Auditores: Camacho, Luis Cedeo, Stefana Gmez, Vladimir Soto, Jhonny Vezza, Alessandro rea Auditada: Atencin al Cliente
PLAN DE AUDITORA DE SISTEMAS
1._ Identificar el origen de la auditora
Daymar Colors C.A lleva establecido en la ciudad de El Tigre desde hace 20 aos, en los cuales su crecimiento ha sido exponencial, empezando por la venta de productos de pinturas para el hogar, hasta actualmente ofrecer servicios de gran calidad entre los que se encuentran, preparacin de pinturas personalizadas, venta de materiales industriales tanto al mayor como al detal. Pedidos a gran escala, entre otros, siempre teniendo con principal objetivo la satisfaccin y confort de toda su clientela. HOJA 1- 16 FECHA 09 / 06 / 2014
Desde sus inicios Daymar Colors CA, se encuentra dirigida por David Graffe y permanece en su direccin original desde hace 20 aos, especficamente en la 7ma calle norte, entre 4ta y 5ta carrera sur, zona clave de gran transito de vehculos y que conecta las avenidas francisco de miranda y la Pealver. La auditora del Sistema de Facturacin correspondiente a la empresa Daymar Colors C.A tiene como propsito estudiar el funcionamiento del mismo. Con la finalidad de verificar si interacta correctamente, satisface al cliente as como al proveedor, adems de certificar o sealar las posibles fallas que puede presentar el sistema y presentar posibles soluciones. Siendo esa de carcter externo, ya que el personal participante no son miembros de la compaa. Se desea desarrollar la auditora para realizar un plan de contingencia eficiente con respecto a la informacin, tanto de manera preventiva como correctiva. Este plan de contingencia a elaborar ser importante y til para posibles riesgos que puedan ocurrir; ofrecindole a la empresa una ventaja. El plan de contingencia desarrollado ser un aporte para la empresa, ya que la misma no est empleando gastos capitales en cuanto a la auditora se refiere. Este plan pretende ser de mxima utilidad para que la compaa no necesite de otras auditoras a menos que se cambie de sistema.
2._ Realizar una visita preliminar al rea que ser evaluada
Ser imprescindible realizar una visita preliminar para evaluar correctamente los parmetros antes descritos, mediante una observacin directa que formar parte de la evidencia que se recoger. Donde se determinarn la manera en la que estn distribuidas las computadoras o en s el sistema en el rea a auditar, con cuantos equipos se cuentan para guardar la informacin, de qu manera funcionan y cules son sus especificaciones; de manera que se entender de mejor forma el proceso principal del sistema.
HOJA 2- 16
Adems de esto es necesario observar la actitud del personal mientras se realiza la auditora, evaluar a simple vista las caractersticas fsicas (o visuales) del rea a auditar, la forma en la que se trabaja, el horario sustentado. Se sealarn las limitantes de la auditora como lo son el tiempo limitado de los auditores, la capacidad de personas que pueden estar dentro de las instalaciones de la empresa y la cantidad de clientes que pueden sentirse incmodos mientras se realiza la misma, adems de la experiencia de los auditores. En esta visita, se instar al contacto inicial con los funcionarios y empleados de la empresa, ya que su gerente principal se encuentra la mayora del tiempo en las instalaciones, y los empleados pertenecientes al rea nunca abandonan la misma ya que es estrictamente necesario que estn presentes por si necesitan facturar. Este contacto preliminar consiste en la presentacin y establecimiento de los objetivos para que no se vean extraados por la presencia de los auditores. Adems se identificar la problemtica principal del sistema, aclarar los objetivos a cumplirse a lo largo del desarrollo de la auditora a realizarse y calcular correctamente los recursos fsicos y humanos necesarios para la misma. 1. Cmo se encuentran distribuidos los sistemas en el rea?
En la empresa Daymar Colors CA, se encuentran distribuido en 7 computadoras de escritorio. Conectadas por un intercableado, formando una pequea red.
2. Cuntos, cules, cmo y de qu tipo son los equipos que estn instalados en el centro de sistemas?
Estn instalados 7 equipos computacionales con todos sus perifricos, y equipamiento de hardware y software (mouse, teclado, CPU, impresora y sistema operativo Windows Profesional).
HOJA 3- 16
3. Cules son a simple vista, las principales caractersticas fsicas del sistema que ser auditado?
Los sistemas que se van a auditar se encuentran en buenas condiciones para llevar a cabo las actividades propias de la empresa. Estos equipos estn debidamente equipados con sus dispositivos de entrada y salida, puertos USB, teclado querty, pantalla Lcd de 14 pulgadas, mouse ptico, unidad de Cd-Dvd, webcam. De esta manera se desarrolla de manera efectiva las actividades principales de la empresa; no realiza facturacin, ya que de eso se encargan las mquinas correspondientes a la cuenta bancaria de la empresa y que efectan exclusivamente este tipo de operaciones.
4. Qu tipo de instalaciones y conexiones fsicas hay en el rea de sistemas, y como estn distribuidas?
Daymar Colors CA, cuenta con una red de rea local LAN, con un cableado para conectar todos los dispositivos, tambin cuenta con punto de acceso (Router) para transferir datos de manera inalmbrica.
5. Cmo reacciona el personal ante la visitar del auditor?
Al llegar a la empresa Daymar Colors CA, la atencin fue muy amena, de manera amable se intercambiaron palabras referentes a nuestra visita, exponiendo el fin y explicando que solo queramos realizar un informe universitario como requisito para aprobar la catedra de Auditoria de sistemas a fin de aplicar los conocimientos adquiridos en la misma.
6. Cules son las medidas de seguridad visibles que existen? Daymar Colors CA, cuenta con un circuito cerrado de video cmara, el cual lleva un registro interno de las personas que frecuentan el lugar, asi como de los trabajadores que en ella laboran, cuenta con un circuito contra incendios, alarma antirobo, y cercado elctrico para la seguridad fsica del lugar.
HOJA 4- 16
7. Cmo actan los usuarios y el personal del rea; ya sea que ignoren la posible auditoria o cuando ya lo saben? Los auditores le brindan la comodidad y confiabilidad con respecto a su presencia mientras se realiza el proceso. Se muestran amables y realizan su trabajo normalmente. 8. Qu limitaciones se observan para la realizacin de la auditoria?
El tiempo que poseen los auditores para realizar la auditora, debido al horario de estudios universitarios. Esto impide la completa observacin durante todo el da.
3._ Establecer los objetivos de la auditora
3.1 Objetivo general
Elaborar un nuevo plan de contingencia para el Sistema de Informacin perteneciente al rea de Atencin al Cliente de la empresa Daymar Colors C.A ubicada en la ciudad de El Tigre estado Anzotegui.
3.2 Objetivos particulares
Auditor: Alessandro Vezza. rea: Presidencia.
Realizar una observacin acerca del desempeo y capacidades del personal perteneciente a la empresa. Observar las funciones que realiza el personal principal de la empresa.
HOJA 5- 16
Auditor: Luis Camacho. rea: Gerencia.
Hacer un estudio del aspecto financiero con respecto a la utilizacin de recursos monetarios en cuanto se refiere al Sistema de Informacin perteneciente al rea de Atencin al Cliente de la empresa Daymar Colors C.A.
Auditora: Stefana Cedeo. rea: Secretara.
Evaluar el cumplimiento de las polticas y normas de la empresa y su repercusin en el Sistema de Informacin perteneciente al rea de Atencin al Cliente de la empresa Daymar Colors C.A. Elaborar informe de utilizacin de documentos en la empresa.
Auditor: Vladimir Gmez. rea: Auxiliar de Tcnico de Sistemas.
Evaluar los posibles riesgos que pueden correr de manera lgica y fsica el Sistema de Informacin perteneciente al rea de Atencin al Cliente de la empresa Daymar Colors C.A.
Auditor: Jhonny Soto. rea: Atencin al Cliente.
Verificar la capacidad de desarrollo del personal ante un posible riesgo o amenaza al Sistema de Informacin perteneciente al rea de Atencin al Cliente de la empresa Daymar Colors C.A.
Estudiar el correcto uso del Sistema de Informacin perteneciente al rea de Atencin al Cliente de la empresa Daymar Colors C.A.
HOJA 6- 16
3.3 Objetivos especficos
Levantar informacin durante la ejecucin de la auditora. Verificar que se den los procesos de la empresa. Evaluar los procedimientos y actividades de la empresa. Ejecutar un dictamen que proponga posibles mejoras para la empresa. Determinar puntos importantes de la auditora. Elaborar un presupuesto que se adapte al tipo de la auditora.
4._ Puntos que sern evaluados en la auditora 4.1 Evaluacin de las funciones y actividades del personal del rea de sistemas Se evaluarn las funciones o papeles que ejecutan cada uno de los miembros o empleados dentro de la empresa. Presidente: Es quien dirige, revisa y corrobora todos los aspectos que deben funcionar y cumplirse para obtener siempre el mayor grado de beneficio posible para la empresa Daymar Color's C.A., dirigida por David Graffe. Entre estos aspectos estn el de la realizacin de los pedidos a gran escala a los diversos proveedores de productos en el apartado industrial. Gerente: Se encarga de administrar los aspectos econmicos de la empresa, tales como pago a proveedores, pago de impuestos, y material legal, adems de asegurarse de que cada empleado ejerza su respectiva funcin. Secretario: Es el encargado de las actividades de menor envergadura dentro de la empresa y de prestar apoyo al gerente cuando este los solicita. Tcnico de sistemas: Garantiza el correcto funcionamiento y el mantenimientos de los equipos de informtica empleados por la empresa Daymar Color's C.A. Jefe de seguridad: Garantiza la seguridad de las instalaciones y del personal que all labora, as como de los clientes que all acuden. Entre sus funciones est la constante vigilancia de las cmaras de seguridad y verificacin de sistemas de seguridad en depsitos.
HOJA 7- 16
Personal de atencin al cliente: Es el encargado de atender a la clientela y maneja el sistema de facturacin implementado por Daymar Color's C.A. adems de estar capacitados para otras actividades como la preparacin de pinturas, transporte de material, manejo de los depsitos, entre otros.
4.2 Evaluacin de la seguridad de los sistemas de informacin La seguridad de los sistemas de informacin dentro de Daymar Color's C.A. son los adecuados para una empresa de la magnitud de sta. Entre sus medidas de seguridad, las hay tanto para los equipos de informtica como para el personal que los opera. El software encargado de gestionar el inventario y registros de ventas del sistema, se maneja nicamente por los empleados correspondientes, dentro de la instalacin donde se ubican, ya que no se ha implementado un sistema de acceso remoto a fin de resguardar la informacin de importancia que se guarda en los equipos, como la base de datos. El respaldo de la informacin se realiza de forma semanal, adems hay medidas de seguridad en caso de incidentes como cortes de energa elctrica, evitando as el apagado inmediato de los equipos, dando oportunidad de concretar las actividades que se estuvieran realizando en ellos, y luego realizar un cierre temporal del sistema y el apagado de los equipos hasta que vuelva el suministro elctrico. Si el suministro elctrico no llega en un tiempo establecido, se procede a utilizar un generador auxiliar de energa a fin de no detener las operaciones durante un plazo muy extendido. El hardware en el cual se ejecuta el sistema posee medidas preventivas a diversos daos, tales como reguladores de corriente, limpiezas constantes, y ubicacin esttica. En caso de daos por antigedad o mal funcionamiento, el tcnico de sistemas es el nico encargado y permitido de reemplazar los equipos o piezas, con previa autorizacin del gerente.
HOJA 8- 16
En el mbito del personal tambin se incluyen medidas de seguridad como extintores de incendios a un corto alcance del personal, amplias salidas de emergencia de fcil acceso, buena ventilacin de las reas de trabajo, entre otras.
4.3 Evaluacin de la informacin documentacin y registros de los sistemas En este aspecto, toda la informacin que se va generando en el sistema y que por ende se guarda en la base de datos, se respalda semanalmente, mediante un procedimiento descrito en un manual preparado previamente, de fcil compresin para el personal que opera el sistema.
4.4 Evaluacin de los sistemas equipos instalaciones y componentes 4.4.1 Evaluacin de los recursos humanos del rea de sistemas Se desea evaluar mediante la auditora a todo el personal que trabaja en la empresa a fin de determinar la experiencia, conocimientos y habilidades de dicho personal en el cumplimiento de sus actividades y funciones para las que han sido asignados 4.4.2 Evaluacin del hardware Se quiere evaluar todos aquellos componentes de hardware que son empleados en la empresa, entre los cuales se tienen computadores (monitor y CPU), as como los perifricos tales como mouse, teclados, cmara de vigilancia e impresoras, a fin de asegurarse el correcto funcionamiento de estos y evitar inconvenientes dentro de la empresa. 4.4.3 Evaluacin del software La empresa emplea el sistema operativo Windows XP en todos sus computadores, en el cual se ejecutan los programas necesarios para las funciones de la empresa, y los cuales sern evaluados para dictaminar su eficiencia y eficacia.
HOJA 9- 16
4.4.4 Evaluacin de la informacin y las bases de datos El programa principal empleado en la empresa utiliza una base de datos en lenguaje MYSQL en la que los datos solo pueden ser modificados mediante el programa mismo, se evaluar esta para dictaminar si es lo suficientemente segura a la hora de resguardar toda la informacin que contiene.
4.5 Elegir los tipos de auditora que sern utilizados Auditora en informtica Recoge, agrupa y evala evidencias para determinar si un sistema de informacin salvaguarda el activo empresarial, mantiene la integridad de los datos, lleva a cabo eficazmente los fines de la organizacin, utiliza eficientemente los recursos, y cumple con las leyes y regulaciones establecidas. Auditora de sistemas de informacin Lleva a cabo la evaluacin de normas, controles, tcnicas y procedimientos que se tienen establecidos en una empresa para lograr confiabilidad, oportunidad, seguridad y confidencialidad de la informacin que se procesa a travs de los sistemas de informacin. La auditora de sistemas es una rama especializada de la auditora que promueve y aplica conceptos de auditora en el rea de sistemas de informacin.
4.6 Determinar los recursos que sern utilizados en la auditora 4.6.1 Personal para la auditora de sistemas El personal encargado de llevar a cabo la auditora en la empresa Daymar Colors C.A, son los estudiantes del 8vo Semestre Ingeniera de Sistemas pertenecientes a la UNEFA Sede Anzotegui. Siendo los mismos: Luis Camacho, Stefana Cedeo, Vladimir Gmez, Jhonny Soto y Alessandro Vezza.
HOJA 10- 16
4.6.2 Personal del rea que ser evaluada Se evaluar al personal perteneciente a la empresa Daymar Colors mediante la observacin directa y la aplicacin de herramientas de recopilacin tales como las entrevistas. 4.6.3 Recursos econmicos Los siguientes recursos econmicos corren por cuenta de los auditores implicados, con una pequea colaboracin por parte de la empresa. Utilizados desde el 30 de abril del ao 2014. Los implementos de oficina estn disponibles en la Librera Star C.A., El Tigre Estado Anzotegui.
6._ Identificar y seleccionar los mtodos, herramientas, instrumentos y procedimientos necesarios para la auditoria 6.1 Disear los formularios para encuestas Una encuesta es un estudio observacional en el que el investigador busca recaudar datos por medio de un cuestionario previamente diseado, sin modificar el entorno ni controlar el proceso que est en observacin (como s lo hace en un experimento). Los datos se obtienen realizando un conjunto de preguntas normalizadas dirigidas a una muestra representativa o al conjunto total de la poblacin estadstica en estudio, integrada a menudo por personas, empresas o entes institucionales, con el fin de conocer estados de opinin, caractersticas o hechos especficos. Es un recurso altamente importante en una auditora, ya que es evidencia de la misma. Tipo de Encuesta: Preguntas Cerradas y Abiertas. 1. El manejo de informacin es completamente digital? S ___ NO ___ 2. Est contento(a) con el plan de contingencia actual que posee el Sistema de Informacin y el rea en la que se encuentra? S ___ NO ___ 3. Cmo calificara el rendimiento del Sistema de Informacin? EXCELENTE ___ MUY BUENO ___ REGULAR ___ MALO ___ 4. Cree que la conexin entre terminales es ptima? S ___ NO ___ 5. El Hardware y Software son ptimos para la ejecucin del Sistema de Informacin? S ___ NO ___
HOJA 13- 16
6. Se le realiza mantenimiento adecuado a los equipos pertenecientes al sistema? S ___ NO ___ 7. Cada cunto tiempo se realizan estos mantenimientos? 8. Cul sera su sugerencia para con el funcionamiento del sistema? 9. Est conforme con las medidas actuales de seguridad? S ___ NO ___ 10. Cree que deberan mejorar el sistema a futuro? S ___ NO ___
7._ Asignar los recursos y sistemas computacionales para la auditora Los siguientes recursos tienen el propsito de ayudar en el transcurso de la auditora, relativos al trabajo o seccin de cada auditor. Auditor: Alessandro Vezza. Computador del Presidente o Dueo de la empresa. Lapicero. Hojas. Carpetas.
HOJA 14- 16
Auditor: Luis Camacho. Gerente de la empresa. Documentos varios. Computador del gerente. Lapicero. Hojas. Carpetas.
Auditor: Stefana Cedeo Sistema de Informacin. Lapicero. Hojas. Carpetas.
Auditor: Vladimir Gmez. Recursos fsicos (Hardware). Sistema de seguridad (cmaras). Personal de Seguridad. Cableado. Lapicero. Hojas. Carpetas.
HOJA 15- 16
Auditor: Jhonny Soto Sistema de Informacin. Personal de Atencin al Cliente. Lapicero. Hojas. Carpetas.