La presente Auditoria se realiza en cumplimiento del Plan Anual de Control 2010,aprobada mediante Resolución de Contraloría N° 235- 2002-CG del 15 de Abril del 2010.
OBJETIVO GENERAL
Revisar y Evaluar los controles, sistemas, procedimientos de informática; de los equipos de cómputo, su utilización, eficiencia y seguridad, de la organización que participan en el procesamiento de la información, a fin de que por medio del señalamiento de cursos alternativos se logre una utilización más eficiente y segura de la información que servirá para una adecuada toma de decisiones dentro de la empresa.
OBJETIVOS ESPECIFICOS
Evaluar el diseño y prueba de los sistemas del área de Informática
Determinar la veracidad de la información del área de Informática
Evaluar los procedimientos de control de operación, analizar suestandarización y evaluar el cumplimiento de los mismos.
Evaluar la forma como se administran los dispositivos de almacenamiento
básico del área de Informática
Evaluar el control que se tiene sobre el mantenimiento y las fallas de las Pc´s.
Verificar las disposiciones y reglamentos que coadyuven al mantenimiento delorden dentro del departamento de cómputo.
ENFOQUE A UTILIZAR
La presente acción de control, se realiza de acuerdo con el organismo central y rector de los Sistemas Nacionales de Estadística e Informática, responsable de normar, supervisar y evaluar los métodos, procedimientos y técnicas estadísticas e informáticas utilizados por los órganos del Sistema INEI (Instituto Nacional de Estadística e Informática), Normas Internacionales de Auditoria (NIA); habiéndose aplicado procedimientos de Auditoria que se consideraron necesarios de acuerdo a las circunstancias. La presente Auditoria Informática se realizara en Despacho Jurídico LJRR, ubicado en Avenida JuárezPoniente No. 59-100, San Juan del Río Querétaro.
DIAGRAMA DE GANTT
DOCUMENTOS A SOLICITAR
Políticas, estándares, normas y procedimientos.
Plan de sistemas.
Planes de seguridad y continuidad
Contratos, pólizas de seguros.
Organigrama y manual de funciones.
Manuales de sistemas.
Registros
Entrevistas
Archivos
Requerimientos de Usuarios
EJECUCION DE LA REVISION ESTRATEGICA
ANTECEDENTES DE LA EMPRESA
Es un despacho de asesoría que nació por la unión de profesionales en el año 1992, con la clara intención de proporcionar un servicio integral de calidad a sus clientes, tanto personas físicas como jurídicas, que comprendiera en la medida de lo posible todas las situaciones que en el sector indicado pudieran necesitarse.Por ello, el nacimiento del mismo fue con profesionales encargados cada uno de la rama de asesoría correspondiente.
Jaime Romero Reséndiz: Licenciado en Derecho, egresado de la Universidad Autónoma de Querétaro, contando con amplios conocimientos en el ámbito jurídico, en las áreas de derecho civil, mercantil, laboral, penal, administrativo.
Ma. del Carmen Romero Reséndiz: Licenciada en Derecho.- Comprendiendo dentro de sus actividades la atención a clientes, en el ámbito jurídico.
Jaime Romero Reséndiz: Licenciado en Derecho, egresado de la Universidad Autónoma de Querétaro, contando con amplios conocimientos en el ámbito jurídico, en las áreas de derecho civil, mercantil, laboral, penal, administrativo.
Ma. del Carmen Romero Reséndiz: Licenciada en Derecho.- Comprendiendo dentro de sus actividades la atención a clientes, en el ámbito jurídico.
Este despacho jurídico, con el tiempo, ha venido generando frutos, tanto para las personas que han tenido la oportunidad de ser colaboradores en el despacho, como para con las personas que forman parte del grupo de clientes al dárseles a ambos resultados favorables, obteniendo con ello, la confianza para, que estos recomienden al despacho.
En cuanto al titular del despacho, éste se ha preocupado por mejorar día con día de que la calidad del servicio que se les presta a los clientes o personas, sea la óptima.
AUTORIDADES DEL DESPACHO JURIDICO LJRR
Lic. Jaime Romero Reséndiz (Propietario).
Lic. Ma. Carmen Romero Reséndiz (Abogada).
PRINCIPALES ACTIVIDADES:
Acordar su régimen de Órgano Interior
Aprobar su presupuesto
Aprobar sus Bienes y Rentas
Crear, modificar, suprimir o examinar sus contribuciones, atribuciones y derecho, conforme a Ley.
Organizar, Reglamentar y Administrar sus servicios públicos locales.
FUNCIONES GENERALES
Planificar, ejecutar e impulsar, a través de los órganos correspondientes, elconjunto de acciones destinadas a proporcionar al ciudadano, el ambienteadecuado para las satisfacciones de sus necesidades viales de vivienda,salubridad, abastecimiento, educación, recreación, transporte y comunicación.
Formular el plan de desarrollo distrital en concordancia con las necesidades yrequerimientos de la población organizada y los planes de desarrollo nacionaly regional.
Conducir los programas de acondicionamiento territorial, vivienda y seguridadcolectiva, conforme lo establece la ley orgánica de municipalidades, velandopor su ejecución.
SISTEMAS Y CONTROLES IDENTIFICADOS
a) Controles de Confiabilidad y Validez de la Información.
Las funciones y responsabilidades de cada funcionario y/o directivo estánestablecidas en el Reglamento General Interno, Reglamento de Organizacióny Funciones del Despacho Jurídico
LJRR.
AREA DE COMPUTO E INFORMATICA
AREA DE COMPUTO E INFORMATICA
MISION
El área de Computo e informática tiene por misión normar el adecuado uso y aprovechamiento de los recursos informáticos; la optimización de las actividades, servicios procesos y acceso inmediato a información para la toma de decisiones, mediante el desarrollo, implantación y supervisión del correcto funcionamiento de los sistemas y comunicaciones, así como la adquisición y control de la plataforma física de computo.
VISION
El Área de cómputo e informática, es capaz de liderar el desarrollo informático, asegurando un marco transparente para el acceso a los ciudadanos a la información
SITUACION ACTUAL
Ubicación
El área de cómputo e informática orgánicamente depende de la oficina de planificación y presupuesto, asumiendo la responsabilidad de dirigir los procesos técnicos de informática
Recursos Humanos
Actualmente en el área de cómputo e informática labora una sola persona quien cumple las funciones de administración, capacitación, soporte y procesamiento de datos.
OBJETIVOS
El área de Cómputo e informática tiene los siguientes objetivos:
Apoyar en todo al Despacho Jurídico LJRR.
Estandarizar y Uniformizar información relevante referente a los gobiernos locales
Brindar un mejor servicio a los usuarios, a través de una página Web
OBJETIVOS ESPECIFICOS (PRESUPUESTADOS)
Equipamiento del Despacho Jurídico LJRR.
Optimizar las aplicaciones existentes a satisfacción de los clientes.
Brindar acceso a Internet
Diseño y elaboración de páginas Web.
Alojamiento y Mantenimiento de la Pagina Web.
ANALISIS FODA
El área de Computo e informática tiene por misión normar el adecuado uso y aprovechamiento de los recursos informáticos; la optimización de las actividades, servicios procesos y acceso inmediato a información para la toma de decisiones, mediante el desarrollo, implantación y supervisión del correcto funcionamiento de los sistemas y comunicaciones, así como la adquisición y control de la plataforma física de computo.
VISION
El Área de cómputo e informática, es capaz de liderar el desarrollo informático, asegurando un marco transparente para el acceso a los ciudadanos a la información
SITUACION ACTUAL
Ubicación
El área de cómputo e informática orgánicamente depende de la oficina de planificación y presupuesto, asumiendo la responsabilidad de dirigir los procesos técnicos de informática
Recursos Humanos
Actualmente en el área de cómputo e informática labora una sola persona quien cumple las funciones de administración, capacitación, soporte y procesamiento de datos.
OBJETIVOS
El área de Cómputo e informática tiene los siguientes objetivos:
Apoyar en todo al Despacho Jurídico LJRR.
Estandarizar y Uniformizar información relevante referente a los gobiernos locales
Brindar un mejor servicio a los usuarios, a través de una página Web
OBJETIVOS ESPECIFICOS (PRESUPUESTADOS)
Equipamiento del Despacho Jurídico LJRR.
Optimizar las aplicaciones existentes a satisfacción de los clientes.
Brindar acceso a Internet
Diseño y elaboración de páginas Web.
Alojamiento y Mantenimiento de la Pagina Web.
ANALISIS FODA
Fortalezas
Disponibilidad de recursos económicos.
Personal Directivo y técnico con amplia experiencia(recursos humanos)
Capacidad de Convocatoria(Difusión)
Oportunidades
Búsqueda de reducción de costos, aprovechando la aparición denuevas tecnologías.
Buen servicio y trato.
Tendencias Tecnológicas generan un amplio campo de acción
Predisposición y voluntad de los nuevos directivos para cambioTecnológico
Debilidades
Falta de planes y Programas Informáticos.
Poca identificación del personal con la institución
Inestabilidad laboral del personal
Escasa capacidad de retención y voluntad del personal
No existe programas de capacitación y actualización al personal
La oficina del Área de computo e informática muy reducido
Personal técnico Calificado insuficiente en el área de computo
Amenazas
Rotación permanente del personal imposibilitando continuidad a los objetivos propuestos.
Estandarizar y Uniformizar información relevante referente a los gobiernos locales
PLAN DE AUDITORIA
METODOLOGIA
La metodología de investigación a utilizar en el proyecto se presenta a continuación:
Para la evaluación del Área de Informática se llevarán a cabo las siguientes actividades:
Solicitud de los estándares utilizados y programa de trabajo
Aplicación del cuestionario al personal
Análisis y evaluación del a información
Elaboración del informe
Para la evaluación de los sistemas tanto en operación como en desarrollo se llevarán a cabo las siguientes actividades:
La metodología de investigación a utilizar en el proyecto se presenta a continuación:
Para la evaluación del Área de Informática se llevarán a cabo las siguientes actividades:
Solicitud de los estándares utilizados y programa de trabajo
Aplicación del cuestionario al personal
Análisis y evaluación del a información
Elaboración del informe
Para la evaluación de los sistemas tanto en operación como en desarrollo se llevarán a cabo las siguientes actividades:
Solicitud del análisis y diseño del os sistemas en desarrollo y en operación
Solicitud de la documentación de los sistemas en operación (manuales técnicos, de operación del usuario, diseño de archivos y programas)
Recopilación y análisis de los procedimientos administrativos de cada sistema (flujo de información, formatos, reportes y consultas)
Análisis de llaves, redundancia, control, seguridad, confidencial y respaldos
Análisis del avance de los proyectos en desarrollo, prioridades y personal asignado
Entrevista con los usuarios de los sistemas
Evaluación directa de la información obtenida contra las necesidades y requerimientos del usuario
Análisis objetivo de la estructuración y flujo de los programas
Análisis y evaluación de la información recopilada
Elaboración del informe
Para la evaluación de los equipos se llevarán a cabo las siguientes actividades:
Solicitud de los estudios de viabilidad y características de los equipos actuales, proyectos sobre ampliación de equipo, su actualización
Solicitud de contratos de compra y mantenimientos de equipo y sistemas
Solicitud de contratos y convenios de respaldo
Solicitud de contratos de Seguros
Elaboración de un cuestionario sobre la utilización de equipos, memoria, archivos, unidades de entrada/salida, equipos periféricos y su seguridad Visita técnica de comprobación de seguridad física y lógica de la instalaciones de la Dirección de Informática
Evaluación técnica del sistema electrónico y ambiental de los equipos y del local utilizado
Evaluación de la información recopilada, obtención de gráficas, porcentaje de utilización de los equipos y su justificación.
Elaboración y presentación del informe final (conclusiones y recomendaciones)
JUSTIFICACION
Aumento considerable e injustificado del presupuesto del PAD (Departamento de Procesamiento de Datos)
Desconocimiento en el nivel directivo de la situación informática de la empresa
Falta total o parcial de seguridades lógicas y físicas que garanticen la integridad del personal, equipos e información.
Descubrimiento de fraudes efectuados con el computador
Falta de una planificación informática
Organización que no funciona correctamente, falta de políticas, objetivos, normas, metodología, asignación de tareas y adecuada administración del RecursoHumano
Descontento general de los usuarios por incumplimiento de plazos y mala calidad de los resultados
Falta de documentación o documentación incompleta de sistemas que revela la dificultad de efectuar el mantenimiento de los sistemas en producción
MOTIVO O NECESIDAD DE UNA AUDITORIA INOFRMATICA
Síntomas de descoordinación y desorganización
No coinciden los objetivos del área de Informática y de la propia Institución.
Los estándares de productividad se desvían sensiblemente de los promedios conseguidos habitualmente. Puede ocurrir con algún cambio masivo de personal, o en una reestructuración fallida de alguna área o en la modificación de alguna Norma importante
Síntomas de mala imagen e insatisfacción de los usuarios
No se atienden las peticiones de cambios de los usuarios. Ejemplos: cambios de software en los terminales de usuario, resfrecamiento de paneles, variación de los ficheros que deben ponerse diariamente a su disposición, etc.
No se reparan las averías de hardware ni se resuelven incidencias en plazos razonables. El usuario percibe que está abandonado y desatendido permanentemente.
No se cumplen en todos los casos los plazos de entrega de resultados periódicos. Pequeñas desviaciones pueden causar importantes desajustes en la actividad del usuario, en especial en los resultados de Aplicaciones críticas y sensibles.
Síntomas de debilidades económico-financieras
Incremento desmesurado de costes.
Necesidad de justificación de Inversiones Informáticas (la empresa no está absolutamente convencida de tal necesidad y decide contrastar opiniones).
Desviaciones Presupuestarias significativas.
Costes y plazos de nuevos proyectos (deben auditarse simultáneamente a Desarrollo de Proyectos y al órgano que realizó la petición).
Síntomas de Inseguridad
Evaluación de nivel de riesgos
Seguridad Lógica
Seguridad Física
Confidencialidad
Los datos son propiedad inicialmente de la organización que los genera. Los datos de personal son especialmente confidenciales
AUDITORIA FISICA
Alcance de la Auditoria
Organización y cualificación del personal de Seguridad.
Remodelar el ambiente de trabajo.
Planes y procedimientos.
Sistemas técnicos de Seguridad y Protección.
Objetivos
Revisión de las políticas y Normas sobre seguridad Física.
Verificar la seguridad de personal, datos, hardware, software e instalaciones
Seguridad, utilidad, confianza, privacidad y disponibilidad en el ambiente informático
LISTADO DE VERIFICACIÓN DE AUDITORIA FISICA
Gestión física de seguridad
Evaluación de análisis física de cómputo
Análisis de delimitación la manera en que se cumplen
Análisis de la estabilidad y el aprovechamiento a para instalar el centro de computo
Evaluación del diseño según el ámbito
Análisis de seguridad física
Encuesta
1. ¿El área cumple con las funciones asignadas?
2. ¿Cuántas personas laboran en el centro de cómputo?
3. ¿Considera que el área de trabajo es la adecuada o apropiada para el desempeño de sus labores?
4. ¿Considera que es adecuado el número de personas que laboran en el área?
5. ¿Se deja de realizar alguna actividad por falta de personal?
6. ¿Está el personal que utiliza el computador educado en las necesidades de seguridad?
7. Con respecto a la parte física de la OCI; ¿se cumple con las normas de seguridad establecidas para los equipos de cómputo?
8. ¿Está el área del computador libre de material combustible, como suministro de papel en exceso de las necesidades inmediatas?
9. ¿Existe en la OCI extinguidores de incendio claramente identificados para lo que uso se refiere?
10. Sobre el mantenimiento del equipo; ¿cuenta con las herramientas necesarias para brindar un buen servicio en el momento requerido?
11. ¿El área cuenta con un respectivo plan de contingencias?
12. Si cuenta con un plan de contingencias ¿Se han identificado las aplicaciones vitales para operación del área?
PLAN DE CONTINGENCIA
Objetivo
Tener las bases para responder ante cualquier eventualidad o problemática que pudiese tener los equipos del Despacho JurídicoLJRR de San Juan del Río, y que en caso de siniestro del equipo y/o instalaciones, podamos rápidamente garantizar la operación de los mismos, o bien poder seguir prestando el servicio de los equipos del mismo.
Alcance
Cubrir la totalidad de los equipos que se encuentran dentro del Despacho Jurídico LJRR y también la maquina principal con el objetivo de que se asegure el préstamo del servicio, o bien tratar de que el tiempo de respuesta, sea lo más rápido posible.
Equipo
Equipo
Para el respaldo de la información importante, en cuanto a los usuarios se refiere, es recomendable que estos guarden su información debido a que no se garantiza que este segura, ya que en ocasiones son ellos mismos quienes por accidente la borran. Para el respaldo de la información de los equipos se cuenta con respaldos en formato de disco compacto.
Mantenimiento
En este punto se realiza el mantenimiento preventivo y correctivo a los equipos en un periodo en el que el Despacho Jurídico LJRR no este laborando.
Así mismo se estipulan los siguientes puntos
Así mismo se estipulan los siguientes puntos
Este plan es elaborado con la finalidad de que exista una mayor seguridad en el Despacho Jurídico LJRR.
Primero es recomendable señalar los puntos que se pretenden cubrir con éste plan:
• Contra incendios
• Fallas de energía eléctrica
• Respaldos
PREVENCION CONTRA INCENDIOS
Para resguardar la seguridad del Despacho Jurídico LJRR se tienen extinguidores
PREVENCION CONTRA FALLAS DE ENERGÍA ELECTRICA
Para asegurar los equipos del Despacho Jurídico LJRR de una falla eléctrica se cuenta con dispositivos “no-break” o reguladores para cada computadora con el fin de proteger los equipos de sobrecargas de voltaje en situaciones como tormentas eléctricas.
RESPALDO DEL SOFTWARE
En cuanto a este punto se siguen los lineamientos de respaldos de información como se muestra:
• Respaldos de Software.
• Realizar respaldos semanales de la información que guardan los alumnos.
• Realizar los respaldos en medios de almacenamiento como CD`S, DVD`S y resguardarlos en sitios ajenos con el objetivo de que no se dañen en caso de alguna situación de emergencia.
