2013
Upcoming SlideShare
Loading in...5
×
 

2013

on

  • 575 views

 

Statistics

Views

Total Views
575
Views on SlideShare
575
Embed Views
0

Actions

Likes
0
Downloads
1
Comments
0

0 Embeds 0

No embeds

Accessibility

Categories

Upload Details

Uploaded via as Microsoft Word

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

    2013 2013 Document Transcript

    • CASO PRÁCTICO DE UNA AUDITORÍA DE LA DIRECCIÓN Los conocimientos sobre Auditoría de la Dirección desarrollados anteriormente fueron llevados a la práctica mediante la realización de una auditoría al Departamento de Sistemas de Información de la Empresa Patio Olmos. Nacida hace más de diez años, esta empresa se encuentra ubicada en Av. Vélez Sársfield al 400 de la Ciudad de Córdoba, y se dedica al alquiler de locales comerciales y salones de eventos en su edificio. A cada uno de los locales les brinda variados servicios, entre los que a nosotros nos interesan podemos nombrar: Sistema de Facturación. Telefonía. Correo Electrónico. Internet. El cobro de los alquileres se divide en dos categorías, por monto fijo o por porcentaje de lo facturado mensualmente. Hacen uso de un sistema de “Customer Relationship Management” (“Manejo de Relación con el Cliente”) implementado por la compañía desarrolladora de software administrativos NCR. Cada local comercial debe realizar la facturación mediante el sistema brindado por la empresa, para poder controlar los montos registrados por cada uno de ellos. De no desear utilizar este medio los locales deberán disponer de una herramienta que exporte los datos de sus propias aplicaciones de facturación al sistema de información. También se lleva un control por cada local sobre el consumo telefónico, el cual es cobrado junto con la renta de cada local.
    • INFORME DE AUDITORÍA DE LA DIRECCIÓN 1.1 Clientes El presente Informe fue realizado por petición de los docentes Ingeniero Horacio Antonelli e Ingeniero Aldo Spesso, ambos integrantes de la Cátedra de Auditoría de Sistemas de Información de la carrera Ingeniería en Sistemas de Información. 1.2 Entidad Auditada El Informe corresponde al proceso de Auditoría de la Dirección realizado en el Departamento de Sistemas de PATIO OLMOS. 1.3 Objetivos de la Auditoría Verificar el cumplimiento de las actividades de planificación, organización, coordinación y control a cargo del Departamento de Sistema de PATIO OLMOS. 1.4 Planificación Efectuar entrevistas al personal del Departamento de Sistemas y a usuarios del Sistema de Información Observar en forma directa el desenvolvimiento de los miembros del Departamento de Sistema en sus puestos de trabajo. Recopilar información documentada del área. Analizar toda la información obtenida. Comparar la información Detectar las anomalías. Realizar las recomendaciones correspondientes a cada anomalía detectada.
    • 1.5 Herramientas Utilizadas Entrevistas realizadas a miembros del Departamento de Sistemas y a usuarios del sistema de información en sus puestos de trabajo. Encuestas realizadas al personal del Departamento de Sistemas. Observaciones de las actividades del personal vinculado al Departamento de Sistemas. 1.6 Lugar y Fecha de Realización La auditoría fue realizada en el edificio de Patio Olmos el día 13 de Mayo de 2006. 1.7 Personas Entrevistadas José Reig: Director del Departamento de Sistemas. José Claudio Carrizo: Miembro del Departamento de Sistemas. Leandro Toledo: Miembro del Departamento de Sistemas. Claudia Lauricella: Encargada del Local Mohs. Silvana Dziubinski: Empleada del Local Jazmín Chebar. 1.8 Límites Se auditó desde los procesos de dirección que se llevan a cabo dentro del Departamento de Sistema hasta su relación con el resto de las áreas de la organización. 1.9 Alcances de la Auditoría Planificación estratégica de Sistemas de Información. Comité de Informática.
    • Posición del Departamento de Informática en la Organización. Descripción de funciones y responsabilidades. Estándares de procedimientos y funcionamiento. Descripción de puestos de trabajo. Gestión de recursos humanos. Comunicación. Gestión Económica. Seguros. Control y seguimiento. Cumplimiento de la normativa legal. 1.10 Descripción de los temas auditados 1.10.1 Planificación estratégica de Sistemas de Información Situación actual: Existen Planes Estratégicos destinados a mejoras de las prestaciones actuales y a la incorporación de nuevos servicios del sistema de información. Se desea agregar nuevos módulos al sistema de facturación, implementar nueva tecnología de red, cambiar la actual plataforma Unix a Windows 2003, brindar servicios de telefonía IP, ofrecer servicio de cámaras de seguridad y desarrollar el cobro con tarjeta de crédito a través de Internet. Estos planes son elaborados por los miembros del Departamento de Sistemas, y son elevados al Departamento de Administración, quien debe revisarlos y aprobarlos si los considera convenientes. Se registran las acciones que se llevaron a cabo ante la presencia de un problema, para tomarlas como un procedimiento base ante la ocurrencia de un inconveniente similar. Observaciones y/o Recomendaciones:
    • Si bien los planes estratégicos y operativos están presentes en la organización, éstos se deberían documentar formalmente de manera que se pueda realizar un control eficiente de los lineamientos a seguir durante los próximos años y las pautas a efectuar durante cada ejercicio. Así mismo, debería existir un plan de recuperación ante desastres al cual acudir ante posibles accidentes de naturaleza varia, para el cual recomendamos tomar como base los registros de las acciones que se llevaron a cabo ante desastres ya ocurridos. 1.10.2 Comité de Informática Situación actual: La comunicación entre el Departamento de Sistemas y el resto de las áreas se realiza de manera informal. Cuando surge una necesidad de información o algún inconveniente en el uso del sistema de información por parte de alguna de las áreas usuarias, el encargado de la misma se lo comunica al Departamento de Sistemas. A su vez éste puede detectar la necesidad de efectuar mejoras o realizar innovaciones respecto a la ejecución de alguna actividad de un área determinada, proponiendo de este modo la realización de dicho cambio. Observaciones y/o Recomendaciones: Establecer un Comité de Informática integrado por representantes del Departamento de Sistemas y de las áreas usuarias, para poder debatir y consensuar sobre las necesidades informáticas que presenta la organización. 1.10.3 Posición del Departamento de Sistemas en la Organización Situación actual: El Departamento de Sistemas depende en forma directa del Departamento de Administración, el cual a su vez desciende de la Gerencia General. El
    • Departamento de Sistemas brinda servicios a todas las áreas de la empresa y a los distintos locales comerciales. Observaciones y/o Recomendaciones: Los integrantes del Departamento de Sistemas se empeñan en brindar un servicio equitativo para todos los usuarios, pero detectamos que el Departamento de Administración recibe una mayor atención que el resto de las áreas de la organización dada su dependencia jerárquica. No obstante las peticiones de los usuarios de los locales comerciales son tratadas equitativamente. Consideramos que debe existir un Organigrama formalmente documentado donde el Departamento de Sistemas se encuentre en un nivel jerárquico superior, es decir donde dependa directamente de la Gerencia General. De esta manera dispondría de suficiente autonomía como para dirigir el Sistema de Información con suficiente conocimiento del uso de las tecnologías y responsabilizarse por todo lo referente al mismo. 1.10.4 Descripción de Funciones y Responsabilidades del Departamento de Sistemas Situación actual: El personal del Departamento de Sistemas lleva a cabo las siguientes actividades: Administración de red. Gestión de servidores. Gestión de aplicaciones y servicios. Documentación de librerías. Mantenimiento del Sistema de Información. Asignación de permisos de usuarios. Soporte técnico a los usuarios, tanto personal administrativo como el de los diferentes locales comerciales.
    • Administración de bases de datos. Resguardo de la información. Análisis de seguridad de información y auditoría de sistema. Estudio de Nuevas Tecnologías. Supervisión de las tareas realizadas en el departamento. Capacitación de los usuarios del sistema de información. El Departamento está integrado por tres miembros, uno de ellos es el Director, quien dirige y supervisa las tareas que se deberán realizar. Todos ellos son responsables en igual medida del departamento. Observaciones y/o Recomendaciones: Las funciones del área no se encuentran formalmente documentadas ni debidamente segregadas, lo cual impide mantener un entorno de trabajo controlado. Esto también trae como consecuencia la imposibilidad de acudir ante cualquier duda o inconveniente a las descripciones de los procedimientos que deben llevarse a cabo ni tomar conocimiento de quien debe realizarlos, lo que a su vez conlleva a improvisaciones con efectos inciertos. Por otra parte, las responsabilidades deberían estar claramente divididas y formalmente documentadas. Consideramos que ante la organización debe ser el Director el responsable del Departamento de Sistema, y dentro de esta área cada empleado debe responder tan solo a las tareas delegadas.
    • 1.10.5 Estándares de procedimientos y funcionamiento. Descripción de los puestos de trabajo Situación actual: El Departamento de Sistemas no posee estándares de funcionamiento ni se basa en un Manual de Procedimientos para gobernar la actividad del mismo. Si bien todos los miembros del Departamento conocen muy bien sus funciones y responsabilidades, tampoco existe una descripción de los puestos de trabajo que delimite claramente la autoridad y responsabilidad en cada caso. Observaciones y/o Recomendaciones: Consideramos de suma importancia la necesidad de establecer un Manual de Procedimientos y definir estándares de funcionamiento que rijan las actividades del Departamento, los cuales deberían estar correctamente documentados y comunicarse adecuadamente a las personas involucradas. Así mismo creemos necesario se realice una descripción completa de los puestos de trabajo, incluyendo los conocimientos técnicos y la experiencia necesaria para ejercer cada uno de ellos. Esto facilitaría el apropiado desarrollo de las funciones del Departamento de Sistemas, para que de esta forma las mismas no queden sujetas a improvisaciones o criterios personales del empleado, sino que sean regidas por normas que mantengan continuidad a través del tiempo. Otro punto crítico sería el alejamiento de un empleado de su puesto de trabajo por un período largo de tiempo o definitivamente, ya que por existir puestos con funciones solo conocidas por su respectivo responsable y ante la falta de la mencionada documentación, las tareas que por él son desarrolladas no podrían ser ejecutadas por otra persona, quedando este cargo a la deriva. 1.10.6 Gestión de Recursos Humanos Situación actual:
    • La selección de nuevo personal se realiza a través de una agencia de personal. No se realizan evaluaciones de desempeño que controlen regularmente el rendimiento de cada empleado. Tampoco existen planes de capacitación ni planes de carrera que permitan a los empleados crecer en el ámbito laboral y profesional. Observaciones y/o Recomendaciones: Creemos que se deberían realizar periódicamente evaluaciones de desempeño que evalúen el rendimiento del personal. Además, consideramos que se podrían establecer programas de capacitación con el fin de mejorar el nivel de preparación de los empleados y lograr que los mismos estén actualizados e informados de la tecnología existente en el mercado. 1.10.7 Comunicación Situación actual: La comunicación dentro del Departamento de Sistema es constante y fluida, y la misma se realiza mediante correo electrónico y a través de reuniones periódicas entre sus miembros. También existe una buena comunicación con los usuarios, dado que éstos pueden contactarse con el departamento ante el surgimiento de cualquier inconveniente o necesidad, obteniendo una pronta respuesta a sus requerimientos. Observaciones y/o Recomendaciones: Consideramos que la comunicación dentro del departamento y con las áreas usuarias es buena. Sin embrago, creemos necesario implementar procedimientos formales de comunicación para asegurar efectividad y eficiencia de la misma. 1.10.8 Gestión Económica Situación actual:
    • El Departamento de Sistemas no posee un presupuesto anual fijo ya que depende del Área de Administración. Para el desarrollo de un nuevo proyecto se realiza un cálculo del monto necesario para llevarlo a cabo y se elabora un informe detallando cada uno de los gastos y la justificación de los mismos. Este informe es elevado al Área de Administración para su revisión y posterior aprobación. Observaciones y/o Recomendaciones: Consideramos positivo el hecho de realizar presupuestos para los nuevos proyectos, pero sería conveniente que el departamento contara con mayor autonomía, disponiendo de un presupuesto anual fijo destinado a cubrir las necesidades del departamento. Así mismo creemos necesario la implementación de un procedimiento para la adquisición de bienes y servicios. 1.10.9 Seguros Situación actual: Las máquinas del Departamento de Sistemas están cubiertas por el seguro que posee Patio Olmos para todas sus instalaciones. Sin embargo es inexistente la cobertura de los costos asociados a la regeneración de datos por pérdida o para ofrecer servicio informático desde un lugar alternativo. Observaciones y/o Recomendaciones: Opinamos que es necesaria una cobertura para la información que permita lograr la recuperación de la inversión existente que pudiera verse afectada en caso de siniestros. 1.10.10 Control Situación actual:
    • En el Departamento de Sistemas el control es ejercido por el Director, quien realiza un seguimiento permanente de las actividades desarrolladas. A su vez existe un control general que realiza el Área de Administración de la cual depende el departamento. Observaciones y/o Recomendaciones: Consideramos adecuado el control que se realiza en el Departamento de Sistemas. Sin embargo sería conveniente la existencia de estándares de rendimiento con los cuales comparar las diversas tareas. 1.10.11 Normativa Legal Situación actual: El sistema de información fue adquirido legalmente mediante un representante comercial de la firma NCR, la empresa posee sobre el mismo todos los derechos que establece la licencia. Tanto los sistemas operativos como las distintas aplicaciones que corren sobre cada una de las computadoras poseen las licencias de sus respectivos fabricantes. La documentación que avala las afirmaciones anteriores se encuentra debidamente archivada. Observaciones: En este aspecto no detectamos ninguna anomalía. 1.11 Conclusión del Informe Luego de la realización de la auditoría de la Dirección del Departamento de Sistemas y analizar toda la información recopilada, concluimos que es de gran importancia y de inminente prioridad reubicar este departamento en un nivel más alto del emplazamiento organizativo de la empresa.
    • Se deberá promover la creación de un Comité Informático conformado por miembros de distintas áreas y la correspondiente confección de una Normativa Interna, para poder estrechar la comunicación entre el Departamento de Sistemas y el resto de la organización. Finalmente, resaltamos la imperiosa necesidad de elaborar toda la documentación requerida para el correcto desenvolvimiento del departamento, dado que consideramos que en estos tiempos no se puede concebir que el desarrollo de las actividades de un área de sistemas se realice sin formalización y sin regirse bajo normas o estándares.
    • CONCLUSIÓN La contribución que la Dirección de Informática realiza al ambiente de control de las operaciones informáticas de una empresa es esencial. Desde el punto de vista de auditoría, la calidad del marco de controles impulsados por el Departamento de Informática tiene una gran influencia sobre el probable comportamiento de los Sistemas de información. Por parte del auditor, son más necesarias las capacidades de evaluar la gestión que las capacidades técnicas muy profundas. Por lo tanto, lo importante es destacar que al incorporar la Auditoría de la Dirección de Informática en la empresa, es posible determinar qué hacer, cómo y quiénes van a llevar a cabo las tareas, los recursos a asignar y los objetivos generales que se corresponden y sincronizan con los objetivos de la organización.
    • REFERENCIAS BIBLIOGRÁFICAS 1. Mario G. Piattini y Emilio del Peso. “Auditoría Informática. Un enfoque práctico”. Editorial Alfaomega. Segunda edición. 2001. 2. José Antonio Echenique García. “Auditoría en Informática”. Editorial MCGRAW-HILL. Segunda Edición. 2001. 3. Ing. Alice Naranjo S. “Conceptos de la Auditoría de Sistemas”. http://www.monografias.com/trabajos3/concepaudit/concepaudit.shtml 4. H. Parra, M. Pérez y E. A. Rojas. “La Auditoría: Definiciones, métodos, tipos y ejemplos”. http://www.monografias.com/trabajos34/auditoria- informatica/auditoria-informatica.shtml. 2006. 5. "La Auditoria". Microsoft Encarta 2006 [DVD]. Microsoft Corporation, 2005. 6. Jorge Rene Quiñonez Folgar. “Procedimientos y técnicas de auditoria. Papeles de Trabajo”. http://www.monografias.com/trabajos27/papeles- auditoria/papeles-auditoria.shtml. 7. Eliana Moreno Montaña. “Auditoría”. http://www.monografias.com/ trabajos12/auditor/auditor.shtml