Académique Documents
Professionnel Documents
Culture Documents
SANTIAGO MARIO
EXTENSIN PORLAMAR
ESCUELA DE INGENIERA DE SISTEMAS
AUDITORA Y EVALUACIN DE SISTEMAS
Autores:
Br. Elizabeth Vsquez C.I. v- 20.536.370
Br. Leirys Rojas C.I. v- 18.337.417
Br. Yonatan Gonzlez C.I. v- 20.111.318
Br. Jos Cortez C.I. v- 17.898.476
Seccin: 4A Nocturno.
Prof. Lcdo. Eliecer Boadas
INDICE GENERAL
pp.
INTRODUCCIN
I.
GERALIDADES DE LA EMPRESA
Naturaleza de la Empresa
Ubicacin
Misin
Visin
Anlisis Foda
Organigrama de la Empresa
Metodologa Cobit
10
Modelo de Madurez
10
13
rea a Auditar
13
14
16
16
Herramientas y Tcnicas
17
17
19
ii
II.
EJECUCIN DE LA AUDITORIA
20
20
21
21
22
23
Posibles Problemas
23
Formulacin de Hiptesis
23
Aplicacin de la Auditoria
24
24
24
25
26
26
27
Informe Ejecutivo
34
37
iii
Conclusiones
38
GLOSARIO
39
REFERENCIAS BIBLIOGRAFICAS
40
ANEXO
42
iv
INTRODUCCIN
sistemas de
CAPITULO I
GENERALIDADES DE LA EMPRESA
Caracterizacin de la Empresa
Naturaleza de la empresa.
El Centro Clnico Universitario de Oriente es una organizacin de
servicios de salud, destinado a garantizar al usuario atencin integral en
Salud, ya sea bajo la modalidad ambulatoria u hospitalaria.
Resea histrica:
Para el ao 1998 comienza a gestarse la idea del cambio de parte de
un grupo de profesionales de la salud y de la Directiva de APUDOAnzotegui. Despus de varios esfuerzos mancomunados entre autoridades
universitarias y APUDO Anzotegui, se pone en marcha el funcionamiento
de un consultorio mdico en un rea de la Asociacin. En ese entonces, un
grupo de Mdicos emprendedores liderizados por el Prof. Flix Castillo y
estudiantes del ltimo ao de medicina, miembros de la agrupacin
estudiantil MAGEM, eran el cimiento humano para crear una institucin
propia dispensadora de la salud, que hoy es una realidad.
El Centro Clnico Universitario de Oriente se concibe bajo la idea de
un grupo estratgico conformado por personas provenientes de las
siguientes instituciones: APUDOANZOATEGUI, IPSPUDO y FONDOUDO.
En el seno de este grupo estratgico y a partir de ideas surgen necesidades
para apoyar la creacin e implantacin de distintas organizaciones para el
beneficio de los profesores y a toda la comunidad en general. Es as como se
aprueban las ideas provenientes del grupo estratgico y se procede a la
inyeccin de recursos para la creacin de distintas organizaciones, entre las
cuales se encuentra el Centro Clnico Universitario de Esta institucin se
fund el 5 de diciembre del ao 2002, con el aporte financiero y logstico de
pasando
nuestra
razn
social
CORPORACION
CLINICA
Universitario
de
Oriente.
La
CORPORACIN
CLNICA
Valores
Integridad
Fortalezas
Tratamiento
Debilidades
personalizado
normas y procedimientos.
medicas.
No
Combinacin de atenciones
de
se
realizan
Backups
Innovacin constante.
y externas en la empresa.
Personal
capacitado
Amenazas
inestabilidad
econmica
las TIC.
divisas.
sistemas informticos.
Anlisis FODA
Organigrama de la empresa.
Departamento
de Informtico
Administracin
Enfermera
Servicio
General
Atencin al
Paciente
control
de
las
operaciones
contables
de
los
departamentos
al paciente).
Un departamento de informtica que se encarga de llevar los registros
de verificacin de informacin, todo lo referente al registro de pacientes y sus
respectivas historias clnicas.
METODOLOGIA COBIT
Modelo de Madurez
El modelo de madurez para la administracin y el control de los
procesos de TI se basa en un mtodo de evaluacin de la organizacin, de
tal forma que se pueda evaluar a s misma desde un nivel de no-existente (0)
hasta un nivel de optimizado (5). Este enfoque se deriva del modelo de
madurez que el Software Engineering Institute defini para la madurez de la
capacidad del desarrollo de software. Cualquiera que sea el modelo, las
escalas no deben ser demasiado granulares, ya que eso hara que el sistema
fuera difcil de usar y sugerira una precisin que no es justificable debido a
que en general, el fin es identificar dnde se encuentran los problemas y
cmo fijar prioridades para las mejoras. El propsito no es evaluar el nivel de
adherencia a los objetivos de control.
Utilizando los modelos de madurez desarrollados para cada uno de los
34 procesos TI de COBIT, la direccin superior podr identificar:
El desempeo real de la empresaDnde se encuentra la empresa
hoy.
El objetivo de mejora de la empresaDnde desea estar la
empresa.
El crecimiento requerido entre como es y como ser.
Interno
No se reconoce la necesidad del control
interno. El control no es parte de la cultura o
0 No Existe
1 Inicial / ad hoc
Intuitivo
pero
la
control
los
desorganizado,
las
estn
interno.
El
enfoque
sin
supervisin.
No
deficiencias.
Los
Existen
Repetible
de evaluar
comunicacin
se
identifican
empleados
no
No existe la intencin
controles
pero
presente.
estn
procesos
control,
control
forma
y no se resuelven
no
de
seleccionados
el
nivel
meta
de
que
TI
debe
para
ser
3 Definido
no
estar
conscientes
de
sus
responsabilidades.
acordado.
nmero
promedio
de
problemas.
Sin
raz
desarrollar
Adems
control
algunas
impactos
Los
sus
de
forma
pueden
empleados
estn
predecible,
ser
severos.
consientes
de
responsabilidades de control.
de
las
brechas,
as
oportunidades
de facilitar
como
de
talleres,
para
mejora.
se usan
evaluacin y mejora.
Se define de forma peridica qu tan
Administrado
Medible
de
controles
peridica.
Interesados
rendicin
Hay
para
un
manejar
ocurre
de
seguimiento
las
forma
consistente
debilidades
de
los
procesos
correspondientes.
(Stakeholders)
de
cuentas
La
clave.
sobre
La
estas
control
automatizados.
5 Optimizado
riesgos
siente
empresariales,
gran
apoyadas
las
prcticas
con
una
evaluaciones
de
forma
peridica
para
implantacin
La
del
cumplimiento.
10
en auto-evaluaciones y en anlisis de
mejoras de control.
consiste
en
el
crtico (evidencia),
examen
de
sistemtico
carcter
(normas)
objetivo
y selectivo
11
rea a Auditar
El rea a auditar es el departamento de informtica del centro clnico
universitario de oriente, debido a que all se encuentran los equipos
servidores donde se almacena la base de datos que contiene los registros de
informacin de las historias clnicas de los pacientes.
12
Limitaciones de la observacin.
La Entrevista
La entrevista, segn Sabino, Carlos. El proceso de la investigacin
cientfica. Buenos Aires: El Cid Editor. (1978). es un encuentro cara a cara
entre personas que conversan con la finalidad, al menos de una de las
partes, de obtener informacin respecto de la otra. En el contexto especfico
de la investigacin, la entrevista se define como una conversacin entre un
investigador y una persona que responde a preguntas orientadas a obtener
la informacin exigida por los objetivos especficos de estudio. La tenemos
Dos modalidades: entrevista estructurada y no estructurada (ob. cit).
conduce de manera rgida por medio de una lista de preguntas que funcionan
como gua, de la cual el entrevistador no puede desviarse. (James Gordon
Bennett 1836)
Ventajas de la entrevista:
Limitaciones de la entrevista:
afectan
la
creacin,
recepcin,
almacenamiento,
acceso
14
siguientes acciones:
ACTIVIDADES
respaldos.
Evaluar las tecnologas de informacin (TI), tanto en hardware como
en software.
HERRAMIENTAS Y TECNICAS
HERRAMIENTAS
Libreta
de
Notas,
Gua
TECNICAS
de
La complejidad de la Informacin.
15
16
informe
COSO,
emitido
por
el
Committee
of
Sponsoring
17
CAPTULO II
EJECUCIN DE LA AUDITORA
Situacin Actual del rea De Sistemas
Ubicacin.
El rea de infraestructura se encuentra al lado de la oficina principal
de coordinacin general. Tiene la responsabilidad de resolver todo lo
relacionado con los procesos de sistemas y equipos tecnolgicos con que
cuenta la empresa para cumplir su funcin.
Objetivos del departamento
Garantizar la asistencia a los usuarios que reportan fallas con
hardware y software de aplicaciones que son necesarios para su labor diaria.
Ejecutar las actividades requeridas por las dems reas y gerencia en
cuanto a soporte tcnico se refiera.
Suministrar mecanismos de seguridad fsica y lgica de hardware,
software y redes del centro clnico.
Mantener un inventario considerado de hardware y perifricos.
Realizar mantenimiento preventivo a equipos de tecnolgicos de todas
las reas de la institucin
18
Analista de Soporte
Tcnico
Analista de
Soporte Tcnico
Seguridad fsica:
Establecer un sistema contra incendio y la capacitacin adecuada
para el manejo de estos, tanto en el cuarto de servidores como oficina.
Dividir el cuarto de servidores, de manera que los equipos que se
encuentran en stock estn independientes del rea.
Hacer uso de estndares de calidad de acuerdo a las normas
ISO/IEC, IEEE, ITIL y otros.
Realizar una auditora de la tecnologa de la informacin externa a al
centro clnico universitarios de oriente, debido a que lo necesita.
Seguridad de los datos:
Realizar mensualmente Backups de la base de datos de los
servidores.
El departamento de infraestructura cuenta con:
19
Seguridad fsica:
Puerta principal que solo el personal de esa rea tiene acceso
Puerta que da acceso a la parte de los servidores y que solo el
personal de esa rea tiene acceso a travs de llaves.
Dos cmaras de seguridad, una el rea de servidores y otra en el rea
de oficina.
Respecto a los datos:
Algunos usuarios poseen permiso para utilizar en los equipos
unidades extrables y la unidad de cd.
No se permite realizar descargas ni instalar programas a usuarios no
autorizados. En dado caso que el usuario requiera instalar una aplicacin
necesaria en su equipo el personal de soporte tcnico, podr acceder a
travs de una cuenta y clave que solo ellos poseen y es permitida en casos
que requieran.
Solo el personal de soporte tiene acceso a los servidores y bases de
datos.
Caractersticas De La Plataforma Tecnolgica
La plataforma tecnolgica est formada por los diferentes servidores y
programas de desarrollo propio que permiten integrar todos los servicios que
ofrece en nico entorno de trabajo de funcionamiento Empresarial.
En cuanto a la plataforma tecnolgica el rea cuenta con un cuarto de
servidores, y un enlace de red banda ancha suministrado a travs de
antenas con Sistema Telecom. El departamento posee:
3 (Tres) Servidores fsicos.
2 (Dos) Switch.
2 (Dos) Pachpanel.
1 (Un) Ups de comunicacin NXb 30 KVA, Marca Emerson que da
20
de
una
planificacin
estratgica
del
departamento
de
infraestructura.
Falla en la seguridad de algn equipo, lo que puede generar
desviacin de la informacin y datos que maneja la empresa.
Falla en el encendido del ups de comunicacin.
Falla en la seguridad lgica y fsica de los equipos informticos.
Formulacin de hiptesis:
La organizacin cuenta con buena seguridad en cuanto a los recursos
informticos y humanos, debido a que existen polticas de usuarios y manejo
de equipos.
En dado caso ocurra algn problema con los servidores, la
organizacin cuenta con un sistema de monitoreo de plataforma tecnolgica,
el cual recibe una alerta y acta de inmediato para solucionar la problemtica
que se presente.
21
APLICACIN DE LA AUDITORIA
PLANIFICAR Y
ORGANIZAR
ADQUIRIR E
IMPLEMENTAR
PROCESO
NIVEL DE
MADUREZ
22
Criterios de
Informacin
Efectividad
Procesos TI
Nivel de
Madurez
4
Confiabilidad
Recursos
Humanos
Sistemas de
Aplicacin
Tecnologa
Confidencialidad
Sistematizacin
Integridad
Instalaciones
Disponibilidad
Datos
Cumplimiento
Computo
Eficiencia
Anlisis de Criterios
Efectividad: en este criterio se obtuvo un 4% de 10%
Eficiencia: en este criterio se obtuvo un 3% de 10%
Confiabilidad: en este criterio se obtuvo un 4% de 10%
Confidencialidad: en este criterio se obtuvo un 1% de 10%
Integridad: en este criterio se obtuvo un 2% de 10%
Disponibilidad: en este criterio se obtuvo un 3% de 10%
Cumplimiento: en este criterio se obtuvo un 2% de 10%
Recursos humanos: en este criterio se obtuvo un 4% de 10%
Sistemas de aplicacin: en este criterio se obtuvo un 3% de 10%
Tecnologa: en este criterio se obtuvo un 4% de 10%
23
3
4
4,3
5,6
9,9
Actividad 7
Actividad 6
Actividad 5
Sitemas de aplicacion
Recursos Humanos
Actividad 4
Confidencialidad
Eficiencia
Actividad 3
Efectividad
Actividad 2
Actividad 1
0
24
CAPTULO III
25
Cobit:
Crear
complementar
un
plan
de
la
responsabilidad
26
cuenta
para
la
seleccin
de
Cobit:
Realizar
un
diseo
detallado,
los
Cobit:
Proteger
la
infraestructura
tecnolgica
27
28
Cobit:Establecer
mtricas
de
desempeo
de
igual
forma
monitorearla,
para
garantizar
que
las
29
30
85%
Eficiencia
92%
Confiabilidad
80%
Integridad
60%
Disponibilidad
85%
85%
Cumplimiento
Factibilidad
Observaciones
El objetivo es alcanzar el 100%, para esto
la informacin
el
Centro Clnico
Universitario de Oriente debe ser
entregada de forma oportuna, correcta y
consistente.
El objetivo es alcanzar el 100%, para esto
la informacin debe ser generada
optimizando los recursos.
El objetivo es alcanzar el 100%, para esto
la informacin debe de estar protegida
contra la revelacin no autorizada.
El objetivo es alcanzar el 100%, para
lograrlo la informacin debe ser correcta,
completa y valida.
El objetivo es alcanzar el 100%, para la
cual la informacin est disponible
cuando esta sea necesaria para su uso
por parte de las reas de la clnica en
cualquier momento.
El objetivo es alcanzar el 100%, para la
cuales deben seguir las leyes y
reglamentos contractuales a los que est
sujeto el proceso del negocio.
El objetivo es alcanzar el 100%, para la
cuales debe seguir correctamente y
proporcionar la informacin apropiada con
el fin de que la Gerencia General
administre la entidad.
60%
Informe Ejecutivo
A continuacin se detallaran los resultados de la evaluacin de
procesos que recomienda COBIT 4.1, siendo evaluado en el departamento
de informtica del el Centro Clnico Universitario de Oriente, los criterios de
informacin, encontrando el siguiente porcentaje, todos sobre el 100 %.
31
Sevisios Medicos
15%
Efectividad
Deficit
85%
Criterio de Informacin:
Eficiencia
8%
92%
Eficiencia
Dficit
32
Criterio de Informacin:
Confiabilidad
20%
80%
Confidencialidad
Dficit
Criterio de Informacin:
Integridad
60%
Dficit
Integridad
40%
Criterio de Informacin:
Disponibilidad
15%
85%
Disponibilidad
Dficit
33
sea requerida por parte de las reas del negocio en cualquier momento, el
criterio tiene un promedio del 85%.
Criterio de Informacin:
Cumplimiento
15%
85%
Cumplimiento
Dficit
Criterio de Informacin:
Factibilidad
40%
60%
Factibilidad
Dficit
34
CAPTULO IV
RECOMENDACIONES Y CONCLUSIONES
Recomendaciones
La aplicacin de la auditora interna en el centro clnico universitario de
oriente, se efecto con el fin de obtener un mejor rendimiento del rea de
informtica para alcanzar los objetivos establecidos, por tal motivo, se
recomienda:
35
CONCLUSIONES
36
GLOSARIO
Auditoria: Tiene como finalidad evaluar y mejorar la eficacia y eficiencia de
una organizacin, al examinar su gestin.
Administracin: Valida las operaciones de recaudacin, realiza la
facturacin y cobranza y ejecuciones presupuestarias, compras y servicios,
recursos humanos y generacin y entrega de indicadores de gestin.
Registro y Anlisis: Cuya funcin corresponde a la auditora interna de los
procesos y administracin del archivo fsico.
Sistematizacin de informacin: Ordenamiento y clasificacin bajo
determinados criterios, relaciones y categoras de todo tipo de datos, ejemplo
la creacin de una base de datos
Sistematizacin de experiencias: Las experiencias son vistas como
procesos desarrollados por diferentes actores en un perodo determinado de
tiempo, envueltas en un contexto econmico y social, en una institucin
determinada.
Sistematizacin: Proceso constante y aditivo de elaboracin de
conocimiento luego de la experiencia en una realidad especfica. Consiste en
el primer nivel de teorizacin de la prctica.
37
REFERENCIAS ELECTRONICAS
Fuente: http://es.scribd.com/doc/75065036/23/Factibilidad-Psicosocial [Fecha
de consulta: Julio 2013]
Fuente: http://www.tecnologiadiaria.com/2010/07/diagramas-gantt-excel.html
[Fecha de consulta: Julio 2013]
Fuente:
http://es.wikipedia.org/wiki/Programaci%C3%B3n_orientada_a_objeto
[Fecha de consulta: Julio 2013]
Fuente:
http://www.esxoops.com/modules/news/article.php?storyid=311
Fuente: http://www.tecnologiadiaria.com/2010/07/diagramas-gantt-excel.html
[Fecha de consulta: Julio 2013]
Fuente:
http://es.answers.yahoo.com/question/index?qid=20080805201057AARY0TM
[Fecha de consulta: Julio 2013]
38
ANEXOS
39
PRECIOS
800 Bs.
750 Bs.
350 Bs.
Viticos
1500 Bs.
TOTAL
3400Bsf
Nota: Elaboracin Propia (2014)
40