Dictamen de Auditoría Informática

Práctica de Auditoría Informática 2009
DICTAMEN DE AUDITORÍA INFORMÁTICA
Resultado dela práctica de auditoría informática al 20 de Noviembre del 2009.
Realizado por: Tcnlga. Paulina Guevara, alumna del 10mo semestre Informática –
Unita
Al Dr. Mario Aulestia

DIRECTOR DEL CENTRO DE ATENCIÓN AMBULATORIA IESS DE OTAVALO
Fase 1 Actividad 1: Conocimiento general del Laboratorio:
Procedimiento: Efectuar el primer contacto con el responsable del Laboratorio y

explicarle acerca de la realización de la práctica de auditoría y actividades a
realizar.
Fase 1 Actividad 2: Revisión del ambiente Hardware:
UNIVERSIDAD TECNOLÓGICA AMÉRICA

A-2
UNITA – IBARRA
PROGRAMA DE AUDITORÍA INFORMÁTICA PARA REVISIÓN DEL AMBIENTE

HARDWARE
Fecha: 16-11-2009
Elaborado por: Paulina Guevara
Revisado por:
No Procedimiento Responsa Fecha Documentació PT

. ble n a examinar
1 Elaborar un listado de las Paulina 13-11-2009 Inventario L-1

máquinas y de los programas Guevara
más usados, usando el
Paulina Guevara, 10mo Informática, UNITA Página 1

listado sugerido
2 Especificar y documentar las Paulina 13-11-2009 L-2

observaciones especiales de Guevara
las máquinas que requieran
una apreciación exclusiva.
Como el servidos, equipos
con componentes especiales,
etc.
3 Elaborar un diagrama de la Paulina 13-11-2009 D-1

estructura y conexiones de Guevara
red con los correspondientes
equipos.
4 Realizar un análisis Paulina 13-11-2009 AN-

preliminar sobre el estado Guevara 1
general del laboratorio.
Fase 1 Actividades 3 a 5: Revisión del ambiente Software:
Análisis FODA y Alcance de la Auditoría:

A-3
UNITA – IBARRA
PROGRAMA DE AUDITORÍA INFORMÁTICA PARA REVISIÓN DEL AMBIENTE GENERAL Y

AMBIENTE SOFTWARE
Fecha: 16-11-2009
Revisado por:

. ble n a examinar
1 Realizar un listado de los Paulina 16-11- L-3

principales programas

instalados en los equipos Guevara 2009

con los listados para cada
PC.
2 Seleccionar los programas Paulina 16-11- L-4

más importantes para Guevara 2009
análisis y elaborar un listado
de los mismos.
3 Verificar y listar los Paulina 16-11- L-5

controles existentes para el Guevara 2009
manejo de los programas,
como accesos y otros.
4 Solicitar al responsable del Paulina 16-11- Manuales, Archiv

laboratorio copias sobre Guevara 2009 políticas. o
documentación existente Gener
acerca de manuales, al
políticas y hacer un chequeo
para análisis.
5 Elaborar una Matriz FODA Paulina 16-11- A-4

sobre los componentes Guevara 2009 Archiv
generales de los PCS. o de
anális
is
6 Definir con precisión el Paulina 16-11- Archiv

alcance de la auditoría Guevara 2009 o
Gener
al
Fase 2 Actividades 1 a 7: Desarrollo de la Auditoría:

A-3
UNITA – IBARRA
PROGRAMA DE AUDITORÍA INFORMÁTICA PARA EVALUAR EL ÁREA DE SERVICIO
Fecha: 17-11-2009
Revisado por:

. ble n a examinar
1 Realizar las entrevistas Paulina 17-11- B-1

personales al personal que Guevara 2009
labora en el dispensario
médico, presentes en su
horario de servicio.
2 Definir según muestreo el Paulina 17-11- Lista de Archiv

número de pacientes para Guevara 2009 pacientes que o de
efectuar entrevistas. acceden a los anális
turnos. is
3 Realizar entrevistas Paulina 18-11- B-2

personales a los pacientes, Guevara 2009
utilizando el cuestionario de
estudio.
4 Tabular los datos para Paulina 19-11- B-4

efectuar el análisis Guevara 2009
respectivo.
5 Elaborar un análisis sobre Paulina 20-11- B-3

los aspectos más Guevara 2009
importantes dentro del
servicio de informática.

6 Identificar y listar los Paulina 20-11- B-5

posibles riesgos existentes Guevara 2009
en el área de informática.
7 Listar las primeras Paulina 20-11- B-6

conclusiones del análisis y Guevara 2009
la identificación de riesgos
realizados.
INFORME DE AUDITORÍA
PRÁCTICA DE AUDITORÍA INFORMÁTICA
Realizada al 20 de noviembre del 2009 en el Dispensario Médico del IESS

de Otavalo
Al Dr. Mario Aulestia

DIRECTOR DEL CENTRO DE ATENCIÓN AMBULATORIA IESS DE OTAVALO
Haciendo uso de su aprobación para realización de la práctica de auditoría

informática en Centro médico a su dirección, se procedió a ejecutar el plan general
de la práctica presentado el día 12 de Noviembre del 2009, cuyos detalles de la
ejecución se muestran en el presente informe de anexos:
1. OBJETO DE AUDITORÍA
Llevar a la práctica los conocimientos recibidos dentro de la materia de Auditoría

Informática.
Además, hacer un análisis del servicio de informática que presta este Centro
Médico.
Realizar un informe de Auditoría con el objeto de verificar la adecuación de las

medidas aplicadas a las amenazas definidas, así como el cumplimiento de los
requisitos exigidos.

El período auditado en el presente informe se extiende desde el 13-11-2009 hasta

el 20-11-2009.
2. ALCANCE DE LA AUDITORÍA
El presente examen fue realizado de conformidad con las normas de auditoría

generalmente aceptadas, habiéndose practicado los siguientes procedimientos:
I. Análisis y estudio del área informática:

– Entorno Software general: programas y aplicaciones.
– Entorno Hardware: equipos y accesorios.
– Análisis FODA: Fortalezas, Oportunidades, Debilidades y Amenazas.
I. Análisis de la documentación proporcionada:

a. Por el responsable de los equipos de cómputo:
– Políticas, manuales y procedimientos.
– Inventarios y listado de registros de los equipos.
I. Entrevistas concertadas:
– A 5 miembros del personal laboral del centro médico: dirección, secretaría,
contabilidad, estadística y sistemas.
– A 18 pacientes que frecuentan en centro médico.
– Responsable de los equipos de cómputo.
I. Requerimientos de información:
– Información general del servicio de Sistemas.
– Descripción del hardware.
– Sistemas de seguridad.
– Aplicaciones.
I. Elaboración de cuestionarios:
Los cuestionarios han sido elaborados tomando en cuenta los aspectos generales
que se puede abarcar en esta práctica de auditoría, tales como el conocimiento de
las principales dificultades que se presentan en la administración de los equipos de
cómputo y el requerimiento de recursos.
1. ACLARACIONES PREVIAS
I. Sobre el alcance de la auditoría:
La auditoría realizada, ha sido enfocada a un análisis interno, debido al corto tiempo

en el que se viene utilizando los diferentes equipos de cómputo y el software de
Historias Clínicas.
II. Sobre el aspecto legal:
Se tiene conocimiento de que no es viable la revisión de licencias de software y

certificados de autorización para el uso de aplicaciones propias de IESS, ya que al

tratarse de una Institución Pública y dependiente del Estado queda claro que cuenta
con dichos permisos.
Sólo se hace énfasis en las decisiones sobre este aspecto que deberían ser tomadas
en cuenta por la dirección de este Centro Ambulatorio.
III. Sobre la opinión de los encuestados:
Se decidió reservar las opiniones personales de los pacientes y personal laboral

encuestado, por razones de discreción, sólo se hará referencia a los resultados de
las encuestas, al momento de mencionar algunas referencias relacionadas con
estas.
1. COMENTARIOS Y OBSERVACIONES
I. Entorno de Hardware:
a. Servidor
Las características de hardware del servidor son de una calidad superior a la de los
demás computadores usados por el personal correspondiente, por lo que el
desempeño del equipo que hace de servidor es óptimo.
La recomendación es aumentar la capacidad, mejorar las características de

memoria y la velocidad del procesador en el equipo de Rayos X, ya para evitar
posibles fallas al momento de administrar la gran cantidad de información que se
genera en ese departamento.
b. Requerimiento de un UCP
Se pudo notar que la no existencia de un sistema de control para fallos de energía

eléctrica, y sumándole además la crisis energética por la que atraviesa nuestro
país en la actualidad, puede ocasionar daños en las máquinas y pérdida de la
información. Para contrarrestar estos problemas, es conveniente adquirir un
sistema UPC para proteger los equipos de los inesperados cortes del fluido eléctrico.
I. Entorno Software
a. Programas y utilitarios
A continuación se muestran algunas observaciones respecto a programas

necesarios que deberían ser optimizados para agilizar los procesos y evitar pérdidas
de tiempo:
Utilitarios importantes Estado Observaciones
Office 2007: Word, Excel, Bueno Mantenimiento frecuente

Project
Internet Bueno Se debe bloquear el

Messenger y evitar la

descarga de programas
pesados que podrían
entorpecer a las
máquinas.
Antivirus Regular No existe en todas las

máquinas y en algunas
hace falta la actualización
del antivirus.
SIF Bueno Presenta varios errores,

necesita mantenimiento
continuo.
b. Programas mal instalados:
Algunas máquinas tienen programas mal instalados, como por ejemplo el Office
2007 el cual para activar una de sus funciones especiales, solicita el CD de
instalación; por lo que se recomienda que la instalación de este tipo de software se
lo haga completamente y de manera correcta, para evitar pérdidas de tiempo a los
usuarios, a menos que esto implique someter a la máquina a trabajar con bajo
rendimiento.
c. Protección antivirus:
Actualmente se utiliza en la mayoría de las máquinas el antivirus AVG 8.5 y en otras

el Avira, el problema radica en que estos antivirus se los debe actualizar
regularmente ya que de no hacerlo, la máquina puede estar en peligro al no estar
totalmente protegida. Si bien es cierto que no todos los antivirus son efectivos, se
recomienda que el antivirus que se utilice en un equipo sea actualizado una vez a la
semana y configurarlo para que realice revisiones completas.
d. Actualizaciones:
Las actualizaciones deben ser periódicas, para equipos y software, siguiendo los
parámetros establecidos por la institución; estos pueden ser frecuencia y tipo de
actualización, además del cuidado que se debe tener con los computadores una vez
que han sido actualizados, etc.
I. Aspecto de Seguridad general:
a. Riesgos en los equipos de cómputo:
La mayoría de las máquinas se encuentran mal ubicadas en sus respectivas

oficinas, los monitores están directamente a la luz solar y algunos CPUs están
colocados en el piso. Se recomienda que los equipos sean reubicados en un lugar

seguro, que facilite el ambiente de trabajo para los usuarios, y que los componentes
de las máquinas sean colocadas es su respectivo lugar para evitar daños.
Debe hacerse un mantenimiento preventivo más frecuente a las máquinas y

actualizar el antivirus, además de dar recomendaciones generales para el buen uso
de los equipos.
I. Servicio
a. Distribución de los equipos:
La ubicación de los equipos de cómputo, para algunos usuarios, no es viable. Esta

incorrecta ubicación hace que las máquinas ocupen más espacio físico de lo
necesario, a más de correr el riesgo de dañarse o sufrir daños en su estructura. Lo
que se debería hacer es reubicar y distribuir de manera óptima los equipos en su
respectivo espacio asignado y brindar un mejor ambiente de trabajo al usuario.
b. Conexión con la Matriz IESS – Quito:
Frecuente han sido las fallas de conexión con el Sistema Hospitalario que es
manejado desde la central ubicada en la ciudad de Quito, ocasionando pérdida de
información, demora en los trámites e implica, en ocasiones, parar el trabajo al no
tener acceso a la información requerida.
Se recomienda que un técnico realice un seguimiento continuo a la conexión y que

desde Quito brinden el soporte técnico necesario para evitar estos problemas.
c. Elaboración de manuales de procedimiento :
No existen manuales de procedimiento para el buen uso de las máquinas y sus

componentes, además no se cuenta con un manual de usuario del Sistema
Hospitalario por lo que se recomienda elaborar los respectivos manuales avalados
por el director del Centro Ambulatorio y que sirvan de ayuda al personal laboral y a
quienes hagan de técnicos de sistemas.
I. RECOMENDACIONES:
1. Ampliar la capacidad, mejorar las características de memoria y la

velocidad del procesador en el equipo de Rayos X.

2. Adquirir e instalar un sistema UPC de seguridad eléctrica para proteger

los equipos de los inesperados cortes del fluido eléctrico.
3. Optimizar los programas y aplicaciones necesarias para agilizar los
procesos y evitar pérdidas de tiempo.
4. Instalar software completamente y de manera correcta, ordenar en un
sitio seguro los CD’s instaladores.
5. Actualizado el antivirus una vez a la semana y configurarlo para que
realice revisiones completas.
6. Las actualizaciones deben ser periódicas, para equipos y software.
7. Reubicar los equipos en un lugar seguro, y colocar los componentes de las
máquinas en su respectivo lugar para evitar daños.
8. Instar a los usuarios sobre el buen uso y cuidado de los equipos.
9. Hacer un seguimiento continuo a la conexión por parte del técnico y que
desde Quito se brinde el soporte técnico necesario.
10. Elaborar los manuales de procedimiento y de uso del Sistema
Hospitalario.
I. Lugar y fecha de emisión del informe:
Otavalo – Ecuador, 20 de Noviembre del 2009
Firma:
Auditora
ANEXO 1

Análisis FODA

A-4
UNITA – IBARRA
ANÁLISIS FODA SOBRE EL SERVICIO QUE PRESTA EL DISPENSARIO MÉDICO DEL IESS
– OTAVALO REFERENTE A LOS EQUIPOS DE CÓMPUTO
Equipos propios de la institución.
Conexión en red.
Fortalezas Servicio de internet.
Conexión a tierra.
1 técnico.
Actualización de equipos y software.
Capacitación constante.
Oportunidades Reubicación de equipos de cómputo.
Mantenimiento permanente.
Seguridad contra fallas eléctricas.
Poca ventilación.
Debilidades Inapropiada ubicación de los equipos.
Algunos programas están mal instalados.
Equipo insuficiente, Rayos X
Virus
Amenazas Pérdida de información.
Cortes de energía eléctrica frecuentes.

ANEXO 2
Ubicación sugerida para los equipos de Estadística y Fisioterapia
Puerta
Computador
Ventana
Escritorio
Archivador
Archivador
Escritorio
Computador
Puerta Ventana
ANEXO 3

B-1
UNITA – IBARRA
CUESTIONARIO DE ESTUDIO PARA EL PERSONAL LABORAL
Fecha:
Elaborado por:
Revisado por:
Encuestado:
Marque con una X la casilla correspondiente a la respuesta y llene las

especificaciones según crea conveniente.
No Pregunta Respuestas
.

1 ¿Cuenta con los recursos SI NO Se requieren recursos como:

suficientes para llevar a
cabo su trabajo sin
inconvenientes?
2 ¿Cree usted necesario SI NO A corto plazo En el siguiente

mejorar los equipos de año
cómputo para brindar un
mejor servicio?
3 ¿Cuál de los siguientes Tecnología en los equipos

aspectos considera que
Capacitación en nuevas aplicaciones
podría desarrollarse en
mayor medida dentro de la Comunicaciones y redes
institución?
Videoconferencias
4 ¿Ha tenido inconvenientes SI NO Mencione algunos:

en el uso de las máquinas al
momento de realizar su
trabajo?
ANEXO 4

B-2
UNITA – IBARRA
CUESTIONARIO DE ESTUDIO PARA LOS PACIENTES
Fecha:
Elaborado por:
Revisado por:
Encuestado:
Marque con una X la casilla correspondiente a la respuesta y llene las

especificaciones según crea conveniente.
No Pregunta Respuestas
.
1 ¿Cuenta con los recursos SI NO Se requieren recursos como:

suficientes para recibir una
atención de calidad por
parte del personal que
labora en la institución?
2 ¿Cree usted necesario SI NO A corto plazo En el siguiente

mejorar los equipos de año
cómputo para recibir un
mejor servicio?
3 ¿Ha tenido inconvenientes SI NO Mencione algunos:

en el uso de las máquinas al

momento de realizar su
trabajo?
4 ¿Piensa que es posible SI NO Mencione los beneficios:

obtener un mejor servicio al
mejorar la tecnología con la
que cuenta la Institución?
ANEXO 5
BASES PARA LA TOMA DE LA MUESTRA
Fórmula para obtener la muestra o población:
N = Tamaño de la población
S = Varianza (p * q) = (0.7 * 0.3)
Z = Curvas normales (1.96%)
E = Error (7%)
n = Muestra
Aplicación de la fórmula en las encuestas:
N S2 Z2
n= e2 (N-1) + (S)2 (Z)2
76 (0.21) (3.8416)
n=
0.07 (30-1) + (0.21) (3.8416)
n = 18

Número total de las encuesta a realizarse: 18
Co esta muestra de tamaño menor solo se aumentó la variación de los datos con el
propósito de reducir el tiempo de las encuestas y la tabulación.
Plan General aplicado al Centro Ambulatorio IESS – Otavalo
Se ha planteado la ejecución de una serie de actividades programadas para 6 días,

comienza el 13 de noviembre del presente año y termina el 20 de noviembre del
mismo, con la entrega del cadáver.
Las actividades se encuentran organizadas en tres fases:
FASES ACTIVIDAD PRINCIPAL FECHA
PRIMERA Diagnóstico preliminar y definición de áreas 13 y 16-11-2009

FASE auditables.
17 al 19-11-
SEGUNDA Desarrollo de la auditoría. 2009
FASE
Elaboración y entrega del Informe 20-11-2009
TERCERA
FASE
PRIMERA FASE:
Diagnóstico preliminar y definición de áreas auditables 13 y 16-11-2009
Plan General
No Actividad Fecha Responsable PT

.
1 Conocimiento general de lugar 13-11-2009
Objetivo: Tener una visión inicial para

el análisis de auditoría en el centro
médico.

2 Revisión del ambiente Hardware 13-11-2009 A-2
Objetivo: Conocer el estado de los

equipos y sus respectivos accesorios.
3 Revisión del ambiente Software 16-11-2009 A-3
Objetivo: Reconocer los programas

existentes y su estado de
funcionamiento.
4 Análisis FODA 16-11-2009 A-3
Objetivo: Realizar un análisis previo al

desarrollo de los procedimientos de
auditoría informática.
5 Definición del Alcance de auditoría 16-11-2009 A-3
Objetivo: Especificar la cobertura del

estudio de auditoría para la aplicación
de los procedimientos.
SEGUNDA FASE:
Desarrollo de la Auditoría 17 a 19-11-2009
Plan General


.
1 Entrevistas personales al personal 17-11-2009 B-1

laboral
Objetivo: Conocer la opinión de los

usuarios sobre los requerimientos en el
área de sistemas del centro médico.
2 Entrevistas personales a los 17-11-2009 B-2

pacientes
Objetivo: Conocer la opinión de los

pacientes sobre los requerimientos y el
servicio recibido en el centro médico.
3 Tabulación de datos 18-11-2009 B-3
Objetivo: Organizar la información

obtenida para el proceso de análisis.
4 Análisis de la información 18-11-2009 B-4
Objetivo: Determinar, comparar,

detallar y documentar los aspectos más
importantes que se definan en el área
de informática.
5 Identificación de riesgos 19-11-2009 B-5
Objetivo: Obtener una idea precisa de

la estructura y funcionamiento de los
equipos e identificar los riesgos que
pueden afectar a los equipos y al
desempeño del trabajo.

6 Obtención de conclusiones 19-11-2009 B-6
Objetivo: Elaborar una lista de los

primeros resultados sobre el estudio de
la información recopilada.
TERCERA FASE:
Elaboración y entrega del informe 20-11-2009
Plan General

.
1 Elaboración del informe en 20-11-2009 Archivo

borrador General.
Objetivo: Documentar el primer

informe para discusión.
2 Elaboración del informe final 20-11-2009 Archivo

General.
Objetivo: Argumentar el informe

definitivo para su respectiva

presentación.
3 Presentación del informe final 20-11-2009 Copia al

archivo
permane
Objetivo: entregar el informe de nte
auditoría informática final al Dr.
Mario Aulestia, Director del Centro
Ambulatorio del IESS-Otavalo

Dictamen de Auditoría Informática

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Dictamen de Auditoría Informática

Transféré par

Droits d'auteur :

Formats disponibles

Práctica de Auditoría Informática 2009

DICTAMEN DE AUDITORÍA INFORMÁTICA

Resultado dela práctica de auditoría informática al 20 de Noviembre del 2009.

Al Dr. Mario Aulestia

Fase 1 Actividad 1: Conocimiento general del Laboratorio:

Procedimiento: Efectuar el primer contacto con el responsable del Laboratorio y

Fase 1 Actividad 2: Revisión del ambiente Hardware:

UNIVERSIDAD TECNOLÓGICA AMÉRICA

PROGRAMA DE AUDITORÍA INFORMÁTICA PARA REVISIÓN DEL AMBIENTE

Elaborado por: Paulina Guevara

No Procedimiento Responsa Fecha Documentació PT

1 Elaborar un listado de las Paulina 13-11-2009 Inventario L-1

Paulina Guevara, 10mo Informática, UNITA Página 1

2 Especificar y documentar las Paulina 13-11-2009 L-2

3 Elaborar un diagrama de la Paulina 13-11-2009 D-1

4 Realizar un análisis Paulina 13-11-2009 AN-

Fase 1 Actividades 3 a 5: Revisión del ambiente Software:

Análisis FODA y Alcance de la Auditoría:

UNIVERSIDAD TECNOLÓGICA AMÉRICA

PROGRAMA DE AUDITORÍA INFORMÁTICA PARA REVISIÓN DEL AMBIENTE GENERAL Y

Elaborado por: Paulina Guevara

No Procedimiento Responsa Fecha Documentació PT

1 Realizar un listado de los Paulina 16-11- L-3

Paulina Guevara, 10mo Informática, UNITA Página 2

instalados en los equipos Guevara 2009

2 Seleccionar los programas Paulina 16-11- L-4

3 Verificar y listar los Paulina 16-11- L-5

4 Solicitar al responsable del Paulina 16-11- Manuales, Archiv

5 Elaborar una Matriz FODA Paulina 16-11- A-4

6 Definir con precisión el Paulina 16-11- Archiv

Fase 2 Actividades 1 a 7: Desarrollo de la Auditoría:

UNIVERSIDAD TECNOLÓGICA AMÉRICA

Paulina Guevara, 10mo Informática, UNITA Página 3

PROGRAMA DE AUDITORÍA INFORMÁTICA PARA EVALUAR EL ÁREA DE SERVICIO

Elaborado por: Paulina Guevara

No Procedimiento Responsa Fecha Documentació PT

1 Realizar las entrevistas Paulina 17-11- B-1

2 Definir según muestreo el Paulina 17-11- Lista de Archiv

3 Realizar entrevistas Paulina 18-11- B-2

4 Tabular los datos para Paulina 19-11- B-4

5 Elaborar un análisis sobre Paulina 20-11- B-3

Paulina Guevara, 10mo Informática, UNITA Página 4

6 Identificar y listar los Paulina 20-11- B-5

7 Listar las primeras Paulina 20-11- B-6

PRÁCTICA DE AUDITORÍA INFORMÁTICA

Realizada al 20 de noviembre del 2009 en el Dispensario Médico del IESS

Al Dr. Mario Aulestia

Haciendo uso de su aprobación para realización de la práctica de auditoría

Llevar a la práctica los conocimientos recibidos dentro de la materia de Auditoría

Realizar un informe de Auditoría con el objeto de verificar la adecuación de las

Paulina Guevara, 10mo Informática, UNITA Página 5

El período auditado en el presente informe se extiende desde el 13-11-2009 hasta

El presente examen fue realizado de conformidad con las normas de auditoría

I. Análisis y estudio del área informática:

I. Análisis de la documentación proporcionada:

I. Sobre el alcance de la auditoría:

La auditoría realizada, ha sido enfocada a un análisis interno, debido al corto tiempo

II. Sobre el aspecto legal:

Se tiene conocimiento de que no es viable la revisión de licencias de software y

Paulina Guevara, 10mo Informática, UNITA Página 6

III. Sobre la opinión de los encuestados:

Se decidió reservar las opiniones personales de los pacientes y personal laboral

La recomendación es aumentar la capacidad, mejorar las características de