son asignadas en específico al Jefe del
departamento de sistemas y el jefe del departamento financiero.
Recomendación Cobit: Incluir un análisis de costo y beneficio a largo
plazo del ciclo total de vida en la toma de decisiones de inversiones.
Dominio Adquirir e Implementar.
AI1. Identificar Soluciones Automatizadas.
Conclusión.- el proceso se encuentra en el nivel de madurez 1 puesto
que existe la conciencia de la necesidad de definir requerimientos y de
identificar soluciones tecnológicas, las necesidades son analizadas de
manera informal y por ciertos individuos.
Recomendación
Cobit:
Resaltar,
priorizar,
especificar
los
requerimientos funcionales y técnicos del departamento de sistemas de
RATTAN HYPERMARKET C.A priorizando el desempeño, el costo, la
31
36. confiabilidad, la compatibilidad, la auditoría, la seguridad, la disponibilidad, y
continuidad, la funcionalidad y la legislación.
AI2. Adquirir y Mantener Software Aplicativo.
Conclusión- el proceso se encuentra en el nivel de madurez 2 por
cuanto existen procesos de adquisición y mantenimiento de software
aplicativo en base a la experiencia.
Recomendación
Cobit:
Realizar
un
diseño
detallado,
y
los
requerimientos técnicos del software y garantizar integridad de la
información.
AI3. Adquirir y Mantener la Infraestructura Tecnológica.
Conclusión.- el proceso se encuentra en el nivel de madurez 1, ya que
no se cuenta con un plan de adquisición de tecnología, por Io tanto no se
controlan los procesos de adquirir, implantar y actualizar infraestructura
tecnológica.
Recomendación
Cobit:
Proteger
la
infraestructura
tecnológica
mediante medidas de control interno, seguridad durante la configuración,
integración y mantenimiento de hardware y software de la infraestructura
tecnológica.
AI4. Facilitar la Operación y el Uso.
Conclusión.- el proceso se encuentra en el nivel de madurez 1, puesto
que no existe una generación de documentación, pero se tiene la conciencia
de que es necesario.
Recomendación Cobit: Realizar transferencia de conocimientos a la
parte gerencial Io cual permitirá que tomen posesión del sistema y los datos.
AI5. Adquirir Recursos de Tecnología de Información.
Conclusión- el proceso se encuentra en el nivel de madurez 4, ya que
la adquisición se integra totalmente con los sistemas generales del gobierno,
32
37. sigue el proceso de compras públicas en de algún recurso de tecnología de
información.
Recomendación Cobit: Establecer buenas relaciones con la mayoría
de proveedores y socios y hacer cumplir los derechos y obligaciones de
ambas partes en los términos contractuales.
Dominio Entregar Y Dar Soporte
DS1. Definir y Administrar los Niveles de Servicio.
Conclusión.- el proceso se encuentra en el nivel de madurez 1, ya que
no se administra los niveles de servicio, la rendición de cuentas no se
encuentra definido realmente.
Recomendación Cobit: Se debe definir un marco de trabajo para la
administración de los niveles de servicio y realizar un monitoreo y reporte del
cumplimiento.
DS2. Administrar los Servicios de Terceros.
Conclusión.- el proceso se encuentra en el nivel de madurez 3 por
cuanto existen procedimientos documentados para controlar los servicios de
terceros, los procesos son claros para realizar la negociación con los
proveedores.
Recomendación Cobit: Establecer criterios formales y estandarizados
para realizar la definición de los términos del acuerdo y asignar responsables
para la administración del contrato y del proveedor.
DS3. Administrar el Desempeño y la Capacidad.
Conclusión- el proceso se encuentra en el nivel de madurez 1, puesto
que los usuarios regularmente tienen que resolver los inconvenientes que se
presenten para aplacar las limitaciones de desempeño y capacidad.
Recomendación
Cobit:
Establecer
33
métricas
de
desempeño
y
38. evaluación de la capacidad y realizar un monitoreo continuo del desempeño
y la capacidad de los recursos.
DS4. Garantizar la Continuidad del Servicio.
Conclusión.- el proceso se encuentra en el nivel de madurez ,1 por
cuanto no se cuenta con un plan de continuidad de servicios.
Recomendación Cobit: Realizar pruebas regulares del plan de
continuidad, de forma que asegure que los sistemas sean recuperados de
forma efectiva.
DS5. Garantizar la Seguridad de los Sistemas.
Conclusión.- el proceso se encuentra en el nivel de madurez 1, ya que
la seguridad de los sistemas se encuentra a cargo de un solo individuo el
cual es el Jefe del departamento de sistemas, no existen responsabilidades
claras.
Recomendación Cobit: Realizar pruebas a la implementación de la
seguridad,
de
igual
forma
monitorearla,
para
garantizar
que
las
características de posibles incidentes de seguridad sean definidas y
comunicadas de forma clara y oportuna.
Dominio Monitorear y Evaluar.
ME1. Monitorear y Evaluar el Desempeño del Departamento de
Sistemas.
Conclusión- el proceso se encuentra en el nivel de madurez 0, por
cuanto no se cuenta con un proceso implementado de monitoreo, así como
con reporte útiles, oportunos y precisos sobre el desempeño.
Recomendación Cobit: Definir y recolectar los datos del monitoreo
mediante un conjunto de objetivos, mediciones, metas y comparaciones de
desempeño, comparándolo periódicamente con las metas.
34
39. ME2. Monitorear y Evaluar el control Interno.
Conclusión.- el proceso se encuentra en el nivel de madurez 0, por
cuanto, No se tiene procedimientos para monitorear la efectividad de los
controles internos.
Recomendación Cobit: Realizar una auto-evaluación del control
interno de la administración de procesos, políticas y contratos, mediante
revisiones de terceros asegurar la completitud y efectividad de los controles
internos.
ME3. Garantizar El Cumplimiento Regulatorio.
Conclusión.- el proceso se encuentra en el nivel de madurez 1 por
cuanto, se siguen procesos informales para mantener el cumplimiento
regulatorio.
Recomendación Cobit: Tener muy en cuenta las leyes y reglamentos
del comercio electrónico, privacidad, flujo de datos, reporte financieros,
propiedad intelectual, etc.
M4. Proporcionar Gobierno De Tecnología de Información.
Conclusión.- el proceso se encuentra en el nivel de madurez 0 por
cuanto no existe procesos de gobierno.
Recomendación Cobit: Contribuir al entendimiento del consejo
directivo y de los ejecutivos sobre temas estratégicos y garantizar la
optimización de la inversión, uso y asignación de los activos de mediante
evaluaciones periódicas.
Impacto Sobre los Criterios de Información
Criterios de la Información
Porcentajes
Efectividad
90%
Eficiencia
Observaciones
El objetivo es alcanzar el 100%, para
esto la información en HyperMarket
debe ser entregada de forma oportuna,
correcta, consistente y utilizable.
El objetivo es alcanzar el 100%, para
esto la información debe ser generada
80%
35
40. Confiabilidad
90%
Integridad
70%
Disponibilidad
optimizando los recursos.
El objetivo es alcanzar el 100%, para
esto la información vital sea protegida
contra la revelación no autorizada.
El objetivo es alcanzar el 100%, para
esto la información debe ser precisa,
completa y valida.
El objetivo es alcanzar el 100%, para
esto la información esté disponible
cuando esta sea requerida por parte de
las áreas del negocio en cualquier
momento.
El objetivo es alcanzar el 100%, para
esto las leyes, reglamentos y acuerdos
contractuales a los que está sujeta el
proceso del negocio, como políticas
internas.
El objetivo es alcanzar el 100%, para
esto se debe respetar y proporcionar la
información apropiada con el fin de que
la Gerencia General administre la
entidad.
85%
60%
Cumplimiento
Factibilidad
75%
Nota: Ejemplo. Tomado de proyecto de auditoría de la organización DATA CENTER E.I.R.L
Informe Ejecutivo
A continuación se detallaran los resultados de la evaluación de
procesos que recomienda COBIT 4.1, siendo evaluado en el departamento
de infraestructura de la empresa RATTAN HYPERMARKET C.A, los criterios
de información, encontrando el siguiente porcentaje, todos sobre el 100 %.
Ventas
10%
Efectividad
Deficit
90%
36
41. La efectividad consiste en que la información relevante sea entregada
de forma oportuna, correcta, consistente y utilizable, el criterio tiene un
promedio del 90%.
Criterio de Información:
Eficiencia
20%
Eficiencia
Déficit
80%
La eficiencia consiste en que la información debe ser generada
optimizando los recursos, el criterio tiene un promedio del 80%.
Criterio de Información:
Confiabilidad
10%
Confidencialidad
Déficit
90%
La confiabilidad consiste en que la información vital sea protegida
contra la revelación no autorizada, el criterio tiene un promedio del 90%.
37
42. Criterio de Información:
Integridad
70%
Déficit
30%
Integridad
La integridad consiste en que la información debe ser precisa, completa
y valida, el criterio tiene un promedio del 70%.
Criterio de Información:
Disponibilidad
15%
85%
Disponibilidad
Déficit
La disponibilidad consiste en que la información esté disponible cuando
sea requerida por parte de las áreas del negocio en cualquier momento, el
criterio tiene un promedio del 85%.
38
43. Criterio de Información:
Cumplimiento
40%
60%
Cumplimiento
Déficit
El cumplimiento consiste en que se debe respetar las leyes,
reglamentos y acuerdos contractuales a los que está sujeta el proceso del
negocio, como políticas internas, el criterio tiene un promedio del 60%.
Criterio de Información:
Confiabilidad
25%
75%
Confiabilidad
Déficit
La confiabilidad consiste en que se debe respetar y proporcionar la
información apropiada con el fin de que la Gerencia General administre la
entidad, el criterio tiene un promedio del 75%.
39
44. CAPÍTULO IV
RECOMENDACIONES Y CONCLUSIONES
Recomendaciones
El desarrollo de la auditoría interna propuesta para la empresa RATTAN
HYPERMARKET C.A, se realizo con la finalidad de obtener los mejores
niveles de rendimiento y lograr alcanzar los objetivos propuestos, por tal
motivo, se recomienda:
Implementar procedimientos de respaldo para brindar integridad y
consistencia de los datos o información crítica y sensible que se
encuentran almacenados en el departamento de sistemas de RATTAN
HYPERMARKET C.A.
Realizar auditorías externas cada 6 meses.
Realizar mantenimiento correctivo, preventivo de los equipos de
cómputo.
Realizar respaldos a toda la información que manejan los servidores.
40
45. CONCLUSIONES
La
auditoría de sistemas,
independiente,
la
evaluación
de
permite
a
través de
actividades,
funciones
una
revisión
específicas,
resultados u operaciones de una organización.
La realización, de la auditoria que se aplico en la empresa RATTAN
HYPERMARKET C.A. Mostró resultados satisfactorios para la organización
ya que se determinaron los impactos sobre sus criterios y su eficiencia.
Algunos de los resultados obtenidos fueron las mejoras en los controles
en los sistemas de aplicación, menor posibilidad de pérdida o fraude, mayor
confianza y satisfacción del usuario, menos errores y omisiones de operación
debido a mejores controles, costos inferiores de operación en la información,
mejor uso de equipos y mayor eficiencia de operación, menor costo y tiempo
en el desarrollo de los sistemas de aplicación y mejores servicios y
satisfacción de sus clientes.
Lo que se pretendía con la aplicación de la auditoria es evaluar el
departamento de sistemas de la empresa RATTAN HYPERMARKET C.A,
mediante el proceso, el auditor proporciono conclusiones y recomendaciones
a las actividades que se realizan en dicha organización empleando la
metodología COBIT 4.1.
El desarrollo de la auditoria aporto grandes opciones para el
mejoramiento de la empresa, cada grafico cumpliendo su función en dar
ideas claras para el buen funcionamiento.
41
46. GLOSARIO
Auditoria: Tiene como finalidad evaluar y mejorar la eficacia y eficiencia de
una organización, al examinar su gestión.
Administración: Valida las operaciones de recaudación, realiza la
facturación y cobranza y ejecuciones presupuestarias, compras y servicios,
recursos humanos y generación y entrega de indicadores de gestión.
Registro y Análisis: Cuya función corresponde a la auditoría interna de los
procesos y administración del archivo físico.
Sistematización de información: Ordenamiento y clasificación bajo
determinados criterios, relaciones y categorías de todo tipo de datos, ejemplo
la creación de una base de datos
Sistematización de experiencias: Las experiencias son vistas como
procesos desarrollados por diferentes actores en un período determinado de
tiempo, envueltas en un contexto económico y social, en una institución
determinada.
Sistematización: Proceso constante y aditivo de elaboración de
conocimiento luego de la experiencia en una realidad específica. Consiste en
el primer nivel de teorización de la práctica.
42
47. REFERENCIAS ELECTRONICAS
Fuente: http://es.scribd.com/doc/75065036/23/Factibilidad-Psicosocial [Fecha
de consulta: Dieciembre 2013]
Fuente: http://www.tecnologiadiaria.com/2010/07/diagramas-gantt-excel.html
[Fecha de consulta: Enero 2014]
Fuente:
http://es.wikipedia.org/wiki/Programaci%C3%B3n_orientada_a_objeto
[Fecha de consulta: Enero 2014]
Fuente:
http://www.esxoops.com/modules/news/article.php?storyid=311
[Fecha de consulta: Enero 2014]
Fuente: http://www.tecnologiadiaria.com/2010/07/diagramas-gantt-excel.html
[Fecha de consulta: Enero 2014]
Fuente:
http://es.answers.yahoo.com/question/index?qid=20080805201057AARY0TM
[Fecha de consulta: Enero 2014]
Fuente: http://www.rattanmargarita.com/rst/site/p_contenido1cc6.html [Fecha
de consulta: Diciembre 2013]
Fuente: http://es.wikipedia.org/wiki/PHP[Fecha de consulta: Enero 2014]
43
49. Presupuesto de Costos del Proyecto
RECURSOS
PRECIOS
Cartucho de tinta a color para impresiones
550,00 Bs.
Cartucho de tinta negra para impresiones
550,00 Bs.
Resma de papel de 500 hojas (3)
180,00 Bs.
Viáticos
500,00 Bs.
TOTAL Bs. 1.780,00
Nota: Elaboración Propia (2014)
45