Auditoria de Sistemas Deber Teorico
-
Upload
ceciliarealpedelgado -
Category
Documents
-
view
62 -
download
0
description
Transcript of Auditoria de Sistemas Deber Teorico
UNIVERSIDAD REGIONAL AUTÓNOMA DE LOS ANDES
“UNIANDES” - TULCÁN
SISTEMAS MERCANTILES
CONTABILIDAD Y AUDITORIA
ALUMNAS: LUPE CALPAANITA DELGADOCECILIA REALPE D.
TUTOR: ING. DARIO MALDONADO
VII NIVEL
ENERO - 2011
UNIVERSIDAD REGIONAL AUTONÓMA DE LOS ANDES “UNIANDES”AUDITORIA DE SISTEMAS
TEMÁTICA A INVESTIGAR:
1. JUSTIFICATIVOS DE LA AUDITORIA DE SISTEMAS 2. CONTROLES 3. CLASIFICACIÓN DE LOS CONTROLES DE AUDITORIA
FINANCIERA
OBJETIVOS
Conocer sobre la temática de todo lo referente a auditoria de sistemas, para poder analizar, emitir y transmitir un comentario.
INTRODUCCION DE AUDITORIA DE SISTEMAS
La Auditoría es un examen crítico que no implica la preexistencia de fallas en la entidad auditada y que persigue el fin de evaluar y mejorar la eficacia y eficiencia de una sección o de un organismo. El auditor informático ha de velar por la correcta utilización de los amplios recursos que la empresa pone en juego para disponer de un eficiente y eficaz Sistema de Información. Para la realización de una Auditoría Informática eficaz, se debe entender a la empresa en su más amplio sentido. Todos utilizan la Informática para gestionar sus negocios de forma rápida y eficiente con el fin de obtener beneficios económicos y reducción de costos.
TIPOS DE AUDITORIAS INFORMÁTICAS Desde el punto de vista de informática la podemos clasificar así: a) Auditoría Informática de Explotaciónb) Auditoría Informática de Desarrollo de Proyectos o Aplicacionesc) Auditoría Informática de Sistemasd) Auditoría Informática de Comunicación de Redese) Auditoría de la Seguridad Informática
Auditoría Informática de Explotación. La explotación Informática se ocupa de producir resultados, tales como listados, archivos soportados magnéticamente, órdenes automatizadas, modificación de procesos, etc. Para realizar la explotación Informática se dispone de datos, las cuales
ALUMNAS: Calpa Lupe
Delgado Anita Realpe Cecilia
2
UNIVERSIDAD REGIONAL AUTONÓMA DE LOS ANDES “UNIANDES”AUDITORIA DE SISTEMAS
sufren una transformación y se someten a controles de integridad y calidad. (Integridad nos sirve a nosotros; la calidad es que sirven los datos, pero pueden que no sirvan; estos dos juntos expresan una muy excelente información.
Auditoría Informática de Desarrollo de Proyectos o Aplicaciones. La función de desarrollo de una evaluación del llamado Análisis de Programación y sistemas. Así por ejemplo una aplicación podría tener las siguientes fases:
b) Prerrequisitos del usuario y del entornoc) Análisis Funcionald) Diseñoe) Análisis orgánico (Preprogramación y Programación)f) Pruebas yg) Explotación. Todas estas fases deben estar sometidas a un exigente control interno, de lo contrario, pueden producirse insatisfacciones del cliente, insatisfacción del usuario, altos costos, etc. Por lo tanto la Auditoría deberá comprobar la seguridad de los programas, en el sentido de garantizar que el servicio ejecutado por la maquina, los resultados sean exactamente los previstos y no otros (El nivel organizativo es medido por los usuarios, se da cuenta el administrador Ej. La contabilidad debe estar cuadrada.
Auditoría Informática de Sistemas. Se ocupa de analizar la actividad que se conoce como técnica de sistemas, en todos sus factores. La importancia creciente de las telecomunicaciones o propicia de que las comunicaciones, líneas y redes de las instalaciones informáticas se auditen por separado, aunque formen parte del entorno general del sistema. (Ej. Auditar el cableado estructurado, ancho de banda de una red LAN)
Auditoria Informática de comunicación y Redes. Este
tipo de Auditoría deberá inquirir o actuar sobre índices de utilización de las líneas contratadas con información sobre tiempos de uso, deberá conocer la topología de la red de comunicaciones, ya sea la actual o la desactualizada. Deberá conocer cuantas líneas existen, como son, donde están instaladas, y sobre ellas hacer una suposición de inoperatividad Informática. Todas estas actividades deben estar coordinadas y dependientes de una sola organización. (Debemos conocer los tipos de mapas actuales y anteriores,
ALUMNAS: Calpa Lupe
Delgado Anita Realpe Cecilia
3
UNIVERSIDAD REGIONAL AUTONÓMA DE LOS ANDES “UNIANDES”AUDITORIA DE SISTEMAS
como son las líneas, el ancho de banda, suponer que todas las líneas están mal, la suposición mala confirmarlo).
Auditoría de la Seguridad Informática. Se debe tener
presente la cantidad de información almacenada en el computador, la cual en muchos casos puede ser confidencial, ya sea individuos, las empresa o las instituciones, lo que significa que se debe cuidar del mal uso de esta información, de los robos, los fraudes, sabotajes y sobre todo de la destrucción parcial o total. En la actualidad se debe también cuidar la información d los virus informáticos, los cuales permanecen ocultos y dañan sistemáticamente los datos.
CARACTERÍSTICAS DE LA AUDITORIA DE SISTEMAS
La información de la empresa y para la empresa, siempre importante, se ha convertido en un activo Real de la misma, como sus stocks o materias primas si las hay. Por ende, han de realizarse inversiones informáticas. Del mismo modo, los sistemas informáticos han de protegerse de modo global y particular: A ello se debe la existencia de la Auditoría de Seguridad Informática en general, o a la Auditoría de Seguridad de alguna de sus áreas, como pudieran ser Desarrollo o Técnica de Sistemas. Cuando se producen cambios estructurales en la informática, se reorganiza de alguna forma su función: Se esta en el campo de la Auditoría de Organización Informática. Estos tres tipos de Auditoría engloban a las actividades auditoras que se realizan en una Auditoría parcial. De otra manera: cuando se realiza una Auditoría del área de Desarrollo de Proyectos de la Informática de una empresa, es porque en ese desarrollo existen, además de ineficiencias, debilidades de organización, o de inversiones, o de seguridad, o alguna mezcla de ellas. a) Síntomas de necesidad de una Auditoría Informática: Las empresas acuden a las Auditoría externas cuando existen síntomas bien perceptibles de debilidad. Estos síntomas pueden agruparse en clases. b) Síntomas de descoordinación y Desorganización:- No coinciden los objetivos de la informática de la compañía y de la propia compañía- Los estándares de productividad se desvían sensiblemente de los promedios conseguidos habitualmente. (Puede suceder con algún
ALUMNAS: Calpa Lupe
Delgado Anita Realpe Cecilia
4
UNIVERSIDAD REGIONAL AUTONÓMA DE LOS ANDES “UNIANDES”AUDITORIA DE SISTEMAS
cambio masivo de personal, o en una reestructuración fallida de alguna área o en la modificación de alguna norma importante.) c) Síntomas de mala imagen e insatisfacción de los usuarios:- No se atienden las peticiones de cambios de los usuarios. (Ej. Cambios de software en los terminales de usuario, refrescamiento de paneles, variación de los ficheros que deben ponerse diariamente a su disposición, etc.)- No se reparan las averías de hardware, no se resuelven incidencias en plazos razonables. El usuario percibe que está abandonado y desatendido permanentemente.- No se cumplen en todos los casos los plazos de entrega de resultados periódicos. Pequeñas desviaciones pueden causar importantes desajustes en al actividad del usuario, en especial en los resultados de aplicaciones criticas y sensibles. d) Síntomas de debilidades económicas - financiero:- Incremento desmesurado de costos- Necesidad de justificación de inversiones informáticas (La empresa no esta absolutamente convencida de tal necesidad y decide contrastar opiniones)- Desviaciones presupuestarias significativas- Costos y plazos de nuevos proyectos (deben auditarse simultáneamente a desarrollo de proyectos y al órgano que realizo la petición). e) Síntomas de inseguridad: Evaluación de riesgos- Seguridad Lógica- Seguridad Física- Confidencialidad (Los datos son de propiedad inicialmente de la organización que los genera. Los datos de personal son especialmente confidenciales)- Continuidad del servicio. Establece la estrategias de continuidad entre fallo mediante planes de contingencia.(- Centro de proceso de datos fuera de control. Si tal situación llegara a percibirse, sería prácticamente inútil la Auditoría. El síntoma debe ser sustituido por el mínimo indicio.
1. JUSTIFICATIVOS PARA EFECTUAR UNA AUDITORÍA DE SISTEMAS.
ALUMNAS: Calpa Lupe
Delgado Anita Realpe Cecilia
5
UNIVERSIDAD REGIONAL AUTONÓMA DE LOS ANDES “UNIANDES”AUDITORIA DE SISTEMAS
Aumento considerable e injustificado del presupuesto del PAD (Departamento de Procesamiento de Datos).
Desconocimiento en el nivel directivo de la situación informática de la empresa.
Falta total o parcial de seguridades lógicas y físicas que garanticen la integridad del personal, equipos e información.
Descubrimiento de fraudes efectuados con el computador. Falta de una planificación informática. Organización que no funciona correctamente, falta de
políticas, objetivos, normas, metodología, asignación de tareas y adecuada administración del Recurso Humano.
Descontento general de los usuarios por incumplimiento de plazos y mala calidad de los resultados.
Falta de documentación o documentación incompleta de sistemas que revela la dificultad de efectuar el mantenimiento de los sistemas en producción.
PAPEL DE TRABAJO QUE INTERVIENEN EN LA AUDITORIA DE SISTEMAS.
La Auditoría nace como un órgano de control de algunas instituciones estatales y privadas. Su función es estrictamente económico - financiero, y los casos inmediatos se encuentran en los estrados judiciales y las contrataciones de contadores expertos por parte de bancos oficiales. La función de Auditoría debe ser absolutamente independiente; la Auditoría contiene elementos de análisis, de verificación y de exposición de debilidades y deficiencias. Aunque pueden aparecer sugerencias y planes de acción para eliminar las deficiencias y debilidades antes dichas; estas sugerencias plasmadas en el informe final reciben el nombre de recomendaciones. Las funciones de análisis y revisión que el auditor informático realiza, puede chocar con la psicología del auditado, ya que el auditor tiene la necesidad de realizar sus tareas con racionalidad y eficiencia. La reticencia del auditado es comprensible y, en ocasiones, fundada. El nivel técnico del auditor es a veces insuficiente, dada la gran complejidad de los sistemas, unidos a los plazos demasiados breves de los que suelen disponer para realizar su tarea.
ALUMNAS: Calpa Lupe
Delgado Anita Realpe Cecilia
6
UNIVERSIDAD REGIONAL AUTONÓMA DE LOS ANDES “UNIANDES”AUDITORIA DE SISTEMAS
El auditor solo puede emitir un juicio global o parcial basado en hechos y situaciones incontrovertibles, careciendo de poder para modificar la situación analizada por él mismo.
2. CONTROLES DE AUDITORIA DE SISTEMAS
CONTROL.-
Es el conjunto de disposiciones metódicas, cuyo fin es vigilar las funciones y actitudes de las empresas y para ello permite verificar si todo se realiza conforme a los programas adoptados, órdenes impartidas y principios admitidos.
Los controles tienen como fin:
Prevenir o detectar errores accidentales que puedan ocurrir en el Centro de Cómputo durante un proceso
Evitar o detectar el manejo de datos con fines fraudulentos por parte de funcionarios del PAD
Garantizar la integridad de los recursos informáticos. Asegurar la utilización adecuada de equipos acorde a planes
y objetivos.
3. CLASIFICACIÓN DE LOS CONTROLES EN AUDITORÍA DE SISTEMAS
Se clasifica en tres grandes grupos que son:
a) Controles Preventivos b) Controles Detectivosc) Controles Correctivos
CONTROLES PREVENTIVOS
Son aquellos que reducen la frecuencia con que ocurren las causas del riesgo, permitiendo cierto margen de violaciones.
Ejemplos: Letrero "No fumar" para salvaguardar las instalaciones
CONTROLES DETECTIVOS
Son aquellos que no evitan que ocurran las causas del riesgo sino que los detecta luego de ocurridos.
ALUMNAS: Calpa Lupe
Delgado Anita Realpe Cecilia
7
UNIVERSIDAD REGIONAL AUTONÓMA DE LOS ANDES “UNIANDES”AUDITORIA DE SISTEMAS
Son los más importantes para el auditor, ya que en cierta forma sirven para evaluar la eficiencia de los controles preventivos.
Ejemplo: Archivos y procesos que sirvan como pistas de auditoría
Procedimientos de validación
CONTROLES CORRECTIVOS
Ayudan a la investigación y corrección de las causas del riesgo. La corrección adecuada puede resultar difícil e ineficiente, siendo necesaria la implantación de controles detectivos sobre los controles correctivos, debido a que la corrección de errores es en sí una actividad altamente propensa a errores.
PRINCIPALES CONTROLES FÍSICOS Y LÓGICOS
Controles particulares tanto en la parte física como en la lógica se detallan a continuación:
Autenticidad
Permiten verificar la identidad
1. Passwords2. Firmas digitales
Exactitud
Aseguran la coherencia de los datos
1. Validación de campos2. Validación de excesos
Totalidad
Evitan la omisión de registros así como garantizan la conclusión de un proceso de envío.
1. Conteo de registros2. Cifras de control
Redundancia
ALUMNAS: Calpa Lupe
Delgado Anita Realpe Cecilia
8
UNIVERSIDAD REGIONAL AUTONÓMA DE LOS ANDES “UNIANDES”AUDITORIA DE SISTEMAS
Evitan la duplicidad de datos
1. Cancelación de lotes2. Verificación de secuencias
Privacidad
Aseguran la protección de los datos
1. Compactación2. Encriptación
Existencia
Aseguran la disponibilidad de los datos
1. Bitácora de estados2. Mantenimiento de activos
Protección de Activos
Destrucción o corrupción de información o del hardware
1. Extintores2. Passwords
Efectividad
Aseguran el logro de los objetivos
1. Encuestas de satisfacción2. Medición de niveles de servicio
Eficiencia
Aseguran el uso óptimo de los recursos
1. Programas monitores2. Análisis costo-beneficio
CONTROLES AUTOMÁTICOS O LÓGICOS
Periodicidad de cambio de claves de acceso
ALUMNAS: Calpa Lupe
Delgado Anita Realpe Cecilia
9
UNIVERSIDAD REGIONAL AUTONÓMA DE LOS ANDES “UNIANDES”AUDITORIA DE SISTEMAS
Los cambios de las claves de acceso a los programas se deben realizar periódicamente. Normalmente los usuarios se acostumbran a conservar la misma clave que le asignaron inicialmente.
El no cambiar las claves periódicamente aumenta la posibilidad de que personas no autorizadas conozcan y utilicen claves de usuarios del sistema de computación.
Por lo tanto se recomienda cambiar claves por lo menos trimestralmente.
Combinación de alfanuméricos en claves de acceso
No es conveniente que la clave este compuesta por códigos de empleados, ya que una persona no autorizada a través de pruebas simples o de deducciones puede dar con dicha clave.
Ejemplo de auditoría de sistemas
Auditoría de hardware y software en estaciones de trabajo.
Índice.
Alcance...............................................................................................................3
Objetivo..............................................................................................................3
Recursos.............................................................................................................3
Etapas de trabajo................................................................................................3
1. Recopilacion de informacion básica..........................................................3
2. Identificación de riesgos potenciales........................................................4
3. Objetivos de control..................................................................................4
4. Determinacion de los procedimientos de control.....................................4
5. Pruebas a realizar.....................................................................................5
6. Obtencion de los resultados.....................................................................5
ALUMNAS: Calpa Lupe
Delgado Anita Realpe Cecilia
10
UNIVERSIDAD REGIONAL AUTONÓMA DE LOS ANDES “UNIANDES”AUDITORIA DE SISTEMAS
7. Conclusiones y Comentarios:...................................................................6
8. Redaccion del borrador del informe.........................................................6
9 . Presentación del borrador del informe, al responsable de microinformática..............................................................................................6
10. Redacción del Informe Resumen y Conclusiones.....................................6
11. Entrega del informe a los directivos de la empresa.................................7
ALUMNAS: Calpa Lupe
Delgado Anita Realpe Cecilia
11
UNIVERSIDAD REGIONAL AUTONÓMA DE LOS ANDES “UNIANDES”AUDITORIA DE SISTEMAS
AlcanceLa auditoria se realizará sobre los sistemas informaticos en computadoras personales que estén conectados a la red interna de la empresa.
ObjetivoTener un panorama actualizado de los sistemas de información en cuanto a la seguridad fisica, las politicas de utilizacion, transferencia de datos y seguridad de los activos.
RecursosEl numero de personas que integraran el equipo de auditoria sera de tres, con un tiempo maximo de ejecucion de 3 a 4 semanas.
Etapas de trabajo1. Recopilacion de informacion básica
Una semana antes del comienzo de la auditoria se envia un cuestionario a los gerentes o responsables de las distintas areas de la empresa. El objetivo de este cuestionario es saber los equipos que usan y los procesos que realizan en ellos.
Los gerentes se encargaran de distribuir este cuestionario a los distintos empleados con acceso a los computadores, para que tambien lo completen. De esta manera, se obtendra una vision mas global del sistema.
Es importante tambien reconocer y entrevistarse con los responsables del area de sistemas de la empresa para conocer con mayor profundidad el hardware y el software utilizado.
En las entrevistas incluiran:
Director / Gerente de Informatica
Subgerentes de informatica
ALUMNAS: Calpa Lupe
Delgado Anita Realpe Cecilia
12
UNIVERSIDAD REGIONAL AUTONÓMA DE LOS ANDES “UNIANDES”AUDITORIA DE SISTEMAS
Asistentes de informatica
Tecnicos de soporte externo
2. Identificación de riesgos potenciales
Se evaluara la forma de adquisicion de nuevos equipos o aplicativos de software. Los procedimientos para adquirirlos deben estar regulados y aprobados en base a los estandares de la empresa y los requerimientos minimos para ejecutar los programas base.
Dentro de los riesgos posibles, tambien se contemplaran huecos de seguridad del propio software y la correcta configuracion y/o actualizacion de los equipos criticos como el cortafuegos.
Los riesgos potenciales se pueden presentar de la mas diversa variedad de formas.
3. Objetivos de control
Se evaluaran la existencia y la aplicación correcta de las politicas de seguridad, emergencia y disaster recovery de la empresa.
Se hara una revicion de los manuales de politica de la empresa, que los procedimientos de los mismos se encuentren actualizados y que sean claros y que el personal los comprenda.
Debe existir en la Empresa un programa de seguridad, para la evaluación de los riesgos que puedan existir, respecto a la seguridad del mantenimiento de los equipos, programas y datos.
4. Determinacion de los procedimientos de control
Se determinaran los procedimientos adecuados para aplicar a cada uno de los objetivos definidos en el paso anterior.
Objetivo N 1: Existencia de normativa de hardware.
El hardware debe estar correctamente identificado y documentado.
ALUMNAS: Calpa Lupe
Delgado Anita Realpe Cecilia
13
UNIVERSIDAD REGIONAL AUTONÓMA DE LOS ANDES “UNIANDES”AUDITORIA DE SISTEMAS
Se debe contar con todas las órdenes de compra y facturas con el fin de contar con el respaldo de las garantías ofrecidas por los fabricantes.
El acceso a los componentes del hardware esté restringido a la directo a las personas que lo utilizan.
Se debe contar con un plan de mantenimiento y registro de fechas, problemas, soluciones y próximo mantenimiento propuesto.
Objetivo N 2: Política de acceso a equipos.
Cada usuario deberá contar con su nombre de usuario y contraseña para acceder a los equipos.
Las claves deberán ser seguras (mínimo 8 caracteres, alfanuméricos y alternando mayúsculas y minúsculas).
Los usuarios se desloguearan después de 5 minutos sin actividad.
Los nuevos usuarios deberán ser autorizados mediante contratos de confidencialidad y deben mantenerse luego de finalizada la relación laboral.
Uso restringido de medios removibles (USB, CD-ROM, discos externos etc).
5. Pruebas a realizar.
Son los procedimientos que se llevaran a cabo a fin de verificar el cumplimiento de los objetivos establecidos. Entre ellas podemos mencionar las siguientes técnicas:
Tomar 10 maquinas al azar y evaluar la dificultad de acceso a las mismas.
Intentar sacar datos con un dispositivo externo.
Facilidad para desarmar una pc.
ALUMNAS: Calpa Lupe
Delgado Anita Realpe Cecilia
14
UNIVERSIDAD REGIONAL AUTONÓMA DE LOS ANDES “UNIANDES”AUDITORIA DE SISTEMAS
Facilidad de accesos a información de confidencialidad (usuarios y claves).
Verificación de contratos.
Comprobar que luego de 5 minutos de inactividad los usuarios se deslogueen.
6. Obtencion de los resultados.
En esta etapa se obtendrán los resultados que surjan de la aplicación de los procedimientos de control y las pruebas realizadas a fin de poder determinar si se cumple o no con los objetivos de control antes definidos. Los datos obtenidos se registrarán en planillas realizadas a medida para cada procedimiento a fin de tener catalogado perfectamente los resultados con el objetivo de facilitar la interpretacion de los mismos y evitar interpretaciones erroneas.
7. Conclusiones y Comentarios:
En este paso se detallara el resumen de toda la información obtenida, asi como lo que se deriva de esa información, sean fallas de seguridad, organización o estructura empresarial. Se expondrán las fallas encontradas, en la seguridad física sean en temas de resguardo de información (Casos de incendio, robo), manejo y obtención de copias de seguridad, en las normativas de seguridad como por ejemplo normativas de uso de passwords, formularios de adquisición de equipos, y estudios previos a las adquisiciones para comprobar el beneficio que los mismos aportarían. Finalmente se verán los temas de organización empresarial, como son partes responsables de seguridad, mantenimiento y supervisión de las otras áreas.
8. Redaccion del borrador del informe
Se detalla de manera concisa y clara un informe de todos los problemas encontrados, anotando los datos técnicos de cada una de las maquinas auditadas:
Marca
ModeloALUMNAS:
Calpa Lupe Delgado Anita Realpe Cecilia
15
UNIVERSIDAD REGIONAL AUTONÓMA DE LOS ANDES “UNIANDES”AUDITORIA DE SISTEMAS
Numero de Serie
Problema encontrado
Solución recomendada
9 . Presentación del borrador del informe, al responsable de microinformática
Se le presentara el informe borrador a un responsable del área informática, como se aclaro en el punto anterior, con el máximo de detalle posible de todos los problemas y soluciones posibles recomendadas, este informe se pasara por escrito en original y copia firmando un documento de conformidad del mismo para adquirir un compromiso fuerte en la solución de los mismos, de esta forma evitaremos posibles confusiones futuras.
10. Redacción del Informe Resumen y Conclusiones.
Es en este paso es donde se muestran los verdarderos resultados a los responsables de la empresa, el informe presentado dará a conocer todos los puntos evaluados durante la auditoria, resultados, conclusiones, puntaje y posibles soluciones.
La conclusión tendrá como temas los resultados, errores, puntos críticos y observaciones de los auditores. Mientras que en el resumen se verán las posibles soluciones de esos puntos críticos y fallas, así como recomendaciones para el buen uso y también recomendaciones sobre la forma incorrecta de realizar algunos procedimientos.
11. Entrega del informe a los directivos de la empresa.
Esta es la ultima parte de la auditoria y en una reunion se formaliza la entrega del informe final con los resultados obtenidos en la auditoria.
Tambien se fijan los parametros si asi se requieren para realizar el seguimientos de los puntos en los que el resultado no haya sido
ALUMNAS: Calpa Lupe
Delgado Anita Realpe Cecilia
16
UNIVERSIDAD REGIONAL AUTONÓMA DE LOS ANDES “UNIANDES”AUDITORIA DE SISTEMAS
satifactorio o simplemente se quiera verificar que los que los objetivos de control se sigan cumpliendo a lo largo del tiempo.
EJEMPLO PRÁCTICO A LA DIRECCIÓN DE AVIACIÓN CIVIL
REALIZADO POR LA CONTRALORÍA GENERAL DEL ESTADO
Sistema Informático Integrado de Recursos Humanos
desactualizado
Los responsables de la Jefatura de Gestión de Recursos Humanos, en su
respectivo período de gestión no alimentaron la información de manera
ágil y oportuna en el Sistema Informático Integrado de Recursos
Humanos y en muchos casos no refleja ni siquiera la Unidad en que los
funcionarios se encuentran prestando físicamente sus servicios.
Se verificaron comunicaciones enviadas por la Jefatura de Sueldos al Jefe
de la UARHs, solicitando que los diferentes movimientos de personal
correspondientes a cada mes, se envíen oportunamente para poder
procesar el rol ya que son las Jefaturas de Registro y Control, Gestión y
Control las que proveen el insumo para realizar este proceso. Se debe
considerar que la información que corresponda a la UARHs debe ser
consistente con la que se mantiene en el Área Financiera; por lo tanto, las
partidas presupuestarias deben guardar relación con el distributivo y la
remuneración asignada en la misma, en cuanto al cargo que desempeña.
El registro de acciones de personal que contienen sanciones
administrativas, no fueron registradas oportunamente, por lo tanto
prescribieron, tampoco fueron archivados en los expedientes personales
ALUMNAS: Calpa Lupe
Delgado Anita Realpe Cecilia
17
UNIVERSIDAD REGIONAL AUTONÓMA DE LOS ANDES “UNIANDES”AUDITORIA DE SISTEMAS
en los que se incluyen otros documentos, los mismos que reposan en
cajas y fundas en el área de Registro y Control.
Lo expresado, se debe a que la unidad no dispone de un software que
integre la información de los subsistemas de clasificación, selección,
capacitación y evaluación del desempeño, lo que ocasionó que la
Dirección de Recursos Humanos no cuente con datos actualizados para
la administración adecuada y eficiente del personal.
Por lo expuesto, el Jefe de Recursos Humanos inobservó las Normas de
Control Interno 110-03, “Contenido, flujo y Calidad de la Información”;
400-10, “Utilización de los Equipos, Programas e Información
Institucional” y 400-11, “Aprovechamiento de los Recursos
Computarizados del Sector Público”.
Conclusión
El Sistema informático implantado en la UARHs no es adecuado y está
desactualizado de manera que no permite obtener información oportuna
relativa a la hoja de vida y otros datos de los servidores.
Recomendaciones
Al Director General de Aviación Civil
1. Dispondrá al Jefe de Recursos Humanos solicite y coordine con la
unidad de Tecnología para que prepare un software que integre la
información de los subsistemas de clasificación, selección, capacitación y
evaluación del desempeño, que permita que la División de Recursos
Humanos cuente con datos actualizados y de importancia para la
administración adecuada y eficiente del personal.
Al Jefe de Recursos Humanos
2. Establecerá la necesidad de contar con un sistema informático
exclusivo para el área de recursos humanos que permita tener
información confiable y oportuna para la toma de decisiones, que facilite
ALUMNAS: Calpa Lupe
Delgado Anita Realpe Cecilia
18
UNIVERSIDAD REGIONAL AUTONÓMA DE LOS ANDES “UNIANDES”AUDITORIA DE SISTEMAS
obtener reportes actualizados para lograr un adecuado control de
vacaciones, permisos, licencias, comisiones de servicio, atrasos, faltas y
permanencia del personal en su lugar de trabajo.
3. Dispondrá a los responsables de la Jefatura de Gestión y
Administración y Control, la depuración y actualización inmediata del
Sistema Informático Integrado de Recursos Humanos.
ALUMNAS: Calpa Lupe
Delgado Anita Realpe Cecilia
19
UNIVERSIDAD REGIONAL AUTONÓMA DE LOS ANDES “UNIANDES”AUDITORIA DE SISTEMAS
ALUMNAS: Calpa Lupe
Delgado Anita Realpe Cecilia
21
CONCLUSIONES
1. La Gestión de Tecnologías de información y Comunicaciones en la “Sociedad del Conocimiento”, se constituye en el factor diferenciador entre las prácticas tradicionales y las prácticas automatizadas, centradas en el empleo de Hardware, Software y personal actualizado con el fin de mantener servicios de tecnología de información adecuados para alcanzar los objetivos institucionales.
3. Concluimos que la auditoria de sistemas nos permite realizar un examen crítico y analítico en todas las entidades que se manejen sistema informáticos; ya en base a esto se saca criterios de fallas o buenos manejos o administración de recursos.
4. Nos permite emitir información adecuada a los directivos para la toma de decisiones dentro de una entidad a través de la emisión de un Informe de Hallazgos y hechos encontrados en el examen realizado sea interno o externo.
UNIVERSIDAD REGIONAL AUTONÓMA DE LOS ANDES “UNIANDES”AUDITORIA DE SISTEMAS
RECOMENDACIONES
1. A todas las entidades o instituciones que manejen un sistema informático, se realice una auditoría de sistemas para ver si el manejo de la base de datos se está registrando de una manera adecuada, correcta y concisa que no afecte a la situación verdadera de la entidad en el caso de que exista fraude.
2. En todos las unidades de una institución u organización se realizan controles, mediante diferentes auditorías, porque no hacer control (antes, durante y después) a los sistemas o paquetes informáticos, si son éstos los que actualmente están manejando un 90% de la información y un 80% de la gestión de cada institución.
ALUMNAS: Calpa Lupe
Delgado Anita Realpe Cecilia
23
UNIVERSIDAD REGIONAL AUTONÓMA DE LOS ANDES “UNIANDES”AUDITORIA DE SISTEMAS
BIBLIOGRAFÍA Y LINKOGRAFÍA
- Manual de Auditoría de Sistemas de la Contraloría General del Estado, Año 2010.
- Audiconsystem.com
- Concepaudit.com
- Monografías. Com
ALUMNAS: Calpa Lupe
Delgado Anita Realpe Cecilia
24