Sei sulla pagina 1di 8

CASOPRACTICO01

INDICE
1.Proformadeauditoria
2.Propuestatcnica
2.1Diagnosticodelasituacinactual
2.2Programadeauditoria
2.3Informefinaldelaauditoria
2.4Documentodetrabajo
2.4.1.Organizacinyadministracindelrea
2.4.2.SeguridadFsicaYLgica
2.4.3.Desarrolloymantenimientodelossistemasdeaplicaciones
2.4.4.RelevamientodeHardware
2.4.5.RelevamientoDeSoftware
2.4.6.Comunicaciones

1.PROFORMADEAUDITORIA
Auditoria informtica a la cooperativa man de produccin agrcola limitada a cargo de ACA
ConsultAuditoresInformticossocios:
Lic.ArcenioFalk
Lic.ConnyGodefroid
Lic.AndrsLaupichler
Lic.NstorGarayFaras

Seores
CooperativaMandeProduccinAgrcolaLimitada
FramParaguay
Denuestraconsideracin
Nos es grato someter a vuestra consideracin nuestra propuesta para la prestacin de los servicios
profesionalesdeauditoriainformtica,correspondienteal1ersemestredelaoencurso.
NuestraempresatieneunparticularintersenpoderserviralaCooperativaMandeProduccinAgrcola
Limitadayhabrdecomprometersusmejoresrecursoshumanosytcnicosparahacerlo.
Sabemos que brindar servicios profesionales de alta calidad, requiere conocimiento, experiencia,
creatividadyporsobretodo,espritudetrabajoydedicacin.
Una caracterstica de nuestra modalidad de servicio es nuestro contacto personal con el cliente, en
especialdenuestrossociosygerentes,demodotaldeestudiarlascuestionesamedidaquesurjan,
tratandoenloposibledeanticiparnosalosproblemas.

A.Descripcindelosserviciosaserprestados
AsesoraralaDireccinparamejorarelControlInternoyelresguardodelosActivos.
Asesorarsobrelasnuevasnormaslegales.
Emitirinformessobrelostrabajosrealizadosyloscambiospropuestos.
MantenerreunionesconlaDireccinylaGerencia.

B.Equipodetrabajo
ElequipodetrabajoestardirigidoporunSociodelaFirma,quinserelresponsabledeasegurar
querecibanunserviciodelamasaltacalidad.Eltrabajode camposerejecutadoporpersonal
capacitadoyexperimentadoenelreainformtico.

C.Plazoseinformes
Los informes sern entregados en un plazo no mximo de 2 semanas, una vez discutido
previamenteconelpersonalafectadoyconlaaltaGerencia.

D.Presupuestodehonorarios
Teniendoencuenta nuestraexperienciaytrayectoria,proponemosunhonorariototal de6.000
(Seismil)dlaresamericanos,pagaderosenseiscuotasmensuales,igualesyconsecutivasde
1.000dlarescadaunaapartirdejuliode2.002.

Confiamoshaberplanteadoennuestrapropuestaunenfoqueyunalcancedeltrabajoqueseadecua
a vuestras necesidades y responde a nuestra filosofa de servicios profesionales de alto valor
agregado.
Quedamos a vuestra disposicin para efectuar las aclaraciones o ampliaciones que Uds. consideren
necesarias.
Sinotroparticular,lossaludamosmuyatentamente
ACAConsultAuditoresInformticos
ArcenioFalk
2.PROPUESTATCNICA
2.1Diagnosticodelasituacinactual
Presentacindelaempresa:Cooperativamanadeproduccinagrcola
ROLBASICO
Se dedica principalmente a la produccin, comercializacin y exportacin de productos
agrcolas.
NATURALEZA
Produccinycomercializacin.
UBICACIN
LaCasaMatrizseencuentraubicadaa2KmdelcentrodelaciudaddeFram,sobrelaruta
GranerosdelSurqueunelalocalidaddeLaPazconFrampueblo.
Cuenta con 5 sucursales que se encuentran ubicados en reas estratgicas, tanto para la
produccinycomercializacincomoparasuexportacinalospasesvecinos.
SucursalN1enAsuncin
SucursalN2enCiudaddelEste
SucursalN3enMaraAuxiliadora
SucursalN4enEncarnacin
SucursalN5enHohenau
ORGANIGRAMADELAEMPRESA
AsambleaGeneraldeSocios
ConsejodeAdministracin:
JuntaElectoral
JuntadeVigilancia
GerenciaGeneral:
Administracin
Comercializacin
Produccin
Informtica
Contabilidad
ORGANIGRAMADELREAINFORMTICA
GerenciadeInformtica:
AnlisisyProgramacin
Operadores
Desarrollo
2.2PROGRAMADEAUDITORIA

PROGRAMADEAUDITORIA
EMPRESA:CooperativaMandeProduccinAgrcolaLimitada
FASE
ACTIVIDAD
I

}II

FECHA:
HORAS
ESTIMADAS
8Hs.

VISITAPRELIMINAR
/SolicituddeManualesyDocumentaciones.
/Elaboracindeloscuestionarios.
/Recopilacindelainformacinorganizacional:
estructuraorgnica,recursoshumanos,presupuestos.
DESARROLLODELAAUDITORIA
32HS.

HOJAN
ENCARGADOS

PROGRAMADEAUDITORIA
/Aplicacindelcuestionarioalpersonal.
/Entrevistasalderesyusuariosmasrelevantesdela
direccin.
/Anlisisdelasclavesdeacceso,control,seguridad,
confiabilidadyrespaldos.
/Evaluacindelaestructuraorgnica:departamentos,
puestos,funciones,autoridadyresponsabilidades.
/EvaluacindelosRecursosHumanosydela
situacinPresupuestalyFinanciera:desempeo,
capacitacin,condicionesdetrabajo,recursosen
materialesyfinancierosmobiliarioyequipos.
/Evaluacindelossistemas:relevamientodeHardware
ySoftware,evaluacindeldiseolgicoydeldesarrollo
delsistema.
/EvaluacindelProcesodeDatosydelosEquiposde
Cmputos:seguridaddelosdatos,controldeoperacin,
seguridadfsicayprocedimientosderespaldo.
III
REVISIONYPREINFORME
16Hs.
/Revisindelospapelesdetrabajo.
/DeterminacindelDiagnosticoeImplicancias.
/ElaboracindelaCartadeGerencia.
/ElaboracindelBorrador.
IV
INFORME
4Hs.
/ElaboracinypresentacindelInforme.

2.3INFORMEFINALDELAAUDITORIA

Encarnacin,26deJuliode2.002
Seores
CooperativaMandeProduccinAgrcolaLimitada
Atte.Sr.GerenteLusA.Pea
Denuestraconsideracin:
TenemoselagradodedirigirnosaUd.aefectosdeelevaravuestraconsideracinelalcancedeltrabajo
deAuditoradelreadeInformticapracticadalosdas10al14delcorriente,sobrelabasedelanlisis
yprocedimientosdetalladosdetodaslasinformacionesrecopiladas yemitidosenelpresenteinforme,
queanuestrocriterioesrazonable.
Sntesisdelarevisinrealizada,clasificadoenlassiguientessecciones:
A.OrganizacinyAdministracindelrea
B.Seguridadfsicaylgica
C.Desarrolloymantenimientodelossistemasdeaplicaciones
El Contenido del informe ha sido dividido de la siguiente forma a efectos de facilitar su
anlisis:
a.Observaciones:Describebrevementelasdebilidadesresultantesdenuestroanlisis.
b.Efectosy/oimplicanciasprobables:
Enuncian losposiblesriesgosaqueseencuentran
expuestoslasoperacionesrealizadasporlaCooperativa.
c.Indicedeimportanciaestablecida: Indicaconunacalificacindel0al3elgradocrticodel
problemaylaoportunidadenquesedebentomarlasaccionescorrectivasdelcaso.
0=Alto(accionescorrectivasinmediatas)
1=Alto(accionespreventivasinmediatas)
2=Medio(accionesdiferidascorrectivas)
3=Bajo(accionesdiferidaspreventivas)

d.Sugerencias:IndicamosalaGerencialaadopcindelas medidascorrectivastendientesa
subsanarlasdebilidadescomentadas.
SegnelanlisisrealizadohemosencontradofalenciasenquenoexisteunComityplaninformtico;
faltadeorganizacinyadministracindelrea;falenciasenlaseguridadfsicaylgica;noexisteauditorIa
de sistemas; falta de respaldo a las operaciones; accesos de los usuarios; plan de contingencias; y
entornodedesarrolloymantenimientodelasaplicaciones.
Eldetalledelasdeficienciasencontradas,comoastambinlassugerenciasdesolucinseencuentran
especificadasenelAnexoadjunto.Laaprobacinypuestaenprcticadeestassugerenciasayudarna
laempresaabrindarunserviciomseficienteatodossusclientes.
Agradecemos lacolaboracinprestadadurantenuestravisitaportodoelpersonaldelaCooperativay
quedamos a vuestra disposicin para cualquier aclaracin y/o ampliacin de la presente que estime
necesaria.
Atentamente.
ArcenioFalk

2.4DOCUMENTODETRABAJO

2.4.1.Organizacinyadministracindelrea
1.ComityPlanInformtico
a.Observaciones
*NoexisteunComitdeInformticaoalmenosnoseencuentraformalmenteestablecido.
*Noexisteningunametodologadeplanificacin,concepciny/oseguimientodeproyectos.
b.Efectosy/oimplicanciasprobables
*Posibilidaddequelassolucionesqueseimplementenpararesolverproblemasoperativos
seanparciales,tantoenHardwarecomoenSoftware.
*Falta de conocimiento sobre las inversiones necesarias, ante nuevas exigencias o
prestacionesquesedebanimplementarparaatenderlaoperatoriadelaCooperativa.
c.Indicedeimportanciaestablecida.1(uno)
d.Sugerencias
*EstablecerunComitdeInformticaintegradoporrepresentantesdelasreasfuncionales
claves(GerenciaAdministrativa,responsablesdelasreasOperativas,responsablesde
InformticayelresponsableContable).
*Reunirseporlomenosunavezalmes.
*TrazarloslineamientosdedireccindelreadeInformtica.
*Implementar normas y/o procedimientos que aseguren la eficaz administracin de los
recursos informticos, y permitan el crecimiento coherente del rea conforme a la
implementacindelassolucionesquesedesarrolleny/oserequierandeterceros.

2.OrganizacinyAdministracindelrea
a.Observaciones
*Elreaadolecedeunaestructuraorganizacional.
*Existeunaexiguacantidaddefuncionarioscapacitados,afectadosalreadesistemas,
conlocualseevidenciaheterogeneidaddetareasdesarrolladasconunamismapersona.
*Ausenciademanualdefuncionesparacadapuestodetrabajodentrodelrea.
b.Efectosy/oimplicanciasprobables
*Laescasezdepersonaldebidamentecapacitado,aumentaelnivelderiesgodeerroresal
disminuirlaposibilidaddeloscontrolesinternosenelprocesamientodelainformacin;y
limitalacantidaddesolucionesquepuedenimplementarseentiempoyformaoportunaalos
efectosdesatisfacerlosrequerimientosdelasreasfuncionales.
c.ndicedeimportanciaestablecida..1(uno)
d.Sugerencias
*Establecerunaestructuraorganizacionaldelreadelasiguientemanera:
:GerenciadelreaInformtica.
:Jefedelrea.
:Desarrolloymantenimientodeaplicaciones.
:Soportetcnico.

:Centrodeatencinausuarios.
*Seestablezcaunmanualdefuncionesparacadaunodeloscargosfuncionalesenquese
subdividaelreadecmputos.

2.4.2.SeguridadFsicaYLgica
1.EntornoGeneral
a.Observaciones
*No existe una vigilancia estricta del rea de Informtica por personal de seguridad
dedicadoaestesector.
*Noexistedetectores,niextintoresautomticos.
*Existematerialaltamenteinflamable.
*CarenciadeunestudiodevulnerabilidaddelaCooperativa,frentealasriesgosfsicoso
nofsicos,incluyendoelriesgoInformtico.
*NoexisteunpuestoocargoespecificoparalafuncindeseguridadInformtica.
b.Efectosy/oimplicanciasprobables
*Probabledifusindedatosconfidenciales.
*Alta facilidad para cambiosinvoluntariosointencionalesdedatos,debidoalafaltade
controlesinternos.
*Debidoaladebilidaddelserviciodemantenimientodelequipocentral,lacontinuidadde
lasactividadesinformticaspodranverseseriamenteafectadasanteeventualesroturasy/o
desperfectosdelossistemas.
c.ndicedeimportanciaestablecida..0(cero)
d.Sugerencias
Alosefectosdeminimizarlosriesgosdescriptos,sesugiere:
*Establecerguardiadeseguridad,durantehorariosnohabilitadosparaelingresoalreade
Informtica.
*Colocardetectoresyextintoresdeincendiosautomticosenloslugaresnecesarios.
*RemoverdelCentrodeCmputoslosmaterialesinflamables.
*Determinarorgnicamentelafuncindeseguridad.
*Realizar peridicamente un estudio de vulnerabilidad, documentando efectivamente el
mismo,alosefectosdeimplementarlasaccionescorrectivassobrelospuntosdbilesque
sedetecten.

2.AuditoradeSistema
a.Observaciones
*HemosobservadoquelaCooperativanocuentaconauditoraInformtica,niconpolticas
formalesqueestablezcanresponsables,frecuenciasymetodologaaseguirparaefectuar
revisionesdelosarchivosdeauditora.
*Cabedestacarqueelsistemaintegradoposeeunarchivoquepudieraservirdeauditoria
Informtica,elcualnoeshabilitadoporfaltadeespacioeneldiscoduro.
b.Efectosy/oimplicanciasprobables
*Posibilidad de que adulteraciones voluntarias o involuntarias sean realizadas a los
elementos componentes del procesamiento de datos (programas, archivos de datos,
definiciones de seguridad de acceso, etc ) o bien accesos a datos confidenciales por
personasnoautorizadasquenoseandetectadasoportunamente.
c.ndicedeimportanciaestablecida..0(cero)
d.Sugerencias
*Establecer normas y procedimientos en los que se fijen responsables, periodicidad y
metodologa de control de todos los archivos de auditoria que pudieran existir como
asimismo,detodosloselementoscomponentesdelossistemasdeaplicacin.
3.OperacionesdeRespaldo
a.Observaciones
*ExisteunarutinadetrabajodetomarunacopiaderespaldodedatosenDisckett,quese
encuentraenelrecintodelcentrodecmputos,enpoderdelauxiliardeinformtica.
*Sibienexistenlacopiadeseguridad,noseposeennormasy/oprocedimientosqueexijan
la prueba sistemtica de las mismas a efectos de establecer los mnimos niveles de
confiabilidad.
b.Efectosy/oimplicanciasprobables

*La Cooperativa est expuesta a la perdida de informacin por no poseer un chequeo


sistemtico peridico de los backup's, y que los mismas se exponen a riesgo por
encontrarseenpoderdelauxiliardeinformtica.
c.ndicedeimportanciaestablecida..0(cero)
d.Sugerencias
Minimizarlosefectos,serposibleatravsde:
*Desarrollar normas y procedimientos generales que permitan la toma de respaldo
necesarios,utilitarioautilizar.
*Realizar3copiasderespaldos dedatosenZipdelascuales,unaseencuentreenel
recintodelreadeinformtica,otraenlasucursalmscercanaylaltimaenpoderdelJefe
derea.
*Implementarpruebassistemticassemanalesdelascopiasydistribucindelasmismas.
4.Accesoausuarios
a.Situacin
Deacuerdoalorelevadohemosconstatadoque:
*Existennivelesdeaccesopermitidos,loscualessonestablecidosconformealafuncin
quecumplecadaunodelosusuarios.
*Los usuarios definidos al rotar oretirarse dellocal noson borradosde losperfiles de
acceso.
*Lasterminalesenusoydadounciertotipodeinactividadnosalendelsistema.
*Elsistemainformticonosolicitaalusuario,elcambiodelPasswordenformamensual.
b.Efectosy/oimplicanciaprobables
*Existe la imposibilidad de establecer responsabilidades dado que esta se encuentra
divididaentreelreadesistemaylosusuariosfinales.
*La falta de seguridad en lautilizacindelosPassword,podranocasionarfraudespor
terceros.
c.ndicedeimportanciaestablecida..2(dos)
d.Sugerencia
*Implementaralgnsoftwaredeseguridadyauditoriaexistenteenelmercadoodesarrollar
unopropio.
*Establecer una metodologa que permita ejercer un control efectivo sobre el uso o
modificacindelosprogramasoarchivosporelpersonalautorizado.
5.PlandeContingencias
a.Observacin
*AusenciadeunPlandeContingenciadebidamenteformalizadoenelreadeInformtica.
*Noexistennormasyprocedimientosqueindiquenlastareasmanualeseinformticasque
sonnecesariaspararealizaryrecuperarlacapacidaddeprocesamientoanteunaeventual
contingencia(desperfectosdeequipos,incendios,cortesdeenergaconmsdeunahora),
yquedeterminenlosnivelesdeparticipacinyresponsabilidadesdelreadesistemasyde
losusuarios.
*NoexistenacuerdosformalizadosdeCentrodeCmputosparalelosconotrasempresaso
proveedores que permitan la restauracin inmediata de los servicios informticos de la
Cooperativaentiempooportuno,encasodecontingencia.
b.Efectosy/oimplicanciaprobable
*Prdidadeinformacinvital.
*Prdidadelacapacidaddeprocesamiento.
c.ndicedeImportanciarelativa..1(uno)
d.Sugerencias
*Establecerunplandecontingenciaescrito,endondeseestablezcanlosprocedimientos
manuales e informticos para restablecer la operatoria normal de la Cooperativa y
establecerlosresponsablesdecadasistema.
*Efectuarpruebassimuladasenformaperidica,aefectosdemonitoreareldesempeode
losfuncionariosresponsablesanteeventualesdesastres.
*Establecerconveniosbilateralesconempresasoproveedoresalosefectosdeasegurar
losequiposnecesariosparasustentarlacontinuidaddelprocesamiento.
2.4.3.Desarrolloymantenimientodelossistemasdeaplicaciones
1.EntornodeDesarrolloymantenimientodelasaplicaciones
a.Situacin

*NoexistedocumentacionestcnicasdelsistemaintegradodelaCooperativaytampocono
existeuncontroloregistroformaldelasmodificacionesefectuadas.
*NosecuentaconunSoftwarequepermitalaseguridaddelaslibrerasdelosprogramasy
larestricciny/ocontroldelaccesodelosmismos.
*Lasmodificacionesalosprogramas sonsolicitadasgeneralmentesinnotasinternas,en
dondesedescribenloscambiosomodificacionesqueserequieren.
b.Efectosy/oimplicanciasprobables
*Laescasadocumentacintcnicadecadasistemadificultalacompresindelasnormas,
demandandotiemposconsiderablesparasumantenimientoeimposibilitandolacapacitacin
delpersonalnuevoenelrea.
*Se incrementa an ms la posibilidad de producir modificaciones errneas y/o no
autorizadasa losprogramasoarchivosyquelasmismasnoseandetectadasenforma
oportuna.
c.ndicedeimportanciaestablecida..1(uno)
d.Sugerencias
Para reducir el impacto sobre los resultados de los efectos y consecuencias probables
sugerimos:
*Elaborartodaladocumentacintcnicacorrespondientealossistemasimplementadosy
establecernormasyprocedimientosparalosdesarrollosysuactualizacin.
*Evaluareimplementarunsoftwarequepermitamantenerelresguardodeaccesodelos
archivosdeprogramasyandelosprogramadores.
*Implementaryconservartodaslasdocumentacionesdepruebadelossistemas,comoas
tambinlasmodificacionesyaprobacionesdeprogramasrealizadasporlosusuarios
2readeContabilidad
a.Situacin
*Noexisteunavalidacin delacuentaadondedeberaacreditarseelmontodelaporte
social.
*La contabilizacin de cada operacin se hace en forma manual, tanto en la parte de
recepcindeproductos,comoenlosproductosenprocesos.
b.Efectosy/oimplicanciasprobables
LaCooperativaseencuentraexpuestoaseriosriesgos,entreellos:
*Posibilidaddequeocurranerroresporlafaltadeconocimientodeltemacontableenel
reaoperativa.
*Alto riesgo de que el usuario final pueda incurrir en cambios no autorizados en los
sistemas,porcuantoqueelusuariofinaltieneaccesoirrestrictoalmismo.
c.ndicedeimportanciaestablecida..0(cero)
d.Sugerencias
*Implementardebidamenteloscontrolesinternosnecesariosparaeladecuadomanejodel
usuariofinal.
*Implementarlacontabilizacinautomtica.
2.4.4.RelevamientodeHardware
EquipamientoCentral
LacooperativacuentaactualmenteconunEquipoCentralPentiumIVconlassiguientes
caractersticas:
ProcesadorIntelPentiumIVde1.600mhz
Memoria:Ram128MB
Almacenamiento:35GBde10KRPM
Conexin:Ethernet10/100
Esunequipamientoidealparalasfuncionesquecumpleysuconfiguracinesaceptable.
Tieneposibilidadesdecrecimientoyelfabricantecuentaconrepuestosymantenimientos
quegarantizanlabuenautilizacindelmismo.

EquipamientoPerifrico
Lacooperativacuentaensucasacentralcon30PCsdelascualesel50%(cincuentapor
ciento)aproximadamentesonPentiumIIIde550Mhscon64MBdememoriaydiscosde5
GB. El resto son de menor porte, pero el parque de computadoras personales es
suficientementeaptoparalosrequerimientosactuales.

Las impresoras: de sistema (conectadasalequipocentral)sondemarcaEpson1170y


Epson1200.AdemascuentanconequiposdeHP560dechorrodetintasconectadasa
algunosequipos.

EquipamientoenSucursales
LassucursalescuentanconPCsAMDAthlonde750Mhz,64dememoriaydiscosde5
GB.Equipamientoholgadamenteaptoparalasfuncionesquecumple.
Lassucursalestienenunaimpresoramatricialdelsistemayalgunosusuarioscuentancon
impresorasachorrodetinta.
2.4.5.RelevamientoDeSoftware
SoftwaredeBase
ElsistemaoperativoconelquecuentalaPentiumIVesel deWindowsServer2000que
poseeunaimportanteestructuradeseguridad.
ConsistemaderedWindows2000conlicenciapara50usuarios.BasededatosTango
Gestin

Softwaredeaplicacin
SistemadeContabilidad,ControldeMateriasPrimas,ControlPresupuestarios,LibroIVA
(ComprasVentas),SueldosyJornales,todosbajosistemaTangoGestin5.2

2.4.6.Comunicaciones
Encasacentralexisteunaredlocal(Ethernet)conectadaalequipocentral(PentiumIV)yenla
sucursalescuentanconreutersdemarcaIBMmodelo7.000paraconectarsealacasacentral.
LastransmisionessonconlineasdeAntelco.
Cableado
ElcableadoesestructuradoyconcablesdeltipoUTPcategoraS,tantoensucursalescomoen
casamatriz
EnGeneralnopresentaproblemasdecableado.

Potrebbero piacerti anche