Proyecto de Auditoria 2014
INSTITUTO UNIVERSITARIO POLITÉCNICO ―SANTIAGO MARIÑO‖ EXTENSIÓN PORLAMAR ESCUELA DE INGENIERÍA DE SISTEMAS AUDITORÍA Y E
Views 82 Downloads 75 File size 579KB
Recommend stories
- Author / Uploaded
- Justin Watson
Citation preview
INSTITUTO UNIVERSITARIO POLITÉCNICO ―SANTIAGO MARIÑO‖ EXTENSIÓN PORLAMAR ESCUELA DE INGENIERÍA DE SISTEMAS AUDITORÍA Y EVALUACIÓN DE SISTEMAS
AUDITORIA INFORMÁTICA AL DEPARTAMENTO DE INFORMATICA DEL CENTRO CLINICO UNIVERSITARIO DE ORIENTE
Autores: Br. Elizabeth Vásquez C.I. v- 20.536.370 Br. Leirys Rojas C.I. v- 18.337.417 Br. Yonatan González C.I. v- 20.111.318 Br. José Cortez C.I. v- 17.898.476 Sección: 4A Nocturno. Prof. Lcdo. Eliecer Boadas
Porlamar, enero de 2014
i
INDICE GENERAL pp. INTRODUCCIÓN I.
1
GERALIDADES DE LA EMPRESA
Naturaleza de la Empresa
2
Ubicación
2
Misión
3
Visión
3
Análisis Foda
4
Organigrama de la Empresa
5
Descripción de los Procesos y Funciones
6
Metodología Cobit
10
Modelo de Madurez
10
Auditoria de tics Aplicando Cobit
13
Área a Auditar
13
Proceso de recolección de Información.
14
Documentos de Gestión en el Área Informática
16
Plan de la Auditoria en el Área Informática
16
Herramientas y Técnicas
17
Motivo o Necesidad de la Auditoria.
17
Modelos de Madurez a Nivel Cualitativo (coso)
19
ii
II.
EJECUCIÓN DE LA AUDITORIA
Situación Actual del Área de Sistemas
20
Objetivos del Departamento
20
Organigrama del Departamento
21
Seguridad del Departamento
21
Características de la plataforma Tecnológica
22
Determinación de los Problemas y Planteamiento de Hipótesis
23
Posibles Problemas
23
Formulación de Hipótesis
23
Aplicación de la Auditoria
24
Modelo de Madurez de los Procesos
24
Reporte General de los Grados de Madurez
24
Resumen de Procesos y Criterios de Información por Impacto
25
Resultados Finales del Impacto Sobre los Criterios de Información
26
Gráfica Representativa del Impacto de los Criterios de Información
26
III. ANALISIS DE LOS RESULTADOS Informe Técnico.
27
Informe Ejecutivo
34
IV. CONCLUSIONES Y RECOMENDACIONES Recomendaciones
37
iii
Conclusiones
38
GLOSARIO
39
REFERENCIAS BIBLIOGRAFICAS
40
ANEXO
42
iv
INTRODUCCIÓN
Los avances tecnológicos y los sistemas de información han tomado un curso muy importante en el desarrollo de la las industrias por eso muchas empresas han determinado colocarlas en práctica para mejorar la calidad de sus actividades, esto trae como consecuencia que se desarrollen sistemas que de información que abarquen las necesidades de las instituciones.
En la actualidad el Centro Clínico de universitario de oriente no cuenta con un departamento de informática óptimo para el desarrollo de sus funciones, ya que los sistemas de información no son capaces de facilitar a los usuarios un excelente desempeño y control de calidad. Por tal motivo se necesita realizar la auditoria al departamento ya mencionado para la verificación de la información y determinar por qué los
sistemas de
información no cumplen con los requisitos necesarios para la solución de problemas.
1
CAPITULO I GENERALIDADES DE LA EMPRESA Caracterización de la Empresa Naturaleza de la empresa. El Centro Clínico Universitario de Oriente es una organización de servicios de salud, destinado a garantizar al usuario atención integral en Salud, ya sea bajo la modalidad ambulatoria u hospitalaria.
Reseña histórica: Para el año 1998 comienza a gestarse la idea del ―cambio‖ de parte de un grupo de profesionales de la salud y de la Directiva de APUDOAnzoátegui. Después de varios esfuerzos mancomunados entre autoridades universitarias y APUDO – Anzoátegui, se pone en marcha el funcionamiento de un consultorio médico en un área de la Asociación. En ese entonces, un grupo de Médicos emprendedores liderizados por el Prof. Félix Castillo y estudiantes del último año de medicina, miembros de la agrupación estudiantil MAGEM, eran el cimiento humano para crear una institución propia dispensadora de la salud, que hoy es una realidad. El Centro Clínico Universitario de Oriente se concibe bajo la idea de un grupo estratégico conformado por personas provenientes de las siguientes instituciones: APUDO–ANZOATEGUI, IPSPUDO y FONDOUDO. En el seno de este grupo estratégico y a partir de ideas surgen necesidades para apoyar la creación e implantación de distintas organizaciones para el beneficio de los profesores y a toda la comunidad en general. Es así como se aprueban las ideas provenientes del grupo estratégico y se procede a la inyección de recursos para la creación de distintas organizaciones, entre las cuales se encuentra el Centro Clínico Universitario de Esta institución se fundó el 5 de diciembre del año 2002, con el aporte financiero y logístico de
2
la Asociación de Profesores de la Universidad de Oriente (APUDO) del estado Anzoátegui, el Instituto de Previsión Social de los Profesores (IPSPUDO), y del Fondo de Pensiones y Jubilaciones (FONDOUDO). Con un gran esfuerzo logístico y operativo, el C.C.U.D.O empieza a expandirse en el oriente del país, concretando la segunda sede el 01 de Octubre de 2.005 en Nueva Esparta, el 06 de Junio de 2.006 se inaugura la sede de Sucre, dos años después la cuarta sede en abrir sus puertas fue la sede Monagas el 12 de Diciembre de 2.008, y finalmente el 28 de Diciembre de 2.010 formalmente es inaugurada y abierta al público la sede de Bolívar. Es importante destacar que en el 2009 se ejecutó un cambio de Junta Directiva
pasando
nuestra
razón
social
CORPORACION
CLINICA
UNIVERSITARIA A.C pero manteniéndose nuestra razón comercial Centro Clínico
Universitario
de
Oriente.
La
―CORPORACIÒN
CLÌNICA
UNIVERSITARIA DE ORIENTE, (C.C.U.D.O), fue originalmente constituida ante la Oficina Subalterna de Registro Público del Distrito Heres del Estado Bolívar, el día quince (15) de noviembre de dos mil cinco (2005), bajo el No. 39, Tomo 15, Protocolo primero, modificados sus estatutos según asiento protocolizado ante la mencionada Oficina Subalterna de Registro, el día quince (15) de marzo de dos mil seis (2006), bajo el No. 24, Protocolo Primero, con posterior cambio de domicilio a la ciudad de Cumanà, Estado Sucre, tal como se evidencia de instrumento protocolizado en el citado Registro Público en fecha dos (02) de noviembre de dos mil siete (2007), bajo el No. 2, folio 4 al 6, tomo 13, Protocolo Primero, inscrito en el Registro de información fiscal (J-31501758-0), se creó para funcionar bajo la figura de Asociación Civil, para la Atención Integral en Salud, que ofrece servicios accesibles con modernas instalaciones y alta tecnología. Actualmente el CCUDO mantiene sedes activas y operativas en Anzoátegui, Nueva Esparta, Sucre, Monagas y Bolívar, continua uniendo esfuerzos para ampliar sus servicios a la comunidad universitaria y el público en general, promoviendo la generación de recursos a través de la
3
autogestión, que permitan mejorar la infraestructura, la tecnología, sistemas y equipos, que permitan ofrecer un servicio la más alta calidad a todos sus usuarios. Visión Brindar a la comunidad asistencia de salud integral especializada, accesible y de alta calidad, mediante programas de salud, con la participación de personal altamente capacitado, responsable y comprometido, utilizando recursos tecnológicos e instalaciones modernas. Sumamos esfuerzos con el fin de obtener el máximo beneficio, contribuyendo a una mejor calidad de vida de la sociedad; además de generar aportes para la docencia, la investigación y la extensión comunitaria. Misión Ser un instituto de salud modelo de referencia de gestión en la prestación de servicio de asistencia médica integral a la comunidad, con carácter preventivo y curativo, que satisfaga las necesidades de nuestros clientes. Ubicación Ubicación Principal. Av 4 de Mayo, Frente al Jumbo, Centro Empresarial Galerías Fente, 2do piso, Porlamar, Estado Nueva Esparta. Política de calidad Ofrecer un servicio accesible de atención médica integral con apoyo a la investigación y la comunidad, utilizando para ello instalaciones adecuadas, personal capacitado y recursos tecnológicos de alta calidad comprometidos al mejoramiento continuo, con el fin de garantizar la satisfacción de nuestros usuarios.
Valores Integridad
4
Honestidad y transparencia en nuestros actos y decisiones, respeto a Análisis Interno.
las personas, a la comunidad y al ambiente. Humildad para reconocer nuestros errores. Ser justos, responsables y congruentes.
5
Fortalezas Tratamiento
Debilidades
personalizado
No se cuenta con manuales de
a
Pacientes mediante a atenciones
normas y procedimientos.
medicas.
No
Combinación de atenciones
de
se
realizan
Backups
o
respaldos de la información que se
primera calidad buscando satisfacer
encuentran en los servidores.
las necesidades de los usurios
No se realizan auditorías internas
Innovación constante.
y externas en la empresa.
Personal
capacitado
y
comprometido con la visión de la empresa. Análisis Externo. Oportunidades
Amenazas
Valoración positiva de las TIC en Competitividad cerca del centro la organización.
clínico a menor costo
Costos cada vez menores para las La
inestabilidad
económica
y
organizaciones para la aplicación de
escasez de insumos por falta de
las TIC.
divisas.
Lealtad de los clientes hacia la Falta de actualización de los organización.
sistemas informáticos.
Ubicación estratégica del local.
Escasez de productos de primera necesidad.
Análisis FODA
Organigrama de la empresa.
6
Estructura Organizativa del Centro Clínico Universitario de Oriente.
Fuente: elaboración propia 2014 Descripción de las Áreas. Coordinación General
Departamento de Informático
Administración
Enfermería
Servicio General
Atención al Paciente
El centro Clínico Universitario de Oriente presenta en un organigrama de tipo Vertical. Se muestra de la siguiente forma: Un Coordinador General, es el que se encarga de tomar las grandes decisiones y supervisar todo el movimiento operativo, en la sede principal,. Es quien evalúa también operaciones administrativas y evalúa las decisiones tomadas por la directiva, relacionadas con los objetivos y el desarrollo de la organización. Un departamento de Administración, que supervisa todo lo relacionado al
control
de
las
operaciones
contables
de
los
departamentos
correspondientes, entre ellos están (Servicio general, enfermería y Atención
7
al paciente). Un departamento de informática que se encarga de llevar los registros de verificación de información, todo lo referente al registro de pacientes y sus respectivas historias clínicas.
METODOLOGIA COBIT Modelo de Madurez El modelo de madurez para la administración y el control de los procesos de TI se basa en un método de evaluación de la organización, de tal forma que se pueda evaluar a sí misma desde un nivel de no-existente (0) hasta un nivel de optimizado (5). Este enfoque se deriva del modelo de madurez que el Software Engineering Institute definió para la madurez de la capacidad del desarrollo de software. Cualquiera que sea el modelo, las escalas no deben ser demasiado granulares, ya que eso haría que el sistema fuera difícil de usar y sugeriría una precisión que no es justificable debido a que en general, el fin es identificar dónde se encuentran los problemas y cómo fijar prioridades para las mejoras. El propósito no es evaluar el nivel de adherencia a los objetivos de control. Utilizando los modelos de madurez desarrollados para cada uno de los 34 procesos TI de COBIT, la dirección superior podrá identificar: • El desempeño real de la empresa—Dónde se encuentra la empresa hoy. • El objetivo de mejora de la empresa—Dónde desea estar la empresa. • El crecimiento requerido entre ―como es‖ y ―como será‖.
8
Gráficamente el modelo de madurez se describe a continuación.
El modelo de madurez es una forma de medir qué tan bien están desarrollados los procesos administrativos, esto es, qué tan capaces son en realidad. Qué tan bien desarrollados o capaces deberían ser, principalmente dependen de las metas de TI y en las necesidades del negocio subyacentes a las cuales sirven de base. A continuación se presenta el modelo de madurez genérico a usarse en esta auditoría: Nivel de Madurez
Estado del Entorno de Control
Establecimiento de Control Interno
Interno No se reconoce la necesidad del control interno. El control no es parte de la cultura o
0 No Existe
misión organizacional. Existe un alto riesgo de deficiencias e incidentes de control.
1 Inicial / ad hoc
Intuitivo
pero
la
se manejan conforme van surgiendo. No existe la conciencia de la necesidad de
control
los
evaluar lo que se necesita en términos de
requerimientos de riesgo y control es a
controles de TI. Cuando se llevan a cabo,
desorganizado,
o
son solamente de forma ad hoc, a alto nivel
las
y como reacción a incidentes significativos.
están
La evaluación sólo se enfoca al incidente
interno.
El
enfoque
sin
supervisión.
No
deficiencias.
Los
Existen
Repetible
de evaluar
necesidad del control interno. Los incidentes
Se reconoce algo de la necesidad del hacia
comunicación
se
identifican
empleados
no
consientes de sus responsabilidades.
2
No existe la intención
controles
pero
presente. están
La evaluación de la necesidad de control
documentados. Su operación depende del
sucede solo cuando se necesita para ciertos
conocimiento y motivación de los individuos.
procesos
La efectividad no se evalúa de forma
determinar el nivel actual de madurez del
adecuada. Existen muchas debilidades de
control,
control
forma
alcanzado, y las brechas existentes. Se
apropiada; el impacto puede ser severo.
utiliza un enfoque de taller informal, que
y no se resuelven
no
de
9
seleccionados
el
nivel
meta
de
que
TI
debe
para
ser
3 Definido
Las medidas de la gerencia para resolver
involucra a los gerentes de TI y al equipo
problemas de control no son consistentes ni
interesado en el proceso, para definir un
tienen prioridades. Los empleados pueden
enfoque adecuado hacia el control para los
no
procesos, y para generar un plan de acción
estar
conscientes
de
sus
responsabilidades.
acordado.
Existen controles y están documentados de
Los procesos críticos de TI se identifican
forma adecuada. Se evalúa la efectividad
con base en impulsores de valor y de
operativa de forma periódica y existe un
riesgo. Se realiza un análisis detallado para
número
identificar requisitos de control y la causa
promedio
de
problemas.
Sin
embargo, el proceso de evaluación no está
raíz
documentado. Aunque la gerencia puede
desarrollar
manejar la mayoría de los problemas de
Además
control
algunas
herramientas y se realizan entrevistas para
debilidades de control persisten y los
apoyar el análisis y garantizar que los
impactos
Los
dueños de los procesos de TI son realmente
sus
los dueños e impulsan al proceso de
de
forma
pueden
empleados
están
predecible,
ser
severos.
consientes
de
responsabilidades de control.
de
las
brechas,
así
oportunidades de facilitar
como de
talleres,
para
mejora. se usan
evaluación y mejora. Se define de forma periódica qué tan
4
Administrado
Medible
y
Existe un ambiente efectivo de control
críticos son los procesos de TI con el apoyo
interno y de administración de riesgos. La
y acuerdo completo por parte de los dueños
evaluación formal y documentada de los
de
controles
periódica.
evaluación de los requisitos de control se
Muchos controles están automatizados y se
basa en las políticas y en la madurez real
realizan de forma periódica. Es probable
de estos procesos, siguiendo un análisis
que la gerencia detecte la mayoría de los
meticuloso y medido, involucrando a los
problemas de control, aunque no todos los
Interesados
problemas se identifican de forma rutinaria.
rendición
Hay
para
evaluaciones es clara y está reforzada. Las
un
manejar
ocurre
de
seguimiento las
forma
consistente
debilidades
de
los
procesos
correspondientes.
(Stakeholders) de
cuentas
La
clave. sobre
La estas
control
estrategias de mejora están apoyadas en
identificadas. Se aplica un uso de la
casos de negocio. El desempeño para
tecnología táctico y limitado a los controles
lograr los resultados deseados se supervisa
automatizados.
de forma periódica. Se organizan de forma ocasional revisiones externas de control.
5 Optimizado
Un programa organizacional de riesgo y
Los cambios en el negocio toman en cuenta
control proporciona la solución continua y
que tan críticos son los procesos de TI, y
efectiva a problemas de control y riesgo. El
cubren cualquier necesidad de re-evaluar la
control interno y la administración de
capacidad del control de los procesos. Los
riesgos
dueños de los procesos realizan auto-
siente
empresariales,
gran
a
apoyadas
las
prácticas con
una
evaluaciones
de
forma
periódica
para
supervisión en tiempo real, y una rendición
confirmar que los controles se encuentran
de cuentas completa para la vigilancia de
en el nivel correcto de madurez para
los controles, administración de riesgos, e
satisfacer las necesidades del negocio, y
implantación
La
toman en cuenta los atributos de madurez
evaluación del control es continua y se basa
para encontrar maneras de hacer que los
del
cumplimiento.
10
en auto-evaluaciones y en análisis de
controles sean más eficientes y efectivos.
brechas y de causas raíz. Los empleados
La organización evalúa por comparación
se involucran de forma pro-activa en las
con las mejoras prácticas externas y busca
mejoras de control.
asesoría externa sobre la efectividad de los controles internos. Para procesos críticos, se realizan evaluaciones independientes para proporcionar seguridad de que los controles se encuentran al nivel deseado de madurez y funcionan como fue planeado.
AUDITORIA DE TICS APLICANDO COBIT La Auditoría de Gestión a las Tecnologías de Información y Comunicaciones, (independiente),
consiste
en
el
crítico (evidencia),
examen
de
sistemático
carácter (normas)
objetivo y selectivo
(muestral) de las políticas, normas, funciones, actividades, procesos e informes de una entidad, con el fin de emitir una opinión profesional (imparcial) con respecto a: eficiencia en el uso de los recursos informáticos, validez y oportunidad de la información, efectividad de los controles establecidos y la optimización de los recursos tecnológicos. Este enfoque es totalmente compatible con las prácticas y controles contenidos en COBIT, ITIL, estándares o normativa que relaciona el enfoque COSO, SAC, NIAS, Estándares de Seguridad de la Información (ISO 27000) entre otros, que hacen referencia a las pistas de auditoría en los sistemas informáticos, controles de acceso a los sistemas, bases de datos, Áreas de Tecnología de la Información y Comunicaciones (TIC) área de servidores, codificación de la información, prevención de virus, fraude,detección y mitigación de intrusos, entre otros; estos estándares no proporcionan un criterio legal aplicable si no han sido adoptados por la entidad, pero sí procedimientos de auditoría para examinar la gestión tecnológica en las diferentes organizaciones del sector público.
11
Área a Auditar El área a auditar es el departamento de informática del centro clínico universitario de oriente, debido a que allí se encuentran los equipos servidores donde se almacena la base de datos que contiene los registros de información de las historias clínicas de los pacientes.
PROCESO DE RECOLECCIÓN DE INFORMACIÓN Técnicas de Recolección de Datos En un proceso de investigación para buscar alternativas de solución a un problema determinado de la realidad o, para la producción de nuevos conocimientos, que requiere de la aplicación de técnicas e instrumentos de recolección de información (Castañeda, De la Torre, Morán y Lara, 2004). Para esta investigación las técnicas de recolección de datos utilizadas fueron: Observación Directa no Participe o Simple Según Arias (2006) define observación como ―aquella que se realiza cuando el investigador observa de manera neutral sin involucrarse en el medio o realidad en la que se realiza el estudio‖, (p. 69). Es una técnica que consiste en observar atentamente el fenómeno, hecho o caso, tomar información y registrarla para su posterior análisis. La observación es un elemento fundamental de todo proceso investigativo; en ella se apoya el investigador para obtener el mayor número de datos. Ventajas de la observación.
Se puede obtener información independientemente del deseo de proporcionarla.
Los fenómenos se estudian dentro de su contexto.
12
Los hechos se estudian sin intermediarios.
Limitaciones de la observación.
La proyección del observador.
Es posible confundir los hechos observados y la interpretación de esos hechos.
Es posible la influencia del observador sobre la situación observada.
Existe el peligro de hacer generalizaciones no válidas a partir de observaciones parciales.
La Entrevista La entrevista, según Sabino, Carlos. El proceso de la investigación científica. Buenos Aires: El Cid Editor. (1978). es un encuentro cara a cara entre personas que conversan con la finalidad, al menos de una de las partes, de obtener información respecto de la otra. En el contexto específico de la investigación, la entrevista se define como una conversación entre un investigador y una persona que responde a preguntas orientadas a obtener la información exigida por los objetivos específicos de estudio. La tenemos Dos modalidades: entrevista estructurada y no estructurada (ob. cit).
La entrevista estructurada o cerrada, es aquella que se
conduce de manera rígida por medio de una lista de preguntas que funcionan como guía, de la cual el entrevistador no puede desviarse. (James Gordon Bennett 1836)
La entrevista no estructurada o abierta, se trata de una
conversación que dirige el entrevistado, pero que controla el entrevistador; esta no sigue orden o guía, se van realizando las preguntas, según el curso que vaya tomando el evento, como las entrevistas realizadas a los informantes claves: Tsu. Ruben Millán, encargado del área de informática. 13
Ventajas de la entrevista:
Es eficaz para obtener datos relevantes.
La información obtenida es susceptible de cuantificar y de aplicar tratamiento estadístico.
Limitaciones de la entrevista:
Todas las respuestas tienen igual validez.
Posibilidad de incongruencias entre lo que se dice y lo que se hace.
Las respuestas dependen del interés y motivación del entrevistado. DOCUMENTOS DE GESTION EN EL ÁREA INFORMÁTICA Para explicar lo que es Gestión de Documentos o Gestión Documental
partiremos de la definición presentada por Elisa García-Morales que nos dice:―es la parte del sistema de información de la empresa desarrollada con el propósito de almacenar y recuperar documentos, que debe estar diseñada para coordinar y controlar todas aquellas funciones y actividades específicas que
afectan
a
la
creación,
recepción,
almacenamiento,
acceso
y
preservación de los documentos, salvaguardando sus características estructurales, y contextuales, y garantizando su autenticidad y veracidad." Actualmente el centro clínico Universitario de oriente no cuenta con un adecuado manteamiento preventivo y correctivo de sus sistemas.
Mantenimiento del sistema de información.
Un Plan preventivo y correctivo. PLAN DE LA AUDITORIA EN EL AREA INFORMÁTICA Para el Plan de desarrollo de la Auditoria, se cuenta con el apoyo de la
alta gerencia de la Organización, solicitando la participación de los principales trabajadores de la Organización y en donde se realizaran las
14
siguientes acciones:
Nº
ACTIVIDADES
1
Observación General del Área de Informática.
2
Entrevistas a los trabajadores del Área de Informática.
3
Analizar con que documentos de Gestión y Técnicos. Análisis de las claves de acceso, control, seguridad, confiabilidad y
4
respaldos. Evaluar las tecnologías de información (TI), tanto en hardware como
5
en software.
6
Evaluación de la seguridad física, lógica y de redes.
HERRAMIENTAS Y TECNICAS HERRAMIENTAS Libreta
de
Notas,
Guía
TECNICAS de
Observación, Papel, Lapicero, entre otros.
Observación Directa, Entrevistas y Cuestionarios
MOTIVO O NECESIDAD DE LA AUDITORIA Con la introducción de las computadoras en los negocios, comienza la preocupación por parte de la gerencia en lo relacionado con la información, encontrando como principales razones las siguientes:
Los controles Insuficientes
La complejidad de la Información.
La Participación Insuficiente del Sistema.
La Falta de Normas en la Clasificación de la Información.
15
El Peligro del Fraude.
La Falta de Auditoría Independiente Adecuada.
El Rendimiento Inadecuado Sobre la Inversión.
La pérdida potencial como resultado de errores y omisiones.
La pérdida potencial por controles inadecuados.
La pérdida potencial por fraude o desfalco.
Normalmente las áreas de preocupación arribas mencionadas, son en su mayoría controlables a través de una buena auditoría interna de sistemas. Pero unas de las debilidades tradicionales, en gran parte de las empresas e instituciones privadas y gubernamentales, en el ambiente latinoamericano, es la ausencia de una adecuada función de la auditoría interna del sistema. Unos de los objetivos de esta auditoría de sistema en particular es precisamente la de colaborar arduamente para la superación de estos tipos de problemas en dicha empresa. A continuación se enumera de manera resumida, los beneficios que esta auditoría de sistemas ha traído a la empresa o que traerá una vez implantada dicha auditoria.
Mejores controles en los sistemas de aplicación.
Menor posibilidad de pérdida o fraude.
Mayor confianza y satisfacción del usuario.
Menos errores y omisiones de operación debido a mejores controles.
Costos inferiores de operación en la información.
Mejor uso de equipos y mayor eficiencia de operación.
Menor costo y tiempo en el desarrollo de los sistemas de aplicación.
Mejores servicios y satisfacción de sus clientes.
16
MODELOS DE MADUREZ A NIVEL CUALITATIVO (COSO) EL
informe
COSO,
emitido
por
el
Committee
of
Sponsoring
Organization of Treadway Commission (Comité de la Organización de Patrocinio de la comisión de Marcas) sobre Control Interno, presenta la siguiente definición: El control interno es un
proceso, efectuado por el consejo de
administración, la dirección y el resto del personal de una entidad, diseñado con el objeto de proporcionar un grado de seguridad razonable en cuanto a la consecución de objetivos dentro de las siguientes categorías: • Eficacia y eficiencia de las operaciones • Fiabilidad de la información financiera • Cumplimiento de las leyes y normas aplicables COMPONENTES DEL CONTROL INTERNO Los componentes del sistema de Control Interno pueden considerarse como un conjunto de normas que son utilizados para evaluar el control interno y determinar su efectividad; la estructura de control interno en el sector gubernamental tiene los siguientes componentes: a) Ambiente de control b) Evaluación de riesgos c) Actividades de control d) Información y comunicación e) Supervisión y seguimiento
17
CAPÍTULO II EJECUCIÓN DE LA AUDITORÍA Situación Actual del Área De Sistemas Ubicación. El área de infraestructura se encuentra al lado de la oficina principal de coordinación general. Tiene la responsabilidad de resolver todo lo relacionado con los procesos de sistemas y equipos tecnológicos con que cuenta la empresa para cumplir su función. Objetivos del departamento Garantizar la asistencia a los usuarios que reportan fallas con hardware y software de aplicaciones que son necesarios para su labor diaria. Ejecutar las actividades requeridas por las demás áreas y gerencia en cuanto a soporte técnico se refiera. Suministrar mecanismos de seguridad física y lógica de hardware, software y redes del centro clínico. Mantener un inventario considerado de hardware y periféricos. Realizar mantenimiento preventivo a equipos de tecnológicos de todas las áreas de la institución
18
Organigrama del Departamento de infraestructura. Coordinador General
Analista de Soporte Técnico
Analista de Soporte Técnico
T.s.u. Rubén Millán = Coordinador General de Soporte Técnico T.s.u. Andrea Agostini = Analista de Soporte Técnico T.s.u. Andrea Agostini = Analista de Soporte Técnico Seguridad Del Departamento
Seguridad física: Establecer un sistema contra incendio y la capacitación adecuada para el manejo de estos, tanto en el cuarto de servidores como oficina. Dividir el cuarto de servidores, de manera que los equipos que se encuentran en stock estén independientes del área. Hacer uso de estándares de calidad de acuerdo a las normas ISO/IEC, IEEE, ITIL y otros. Realizar una auditoría de la tecnología de la información externa a al centro clínico universitarios de oriente, debido a que lo necesita. Seguridad de los datos: Realizar mensualmente Backups de la base de datos de los servidores. El departamento de infraestructura cuenta con:
19
Seguridad física: Puerta principal que solo el personal de esa área tiene acceso Puerta que da acceso a la parte de los servidores y que solo el personal de esa área tiene acceso a través de llaves. Dos cámaras de seguridad, una el área de servidores y otra en el área de oficina. Respecto a los datos: Algunos usuarios poseen permiso para utilizar en los equipos unidades extraíbles y la unidad de cd. No se permite realizar descargas ni instalar programas a usuarios no autorizados. En dado caso que el usuario requiera instalar una aplicación necesaria en su equipo el personal de soporte técnico, podrá acceder a través de una cuenta y clave que solo ellos poseen y es permitida en casos que requieran. Solo el personal de soporte tiene acceso a los servidores y bases de datos. Características De La Plataforma Tecnológica La plataforma tecnológica está formada por los diferentes servidores y programas de desarrollo propio que permiten integrar todos los servicios que ofrece en único entorno de trabajo de funcionamiento Empresarial. En cuanto a la plataforma tecnológica el área cuenta con un cuarto de servidores, y un enlace de red banda ancha suministrado a través de antenas con Sistema Telecom. El departamento posee: 3 (Tres) Servidores físicos. 2 (Dos) Switch. 2 (Dos) Pachpanel. 1 (Un) Ups de comunicación NXb 30 KVA, Marca Emerson que da
20
comunicación al tercer servidor. 2 (Dos) Antenas de comunicación a través de la red de banda ancha telecom. La red principal es de Movilnet y el secundario es de la telefónica Movistar. Determinación de los Problemas y Planteamiento de Hipótesis. Posibles Problemas Pueda que algún servidor se quede inhibido debido a que están activos los 365 días del año. Falla en alguno de los discos duros de los servidores. Falta
de
una
planificación
estratégica
del
departamento
de
infraestructura. Falla en la seguridad de algún equipo, lo que puede generar desviación de la información y datos que maneja la empresa. Falla en el encendido del ups de comunicación. Falla en la seguridad lógica y física de los equipos informáticos. Formulación de hipótesis: La organización cuenta con buena seguridad en cuanto a los recursos informáticos y humanos, debido a que existen políticas de usuarios y manejo de equipos. En dado caso ocurra algún problema con los servidores, la organización cuenta con un sistema de monitoreo de plataforma tecnológica, el cual recibe una alerta y actúa de inmediato para solucionar la problemática que se presente.
21
APLICACIÓN DE LA AUDITORIA
Modelo de Madurez de los Procesos
Nota: Elaboración propia 2014.
Reporte General de los Grados de Madurez DOMINIO
PLANIFICAR Y ORGANIZAR
ADQUIRIR E IMPLEMENTAR
PROCESO
NIVEL DE MADUREZ
Definir el plan estratégico tecnológico
1
Definir los procesos, la información y las relaciones de TI.
2
Identificar soluciones automatizadas
1
Adquirir recursos de tecnologías de información.
4
Nota: Elaboración propia 2014.
22
Resumen de Procesos y Criterios de Información por Impacto Procesos Total nivel de impacto Total nivel de impacto Total real nivel de impacto Total real nivel de impacto Total nivel real de impacto Total nivel real de impacto Total nivel de impacto
Criterios de Información Efectividad
Procesos TI
Nivel de Madurez 4
Confiabilidad
Recursos Humanos Sistemas de Aplicación Tecnología
Confidencialidad
Sistematización
1
Integridad
Instalaciones
2
Disponibilidad
Datos
3
Cumplimiento
Computo
1
Eficiencia
Nota: Elaboración propia 2014
Análisis de Criterios Efectividad: en este criterio se obtuvo un 4% de 10% Eficiencia: en este criterio se obtuvo un 3% de 10% Confiabilidad: en este criterio se obtuvo un 4% de 10% Confidencialidad: en este criterio se obtuvo un 1% de 10% Integridad: en este criterio se obtuvo un 2% de 10% Disponibilidad: en este criterio se obtuvo un 3% de 10% Cumplimiento: en este criterio se obtuvo un 2% de 10% Recursos humanos: en este criterio se obtuvo un 4% de 10% Sistemas de aplicación: en este criterio se obtuvo un 3% de 10% Tecnología: en este criterio se obtuvo un 4% de 10%
23
3 4
Sistematización: en este criterio se obtuvo un 2% de 10% Instalación: en este criterio se obtuvo un 2% de 10% Datos: en este criterio se obtuvo un 3% de 10% Computo: en este criterio se obtuvo un 1% de 10%
Resultados Finales del Impacto sobre los Criterios de la Información Total nivel real de impacto Total real nivel de impacto Porcentaje alcanzado
4,3 5,6 9,9
Gráfica Representativa del Impacto de los Criterios de Información.
Actividad 7 Actividad 6 Actividad 5
Sitemas de aplicacion Recursos Humanos
Actividad 4
Confidencialidad Eficiencia
Actividad 3
Efectividad Actividad 2 Actividad 1 0
1
2
3
Nota: Elaboración propia 2014.
24
4
5
CAPÍTULO III
ANÁLISIS DE LOS RESULTADOS Informe Técnico Alcance La auditoría pretende evaluar el departamento de informática de la empresa Centro Clínico Universitario de Oriente, mediante el proceso el auditor proporcionará conclusiones y recomendaciones a las actividades que son realizadas en dicha organización empleando la metodología COBIT 4.1. Objetivos Objetivo General Realizar auditoria al departamento de informática del Centro Clínico Universitario de Oriente mediante el uso de la metodología COBIT 4.1. Objetivos Específicos Describir los problemas técnicos en el departamento de sistemas del Centro Clínico Universitario de Oriente Mencionar cuáles controles permitirán reducir los riesgos en el departamento de sistemas del Centro Clinico Universitario de Oriente Elaborar el informe técnico y ejecutivo de la auditoría.
Dominio Planear y Organizar PO1. Definir un plan estratégico. El proceso de definir un plan estratégico de TI a alcanzado el nivel de madurez.
25
RecomendaciónCobit: Alinear el departamento de sistema con el negocio, e instruir a los encargados del área sobre las capacidades tecnológicas de la actualidad y el futuro. PO2. Definir la Arquitectura de la Información. Conclusion La Organización ha tomando en cuenta lo importante en el uso de una arquitectura para la información lo cual ah alcanzado el nivel de madurez 5. Recomendación Cobit: Definir e implementar procedimientos para brindar integridad y consistencia de los datos o información crítica y sensible que se encuentran almacenados en el departamento de informática del Centro Clínico Universitario de Oriente PO3. Determinar la Dirección Tecnológica. Conclusión.- El procesode madurez nivel 1, ya que el desarrollo de componentes tecnológicos de tecnologías emergentes son aisladas. Recomendación
Cobit:
Crear
y
complementar
un
plan
de
infraestructura tecnológica que se acople con los planes estratégicos dentro de la empresa. PO4. Definir los Procesos la Organización y las Relaciones del Departamento de Sistemas. Conclusión.-el proceso se encuentra en el nivel demadurez 2 ya que las necesidades de los usuarios y relaciones con proveedores se responden de forma táctica aunque inconsistentemente. Recomendación Cobit: Definir un marco de trabajo para el proceso del departamento. PO5. Administrar la Inversión del Departamento de Infraestructura. Conclusión.-
la
responsabilidad
26
cuenta
para
la
selección
de
presupuestos de inversiones sonasignadas en específico al Jefe del departamento de sistemas . Recomendación Cobit: Incluir un análisis de costo y beneficio a largo plazo del ciclo total de vida. Dominio Adquirir e Implementar. AI1. Identificar Soluciones Automatizadas. Conclusión.-el proceso se encuentra en el nivel de madurez 1 ya que no existe la conciencia de la necesidad dedefinir requerimientos y de identificar soluciones tecnológicas Recomendación Cobit: Organizar y especificar los requerimientos funcionales y técnicos del departamento de sistemas del Centro Clínico Universitario de Oriente. AI2. Adquirir y Mantener Software Aplicativo. Conclusión-el proceso se encuentra en el nivel de madurez 2 por cuanto existen procesos de adquisición y mantenimiento de software. Recomendación
Cobit:
Realizar
un
diseño
detallado,
y
los
requerimientos técnicos del software y garantizar integridad de la información. AI3. Adquirir y Mantener la Infraestructura Tecnológica. Conclusión.-el proceso se encuentra en el nivel demadurez 1, ya que no se cuenta con un plan de adquisición de tecnología, por Io tanto no se controlan los procesos de adquirir implantar y actualizar infraestructura tecnológica. Recomendación
Cobit:
Proteger
la
infraestructura
tecnológica
mediante medidas de control interno, seguridad durante la configuración,
27
integración y mantenimiento dehardware y software de la infraestructura tecnológica. AI4. Facilitar la Operación y el Uso. Conclusión.-el proceso se encuentra en el nivel de madurez1, puesto que no existe una generación de documentación, pero se tiene la conciencia de que es necesario. Recomendación Cobit:Realizar transferencia de conocimientos a la partegerencial Io cual permitirá que tomen posesión del sistemay los datos. AI5. Adquirir Recursos de Tecnología de Información. Conclusión-el proceso se encuentra en el nivel de madurez 4, ya que la adquisición se integra totalmente con los sistemas generales del gobierno, sigue el proceso de compras públicas en de algún recurso de tecnología de información. Recomendación Cobit: Establecer buenas relaciones con la mayoría de proveedores y socios y hacer cumplir los derechos y obligaciones de ambas partes en los términos contractuales. Dominio Entregar Y Dar Soporte DS1. Definir y Administrar los Niveles de Servicio. Conclusión.-el proceso se encuentra en el nivel de madurez 1, ya que no se administra los niveles de servicio con la debida importancia, tratando de prestar un servicio de mejor calidad. Recomendación Cobit: Se debe definir un marco de trabajo para la administración de los niveles de servicio y realizar un monitoreo y reporte del cumplimiento. DS2. Administrar los Servicios de Terceros. Conclusión.-el proceso se encuentra en el nivel de madurez 3 ya que
28
existen procedimientos documentados para el control de los servicios de los usuarios Recomendación Cobit:Establecer criterios formales y estandarizados para realizar la definición de los términos del acuerdo y asignar responsables para la administración del contrato y del proveedor. DS3. Administrar el Desempeño y la Capacidad. Conclusión- el proceso se encuentra en el nivel de madurez2, ya que los procesos se siguen según lo establecido por la clínica esto con el fin de aplacar las limitaciones que se susciten. Recomendación
Cobit:Establecer
métricas
de
desempeño
y
evaluación de la capacidad y realizar un monitoreo continuo del desempeño y la capacidad de los recursos. DS4. Garantizar la Continuidad del Servicio. Conclusión.-el proceso se encuentra en el nivel de madurez 2, se cuenta con un plan de continuidad de servicios. Recomendación Cobit: Realizar pruebas regulares del plan de continuidad, de forma que asegure que los sistemas sean recuperados de forma efectiva. DS5. Garantizar la Seguridad de los Sistemas. Conclusión.-el proceso se encuentra en el nivel de madurez 1, ya que la seguridad de los sistemas se encuentra a cargo de un solo individuo el cual es el Jefe del departamento de sistemas. Recomendación Cobit: Realizar pruebas a la implementación de la seguridad,
de
igual
forma
monitorearla,
para
garantizar
que
las
características de posibles incidentes de seguridad sean definidas y comunicadas de forma clara y oportuna.
29
Dominio Monitorear y Evaluar. ME1. Monitorear y Evaluar el Desempeño del Departamento de Sistemas. Conclusión-el proceso se encuentra en el nivel de madurez 0, por cuanto no se cuenta con un proceso implementado de monitoreo, ni de reportes precisos sobre el desempeño. Recomendación Cobit:Definir y recolectar los datos del monitoreo mediante un conjunto de objetivos, mediciones, metas y comparaciones de desempeño, comparándolo periódicamente con las metas. ME2. Monitorear y Evaluar el control Interno. Conclusión.-el proceso se encuentra en el nivel de madurez0, por cuanto, No se tiene procedimientos para monitorear la efectividad de los controles internos. Recomendación Cobit:Realizar una auto-evaluación del control interno de la administración de procesos, políticas y contratos, mediante revisiones de terceros asegurar la completitud y efectividad de los controles internos. ME3. Garantizar El Cumplimiento Regulatorio. Conclusión.- el proceso se encuentra en el nivel de madurez 1 por cuanto, se siguen procesos informales para mantener el cumplimiento regulatorio. Recomendación Cobit: Tener muy en cuenta las leyes y reglamentos del comercio electrónico, privacidad, flujo de datos, reporte financieros, propiedad intelectual, etc. M4. Proporcionar Gobierno De Tecnología de Información. Conclusión.-el proceso se encuentra en el nivel de madurez 0 por
30
cuanto no existe procesos de gobierno tecnología de información. Recomendación Cobit:Garantizar la optimización de la inversión uso y asignación de la tecnología de información.
Impacto Sobre los Criterios de Información Criterios de la Información Porcentajes Efectividad
85%
Eficiencia
92%
Confiabilidad
80%
Integridad
60%
Disponibilidad
85%
85% Cumplimiento Factibilidad
Observaciones El objetivo es alcanzar el 100%, para esto la información el Centro Clínico Universitario de Oriente debe ser entregada de forma oportuna, correcta y consistente. El objetivo es alcanzar el 100%, para esto la información debe ser generada optimizando los recursos. El objetivo es alcanzar el 100%, para esto la información debe de estar protegida contra la revelación no autorizada. El objetivo es alcanzar el 100%, para lograrlo la información debe ser correcta, completa y valida. El objetivo es alcanzar el 100%, para la cual la información esté disponible cuando esta sea necesaria para su uso por parte de las áreas de la clínica en cualquier momento. El objetivo es alcanzar el 100%, para la cuales deben seguir las leyes y reglamentos contractuales a los que está sujeto el proceso del negocio. El objetivo es alcanzar el 100%, para la cuales debe seguir correctamente y proporcionar la información apropiada con el fin de que la Gerencia General administre la entidad.
60%
Nota: Ejemplo. Tomado de proyecto de auditoría de la organización DATA CENTER E.I.R.L
Informe Ejecutivo A continuación se detallaran los resultados de la evaluación de procesos que recomienda COBIT 4.1, siendo evaluado en el departamento de informática del el Centro Clínico Universitario de Oriente, los criterios de información, encontrando el siguiente porcentaje, todos sobre el 100 %.
31
Sevisios Medicos 15% Efectividad Deficit
85%
La efectividad consiste en que la información de consultas sea entregada de forma oportuna, correcta, consistente y utilizable, el criterio tiene un promedio del 85%.
Criterio de Información: Eficiencia
8% 92%
Eficiencia Déficit
La eficiencia consiste en que la información debe ser generada optimizando los recursos, el criterio tiene un promedio del 92%.
32
Criterio de Información: Confiabilidad 20%
80%
Confidencialidad Déficit
La confiabilidad consiste en que la información vital sea protegida contra la revelación no autorizada, el criterio tiene un promedio del 80%.
Criterio de Información: Integridad
60%
Déficit Integridad
40%
La integridad consiste en que la información debe ser precisa, completa y valida, el criterio tiene un promedio del 60%.
Criterio de Información: Disponibilidad 15%
85%
Disponibilidad Déficit
La disponibilidad consiste en que la información esté disponible cuando
33
sea requerida por parte de las áreas del negocio en cualquier momento, el criterio tiene un promedio del 85%.
Criterio de Información: Cumplimiento
15% 85%
Cumplimiento Déficit
El cumplimiento consiste en que se debe respetar las leyes, reglamentos y acuerdos contractuales a los que está sujeta el proceso del negocio, como políticas internas, el criterio tiene un promedio del 85%.
Criterio de Información: Factibilidad
40%
60%
Factibilidad Déficit
La confiabilidad consiste en que se debe respetar y proporcionar la información apropiada con el fin de que la Gerencia General administre la entidad, el criterio tiene un promedio del 60%.
34
CAPÍTULO IV RECOMENDACIONES Y CONCLUSIONES
Recomendaciones La aplicación de la auditoría interna en el centro clínico universitario de oriente, se efectúo con el fin de obtener un mejor rendimiento del área de informática para alcanzar los objetivos establecidos, por tal motivo, se recomienda:
Proponer un mantenimiento continuo a los sistemas de información en el centro clínico universitario de oriente que garantice una mejor eficiencia en el proceso de registro de datos.
Realizar auditorías externas cada 9 meses.
Realizar respaldos a toda la información que manejan los servidores.
Realizar una copia de seguridad a la bases de datos.
35
CONCLUSIONES
Durante la ejecución de la auditoria aplicando la metodología COBIT, se determino la problemática que presentaba el departamento de informática del centro clínico universitario de oriente. Lo que conllevo a proponer soluciones para el mejoramiento de las actividades que realiza la empresa mediante sus sistemas de información. Con la propuesta, se busca mejorar las condiciones y el rendimiento de los servidores con los cuales cuenta la institución, estos con la finalidad de obtener una mejor confiabilidad, disponibilidad, fiabilidad y resguardo de la información. Que son necesarias para atender las necesidades y los requerimientos de los pacientes que acuden a las consultas médicas.
36
GLOSARIO Auditoria: Tiene como finalidad evaluar y mejorar la eficacia y eficiencia de una organización, al examinar su gestión. Administración: Valida las operaciones de recaudación, realiza la facturación y cobranza y ejecuciones presupuestarias, compras y servicios, recursos humanos y generación y entrega de indicadores de gestión. Registro y Análisis: Cuya función corresponde a la auditoría interna de los procesos y administración del archivo físico. Sistematización de información: Ordenamiento y clasificación bajo determinados criterios, relaciones y categorías de todo tipo de datos, ejemplo la creación de una base de datos Sistematización de experiencias: Las experiencias son vistas como procesos desarrollados por diferentes actores en un período determinado de tiempo, envueltas en un contexto económico y social, en una institución determinada. Sistematización: Proceso constante y aditivo de elaboración de conocimiento luego de la experiencia en una realidad específica. Consiste en el primer nivel de teorización de la práctica.
37
REFERENCIAS ELECTRONICAS Fuente: http://es.scribd.com/doc/75065036/23/Factibilidad-Psicosocial [Fecha de consulta: Julio 2013]
Fuente: http://www.tecnologiadiaria.com/2010/07/diagramas-gantt-excel.html [Fecha de consulta: Julio 2013]
Fuente: http://es.wikipedia.org/wiki/Programaci%C3%B3n_orientada_a_objeto [Fecha de consulta: Julio 2013]
Fuente:
http://www.esxoops.com/modules/news/article.php?storyid=311
[Fecha de consulta: Julio 2013]
Fuente: http://www.tecnologiadiaria.com/2010/07/diagramas-gantt-excel.html [Fecha de consulta: Julio 2013]
Fuente: http://es.answers.yahoo.com/question/index?qid=20080805201057AARY0TM [Fecha de consulta: Julio 2013]
Fuente:http://www.mty.itesm.mx/die/ddre/transferencia/Transferencia47/eli04.htm [Fecha de consulta: Julio 2013]
Fuente: http://es.wikipedia.org/wiki/PHP[Fecha de consulta: Julio 2013]
38
ANEXOS
39
Presupuesto de Costos del Proyecto RECURSOS
PRECIOS
Cartucho de tinta a color para impresiones
800 Bs.
Cartucho de tinta negra para impresiones
750 Bs.
Resma de papel de 500 hojas (3)
350 Bs.
Viáticos
1500 Bs.
TOTAL
3400Bsf Nota: Elaboración Propia (2014)
40