PROYECTO DE AUDITORIA

Universitario: Favio Caballero U.

1
 PROYECTO DE AUDITORIA

PROYECTO DE AUDITORIA

DIAGNOSTICO

La cooperativa minera “COMPOTOSI”. Ltda. Existió desde los años 1970, con
personería jurídica reconocida el 30 de junio, afiliado a la federación nacional de
cooperativas mineras de Bolivia “FNDCMB” y con registro material 00993.

La cooperativa busca el bienestar social de todos los trabajadores mineros

cooperativistas y particulares, además cuenta con: el departamento de
centralización y control de salida de minerales.

El sistema de registro y control de salida de minerales de las distintas minas, la

centralización de minerales de alta ley al interior de la cooperativa, a pasado por
distintas experiencias: de registrar y controlar la salida de mineral de forma manual

FUNCIONES GENERALES.-

COMPOTOSI: Tiene por actividad más importante es el proceso de registrar y

controlar la salida de minerales.

Y controlar el aporte de los socios a la cooperativa por cada volqueta que explota
en las diferentes minas, la cantidad de mineral que interna cada socio a la
institución así también controlar los aportes o retenciones por ley.

AREA DE INFORMATICA

 SITUACION ACTUAL

Ubicación. Actualmente COMPOTOSI esta ubicado en la ciudad de

potosí, con un edifico ubicado en la calle bolívar.

2
 PROYECTO DE AUDITORIA

(ORGANIGRAMA)

PRESIDENTE

ASAMBLEA CONSEJO DE
VISEPRESIDENTE
GENERAL ADMINISTARACION

TESORERO

Funciones de COMPOTOSI. La actividad más importante de registrar y controlar

la salida de minerales. Y controlar el aporte de los socios a la cooperativa por cada
volqueta que explota en las diferentes minas, la cantidad de mineral que interna
cada socio a la institución así también controlar los aportes o retenciones por ley.

Estructura de FEDECOMIN.

 Recursos Humanos:

Consta de 1 encargado jefe del departamento de contabilidad y responsable

directo, además 1 en educación, 4 responsables del departamento técnico como
recepcionista, liquidador, tranzador, administrador.

 Recursos informáticos existentes:

En la actualidad existe el software para la ejecución del sistema informático de

registro y control de salida de minerales de la cooperativa COMPOTOSI, respecto
a los componentes hardware se cuenta con computadoras y una red su topología
es lineal.

3
 PROYECTO DE AUDITORIA

OBJETIVO GENERAL

El objetivo general de la cooperativa minera COMPOTOSI es de buscar el

bienestar social de todos los trabajadores mineros cooperativistas y socios,
además cuenta con tres áreas funcionales importantes: contabilidad, educación y
departamento técnico, ofreciendo servicios de asistencia técnica y de
representación tanto a los socios.

OBJETIVOS ESPECIFICOS

Evaluar la condición actual en que se encuentra COMPOTOSI.

Evaluar normas, políticas y reglamentos relacionados a COMPOTOSI.

Determinar el buen funcionamiento y desempeño de equipos y del sistema.

Determinar el desempeño del personal encargado del departamento técnico.

Realizar un plan de contingencias

Evaluar la administración de equipos y comunicaciones y normativas.

Evaluar controles de mantenimiento y las fallas de los equipos.

Control de accesos físico a la infraestructura de COMPOTOSI

Revisar la implementación de red

Realizar Inventario

Realizar Contratos y seguros

ENFOQUE A UTILIZAR

La presente acción de control, se realiza de acuerdo con lo estipulado en el

reglamento interno de COMPOTOSI y demás disposiciones existentes en dicha
institución.

4
 PROYECTO DE AUDITORIA

La presente Auditoria Informática se realizara de acuerdo a normas estándares

internacionales como la ISO 27001 este estándar internacional ha sido preparado
para proporcionar un modelo para establecer, implementar, operar, monitorear,
mantener y mejorar el Sistema de Gestión de Seguridad de la Información (SGSI),
también se utilizara la ISO 27002 que proporciona recomendaciones de las
mejores prácticas en la Gestión de la Seguridad de la Información a todos los
interesados y responsables en iniciar, implantar o mantener Sistemas de Gestión
de la Seguridad de la Información

Auditoria física.

 Data Centers: Los controles estándares a revisar en un Data Center son:

 Sistema eléctrico.
 Sistema de aire acondicionado.
 Adecuaciones físicas.
 Sistema de control de acceso.
 Sistemas contra incendios.
 ISO 27001 e ISO 27002:

Seguridad física y ambiental.

La seguridad física y ambiental se divide en áreas seguras y seguridad de los

equipos. Respecto a las áreas seguras, se refiere a un perímetro de seguridad
física que cuente con barreras o límites tales como paredes, rejas de entrada
controladas por tarjetas o recepcionistas, y medidas de esa naturaleza para
proteger las áreas que contienen información y medios de procesamiento de
información.

Se consideran los siguientes pasos:

 Áreas seguras:
 Perímetro de seguridad física.
 Controles de ingreso físico.
 Seguridad de las oficinas, habitaciones y medios.
5
 PROYECTO DE AUDITORIA

 Protección contra amenazas externas e internas.

 Trabajo en áreas seguras.
 Áreas de acceso público, entrega y carga.
 Seguridad de los equipos:
 Ubicación y protección del equipo.
 Servicios públicos de soporte.
 Seguridad del cableado.
 Mantenimiento del equipo.
 Seguridad del equipo fuera del local.
 Seguridad de la eliminación o re-uso del equipo.
 Traslado de propiedad.

Control de acceso.

En primer lugar, se debe contar con una política de control de acceso. Todo
acceso no autorizado debe ser evitado y se deben minimizar al máximo las
probabilidades de que eso suceda. Todo esto se controla mediante registro de
usuarios, gestión de privilegios, autenticación mediante usuarios y contraseñas,
etc.

Se consideran los siguientes pasos:

 Requerimiento del negocio para el control del acceso

 Política de control del acceso
 Gestión de acceso del usuario
 Registro del usuario
 Gestión de privilegios
 Gestión de las claves secretas de los usuarios
 Revisión de los derechos de acceso del usuario
 Responsabilidades del usuario
 Uso de claves secretas
 Equipo del usuario desatendido
 Política de escritorio y pantalla limpios

6
 PROYECTO DE AUDITORIA

 Control de acceso a la red

 Política sobre el uso de los servicios de la red
 Autenticación del usuario para las conexiones externas
 Identificación del equipo en las redes
 Protección del puerto de diagnóstico y configuración remoto
 Segregación en redes
 Control de conexión a la red .
 Control de routing de la red
 Control del acceso al sistema operativo
 Procedimientos para un registro seguro
 Identificación y autenticación del usuario
 Sistema de gestión de claves secretas
 Uso de las utilidades del sistema
 Cierre de una sesión por inactividad
 Limitación del tiempo de conexión
 Control de acceso a la aplicación y la información
 Restricción del acceso a la información
 Aislar el sistema confidencia l
 Computación y tele-trabajo móvil l
 Computación y comunicaciones móviles
 Tele-trabajo.

RELACION DE FUNCIONARIOS O PERSONAL A CARGO DE LA AUDITORIA

Los responsables de la auditoria son:

RESPONSABLE CARGO

XXX JEFE AUDITOR

XXX AUDITOR

7
 PROYECTO DE AUDITORIA

RELACION DE FUNCIONARIOS O PERSONAL A CARGO DEL AREA A

EXAMINAR

Nombres y Periodo de
Cargo Antigüedad
Apellidos Gestión

JEFE DE
XXX 2012-2013 1 AÑO
CONTABILIDAD

XXX ADMINISTRADOR 2012-2013 1 AÑO

XXX RECEPCIONISTA 2012-2013 1 AÑO

XXX LIQUIDADOR 2012-2013 1 AÑO

XXX TRANZADOR 2012-2013 1 AÑO

XXX TECNICO 2012-2013 1 AÑO

DOCUMENTOS A SOLICITAR

 Políticas, estándares, normas y procedimientos.

 Manuel de manejo de equipos y comunicaciones
 Planes de seguridad y continuidad
 Contratos, pólizas de seguros.
 Organigrama y manual de funciones.
 Contratos de mantenimiento.
 Inventario físico.

EJECUCION DE LA REVISION ESTRATEGICA

Los Métodos a utilizar son los siguientes

8
 PROYECTO DE AUDITORIA

 Encuesta.
 Observación.

PRINCIPALES ACTIVIDADES:

Aprobación de presupuestos

Revisión de documentos de la organización, reglamentación y Administración de

laboratorio.

Examinar el cumplimiento de sus propias Normas

Examinar el cumplimiento de la Normativa internacional

Elaboración de informes

Se comprobara el cumplimiento de los siguientes controles estándares de las

auditorias que siguen:

CRONOGRAMA DE TRABAJO

Programa de auditoría

Las etapas que conforman el trabajo de auditoría son las siguientes:

Visita preliminar.

 Solicitud de Manuales y Documentaciones

 Elaboración de los cuestionarios (ver Anexo 1)
 Recopilación de la información organizacional: estructura orgánica,
recursos humanos

Desarrollo de la auditoria.

 Aplicación del cuestionario al personal.

 Entrevistas a líderes y usuarios más relevantes de la dirección.
 Análisis de las claves de acceso, control, seguridad, confiabilidad y
respaldos.

9
 PROYECTO DE AUDITORIA

 Evaluación de la estructura orgánica: departamentos, puestos, funciones,

autoridad y responsabilidades.
 Evaluación de los Recursos Humanos y de la situación Presupuestal y
Financiera: desempeño, capacitación, condiciones de trabajo, recursos en
materiales y financieros mobiliario y equipos.
 Evaluación de los sistemas: relevamiento de Hardware y Software,
evaluación del diseño lógico y del desarrollo del sistema.
 Evaluación del Proceso de Datos y de los Equipos de Cómputos: seguridad
de los datos, control de operación, seguridad física y procedimientos de
respaldo.

Revisión y pre-informe.

 Revisión de los papeles de trabajo.

 Determinación del Diagnostico e Implicancias.
 Elaboración de la Carta de Gerencia.
 Elaboración del Borrador

Cronograma de actividades

ID. NOMBRE DE TAREA COMIENZ FIN DICIEMBRE 2011

O
14/11 21/11 12/1
2

1 Solicitud de manuales y 9/10/2011 11/10/2011

documentos

2 Elaboración de los 10/10/201 11/10/2011

cuestionarios 1

3 Recopilación de 12/10/201 14/10/2011

información 1

10
 PROYECTO DE AUDITORIA

4 Aplicación del 13/10/201 15/10/2011

cuestionario al personal 1

5 Entrevista a lideres y 14/10/201 15/10/2011

usuarios 1

6 Análisis delas claves de 16/10/201 18/10/2011

acceso, control, 1
seguridad

7 Evaluación de 20/10/201 22/10/2011

estructura 1

8 Evaluación de los 24/10/201 26/10/2011

recursos humanos y de 1
la situación
presupuestal

9 Evaluación de los 2/11/2011 5/11/2011

sistemas

10 Evaluación del proceso 10/11/201 14/11/2011

de datos de los equipos 1
de computo

11 Revisión de los papeles 15/11/201 18/11/2011

de trabajo 1

12 Determinación del 20/11/201 26/11/2011

diagnostico e 1
implicaciones

13 Elaboración de la carta 30/10/201 5/12/2011

de gerencia 1

11
 PROYECTO DE AUDITORIA

14 Elaboración del 10/12/201 10/12/2011

borrador 1

15 Elaboración y 11/12/201 12/12/2011

presentación del 1
informe

12
 PROYECTO DE AUDITORIA

SISTEMAS INFORMATICO DE REGISTRO Y CONTROL

DE SALIDA DE MINERALES (COMPOTOSI)

1. INTRODUCCIÓN
1.1. ORIGEN DE LA AUDITORIA:

La presente Auditoria se realiza en cumplimiento del Plan de trabajo de la

gestión 2012.

1.2. OBJETIVOS Y ALCANCE

1.2.1. Objetivo General

En cumplimiento a lo establecido por el ente fiscalizador, sobre la base de la

Práctica de la asignatura, se tiene el siguiente objetivo:

Revisar y Evaluar los controles, procedimientos y funcionamiento del sistema de

información de tesis realizada en el proyecto; su utilización, eficiencia, seguridad
y calidad, en la caja blanca y en la caja negra, para realizar el procesamiento de
la información.

1.2.2. Objetivos Específicos

Revisar el cumplimiento del proceso completo de desarrollo del proyecto

 Verificar las metodologías utilizadas

 Verificar el control interno de las aplicaciones y control de procesos.
 Revisar el ciclo de desarrollo del software.
 Establecer la calidad de producto.
1.3. ALCANCE DE LA AUDITORÍA

La auditoría realizada, aplicada a la tesis que se desarrolló para COMPOTOSI.

Por tener una unidad que se encarga de la función informática. Las auditorias que
comprende el presente informe para llegar a los objetivos trazados son las
siguientes:

13
 PROYECTO DE AUDITORIA

1.3.1. Auditoria del Sistema de Información de la tesis

Enfocada a evaluar el software de aplicación, de uso e interacción de los usuarios

para el desenvolvimiento del negocio de la institución.

1.4. RELACION DE FUNCIONARIOS O PERSONAL A CARGO DEL AREA A

EXAMINAR

Nombres y Apellidos Cargo

XXX JEFE DE OPERACIONES

XXX ADMINISTRADOR CPD

1.5. CRONOGRAMA DE TRABAJO

PROGRAMA DE AUDITORIA

FAS ACTIVIDAD
I VISITA PRELIMINAR
E
Solicitud de Manuales y Documentaciones.

Elaboración de los cuestionarios.

II DESARROLLO DE LA AUDITORIA
Recopilación de la información organizacional: estructura orgánica, recursos
Aplicación del cuestionario al personal.
humanos, presupuestos.
Entrevistas a líderes y usuarios más relevantes de la institución.

Evaluación de la estructura orgánica: departamentos, puestos, funciones,

autoridad y responsabilidades que interactúan con el sistema de información.
III REVISION
Evaluación de los sistemas en funcionamiento y del desarrollo del sistema.
Revisión de los papeles de trabajo.
IV INFORME
Evaluación del Proceso de Datos: seguridad de los datos, control de
Determinación del Diagnostico e Implicancias.
operación,
Elaboraciónseguridad en transacciones
del borrador del informe y procedimientos de respaldo.

Elaboración y presentación del Informe.

14
 PROYECTO DE AUDITORIA

1.5. DOCUMENTOS QUE SE UTILIZARON

En el proceso de la auditoria se trabajo con la siguiente documentación:

A Nivel Organizacional

1. Organigrama – Diagrama de funciones

2. Perfiles del personal del área informática
3. Objetivos a corto y largo plazo
4. Comité de informática

A Nivel del Área de Informática

1. Manual de políticas, reglamentos internos

Sistemas

1. Descripción de los sistemas en funcionamientos o explotación

2. Asignación de usuarios, perfiles y privilegios
3. Manual de procedimientos
4. Diagramas de entradas, archivos, salidas
5. Políticas - procedimientos de Backup
6. Diccionario de datos
7. Licencias
8. Documento que contiene la especificación de requerimientos
funcionales y atributos del sistema cumplidos por determinada
versión del sistema
9. Documentos de diseño
10. Documentos de pruebas
11. Documentos de gestión de versiones
12. Documentos de control de cambios
13. Estándares de la empresa
14. Manual de usuario y ayuda del sistema

15
 PROYECTO DE AUDITORIA

15. Documentación que contiene la descripción de la plataforma de

hardware y software de base
16. Manual de cancelación y reproceso
17. Documentación de planificación del proyecto
18. Manual de errores y Busgs

La base normativa empleada está compuesta por las Normas Internacionales de

Auditoría del área de tecnologías de información como ser la ISO–27002, ISO-
27001.

2. GESTIÓN INFORMÁTICA

2.1 Esquema organizacional del área que incluya puestos, Funciones,

Niveles jerárquicos

COMPOTOSI. Está organizada por un técnico que cumple tareas operativas y

administrativas del manejo de sistemas de información dentro de la institución,
depende directamente del Jefe encargado, como lo expresa el manual de
funciones identificando de forma clara los perfiles del personal de informático. Se
pudo verificar que existe un personal Asistente de Operaciones que coadyuva
tareas informáticas la cual no está identificada en el Organigrama institucional y
no se conocen sus funciones en concreto.

2.2. Plan estratégico para el uso de sistemas informáticos enmarcado en

la estrategia institucional

El área de sistemas informáticos presenta un Plan Operativo anual, en el cual se

expresan proyectos de desarrollo y actividades.

Se puede identificar en este Plan los objetivos a corto y largo plazo, incluido el
cronograma de actividades, también se puede identificar los Planes de expansión.

16
 PROYECTO DE AUDITORIA

2.3 Manuales de Políticas y estándares técnicos y manuales de

Funciones

Los manuales y políticas que conciernen al área de informática se encuentran

desactualizados.

2.4 Presupuestos y costos en el área

COMPOTOSI. Cuenta con un análisis de costos y presupuestos propios para su

funcionamiento y adquisiciones.

2.5 Órgano de control que fiscalice la administración de los sistemas

informáticos

La evaluación, fiscalización y seguimiento de los proyectos, cronogramas,

informes, resultados obtenidos y que coordine con los requerimientos informáticos
son: La Gerencia, Jefe encargado, estos están claramente identificados en el
manual de funciones.

3. Integridad de datos

El objetivo es verificar la confiabilidad de que todos los datos procesados y

registrados en las bases de datos están autorizados, son exactos, íntegros,
consistentes y confiables. Para éste propósito se verificó:

a.-) La integridad y calidad de los sistemas de información computarizada

con énfasis en las aplicaciones de trámites y trabajos atendidos en el
departamento de Aportaciones.

Hemos tomado conocimiento sobre la calidad de los sistemas con los cuales se
realiza el procesamiento de la información y hemos observado que estos realizan
el procesamiento de la información en forma completa y cuentan con controles
que permiten verificar que la información ha sido procesada en forma completa y
oportuna.

17
 PROYECTO DE AUDITORIA

b.-) Los controles de edición y validación sobre el ingreso de datos en

dichos sistemas específicamente.

Los programas que se utilizan para realizar el ingreso de la información a los

diferentes módulos cuentan con controles automáticos, estos controles están de
acuerdo con los objetivos definidos, y permiten validar la información con la
finalidad que los usuarios ingresen la información correctamente

c.-) El cumplimiento de disposiciones legales, normas y reglamentos

emitidos por la entidad fiscalizadora en los sistemas o aplicaciones y
técnicos (formas normales).

De acuerdo con el entendimiento realizado podemos indicar que el Sistema

trámites y trabajos; sistema con el cual se realiza el procesamiento de la
información de la Cooperativa cumple con los requerimientos de reportes y otra
documentación que es solicitada por las entidades fiscalizadoras.

d.-) Los procedimientos para revisión de pistas de auditoría y controles

implementados en los sistemas o aplicaciones.

En base a la SISTEMA DE REGISTRO Y CONTROL DE SALIDA DE

MINERALES, genera pistas de auditoría, y se ha observado que esta información
solamente se almacena información básica como ser fecha, hora y usuario no
informa el tipo de modificación que se ha realizado.

4.- Modelo de Calidad Externa e Interna y Calidad en Uso

La revisión permite especificar y evaluar la calidad del software desde diferentes

criterios asociados con adquisición, requerimientos, desarrollo, uso, evaluación,
soporte, mantenimiento, aseguramiento de la calidad y auditoria de software sobre
la base de la ISO/IEC 9126-3.

18
 PROYECTO DE AUDITORIA

a.) Funcionalidad
i. Adecuación

Se pudo verificar que no se tienen los medios suficientes en el software para

poder desarrollar tareas específicas de adecuación de tareas en aspectos de
realizar acciones comunes de trabajo, los cuales al presentarse son absueltas por
el personal de la unidad de informática desde las bases de datos o nivel de
código.

ii. Exactitud
iii. Interoperabilidad
iv. Conformidad
b.) Confiabilidad
i. Madurez
ii. Tolerancia a Errores
iii. Recuperabilidad
c.) Usabilidad
i. Entendimiento
ii. Aprendizaje
iii. Operabilidad
iv. Atracción
d.) Eficiencia
i. Comportamiento de Tiempos
ii. Utilización De Recursos
e.) Capacidad de Mantenimiento
i. Capacidad de ser Analizado
ii. Convivialidad
f.) Portabilidad
i. Estabilidad
ii. Facilidad de Prueba
iii. Adaptabilidad
iv. Facilidad de Instalación

19
 PROYECTO DE AUDITORIA

v. Remplazabilidad
vi. Coexistencia
g.) Calidad en Uso
i. Eficacia
ii. Productividad
iii. Seguridad

5. Operación de sistemas informáticos

Se indagó sobre las normas, procedimientos y controles para la operación de

computadoras, que aseguran el procesamiento de información en forma oportuna
y eficiente, como también la protección de datos, programas ejecutables y equipos
bajo control del Área. En esta comprensión se verificó la calidad de las normas y
procedimientos aplicados relativos a:

a). La operación de computadoras:

 Manuales de operación para cada sistema o aplicación

COMPOTOSI cuenta con los manuales de usuario de los módulos que se

encuentran en producción. Sin embargo, estos manuales no son de conocimientos
de los usuarios.

 Plan diario de operaciones y su cumplimiento

No hemos observado documentación donde se describa un plan diario de

operaciones referente a los procesos diarios relativos a las tareas repetitivas y
comunes que se realizan en el departamento técnico.

 Generación y control de bitácoras de proceso.

El departamento técnico, cuenta con bitácoras donde se registra diariamente la

operación y eventos relevantes, este es firmado por el personal de sistemas y la
Gerencia de Operaciones

20
 PROYECTO DE AUDITORIA

 Generación y control de usuarios privilegiados.

El departamento técnico de COMPOTOSI no cuenta con procedimientos que nos

permitan realizar un control de los usuarios privilegiados, razón por la cual no
podemos controlar los riesgos que generan estos usuarios.

Control de la rotación del personal.

Debido al número (dos) de personas que trabajan en el departamento técnico, no

es aplicable este punto.

 Control y documentación de las desviaciones más importantes con

respecto a los planes originales de operación.

En base a la información recibida se ha observado que durante la gestión 2012, no

se han producido hechos o eventos relevantes en el departamento técnico.

b). La obtención y resguardo de copias de respaldo (backup) y la

administración de la biblioteca de datos.

El departamento técnico ha realizado el desarrollo de procedimientos para la

obtención de copias de respaldo.

Durante el análisis del procedimiento hemos observado que este no se encuentra

completo, pues no contempla los tipos de backup`s que se deben obtener (diarios,
semanal, mensual y de fin de año), periodo de rotación, forma de identificar,
información de la cual se debe obtener la copia de respaldo.

Tampoco define al responsable de la obtención de copias de respaldo es

responsabilidad del personal técnico, pero no se encuentra formalizada

 Procedimientos de Copias de seguridad

No se cuenta con procedimientos para realizar copias de seguridad (backup) de

los datos generados por los usuarios de la institución.

21
 PROYECTO DE AUDITORIA

c). Seguridad en los datos de usuario

No se cuenta con claves de acceso de ingreso a los equipos, que limitan el

cambio y configuración del sistema operativo.

Varios de los usuarios conectados a la red no presentan identificación de ingreso a

recursos compartidos por lo cual se puede ingresar a varias carpetas pudiendo
Copiar, Modificar y Borrar información.

d). Entorno ofimático produce situaciones que puedan suponer infracciones

a lo dispuesto por la ley sobre propiedad intelectual.

Se cuenta con Licencias de funcionamientos de herramientas ofimáticas

priorizadas pero no en su totalidad. Se tiene el sistema operativo (Windows XP,
Vista, 7) y Microsoft Office2003.

Las otras herramientas que se tienen instaladas en la maquinas son Software

Libre o Utilitarios de periféricos.

6.- Desarrollo del Sistema trámites y trabajos atendidos en el departamento

de en Aportaciones

El desarrollo del Sistema trámites y trabajos atendidos en el departamento de

Aportaciones elaborado por los Señores Auditores según consta en contrato, se
constituye en el principal sistema de información de la institución, como se
encuentra en etapa de validación para su entrega final, se reviso los puntos
siguientes:

6.1 Establecimiento del plan de trabajo y cronograma de actividades

No se cuenta con un plan de trabajo y cronogramas de actividades para el

desarrollo del sistema.

6.2 Manuales de aplicación para cada sistema o aplicaciones

Se cuentas con los manuales de las aplicaciones que forman parte del sistema
trámites y trabajos atendidos en el departamento de Aportaciones, tanto de
22
 PROYECTO DE AUDITORIA

usuario, administración y técnico. La entrega de esta documentación queda

pendiente a la entrega final del sistema de información.

6.3 Análisis y Diseño Lógico del sistema de información bajo una

metodología técnica estándar

Se cuenta con el análisis y diseño de la aplicación trámites y trabajos atendidos en

el departamento de Aportaciones, tanto de diagramas de entradas, archivos y
salidas. La entrega de esta documentación queda pendiente a la entrega final del
sistema de información.

6.4 Implementación y cambios del sistema o aplicación

Los cambios o actualizaciones del sistema trámites y trabajos atendidos en el

departamento de Aportaciones está a cargo de la consultora, el cual se lo realiza
directamente a nivel de código fuente.

6.5 Procedimientos de actualización de sistemas informáticos

Se cuenta con la Política y Procedimiento de Mantenimientos de Sistemas, el cual

no se lo utiliza para la constante actualización del sistema trámites y trabajos
atendidos en el departamento de Aportaciones

El seguimiento de las actualizaciones se lo realiza mediante medios alternativos

(e-mail, archivos de actualización), el cual es documentado mediante una bitácora
de actualización.

6.6 Documentos de aceptación y de pruebas de software

6.7 Datos de prueba y la especificación del software
6.8 Informes de prueba validado

6.9 Mecanismo que permita a los empleados hacer sugerencias y

observaciones de mejoras y modificaciones a procesos del sistema de
información

Se cuenta con un relevamiento de observaciones al sistema trámites y trabajos

23
 PROYECTO DE AUDITORIA

atendidos en el departamento de Aportaciones realizado por los usuarios de las

diferentes unidades, de manera continua por el Jefe de Operaciones de forma
documental, los cuales son transferidos al consultor de desarrollo del sistema

7. Controles del sistema de información

7.1 Controles de acceso de usuarios y perfiles

Se cuenta con la tabla de asignación de usuarios y perfiles de acceso a módulos

del sistema trámites y trabajos atendidos en el departamento de Aportaciones,
identificando las acciones que puede desarrollar.

7.2 Control de acceso a usuarios privilegiados

Se cuenta con 3 cuentas de usuarios privilegiados de administrador, los cuales se

registran en el Log de actividad, del jefe encargado, Administradora CPD y
consultor desarrollador.

7.3 Generación y bloqueo de claves de acceso

El sistema de información cuenta con 2 claves de ingreso, uno del sistema

operativo y otro de ingreso al sistema.

La clave de acceso para el uso del sistema trámites y trabajos atendidos en el

departamento de Aportaciones no contempla el grado de complejidad completo
aceptando solo: letras y números.

No se cuenta con un proceso de bloqueo de usuario y clave de acceso, a cierta

cantidad de intentos fallidos de ingreso.

No se cuenta con un procedimiento para que el usuario pueda cambiar su clave de

acceso.

7.4 Procedimientos para la generación de pistas de auditoria

El sistema de información tiene implementado el registro de la actividad que

realiza en usuario en los diferentes módulos que está habilitado en su perfil, este

24
 PROYECTO DE AUDITORIA

Log se almacena en la base de datos.

No cuenta el sistema un módulo de seguimiento y consulta de Log de actividad por

usuario.

7.5 Control de la administración de usuarios privilegiados

No se cuenta con procedimientos de control de usuarios privilegiados o súper

usuarios, tanto en los sistemas, como en el acceso de servidores y servicios.

7.6 Resguardo y control de códigos fuente

Se cuenta con códigos fuentes en la institución del SISTEMA DE REGISTRO Y

CONTROL DE SALIDA DE MINERALES esto por el desarrollo en el cual se
encuentra.

8. Administración del SGBD de soporte al sistema trámites y trabajos

atendidos en el departamento de Aportaciones

8.1 Documentación de la base de datos principal

No se cuenta con la documentación del análisis de la entidad/relación por modulo

del sistema para la administración.

No se cuenta con el diccionario de datos por modulo se completaran estos

documentos en la entrega final del sistema trámites y trabajos atendidos en el
departamento de Aportaciones

8.2 Administración del Sistema de Gestión de Base de Datos

SGBD

Se cuenta con la información del CPD, es la responsable del funcionamiento,

mantenimiento y resguardo del SGBD que se utiliza en la institución (SQL server),
también responsable de la base de datos principal

8.3 Control de acceso al SGBD

25
 PROYECTO DE AUDITORIA

Se verifico que el acceso al SGBD es independiente al servicio que ofrece el

Sistema Operativo tanto en funcionamiento como en claves de acceso.

Se carece de niveles de usuario de acceso a las bases de datos utilizando una

clave única

8.4 Obtención y resguardo de copias de respaldo y administración de

biblioteca de datos.

Se verifico el manual de Administración de Backups de la Base de Datos, donde

se expresa la obtención y restauración de la base de datos del sistema trámites y
trabajos atendidos en el departamento de Aportaciones.

El manual carece de procedimientos de almacenamiento, de etiquetado y

aprobación del backup.

Se verifico el inventario del CPD, que lleva el control de los backups en el Registro
de Backups.

El almacenamiento de los backups del sistema se lo realiza en bóveda de la

institución.

Conclusión general

Hemos finalizado nuestro trabajo de entendimiento y verificación del sistema

trámites y trabajos atendidos en el departamento de Aportaciones, y como
resultado de este podemos indicar lo siguiente:

1.- No se cuenta con la documentación suficiente para realizar un mantenimiento

al sistema informático de registro y control de aportes para la federación de
cooperativas mineras de potosí por los constantes cambios de versiones y
plataformas de funcionamiento.

Se sugiere elaborar el manual de mantenimiento completo para fines futuros de

una reingeniería que con las distintas versiones y software utilizado puede crearse
una tendencia a cambiar de software.

26
 PROYECTO DE AUDITORIA

2.- No se cuenta con la documentación necesaria para realizar un mantenimiento

al sistema de información de trámites y trabajos atendidos en el departamento de
Aportaciones por el constante cambio y crecimiento de COMPOTOSI

3.- Se sugiere elaborar una reingeniería cada seis meses para adaptar el sistema
de COMPOTOSI.

27