PROGRAMA DE AUDITORIA 1. Componente a auditar PROGRAMA SAINT ENTERPRISE VERSION 8.7.3.3 2. Objetivos: general y específicos General: Auditar la implementación del nuevo Software y Hardware administrativo como herramienta de sistemas para los distintos puntos de venta de la empresa. Evaluando el grado de beneficio a obtener. Específicos: Salvaguardar la información contra usos no autorizados, divulgación, modificación, daño o pérdida. Verificar la Legalidad y vigencia de la licencia del software. Identificar los Niveles de acceso de los usuarios. Monitorear la Continuidad en la comunicación de los equipos remotos. Evaluar la Disponibilidad de la información (bases de datos) en tiempo real. Evaluar el nivel de adaptación del software para las necesidades de la empresa. Constatar que las características de los equipos de computo son las necesarios para la implementación del nuevo software y hardware. Determinar el respaldo de la marca de los equipos de cómputo que actualmente funcionan en la empresa (garantía) Determinar según análisis previo la cantidad de equipos necesarios para el cumplimiento de los objetivos de la empresa. 3.Alcance -Evitar el acceso no permitido a las bases de datos -Dar cumplimiento a las normas legales evitando -Limitar el acceso de los usuarios a la información -Que el flujo de información sea constante para que los procesos no se vean afectados -Mejorar la toma de decisiones en proyectos futuros -Lograr el cumplimiento de los objetivos de la empresa -Prever el posible mal funcionamiento del software por no contar con las características necesarias -Disminuir el riesgo de deterioro patrimonial y contar con respaldo de marca -Optimizar la parte operativa de la empresa basados en procesos tecnológicos. 4.Metodología -Estudio preliminar incluye definir el grupo de trabajo el programa de auditoría, efectuar visitas a la unidad de informática para conocer detalles de la misma , elaborar un cuestionario para la obtención de información para evaluar preliminarmente el control interno solicitud del plan de actividades , manuales de políticas, reglamentos, entrevistas con los principales funcionarios -Revisión y evaluación de los controles de seguridad consiste en la revisión de los diagramas de flujos de procesos, realización de pruebas de cumplimientos de seguridades , revisión de aplicaciones de las áreas criticas , revisión de procesos históricos Backus, revisión de documentación y archivos entre otras actividades. -Examen detallado de las áreas críticas con las fases anteriores el auditor descubre las áreas criticas y sobre ellas hace un estudio y análisis profundo en los que definirá concretamente su grupo de trabajo y la distribución de carga del mismo, establecerá los motivos, objetivos, alcance recursos que usara definirá la metodología de trabajo la duración de la auditoria presentara el plan de trabajo y analizara detalladamente cada problema encontrado con todo lo anteriormente analizado. -Comunicación de resultados se elaborara el borrador del informe a ser discutido con los ejecutivos de la empresa hasta llegar al informe definitivo el cual se presentara en forma esquemática en forma de matriz cuadros o redacción simple y concisa que destaque los problemas encontrados, los efectos y las recomendaciones de la auditoria. El informe debe contener lo siguiente: -Motivos de la auditoria -Objetivos -Alcance -Estructura orgánica funcional del área de informática -Configuración del hardware y software instalado -Control interno -Resultados de la auditoria 5.Normas: legales y administrativas Elaborar un instructivo con procedimientos a seguir para la selección y adquisición de equipos, programas y servicios computacionales. Este proceso debe enmarcarse en normas y disposiciones legales. (Licenciamiento del sistema operativo) (Licenciamiento del office) (Licenciamiento del saint Enterprise) 6. Procedimientos -la recepción definitiva de las máquinas debería estar firmada por los responsables de Explotación -Se realizará una revisión inicial sin estudiar a fondo las contradicciones que pudieran existir, pero registrando las áreas que carezcan de normativa, y sobre todo verificando que esta Normativa General Informática no está en contradicción con alguna Norma General no informática de la empresa - Procedimientos de Backus y Recuperación correspondientes. -Control de las fechas de vencimientos de las licencias y verificación interna de los equipos (configuración) -Control de preinstalación -Control de organización y planificación -Controles de sistemas en desarrollo y producción -Controles de procesamiento -Controles de operación -Controles de uso de microcomputadores 7.Áreas o cargos con lo que se hace contacto Departamento de compras Departamento de ventas Tesorería Recurso humano 8. Personal participante de auditoría -Auditor de sistemas -jefe de sistemas -departamentos auditados 9.Duración 5 días 10.Horario 8am a 12m 2pm a 6pm 11.Recursos Recursos materiales Es muy importante su determinación, por cuanto la mayoría de ellos son proporcionados por el cliente. Las herramientas software propias del equipo van a utilizarse igualmente en el sistema auditado, por lo que han de convenirse en lo posible las fechas y horas de uso entre el auditor y cliente. Los recursos materiales del auditor son de dos tipos: a. Cantidad y complejidad de Bases de Datos y Ficheros. Programas propios de la auditoria: Son muy potentes y Flexibles. Habitualmente se añaden a las ejecuciones de los procesos del cliente para verificarlos. Monitores: Se utilizan en función del grado de desarrollo observado en la actividad de Técnica de Sistemas del auditado y de la cantidad y calidad de los datos ya existentes. b. Recursos materiales Software c. Recursos materiales Hardware Los recursos hardware que el auditor necesita son proporcionados por el cliente. Los procesos de control deben efectuarse necesariamente en las Computadoras del auditado. Para lo cual habrá de convenir, tiempo de máquina, espacio de disco, impresoras ocupadas, etc. Recursos Humanos La cantidad de recursos depende del volumen auditable. Las características y perfiles del personal seleccionado dependen de la materia auditable. Es igualmente reseñable que la auditoría en general suele ser ejercida por profesionales universitarios y por otras personas de probada experiencia multidisciplinaria. Perfiles Profesionales de los auditores informáticos Profesión Actividades y conocimientos deseables Informático Generalista Con experiencia amplia en ramas distintas. Deseable que su labor se haya desarrollado en Explotación y en Desarrollo de Proyectos. Conocedor de Sistemas. Experto en Desarrollo de Proyectos Amplia experiencia como responsable de proyectos. Experto analista. Conocedor de las metodologías de Desarrollo más importantes. Técnico de Sistemas Experto en Sistemas Operativos y Software Básico. Conocedor de los productos equivalentes en el mercado. Amplios conocimientos de Explotación. Experto en Bases de Datos y Administración Con experiencia en el mantenimiento de Bases de Datos. de las mismas. Conocimiento de productos compatibles y equivalentes. Buenos conocimientos de explotación Experto en Software de Comunicación Alta especialización dentro de la técnica de sistemas. Conocimientos profundos de redes. Muy experto en Subsistemas de teleproceso. Experto en Explotación y Gestión de CPD´S Responsable de algún Centro de Cálculo. Amplia experiencia en Automatización de trabajos. Experto en relaciones humanas. Buenos conocimientos de los sistemas. Experto organizador y coordinador. Especialista en el análisis de flujos de información. Técnico de Organización Técnico de evaluación de Costes Economista con conocimiento de Informática. Gestión de costes. COBIT El modelo COBIT para auditoría y control de sistemas de información La evaluación de los requerimientos del negocio, los recursos y procesos IT, son puntos bastante importantes para el buen funcionamiento de una compañía y para el aseguramiento de su supervivencia en el mercado. El COBIT es precisamente un modelo para auditar la gestión y control de los sistemas de información y tecnología, orientado a todos los sectores de una organización, es decir, administradores IT, usuarios y por supuesto, los auditores involucrados en el proceso. Las siglas COBIT significan Objetivos de Control para Tecnología de Información y Tecnologías relacionadas (Control Objectives for Information Systems and related Technology). El modelo es el resultado de una investigación con expertos de varios países, desarrollado por ISACA (Information Systems Audit and Control Association). La estructura del modelo COBIT propone un marco de acción donde se evalúan los criterios de información, como por ejemplo la seguridad y calidad, se auditan los recursos que comprenden la tecnología de información, como por ejemplo el recurso humano, instalaciones, sistemas, entre otros, y finalmente se realiza una evaluación sobre los procesos involucrados en la organización. El COBIT es un modelo de evaluación y monitoreo que enfatiza en el control de negocios y la seguridad IT y que abarca controles específicos de IT desde una perspectiva de negocios. “La adecuada implementación de un modelo COBIT en una organización, provee una herramienta automatizada, para evaluar de manera ágil y consistente el cumplimiento de los objetivos de control y controles detallados, que aseguran que los procesos y recursos de información y tecnología contribuyen al logro de los objetivos del negocio en un mercado cada vez más exigente, complejo y diversificado”, señaló un informe de ETEK. COBIT, lanzado en 1996, es una herramienta de gobierno de TI que ha cambiado la forma en que trabajan los profesionales de tecnología. Vinculando tecnología informática y prácticas de control, el modelo COBIT consolida y armoniza estándares de fuentes globales prominentes en un recurso crítico para la gerencia, los profesionales de control y los auditores. COBIT se aplica a los sistemas de información de toda la empresa, incluyendo los computadores personales y las redes. Está basado en la filosofía de que los recursos TI necesitan ser administrados por un conjunto de procesos naturalmente agrupados para proveer la información pertinente y confiable que requiere una organización para lograr sus objetivos. El conjunto de lineamientos y estándares internacionales conocidos como COBIT, define un marco de referencia que clasifica los procesos de las unidades de tecnología de información de las organizaciones en cuatro “dominios” principales, a saber: - Planificación y organización - Adquisición e implantación - Soporte y Servicios - Monitoreo Estos dominios agrupan objetivos de control de alto nivel, que cubren tanto los aspectos de información, como de la tecnología que la respalda. Estos dominios y objetivos de control facilitan que la generación y procesamiento de la información cumplan con las características de efectividad, eficiencia, confidencialidad, integridad, disponibilidad, cumplimiento y confiabilidad. Asimismo, se deben tomar en cuenta los recursos que proporciona la tecnología de información, tales como: datos, aplicaciones, plataformas tecnológicas, instalaciones y recurso humano. “Cualquier tipo de empresa puede adoptar una metodología COBIT, como parte de un proceso de reingeniería en aras de reducir los índices de incertidumbre sobre vulnerabilidades y riesgos de los recursos IT y consecuentemente, sobre la posibilidad de evaluar el logro de los objetivos del negocio apalancado en procesos tecnológicos”, finalizó el informe de ETEK. ENCUESTA SI 1. Se genera regularmente Backus de las base de datos utilizadas? 2. Cada usuario cuenta con clave independiente? 3. El sistema operativo de los equipos posee su licencia para uso? 4. Los usuarios de los departamentos tienen definido sus perfiles? 5. La comunicación remota tiene continuidad? NO X X X X X INFORME DE AUDITORIA DOCUMENTO REMISORIO 1 Puerto Berrío, 30 de agosto de 2011 Señores MOTO ANTIOQUIA JUAN CARLOS LOZANO Gerente Puerto Berrío ASUNTO: Informe sobre revisión de Backus Hemos revisado la continuidad y el debido proceso de los respaldos de datos Backus, este trabajo se realizo el lunes 15 de agosto del presente año, sobre el mismo encontramos que se efectúa debidamente el proceso en cada dependencia. Atentamente, OSCAR HUMBERTO GRAJALES Auditor General DOCUMENTO REMISORIO 2 Puerto Berrío, 30 de agosto de 2011 Señores MOTO ANTIOQUIA JUAN CARLOS LOZANO Gerente Puerto Berrío ASUNTO: Informe sobre revisión claves de acceso Hemos revisado la asignación y manejo de las claves de acceso de cada funcionario de la institución, este trabajo lo realizamos entre el 14 y 16 de agosto del 2011, sobre el mismo encontramos situaciones irregulares que enunciamos en la planilla de auditoría adjunta, a si mismo le formulamos una serie de recomendaciones que podrían mejorar o corregir su manejo, y le enunciamos los beneficios que estas medidas traerían para la entidad. Atentamente, GREGORIO ALEXANDER MEJIA B. Auditor General DOCUMENTO REMISORIO 3 Puerto Berrío, 30 de agosto de 2011 Señores MOTO ANTIOQUIA JUAN CARLOS LOZANO Gerente Puerto Berrío ASUNTO: Informe sobre revisión de licencia del sistema operativo Hemos revisado la licencia de funcionamiento del sistema operativo de los equipos de computo de cada una de las dependencia este trabajo lo realizamos entre los días 17 y 18 de agosto del presente año, sobre el mismo se encontró cumplimiento oportuno. Atentamente, MARTHA SOFIA ECHAVARRIA Auditor General DOCUMENTO REMISORIO 4 Puerto Berrío, 30 de agosto de 2011 Señores MOTO ANTIOQUIA JUAN CARLOS LOZANO Gerente Puerto Berrío ASUNTO: Informe sobre funciones de los usuarios del sistema Hemos revisado la asignación de funciones a los usuarios del sistema, este trabajo lo hemos realizado entre los días 19 y 20 de agosto de 2010, sobre el mismo se encontró una correcta asignación. Atentamente, OSCAR HUMBERTO GRAJALES Auditor General DOCUMENTO REMISORIO 5 Puerto Berrío, 30 de agosto de 2011 Señores MOTO ANTIOQUIA JUAN CARLOS LOZANO Gerente Puerto Berrío ASUNTO: Continuidad de la comunicación remota Hemos revisado la conexión remota de cada uno de los usuarios del sistema, este trabajo se realizo el día 16 de agosto del presente año, a si mismo le formulamos una serie de recomendaciones que podrían mejorar o corregir su manejo y le enunciamos los beneficios que estas traerían para la entidad. Atentamente, OSCAR HUMBERTO GRAJALES Auditor General INFORMACIÓN PLANILLA DE AUDITORIA COMPAÑIA MOTO ANTIOQUIA S.A DEPARTAMENTO DE AUDITORIA INTERNA INFORME SOBRE LA REVISIÓN DE CLAVES DE ACCESO HALLAZGOS El departamento de sistemas asigna mensualmente una clave de acceso para ser utilizada por los funcionarios del departamento de contabilidad. RECOMENDACIONES Cada clave de acceso la debe definir cada usuario, de igual forma de deben cambiar al menos cada mes BENEFICIOS El objetico es garantizar que las claves de acceso sean personales e intransferibles, de esta forma estaríamos disminuyendo la fuga de información y el fraude informático. GREGORIO ALEXANDER MEJIA Auditor General Puerto Berrío, 30 de agosto de 2011 COMPAÑIA MOTO ANTIOQUIA S.A DEPARTAMENTO DE AUDITORIA INTERNA INFORME SOBRE CONTINUIDAD DE LA COMUNICACIÓN REMOTA HALLAZGOS Continuamente los equipos conectados se están quedando por fuera de comunicación, ocasionando demoras en la atención a clientes y obstaculiza el flujo de información. RECOMENDACIONES Programar en todas las estaciones mantenimiento del archivo mstsc al mas reciente de Windows BENEFICIOS Esta actualización generaría una conexión más ágil y eficiente. GREGORIO ALEXANDER MEJIA Auditor General Puerto Berrío, 30 de agosto de 2011 COMPAÑIA MOTO ANTIOQUIA S.A DEPARTAMENTO DE AUDITORIA INTERNA INFORME SOBRE DEPARTAMENTALIZACIÓN DE LOS HARDWARE HALLAZGOS Se detectaron áreas de la empresa sin equipos de computo necesarios para acceder a la información del software. RECOMEDACIONES Realizar un estudio en toda la empresa para establecer las necesidades en cuanto hardware para dar solución al problema. BENEFICIOS Permite un flujo de información optimo la cual es necesaria para la toma de decisiones y realizar seguimientos constantes que permitan controlar los procesos. GREGORIO ALEXANDER MEJIA Auditor General Puerto Berrío, 30 de agosto de 2011