DICTAMEN DE AUDITORÍA INFORMÁTICA

Práctica de Auditoría Informática 2009

DICTAMEN DE AUDITORÍA INFORMÁTICA

Resultado dela práctica de auditoría informática al 20 de Noviembre del 2009.

Realizado por: Tcnlga. Paulina Guevara, alumna del 10mo semestre Informática – Unita

Al Dr. Mario Aulestia DIRECTOR DEL CENTRO DE ATENCIÓN AMBULATORIA IESS DE OTAVALO

Fase 1 Actividad 1: Conocimiento general del Laboratorio:

Procedimiento: Efectuar el primer contacto con el responsable del Laboratorio y explicarle acerca de la realización de la práctica de auditoría y actividades a realizar.

Fase 1 Actividad 2: Revisión del ambiente Hardware:

UNIVERSIDAD TECNOLÓGICA AMÉRICA A-2UNITA – IBARRA

PROGRAMA DE AUDITORÍA INFORMÁTICA PARA REVISIÓN DEL AMBIENTE HARDWARE

Fecha: 16-11-2009Elaborado por: Paulina GuevaraRevisado por:

No. Procedimiento Responsable Fecha Documentación a examinar

PT

1 Elaborar un listado de las máquinas y de los programas más usados, usando el listado sugerido

Paulina Guevara

13-11-2009 Inventario L-1

2 Especificar y documentar las observaciones especiales de las máquinas que requieran una apreciación exclusiva. Como el servidos, equipos con componentes especiales, etc.

Paulina Guevara

13-11-2009 L-2

3 Elaborar un diagrama de la estructura y conexiones de red con los correspondientes equipos.

Paulina Guevara

13-11-2009 D-1

4 Realizar un análisis preliminar sobre el estado general del laboratorio.

Paulina Guevara

13-11-2009 AN-1

Paulina Guevara, 10mo Informática, UNITA Página 1


Fase 1 Actividades 3 a 5: Revisión del ambiente Software:

Análisis FODA y Alcance de la Auditoría:


PROGRAMA DE AUDITORÍA INFORMÁTICA PARA REVISIÓN DEL AMBIENTE GENERAL Y AMBIENTE SOFTWARE



PT

1 Realizar un listado de los principales programas instalados en los equipos con los listados para cada PC.

Paulina Guevara

16-11-2009 L-3

2 Seleccionar los programas más importantes para análisis y elaborar un listado de los mismos.

Paulina Guevara

16-11-2009 L-4

3 Verificar y listar los controles existentes para el manejo de los programas, como accesos y otros.

Paulina Guevara

16-11-2009 L-5

4 Solicitar al responsable del laboratorio copias sobre documentación existente acerca de manuales, políticas y hacer un chequeo para análisis.

Paulina Guevara

16-11-2009 Manuales, políticas.

Archivo General

5 Elaborar una Matriz FODA sobre los componentes generales de los PCS.

Paulina Guevara

16-11-2009 A-4 Archivo de análisis

6 Definir con precisión el alcance de la auditoría

Paulina Guevara

16-11-2009 Archivo General



Fase 2 Actividades 1 a 7: Desarrollo de la Auditoría:


PROGRAMA DE AUDITORÍA INFORMÁTICA PARA EVALUAR EL ÁREA DE SERVICIO



PT

1 Realizar las entrevistas personales al personal que labora en el dispensario médico, presentes en su horario de servicio.

Paulina Guevara

17-11-2009 B-1

2 Definir según muestreo el número de pacientes para efectuar entrevistas.

Paulina Guevara

17-11-2009 Lista de pacientes que acceden a los turnos.

Archivo de análisis

3 Realizar entrevistas personales a los pacientes, utilizando el cuestionario de estudio.

Paulina Guevara

18-11-2009 B-2

4 Tabular los datos para efectuar el análisis respectivo.

Paulina Guevara

19-11-2009 B-4

5 Elaborar un análisis sobre los aspectos más importantes dentro del servicio de informática.

Paulina Guevara

20-11-2009 B-3

6 Identificar y listar los posibles riesgos existentes en el área de informática.

Paulina Guevara

20-11-2009 B-5

7 Listar las primeras conclusiones del análisis y la identificación de riesgos realizados.

Paulina Guevara

20-11-2009 B-6



INFORME DE AUDITORÍA

PRÁCTICA DE AUDITORÍA INFORMÁTICA

Realizada al 20 de noviembre del 2009 en el Dispensario Médico del IESS de Otavalo

Al Dr. Mario Aulestia DIRECTOR DEL CENTRO DE ATENCIÓN AMBULATORIA IESS DE OTAVALO

Haciendo uso de su aprobación para realización de la práctica de auditoría informática en Centro médico a su dirección, se procedió a ejecutar el plan general de la práctica presentado el día 12 de Noviembre del 2009, cuyos detalles de la ejecución se muestran en el presente informe de anexos:

1. OBJETO DE AUDITORÍA

Llevar a la práctica los conocimientos recibidos dentro de la materia de Auditoría Informática.Además, hacer un análisis del servicio de informática que presta este Centro Médico.

Realizar un informe de Auditoría con el objeto de verificar la adecuación de las medidas aplicadas a las amenazas definidas, así como el cumplimiento de los requisitos exigidos.El período auditado en el presente informe se extiende desde el 13-11-2009 hasta el 20-11-2009.

2. ALCANCE DE LA AUDITORÍA

El presente examen fue realizado de conformidad con las normas de auditoría generalmente aceptadas, habiéndose practicado los siguientes procedimientos:

I. Análisis y estudio del área informática:- Entorno Software general: programas y aplicaciones.- Entorno Hardware: equipos y accesorios.- Análisis FODA: Fortalezas, Oportunidades, Debilidades y Amenazas.

II. Análisis de la documentación proporcionada:a. Por el responsable de los equipos de cómputo:

- Políticas, manuales y procedimientos.- Inventarios y listado de registros de los equipos.

III. Entrevistas concertadas:- A 5 miembros del personal laboral del centro médico: dirección, secretaría, contabilidad, estadística

y sistemas.- A 18 pacientes que frecuentan en centro médico.- Responsable de los equipos de cómputo.

IV. Requerimientos de información:- Información general del servicio de Sistemas.



- Descripción del hardware.- Sistemas de seguridad.- Aplicaciones.

V. Elaboración de cuestionarios:

Los cuestionarios han sido elaborados tomando en cuenta los aspectos generales que se puede abarcar en esta práctica de auditoría, tales como el conocimiento de las principales dificultades que se presentan en la administración de los equipos de cómputo y el requerimiento de recursos.

3. ACLARACIONES PREVIAS

I. Sobre el alcance de la auditoría:

La auditoría realizada, ha sido enfocada a un análisis interno, debido al corto tiempo en el que se viene utilizando los diferentes equipos de cómputo y el software de Historias Clínicas.

II. Sobre el aspecto legal:

Se tiene conocimiento de que no es viable la revisión de licencias de software y certificados de autorización para el uso de aplicaciones propias de IESS, ya que al tratarse de una Institución Pública y dependiente del Estado queda claro que cuenta con dichos permisos.

Sólo se hace énfasis en las decisiones sobre este aspecto que deberían ser tomadas en cuenta por la dirección de este Centro Ambulatorio.

III. Sobre la opinión de los encuestados:

Se decidió reservar las opiniones personales de los pacientes y personal laboral encuestado, por razones de discreción, sólo se hará referencia a los resultados de las encuestas, al momento de mencionar algunas referencias relacionadas con estas.

4. COMENTARIOS Y OBSERVACIONES

I. Entorno de Hardware:

a. Servidor

Las características de hardware del servidor son de una calidad superior a la de los demás computadores usados por el personal correspondiente, por lo que el desempeño del equipo que hace de servidor es óptimo.

La recomendación es aumentar la capacidad, mejorar las características de memoria y la velocidad del procesador en el equipo de Rayos X, ya para evitar posibles fallas al momento de administrar la gran cantidad de información que se genera en ese departamento.

b. Requerimiento de un UCP



Se pudo notar que la no existencia de un sistema de control para fallos de energía eléctrica, y sumándole además la crisis energética por la que atraviesa nuestro país en la actualidad, puede ocasionar daños en las máquinas y pérdida de la información. Para contrarrestar estos problemas, es conveniente adquirir un sistema UPC para proteger los equipos de los inesperados cortes del fluido eléctrico.

II. Entorno Software

a. Programas y utilitarios

A continuación se muestran algunas observaciones respecto a programas necesarios que deberían ser optimizados para agilizar los procesos y evitar pérdidas de tiempo:

Utilitarios importantes Estado ObservacionesOffice 2007: Word, Excel, Project Bueno Mantenimiento frecuenteInternet Bueno Se debe bloquear el Messenger y

evitar la descarga de programas pesados que podrían entorpecer a las máquinas.

Antivirus Regular No existe en todas las máquinas y en algunas hace falta la actualización del antivirus.

SIF Bueno Presenta varios errores, necesita mantenimiento continuo.

b. Programas mal instalados:

Algunas máquinas tienen programas mal instalados, como por ejemplo el Office 2007 el cual para activar una de sus funciones especiales, solicita el CD de instalación; por lo que se recomienda que la instalación de este tipo de software se lo haga completamente y de manera correcta, para evitar pérdidas de tiempo a los usuarios, a menos que esto implique someter a la máquina a trabajar con bajo rendimiento.

c. Protección antivirus:

Actualmente se utiliza en la mayoría de las máquinas el antivirus AVG 8.5 y en otras el Avira, el problema radica en que estos antivirus se los debe actualizar regularmente ya que de no hacerlo, la máquina puede estar en peligro al no estar totalmente protegida. Si bien es cierto que no todos los antivirus son efectivos, se recomienda que el antivirus que se utilice en un equipo sea actualizado una vez a la semana y configurarlo para que realice revisiones completas.

d. Actualizaciones:

Las actualizaciones deben ser periódicas, para equipos y software, siguiendo los parámetros establecidos por la institución; estos pueden ser frecuencia y tipo de actualización, además del cuidado que se debe tener con los computadores una vez que han sido actualizados, etc.



III. Aspecto de Seguridad general:

a. Riesgos en los equipos de cómputo:

La mayoría de las máquinas se encuentran mal ubicadas en sus respectivas oficinas, los monitores están directamente a la luz solar y algunos CPUs están colocados en el piso. Se recomienda que los equipos sean reubicados en un lugar seguro, que facilite el ambiente de trabajo para los usuarios, y que los componentes de las máquinas sean colocadas es su respectivo lugar para evitar daños.

Debe hacerse un mantenimiento preventivo más frecuente a las máquinas y actualizar el antivirus, además de dar recomendaciones generales para el buen uso de los equipos.

IV. Servicio

a. Distribución de los equipos:

La ubicación de los equipos de cómputo, para algunos usuarios, no es viable. Esta incorrecta ubicación hace que las máquinas ocupen más espacio físico de lo necesario, a más de correr el riesgo de dañarse o sufrir daños en su estructura. Lo que se debería hacer es reubicar y distribuir de manera óptima los equipos en su respectivo espacio asignado y brindar un mejor ambiente de trabajo al usuario.

b. Conexión con la Matriz IESS – Quito:

Frecuente han sido las fallas de conexión con el Sistema Hospitalario que es manejado desde la central ubicada en la ciudad de Quito, ocasionando pérdida de información, demora en los trámites e implica, en ocasiones, parar el trabajo al no tener acceso a la información requerida.

Se recomienda que un técnico realice un seguimiento continuo a la conexión y que desde Quito brinden el soporte técnico necesario para evitar estos problemas.

c. Elaboración de manuales de procedimiento :

No existen manuales de procedimiento para el buen uso de las máquinas y sus componentes, además no se cuenta con un manual de usuario del Sistema Hospitalario por lo que se recomienda elaborar los respectivos manuales avalados por el director del Centro Ambulatorio y que sirvan de ayuda al personal laboral y a quienes hagan de técnicos de sistemas.



V. RECOMENDACIONES:

1. Ampliar la capacidad, mejorar las características de memoria y la velocidad del procesador en el equipo de Rayos X.

2. Adquirir e instalar un sistema UPC de seguridad eléctrica para proteger los equipos de los inesperados cortes del fluido eléctrico.

3. Optimizar los programas y aplicaciones necesarias para agilizar los procesos y evitar pérdidas de tiempo.

4. Instalar software completamente y de manera correcta, ordenar en un sitio seguro los CD’s instaladores.

5. Actualizado el antivirus una vez a la semana y configurarlo para que realice revisiones completas.

6. Las actualizaciones deben ser periódicas, para equipos y software.7. Reubicar los equipos en un lugar seguro, y colocar los componentes de las máquinas en su

respectivo lugar para evitar daños.8. Instar a los usuarios sobre el buen uso y cuidado de los equipos.9. Hacer un seguimiento continuo a la conexión por parte del técnico y que desde Quito se

brinde el soporte técnico necesario.10. Elaborar los manuales de procedimiento y de uso del Sistema Hospitalario.

VI. Lugar y fecha de emisión del informe:

Otavalo – Ecuador, 20 de Noviembre del 2009

Firma:

Auditora



ANEXO 1

Análisis FODA


ANÁLISIS FODA SOBRE EL SERVICIO QUE PRESTA EL DISPENSARIO MÉDICO DEL IESS – OTAVALO REFERENTE A LOS EQUIPOS DE CÓMPUTO

Fortalezas

Equipos propios de la institución.Conexión en red.Servicio de internet.Conexión a tierra.1 técnico.

Oportunidades

Actualización de equipos y software.Capacitación constante.Reubicación de equipos de cómputo.Mantenimiento permanente.Seguridad contra fallas eléctricas.

DebilidadesPoca ventilación.Inapropiada ubicación de los equipos.Algunos programas están mal instalados.Equipo insuficiente, Rayos X

AmenazasVirusPérdida de información.Cortes de energía eléctrica frecuentes.



ANEXO 2

Ubicación sugerida para los equipos de Estadística y Fisioterapia


Archivador

Archivador

Escritorio

Ventana

Computador

Puerta

Computador

Escritorio

Puerta

Ventana


ANEXO 3

UNIVERSIDAD TECNOLÓGICA AMÉRICA B-1UNITA – IBARRA

CUESTIONARIO DE ESTUDIO PARA EL PERSONAL LABORAL

Fecha: Elaborado por: Revisado por: Encuestado:

Marque con una X la casilla correspondiente a la respuesta y llene las especificaciones según crea conveniente.

No. Pregunta Respuestas1 ¿Cuenta con los recursos

suficientes para llevar a cabo su trabajo sin inconvenientes?

SI NO Se requieren recursos como:

2 ¿Cree usted necesario mejorar los equipos de cómputo para brindar un mejor servicio?

SI NO A corto plazo En el siguiente año

3 ¿Cuál de los siguientes aspectos considera que podría desarrollarse en mayor medida dentro de la institución?

Tecnología en los equiposCapacitación en nuevas aplicacionesComunicaciones y redesVideoconferencias

4 ¿Ha tenido inconvenientes en el uso de las máquinas al momento de realizar su trabajo?

SI NO Mencione algunos:



ANEXO 4

UNIVERSIDAD TECNOLÓGICA AMÉRICA B-2UNITA – IBARRA

CUESTIONARIO DE ESTUDIO PARA LOS PACIENTES

Fecha: Elaborado por: Revisado por: Encuestado:

Marque con una X la casilla correspondiente a la respuesta y llene las especificaciones según crea conveniente.

No. Pregunta Respuestas1 ¿Cuenta con los recursos

suficientes para recibir una atención de calidad por parte del personal que labora en la institución?

SI NO Se requieren recursos como:

2 ¿Cree usted necesario mejorar los equipos de cómputo para recibir un mejor servicio?

SI NO A corto plazo En el siguiente año

3 ¿Ha tenido inconvenientes en el uso de las máquinas al momento de realizar su trabajo?

SI NO Mencione algunos:

4 ¿Piensa que es posible obtener un mejor servicio al mejorar la tecnología con la que cuenta la Institución?

SI NO Mencione los beneficios:



ANEXO 5

BASES PARA LA TOMA DE LA MUESTRA

Fórmula para obtener la muestra o población:

N = Tamaño de la población

S = Varianza (p * q) = (0.7 * 0.3)

Z = Curvas normales (1.96%)

E = Error (7%)

n = Muestra

Aplicación de la fórmula en las encuestas:

76 (0.21) (3.8416)

n =

0.07 (30-1) + (0.21) (3.8416)

n = 18

Número total de las encuesta a realizarse: 18

Co esta muestra de tamaño menor solo se aumentó la variación de los datos con el propósito de reducir el tiempo de las encuestas y la tabulación.


N S2 Z2

n = e2 (N-1) + (S)2 (Z)2


Plan General aplicado al Centro Ambulatorio IESS – Otavalo

Se ha planteado la ejecución de una serie de actividades programadas para 6 días, comienza el 13 de noviembre del presente año y termina el 20 de noviembre del mismo, con la entrega del cadáver.

Las actividades se encuentran organizadas en tres fases:

FASES ACTIVIDAD PRINCIPAL FECHAPRIMERA FASESEGUNDA FASETERCERA FASE

Diagnóstico preliminar y definición de áreas auditables.Desarrollo de la auditoría.Elaboración y entrega del Informe

13 y 16-11-200917 al 19-11-200920-11-2009

PRIMERA FASE:Diagnóstico preliminar y definición de áreas auditables 13 y 16-11-2009

Plan General

No. Actividad Fecha Responsable PT1 Conocimiento general de lugar

Objetivo: Tener una visión inicial para el análisis de auditoría en el centro médico.

13-11-2009

2 Revisión del ambiente Hardware

Objetivo: Conocer el estado de los equipos y sus respectivos accesorios.

13-11-2009 A-2

3 Revisión del ambiente Software

Objetivo: Reconocer los programas existentes y su estado de funcionamiento.

16-11-2009 A-3

4 Análisis FODA

Objetivo: Realizar un análisis previo al desarrollo de los procedimientos de auditoría informática.

16-11-2009 A-3

5 Definición del Alcance de auditoría

Objetivo: Especificar la cobertura del estudio de auditoría para la aplicación de los procedimientos.

16-11-2009 A-3



SEGUNDA FASE:Desarrollo de la Auditoría 17 a 19-11-2009

Plan General

No. Actividad Fecha Responsable PT1 Entrevistas personales al personal laboral

Objetivo: Conocer la opinión de los usuarios sobre los requerimientos en el área de sistemas del centro médico.

17-11-2009 B-1

2 Entrevistas personales a los pacientes

Objetivo: Conocer la opinión de los pacientes sobre los requerimientos y el servicio recibido en el centro médico.

17-11-2009 B-2

3 Tabulación de datos

Objetivo: Organizar la información obtenida para el proceso de análisis.

18-11-2009 B-3

4 Análisis de la información

Objetivo: Determinar, comparar, detallar y documentar los aspectos más importantes que se definan en el área de informática.

18-11-2009 B-4

5 Identificación de riesgos

Objetivo: Obtener una idea precisa de la estructura y funcionamiento de los equipos e identificar los riesgos que pueden afectar a los equipos y al desempeño del trabajo.

19-11-2009 B-5

6 Obtención de conclusiones

Objetivo: Elaborar una lista de los primeros resultados sobre el estudio de la información recopilada.

19-11-2009 B-6



TERCERA FASE:

Elaboración y entrega del informe 20-11-2009

Plan General

No. Actividad Fecha Responsable PT1 Elaboración del informe en borrador

Objetivo: Documentar el primer informe para discusión.

20-11-2009 Archivo General.

2 Elaboración del informe final

Objetivo: Argumentar el informe definitivo para su respectiva presentación.

20-11-2009 Archivo General.

3 Presentación del informe final

Objetivo: entregar el informe de auditoría informática final al Dr. Mario Aulestia, Director del Centro Ambulatorio del IESS-Otavalo

20-11-2009 Copia al archivo permanente


DICTAMEN DE AUDITORÍA INFORMÁTICA

Documents

Transcript of DICTAMEN DE AUDITORÍA INFORMÁTICA