Download 01 Caso de Auditoria de Sistemas 2017

Proyecto Papeles de Trabajo
Auditoria de Sistemas
Caso de Papeles de Trabajo
Auditoria de Sistemas
Durante el mes de febrero 2017 se llevó a cabo una auditoria de sistemas de la Cooperativa de
Ahorro y Crédito Las Américas de esta ciudad, esta auditoria pretende conocer con exactitud el
funcionamiento del control interno, sistemas de hardware, software, redes, evaluación del personal
y demás sistemas relacionados a los sistemas informáticos, para ello deberá desarrollar los
programas o guías de auditoria correspondientes, así como los instrumentos necesarios para llevar
a cabo la auditoria que se le plantea.
El caso se desarrollara en dos fases
1. Frase 1. Deberá utilizar el material condensado de papeles de trabajo para desarrollar sus
propios programas que permitirán demostrar su trabajo como auditor (Recuerde que los
datos de la auditoria ya se le proporcionan y en base a eso deberá construir sus programas)
2. Fase 2. Deberá elaborar todos los instrumentos necesarios con las preguntas
correspondientes que den aval a los resultados de la auditoria (Recuerde que los datos de
la auditoria ya se le proporcionan y en base a eso deberá construir sus programas)
Recopilación de la información:
-
-
-
Se consideró para esta auditoría que una semana antes del inicio de la misma se envió
un cuestionario a los diferentes gerentes y/o responsables de las diferentes áreas de la
empresa, con el fin de conocer el equipo de cómputo que utilizan y los procesos que
realizan en ellos
Los gerentes también deberán trasladar el cuestionario a cada uno de sus sub alternos
que tengan acceso a sistemas informáticos, de esta manera se tendrá una visión global
del sistema.
Se realizaran entrevistas con los encargados y empleados que se considere necesario.
Se realizaran observaciones, cuestionarios, listas de chequeo , Etc. Todo lo que el
auditor considere será necesario para la evaluación.
Solicitudes esenciales de la Gerencia
Gerencia tiene principal inquietud en evaluar riesgos potenciales en algunos aspectos principales
-
-
Forma de adquisición de nuevos equipos o aplicaciones de software. Los
procedimientos para adquirirlos deben estar regulados y aprobados en base a los
normativos de la institución y los requerimientos mínimos
Se quiere evaluar huecos de seguridad del software actual y la correcta configuración y
actualización de firewall y antivirus
Los accesos no autorizados a diferentes áreas especialmente a las del servidor principal
accesos físicos
Políticas de renovación y cuidado de los equipos de computo
Utilización de la red interna para compartir archivos de diferente índole
Administración del uso de correos electrónicos
Universidad de San Carlos de Guatemala – CPA – Auditoria 5
Proyecto Papeles de Trabajo
Auditoria de Sistemas
-
-
Evaluación de la contratación de personal que se encargara de diseñar una aplicación
de software totalmente nueva para el área de caja, este por cierto se conectara al
sistema ERP de la institución
Evaluación del plan de contingencia para desastres naturales, a pesar que la cooperativa
no se encuentra en un área de inundaciones.
Evaluación del uso de los computadores por parte del personal en general
A continuación se resume los usuarios directos e indirectos que se tendrán que considerar para
evaluar.
-
Gerente / Director del sistema
Subgerentes del Sistema
Asistentes de Informática
Técnicos de Soporte
Personal del área de Caja, Créditos, Contabilidad, Secretarias, recursos humanos y
departamento jurídico.
Situaciones Encontradas
Después de la aplicación de instrumentos y recopilación de información, se establecieron las
situaciones encontradas siguientes.
1. La Cooperativa cuenta con un departamento de sistemas, encargado de velar por el
rendimiento de los equipos de cómputo y resguardo de la información, cuenta con un
servidor principal con un procesador Xeon 3.2 con 8 gigas de ram, el sistema operativo es
Windows server 2003, este se encuentra en un ambiente protegido bajo llave, sin
refrigeración y con protección de Ups por un máximo de 15 minutos. El servidor cuenta con
8 Gb de Ram, a pesar de ello en la evaluación solo se comprobó el funcionamiento de 3 Gb,
el problema principal radica en que el servidor tiene instalado un sistema operativo de 32
bits (Windows 2003 Server)
2. El servidor actual no cuenta con discos redundantes o discos espejos, de tal manera que si
el equipo llega a fallar, la cooperativa podría perder información y suspender actividades,
la restauración requerirá de por lo menos 24 horas para levantar, instalar y restaurar la
actividad normal del servidor
3. Se cuenta con licencias originales de sistemas operativos y office para 30 equipos, de la
misma forma para los antivirus, las actualizaciones de antivirus se realizan de forma manual
por parte de los encargados del departamento de sistemas desde una máquina del
departamento.
4. No se cuenta con un plan de renovación de equipos y servidores, estos se renuevan hasta
que existe un fallo general en los mismos.
5. El sistema de caja nuevo se está desarrollado bajo un código ASP net, Visual Studio 2008
con un soporte de base de datos SQL 2008 r2, se logró establecer que la empresa
programadora cuenta con el licenciamiento necesario para realizar este tipo de desarrollo,
y según el representante de la empresa que instala el sistema, se realizó el correspondiente
análisis de compatibilidad con los equipos de la cooperativa, por lo tanto no debería existir
problemas de considerable magnitud en su implementación completa.
Universidad de San Carlos de Guatemala – CPA – Auditoria 5
Proyecto Papeles de Trabajo
Auditoria de Sistemas
6. A pesar que se cuenta con correos institucionales, los empleados siguen utilizando correos
no institucionales de Gmail u otro servidor gratuito, lo cual se considera un riesgo de
seguridad de información.
7. El cableado para la red de datos de la institución es rj45 categoría 5 no certificado, pero
cabe mencionar que las distancias del edifico no sobrepasan los 50 metros, la velocidad de
transmisión de datos por la red es de 10/100
8. El backup o respaldo de datos del sistema contable computarizado actual, es efectuado por
el encargado del departamento de informática de la cooperativa, el mismo presenta las
siguientes debilidades
a. El backup es una copia de todas las bases de datos del sistema, misma que no se
extrae encriptada, al hacerlo de esta forma se podrá tener acceso a información
relevante de clientes y transacciones sin que exista registro del acceso y/o
extracción de datos. Cabe mencionar que el encargado del área comprime los
backup con clave, el backup es realizado y almacenado en un DVD y un Disco
externo del departamento de informática de forma periódica, el DVD no es
almacenado en una caja de seguridad con llave y el disco se encuentra en el
escritorio de la persona encargada del área.
9. Se verificaron las principales políticas de uso del equipo para empleados y se logró verificar
la ausencia de políticas específicas del uso del equipo de cómputo por parte del personal,
esto específicamente a conexiones, descargas, comida, bebida e instalaciones de software
y hardware por parte del usuario.
10. El 5% de los equipos de cómputo utilizan sistema operativo Windows xp estos utilizados en
el área de secretaria, el resto de equipos cuentan con Windows 7 y 8, considere la empresa
contratada para implementar el sistema nuevo ha indicado que este sistema no tendrá un
correcto funcionamiento en Windows xp.
11. El personal del área de informática realiza el mantenimiento de los equipos de forma
personal y sin contar con la orden específica, al interrogar del porque se realizaba este
proceso de la forma en que se hace, el personal indico que no necesitan ninguna orden ya
que ellos son los mismos que autorizan las ordenes de mantenimiento y limpieza.
12. Se verifico que las contraseñas son seguras en un 90%
13. Existe una carpeta en el servidor llamado ARCHIVOS GENERALES, esta es usada por todos
los empleados para poder compartir información y así no necesitan movilizarse para llevar
la información de un lugar a otro por parte de memorias USB.
14. Para la adquisición del equipo se cuenta con un proveedor específico sugerido por parte del
consejo de administración de la cooperativa el cual surte todos los suministros, repuestos y
equipo necesarios para la institución.
15. Para las contingencias se cuenta con extintores de gas, no se logró verificar la fecha de
mantenimiento por ausencia del jefe del área, los empleados según entrevista con algunos
de ellos, supieron responder a las preguntas sobre el uso del mismo.
Universidad de San Carlos de Guatemala – CPA – Auditoria 5
Proyecto Papeles de Trabajo
Auditoria de Sistemas
REQUERIMIENTOS
1.
2.
3.
4.
5.
6.
7.
Para resolver el caso que se le presenta a continuación deberá considerar lo siguiente
Utilice la compilación de papeles de trabajo que se elaboró en clase, como soporte para
usar los programas e instrumentos ya elaborados.
Lea detenidamente el caso y use el material para adaptarlo a los resultados de la Auditoria.
Deberá llenar las respectivas cedulas de situaciones encontradas y situaciones relevantes
Deberá crear un informe de auditoría, dentro del mismo se espera que realice las
recomendaciones correspondientes.
Deberá entregar su trabajo en un solo archivo digital en dos formatos distintos Microsoft
Word y Pdf, entregados en una memoria USB que se devolverá al grupo al ser copiado el
proyecto.
Entregar el primer día de trabajo de clase después de semana santa
El trabajo se realizara con el mismo grupo de trabajo.
Universidad de San Carlos de Guatemala – CPA – Auditoria 5