Práctica de Auditoría Informática 2009

DICTAMEN DE AUDITORÍA INFORMÁTICA

Resultado dela práctica de auditoría informática al 20 de Noviembre del 2009.

Realizado por: Tcnlga. Paulina Guevara, alumna del 10mo semestre Informática – Unita

Al Dr. Mario Aulestia

DIRECTOR DEL CENTRO DE ATENCIÓN AMBULATORIA IESS DE OTAVALO

Fase 1 Actividad 1: Conocimiento general del Laboratorio:

Procedimiento: Efectuar el primer contacto con el responsable del Laboratorio y explicarle

acerca de la realización de la práctica de auditoría y actividades a realizar.

Fase 1 Actividad 2: Revisión del ambiente Hardware:

UNIVERSIDAD TECNOLÓGICA AMÉRICA A-2

UNITA – IBARRA

PROGRAMA DE AUDITORÍA INFORMÁTICA PARA REVISIÓN DEL AMBIENTE HARDWARE

Fecha: 16-11-2009
Elaborado por: Paulina Guevara
Revisado por:

No. Procedimiento Responsable Fecha Documentación a PT

examinar
1 Elaborar un listado de las Paulina 13-11-2009 Inventario L-1
máquinas y de los programas más Guevara
usados, usando el listado sugerido
2 Especificar y documentar las Paulina 13-11-2009 L-2
observaciones especiales de las Guevara
máquinas que requieran una
apreciación exclusiva. Como el
servidos, equipos con
componentes especiales, etc.
3 Elaborar un diagrama de la Paulina 13-11-2009 D-1
estructura y conexiones de red con Guevara
los correspondientes equipos.
4 Realizar un análisis preliminar Paulina 13-11-2009 AN-1
sobre el estado general del Guevara
laboratorio.

Paulina Guevara, 10mo Informática, UNITA Página 1

 Práctica de Auditoría Informática 2009

Fase 1 Actividades 3 a 5: Revisión del ambiente Software:

Análisis FODA y Alcance de la Auditoría:

UNIVERSIDAD TECNOLÓGICA AMÉRICA A-3

UNITA – IBARRA

PROGRAMA DE AUDITORÍA INFORMÁTICA PARA REVISIÓN DEL AMBIENTE GENERAL Y AMBIENTE

SOFTWARE

Fecha: 16-11-2009
Elaborado por: Paulina Guevara
Revisado por:

No. Procedimiento Responsable Fecha Documentación a PT

examinar
1 Realizar un listado de los Paulina 16-11-2009 L-3
principales programas instalados Guevara
en los equipos con los listados
para cada PC.
2 Seleccionar los programas más Paulina 16-11-2009 L-4
importantes para análisis y Guevara
elaborar un listado de los
mismos.
3 Verificar y listar los controles Paulina 16-11-2009 L-5
existentes para el manejo de los Guevara
programas, como accesos y otros.
4 Solicitar al responsable del Paulina 16-11-2009 Manuales, Archivo
laboratorio copias sobre Guevara políticas. General
documentación existente acerca
de manuales, políticas y hacer un
chequeo para análisis.
5 Elaborar una Matriz FODA sobre Paulina 16-11-2009 A-4
los componentes generales de los Guevara Archivo
PCS. de
análisis
6 Definir con precisión el alcance Paulina 16-11-2009 Archivo
de la auditoría Guevara General

Paulina Guevara, 10mo Informática, UNITA Página 2

 Práctica de Auditoría Informática 2009

Fase 2 Actividades 1 a 7: Desarrollo de la Auditoría:

UNIVERSIDAD TECNOLÓGICA AMÉRICA A-3

UNITA – IBARRA

PROGRAMA DE AUDITORÍA INFORMÁTICA PARA EVALUAR EL ÁREA DE SERVICIO

Fecha: 17-11-2009
Elaborado por: Paulina Guevara
Revisado por:

No. Procedimiento Responsable Fecha Documentación a PT

examinar
1 Realizar las entrevistas Paulina 17-11-2009 B-1
personales al personal que labora Guevara
en el dispensario médico,
presentes en su horario de
servicio.
2 Definir según muestreo el Paulina 17-11-2009 Lista de pacientes Archivo
número de pacientes para Guevara que acceden a los de
efectuar entrevistas. turnos. análisis
3 Realizar entrevistas personales a Paulina 18-11-2009 B-2
los pacientes, utilizando el Guevara
cuestionario de estudio.
4 Tabular los datos para efectuar el Paulina 19-11-2009 B-4
análisis respectivo. Guevara

5 Elaborar un análisis sobre los Paulina 20-11-2009 B-3

aspectos más importantes dentro Guevara
del servicio de informática.
6 Identificar y listar los posibles Paulina 20-11-2009 B-5
riesgos existentes en el área de Guevara
informática.
7 Listar las primeras conclusiones Paulina 20-11-2009 B-6
del análisis y la identificación de Guevara
riesgos realizados.

Paulina Guevara, 10mo Informática, UNITA Página 3

 Práctica de Auditoría Informática 2009

INFORME DE AUDITORÍA

PRÁCTICA DE AUDITORÍA INFORMÁTICA

Realizada al 20 de noviembre del 2009 en el Dispensario Médico del IESS de Otavalo

Al Dr. Mario Aulestia

DIRECTOR DEL CENTRO DE ATENCIÓN AMBULATORIA IESS DE OTAVALO

Haciendo uso de su aprobación para realización de la práctica de auditoría informática en Centro médico
a su dirección, se procedió a ejecutar el plan general de la práctica presentado el día 12 de Noviembre del
2009, cuyos detalles de la ejecución se muestran en el presente informe de anexos:

1. OBJETO DE AUDITORÍA

Llevar a la práctica los conocimientos recibidos dentro de la materia de Auditoría Informática.

Además, hacer un análisis del servicio de informática que presta este Centro Médico.

Realizar un informe de Auditoría con el objeto de verificar la adecuación de las medidas aplicadas a las
amenazas definidas, así como el cumplimiento de los requisitos exigidos.
El período auditado en el presente informe se extiende desde el 13-11-2009 hasta el 20-11-2009.

2. ALCANCE DE LA AUDITORÍA

El presente examen fue realizado de conformidad con las normas de auditoría generalmente aceptadas,
habiéndose practicado los siguientes procedimientos:

I. Análisis y estudio del área informática:

- Entorno Software general: programas y aplicaciones.
- Entorno Hardware: equipos y accesorios.
- Análisis FODA: Fortalezas, Oportunidades, Debilidades y Amenazas.

II. Análisis de la documentación proporcionada:

a. Por el responsable de los equipos de cómputo:
- Políticas, manuales y procedimientos.
- Inventarios y listado de registros de los equipos.

III. Entrevistas concertadas:

- A 5 miembros del personal laboral del centro médico: dirección, secretaría, contabilidad, estadística
y sistemas.
- A 18 pacientes que frecuentan en centro médico.
- Responsable de los equipos de cómputo.

Paulina Guevara, 10mo Informática, UNITA Página 4

 Práctica de Auditoría Informática 2009

IV. Requerimientos de información:

- Información general del servicio de Sistemas.
- Descripción del hardware.
- Sistemas de seguridad.
- Aplicaciones.

V. Elaboración de cuestionarios:

Los cuestionarios han sido elaborados tomando en cuenta los aspectos generales que se puede abarcar
en esta práctica de auditoría, tales como el conocimiento de las principales dificultades que se presentan
en la administración de los equipos de cómputo y el requerimiento de recursos.

3. ACLARACIONES PREVIAS

I. Sobre el alcance de la auditoría:

La auditoría realizada, ha sido enfocada a un análisis interno, debido al corto tiempo en el que se viene
utilizando los diferentes equipos de cómputo y el software de Historias Clínicas.

II. Sobre el aspecto legal:

Se tiene conocimiento de que no es viable la revisión de licencias de software y certificados de

autorización para el uso de aplicaciones propias de IESS, ya que al tratarse de una Institución Pública y
dependiente del Estado queda claro que cuenta con dichos permisos.

Sólo se hace énfasis en las decisiones sobre este aspecto que deberían ser tomadas en cuenta por la
dirección de este Centro Ambulatorio.

III. Sobre la opinión de los encuestados:

Se decidió reservar las opiniones personales de los pacientes y personal laboral encuestado, por razones
de discreción, sólo se hará referencia a los resultados de las encuestas, al momento de mencionar algunas
referencias relacionadas con estas.

4. COMENTARIOS Y OBSERVACIONES

I. Entorno de Hardware:

a. Servidor

Las características de hardware del servidor son de una calidad superior a la de los demás computadores
usados por el personal correspondiente, por lo que el desempeño del equipo que hace de servidor es
óptimo.

Paulina Guevara, 10mo Informática, UNITA Página 5

 Práctica de Auditoría Informática 2009

La recomendación es aumentar la capacidad, mejorar las características de memoria y la velocidad del

procesador en el equipo de Rayos X, ya para evitar posibles fallas al momento de administrar la gran
cantidad de información que se genera en ese departamento.

b. Requerimiento de un UCP

Se pudo notar que la no existencia de un sistema de control para fallos de energía eléctrica, y sumándole
además la crisis energética por la que atraviesa nuestro país en la actualidad, puede ocasionar daños en
las máquinas y pérdida de la información. Para contrarrestar estos problemas, es conveniente adquirir un
sistema UPC para proteger los equipos de los inesperados cortes del fluido eléctrico.

II. Entorno Software

a. Programas y utilitarios

A continuación se muestran algunas observaciones respecto a programas necesarios que deberían ser
optimizados para agilizar los procesos y evitar pérdidas de tiempo:

Utilitarios importantes Estado Observaciones

Office 2007: Word, Excel, Project Bueno Mantenimiento frecuente
Internet Bueno Se debe bloquear el Messenger y
evitar la descarga de programas
pesados que podrían entorpecer
a las máquinas.
Antivirus Regular No existe en todas las máquinas
y en algunas hace falta la
actualización del antivirus.
SIF Bueno Presenta varios errores, necesita
mantenimiento continuo.

b. Programas mal instalados:

Algunas máquinas tienen programas mal instalados, como por ejemplo el Office 2007 el cual para activar
una de sus funciones especiales, solicita el CD de instalación; por lo que se recomienda que la instalación
de este tipo de software se lo haga completamente y de manera correcta, para evitar pérdidas de tiempo
a los usuarios, a menos que esto implique someter a la máquina a trabajar con bajo rendimiento.

c. Protección antivirus:

Actualmente se utiliza en la mayoría de las máquinas el antivirus AVG 8.5 y en otras el Avira, el problema
radica en que estos antivirus se los debe actualizar regularmente ya que de no hacerlo, la máquina puede
estar en peligro al no estar totalmente protegida. Si bien es cierto que no todos los antivirus son efectivos,
se recomienda que el antivirus que se utilice en un equipo sea actualizado una vez a la semana y
configurarlo para que realice revisiones completas.

d. Actualizaciones:

Paulina Guevara, 10mo Informática, UNITA Página 6

 Práctica de Auditoría Informática 2009

Las actualizaciones deben ser periódicas, para equipos y software, siguiendo los parámetros establecidos
por la institución; estos pueden ser frecuencia y tipo de actualización, además del cuidado que se debe
tener con los computadores una vez que han sido actualizados, etc.

III. Aspecto de Seguridad general:

a. Riesgos en los equipos de cómputo:

La mayoría de las máquinas se encuentran mal ubicadas en sus respectivas oficinas, los monitores están
directamente a la luz solar y algunos CPUs están colocados en el piso. Se recomienda que los equipos
sean reubicados en un lugar seguro, que facilite el ambiente de trabajo para los usuarios, y que los
componentes de las máquinas sean colocadas es su respectivo lugar para evitar daños.

Debe hacerse un mantenimiento preventivo más frecuente a las máquinas y actualizar el antivirus,
además de dar recomendaciones generales para el buen uso de los equipos.

IV. Servicio

a. Distribución de los equipos:

La ubicación de los equipos de cómputo, para algunos usuarios, no es viable. Esta incorrecta ubicación
hace que las máquinas ocupen más espacio físico de lo necesario, a más de correr el riesgo de dañarse o
sufrir daños en su estructura. Lo que se debería hacer es reubicar y distribuir de manera óptima los
equipos en su respectivo espacio asignado y brindar un mejor ambiente de trabajo al usuario.

b. Conexión con la Matriz IESS – Quito:

Frecuente han sido las fallas de conexión con el Sistema Hospitalario que es manejado desde la central
ubicada en la ciudad de Quito, ocasionando pérdida de información, demora en los trámites e implica, en
ocasiones, parar el trabajo al no tener acceso a la información requerida.

Se recomienda que un técnico realice un seguimiento continuo a la conexión y que desde Quito brinden
el soporte técnico necesario para evitar estos problemas.

c. Elaboración de manuales de procedimiento :

No existen manuales de procedimiento para el buen uso de las máquinas y sus componentes, además no
se cuenta con un manual de usuario del Sistema Hospitalario por lo que se recomienda elaborar los
respectivos manuales avalados por el director del Centro Ambulatorio y que sirvan de ayuda al personal
laboral y a quienes hagan de técnicos de sistemas.

Paulina Guevara, 10mo Informática, UNITA Página 7

 Práctica de Auditoría Informática 2009

V. RECOMENDACIONES:

1. Ampliar la capacidad, mejorar las características de memoria y la velocidad del procesador

en el equipo de Rayos X.
2. Adquirir e instalar un sistema UPC de seguridad eléctrica para proteger los equipos de los
inesperados cortes del fluido eléctrico.
3. Optimizar los programas y aplicaciones necesarias para agilizar los procesos y evitar pérdidas
de tiempo.
4. Instalar software completamente y de manera correcta, ordenar en un sitio seguro los CD’s
instaladores.
5. Actualizado el antivirus una vez a la semana y configurarlo para que realice revisiones
completas.
6. Las actualizaciones deben ser periódicas, para equipos y software.
7. Reubicar los equipos en un lugar seguro, y colocar los componentes de las máquinas en su
respectivo lugar para evitar daños.
8. Instar a los usuarios sobre el buen uso y cuidado de los equipos.
9. Hacer un seguimiento continuo a la conexión por parte del técnico y que desde Quito se
brinde el soporte técnico necesario.
10. Elaborar los manuales de procedimiento y de uso del Sistema Hospitalario.

VI. Lugar y fecha de emisión del informe:

Otavalo – Ecuador, 20 de Noviembre del 2009

Firma:

Auditora

Paulina Guevara, 10mo Informática, UNITA Página 8

 Práctica de Auditoría Informática 2009

ANEXO 1

Análisis FODA

UNIVERSIDAD TECNOLÓGICA AMÉRICA A-4

UNITA – IBARRA

ANÁLISIS FODA SOBRE EL SERVICIO QUE PRESTA EL DISPENSARIO MÉDICO DEL IESS – OTAVALO
REFERENTE A LOS EQUIPOS DE CÓMPUTO

Equipos propios de la institución.

Conexión en red.
Fortalezas Servicio de internet.
Conexión a tierra.
1 técnico.
Actualización de equipos y software.
Capacitación constante.
Oportunidades Reubicación de equipos de cómputo.
Mantenimiento permanente.
Seguridad contra fallas eléctricas.
Poca ventilación.
Debilidades Inapropiada ubicación de los equipos.
Algunos programas están mal instalados.
Equipo insuficiente, Rayos X
Virus
Amenazas Pérdida de información.
Cortes de energía eléctrica frecuentes.

Paulina Guevara, 10mo Informática, UNITA Página 9

 Práctica de Auditoría Informática 2009

ANEXO 2

Ubicación sugerida para los equipos de Estadística y Fisioterapia

Puerta

Computador

Ventana
Escritorio

Archivador

Archivador

Escritorio

Computador

Puerta
Paulina Guevara, 10mo Informática, UNITA Ventana Página 10
 Práctica de Auditoría Informática 2009

ANEXO 3

UNIVERSIDAD TECNOLÓGICA AMÉRICA B-1

UNITA – IBARRA

CUESTIONARIO DE ESTUDIO PARA EL PERSONAL LABORAL

Fecha:
Elaborado por:
Revisado por:
Encuestado:

Marque con una X la casilla correspondiente a la respuesta y llene las especificaciones según crea
conveniente.

No. Pregunta Respuestas

1 ¿Cuenta con los recursos SI NO Se requieren recursos como:
suficientes para llevar a cabo su
trabajo sin inconvenientes?

2 ¿Cree usted necesario mejorar los SI NO A corto plazo En el siguiente

equipos de cómputo para brindar año
un mejor servicio?

3 ¿Cuál de los siguientes aspectos Tecnología en los equipos

considera que podría desarrollarse Capacitación en nuevas aplicaciones
en mayor medida dentro de la Comunicaciones y redes
institución? Videoconferencias
4 ¿Ha tenido inconvenientes en el SI NO Mencione algunos:
uso de las máquinas al momento
de realizar su trabajo?

Paulina Guevara, 10mo Informática, UNITA Página 11

 Práctica de Auditoría Informática 2009

ANEXO 4

UNIVERSIDAD TECNOLÓGICA AMÉRICA B-2

UNITA – IBARRA

CUESTIONARIO DE ESTUDIO PARA LOS PACIENTES

Fecha:
Elaborado por:
Revisado por:
Encuestado:

Marque con una X la casilla correspondiente a la respuesta y llene las especificaciones según crea
conveniente.

No. Pregunta Respuestas

1 ¿Cuenta con los recursos SI NO Se requieren recursos como:
suficientes para recibir una
atención de calidad por parte del
personal que labora en la
institución?

2 ¿Cree usted necesario mejorar los SI NO A corto plazo En el siguiente año

equipos de cómputo para recibir
un mejor servicio?

3 ¿Ha tenido inconvenientes en el SI NO Mencione algunos:

uso de las máquinas al momento
de realizar su trabajo?

4 ¿Piensa que es posible obtener un SI NO Mencione los beneficios:

mejor servicio al mejorar la
tecnología con la que cuenta la
Institución?

Paulina Guevara, 10mo Informática, UNITA Página 12

 Práctica de Auditoría Informática 2009

ANEXO 5

BASES PARA LA TOMA DE LA MUESTRA

Fórmula para obtener la muestra o población:

N = Tamaño de la población

S = Varianza (p * q) = (0.7 * 0.3)

Z = Curvas normales (1.96%)

E = Error (7%)

n = Muestra

Aplicación de la fórmula en las encuestas:

N S2 Z2

n= e2 (N-1) + (S)2 (Z)2

76 (0.21) (3.8416)

n=

0.07 (30-1) + (0.21) (3.8416)

n = 18

Número total de las encuesta a realizarse: 18

Paulina Guevara, 10mo Informática, UNITA Página 13

 Práctica de Auditoría Informática 2009

Co esta muestra de tamaño menor solo se aumentó la variación de los datos con el propósito de reducir
el tiempo de las encuestas y la tabulación.

Plan General aplicado al Centro Ambulatorio IESS – Otavalo

Se ha planteado la ejecución de una serie de actividades programadas para 6 días, comienza el 13 de

noviembre del presente año y termina el 20 de noviembre del mismo, con la entrega del cadáver.

Las actividades se encuentran organizadas en tres fases:

FASES ACTIVIDAD PRINCIPAL FECHA

PRIMERA FASE Diagnóstico preliminar y definición de áreas auditables. 13 y 16-11-2009
SEGUNDA FASE Desarrollo de la auditoría. 17 al 19-11-2009
TERCERA FASE Elaboración y entrega del Informe 20-11-2009

PRIMERA FASE:
Diagnóstico preliminar y definición de áreas auditables 13 y 16-11-2009

Plan General

No. Actividad Fecha Responsable PT

1 Conocimiento general de lugar 13-11-2009

Objetivo: Tener una visión inicial para el análisis

de auditoría en el centro médico.
2 Revisión del ambiente Hardware 13-11-2009 A-2

Objetivo: Conocer el estado de los equipos y sus

respectivos accesorios.
3 Revisión del ambiente Software 16-11-2009 A-3

Objetivo: Reconocer los programas existentes y

su estado de funcionamiento.
4 Análisis FODA 16-11-2009 A-3

Objetivo: Realizar un análisis previo al desarrollo

de los procedimientos de auditoría informática.
5 Definición del Alcance de auditoría 16-11-2009 A-3

Objetivo: Especificar la cobertura del estudio de

auditoría para la aplicación de los
procedimientos.

Paulina Guevara, 10mo Informática, UNITA Página 14

 Práctica de Auditoría Informática 2009

SEGUNDA FASE:
Desarrollo de la Auditoría 17 a 19-11-2009

Plan General

No. Actividad Fecha Responsable PT

1 Entrevistas personales al personal laboral 17-11-2009 B-1

Objetivo: Conocer la opinión de los usuarios

sobre los requerimientos en el área de sistemas
del centro médico.
2 Entrevistas personales a los pacientes 17-11-2009 B-2

Objetivo: Conocer la opinión de los pacientes

sobre los requerimientos y el servicio recibido
en el centro médico.
3 Tabulación de datos 18-11-2009 B-3

Objetivo: Organizar la información obtenida para

el proceso de análisis.
4 Análisis de la información 18-11-2009 B-4

Objetivo: Determinar, comparar, detallar y

documentar los aspectos más importantes que
se definan en el área de informática.
5 Identificación de riesgos 19-11-2009 B-5

Objetivo: Obtener una idea precisa de la

estructura y funcionamiento de los equipos e
identificar los riesgos que pueden afectar a los
equipos y al desempeño del trabajo.
6 Obtención de conclusiones 19-11-2009 B-6

Objetivo: Elaborar una lista de los primeros

resultados sobre el estudio de la información
recopilada.

Paulina Guevara, 10mo Informática, UNITA Página 15

 Práctica de Auditoría Informática 2009

TERCERA FASE:

Elaboración y entrega del informe 20-11-2009

Plan General

No. Actividad Fecha Responsable PT

1 Elaboración del informe en borrador 20-11-2009 Archivo
General.
Objetivo: Documentar el primer informe
para discusión.
2 Elaboración del informe final 20-11-2009 Archivo
General.
Objetivo: Argumentar el informe definitivo
para su respectiva presentación.
3 Presentación del informe final 20-11-2009 Copia al
archivo
Objetivo: entregar el informe de auditoría permanente
informática final al Dr. Mario Aulestia,
Director del Centro Ambulatorio del IESS-
Otavalo

Paulina Guevara, 10mo Informática, UNITA Página 16