INSTITUTO UNIVERSITARIO POLITCNICO

SANTIAGO MARIO
EXTENSIN PORLAMAR
ESCUELA DE INGENIERA DE SISTEMAS
AUDITORA Y EVALUACIN DE SISTEMAS

AUDITORIA INFORMTICA AL DEPARTAMENTO DE INFORMATICA DEL

CENTRO CLINICO UNIVERSITARIO DE ORIENTE

Autores:
Br. Elizabeth Vsquez C.I. v- 20.536.370
Br. Leirys Rojas C.I. v- 18.337.417
Br. Yonatan Gonzlez C.I. v- 20.111.318
Br. Jos Cortez C.I. v- 17.898.476
Seccin: 4A Nocturno.
Prof. Lcdo. Eliecer Boadas

Porlamar, enero de 2014

INDICE GENERAL
pp.
INTRODUCCIN
I.

GERALIDADES DE LA EMPRESA

Naturaleza de la Empresa

Ubicacin

Misin

Visin

Anlisis Foda

Organigrama de la Empresa

Descripcin de los Procesos y Funciones

Metodologa Cobit

10

Modelo de Madurez

10

Auditoria de tics Aplicando Cobit

13

rea a Auditar

13

Proceso de recoleccin de Informacin.

14

Documentos de Gestin en el rea Informtica

16

Plan de la Auditoria en el rea Informtica

16

Herramientas y Tcnicas

17

Motivo o Necesidad de la Auditoria.

17

Modelos de Madurez a Nivel Cualitativo (coso)

19

ii

II.

EJECUCIN DE LA AUDITORIA

Situacin Actual del rea de Sistemas

20

Objetivos del Departamento

20

Organigrama del Departamento

21

Seguridad del Departamento

21

Caractersticas de la plataforma Tecnolgica

22

Determinacin de los Problemas y Planteamiento de Hiptesis

23

Posibles Problemas

23

Formulacin de Hiptesis

23

Aplicacin de la Auditoria

24

Modelo de Madurez de los Procesos

24

Reporte General de los Grados de Madurez

24

Resumen de Procesos y Criterios de Informacin por Impacto

25

Resultados Finales del Impacto Sobre los Criterios de Informacin

26

Grfica Representativa del Impacto de los Criterios de Informacin

26

III. ANALISIS DE LOS RESULTADOS

Informe Tcnico.

27

Informe Ejecutivo

34

IV. CONCLUSIONES Y RECOMENDACIONES

Recomendaciones

37

iii

Conclusiones

38

GLOSARIO

39

REFERENCIAS BIBLIOGRAFICAS

40

ANEXO

42

iv

INTRODUCCIN

Los avances tecnolgicos y los sistemas de informacin han tomado

un curso muy importante en el desarrollo de la las industrias por eso muchas
empresas han determinado colocarlas en prctica para mejorar la calidad de
sus actividades, esto trae como consecuencia que se desarrollen sistemas
que de informacin que abarquen las necesidades de las instituciones.

En la actualidad el Centro Clnico de universitario de oriente no cuenta

con un departamento de informtica ptimo para el desarrollo de sus
funciones, ya que los sistemas de informacin no son capaces de facilitar a
los usuarios un excelente desempeo y control de calidad. Por tal motivo se
necesita realizar la auditoria al departamento ya mencionado para la
verificacin de la informacin y determinar por qu los

sistemas de

informacin no cumplen con los requisitos necesarios para la solucin de

problemas.

CAPITULO I
GENERALIDADES DE LA EMPRESA
Caracterizacin de la Empresa
Naturaleza de la empresa.
El Centro Clnico Universitario de Oriente es una organizacin de
servicios de salud, destinado a garantizar al usuario atencin integral en
Salud, ya sea bajo la modalidad ambulatoria u hospitalaria.

Resea histrica:
Para el ao 1998 comienza a gestarse la idea del cambio de parte de
un grupo de profesionales de la salud y de la Directiva de APUDOAnzotegui. Despus de varios esfuerzos mancomunados entre autoridades
universitarias y APUDO Anzotegui, se pone en marcha el funcionamiento
de un consultorio mdico en un rea de la Asociacin. En ese entonces, un
grupo de Mdicos emprendedores liderizados por el Prof. Flix Castillo y
estudiantes del ltimo ao de medicina, miembros de la agrupacin
estudiantil MAGEM, eran el cimiento humano para crear una institucin
propia dispensadora de la salud, que hoy es una realidad.
El Centro Clnico Universitario de Oriente se concibe bajo la idea de
un grupo estratgico conformado por personas provenientes de las
siguientes instituciones: APUDOANZOATEGUI, IPSPUDO y FONDOUDO.
En el seno de este grupo estratgico y a partir de ideas surgen necesidades
para apoyar la creacin e implantacin de distintas organizaciones para el
beneficio de los profesores y a toda la comunidad en general. Es as como se
aprueban las ideas provenientes del grupo estratgico y se procede a la
inyeccin de recursos para la creacin de distintas organizaciones, entre las
cuales se encuentra el Centro Clnico Universitario de Esta institucin se
fund el 5 de diciembre del ao 2002, con el aporte financiero y logstico de

la Asociacin de Profesores de la Universidad de Oriente (APUDO) del

estado Anzotegui, el Instituto de Previsin Social de los Profesores
(IPSPUDO), y del Fondo de Pensiones y Jubilaciones (FONDOUDO).
Con un gran esfuerzo logstico y operativo, el C.C.U.D.O empieza a
expandirse en el oriente del pas, concretando la segunda sede el 01 de
Octubre de 2.005 en Nueva Esparta, el 06 de Junio de 2.006 se inaugura la
sede de Sucre, dos aos despus la cuarta sede en abrir sus puertas fue la
sede Monagas el 12 de Diciembre de 2.008, y finalmente el 28 de Diciembre
de 2.010 formalmente es inaugurada y abierta al pblico la sede de Bolvar.
Es importante destacar que en el 2009 se ejecut un cambio de Junta
Directiva

pasando

nuestra

razn

social

CORPORACION

CLINICA

UNIVERSITARIA A.C pero mantenindose nuestra razn comercial Centro

Clnico

Universitario

de

Oriente.

La

CORPORACIN

CLNICA

UNIVERSITARIA DE ORIENTE, (C.C.U.D.O), fue originalmente constituida

ante la Oficina Subalterna de Registro Pblico del Distrito Heres del Estado
Bolvar, el da quince (15) de noviembre de dos mil cinco (2005), bajo el No.
39, Tomo 15, Protocolo primero, modificados sus estatutos segn asiento
protocolizado ante la mencionada Oficina Subalterna de Registro, el da
quince (15) de marzo de dos mil seis (2006), bajo el No. 24, Protocolo
Primero, con posterior cambio de domicilio a la ciudad de Cuman, Estado
Sucre, tal como se evidencia de instrumento protocolizado en el citado
Registro Pblico en fecha dos (02) de noviembre de dos mil siete (2007),
bajo el No. 2, folio 4 al 6, tomo 13, Protocolo Primero, inscrito en el Registro
de informacin fiscal (J-31501758-0), se cre para funcionar bajo la figura de
Asociacin Civil, para la Atencin Integral en Salud, que ofrece servicios
accesibles con modernas instalaciones y alta tecnologa.
Actualmente el CCUDO mantiene sedes activas y operativas en
Anzotegui, Nueva Esparta, Sucre, Monagas y Bolvar, continua uniendo
esfuerzos para ampliar sus servicios a la comunidad universitaria y el pblico
en general, promoviendo la generacin de recursos a travs de la

autogestin, que permitan mejorar la infraestructura, la tecnologa, sistemas y

equipos, que permitan ofrecer un servicio la ms alta calidad a todos sus
usuarios.
Visin
Brindar a la comunidad asistencia de salud integral especializada,
accesible y de alta calidad, mediante programas de salud, con la
participacin de personal altamente capacitado, responsable y
comprometido, utilizando recursos tecnolgicos e instalaciones modernas.
Sumamos esfuerzos con el fin de obtener el mximo beneficio, contribuyendo
a una mejor calidad de vida de la sociedad; adems de generar aportes para
la docencia, la investigacin y la extensin comunitaria.
Misin
Ser un instituto de salud modelo de referencia de gestin en la
prestacin de servicio de asistencia mdica integral a la comunidad, con
carcter preventivo y curativo, que satisfaga las necesidades de nuestros
clientes.
Ubicacin
Ubicacin Principal. Av 4 de Mayo, Frente al Jumbo, Centro Empresarial
Galeras Fente, 2do piso, Porlamar, Estado Nueva Esparta.
Poltica de calidad
Ofrecer un servicio accesible de atencin mdica integral con apoyo a
la investigacin y la comunidad, utilizando para ello instalaciones adecuadas,
personal capacitado y recursos tecnolgicos de alta calidad comprometidos
al mejoramiento continuo, con el fin de garantizar la satisfaccin de nuestros
usuarios.

Valores
Integridad

Honestidad y transparencia en nuestros actos y decisiones, respeto a

Anlisis Interno.

las personas, a la comunidad y al ambiente. Humildad para reconocer

nuestros errores. Ser justos, responsables y congruentes.

Fortalezas
Tratamiento

Debilidades

personalizado

No se cuenta con manuales de

Pacientes mediante a atenciones

normas y procedimientos.

medicas.

No

Combinacin de atenciones

de

se

realizan

Backups

respaldos de la informacin que se

primera calidad buscando satisfacer

encuentran en los servidores.

las necesidades de los usurios

No se realizan auditoras internas

Innovacin constante.

y externas en la empresa.

Personal

capacitado

comprometido con la visin de la

empresa.
Anlisis Externo.
Oportunidades

Amenazas

Valoracin positiva de las TIC en Competitividad cerca del centro

la organizacin.

clnico a menor costo

Costos cada vez menores para las La

inestabilidad

econmica

organizaciones para la aplicacin de

escasez de insumos por falta de

las TIC.

divisas.

Lealtad de los clientes hacia la Falta de actualizacin de los

organizacin.

sistemas informticos.

Ubicacin estratgica del local.

Escasez de productos de primera

necesidad.

Anlisis FODA

Organigrama de la empresa.

Estructura Organizativa del Centro Clnico Universitario de

Oriente.

Fuente: elaboracin propia 2014

Descripcin de las reas.
Coordinacin
General

Departamento
de Informtico

Administracin

Enfermera

Servicio
General

Atencin al
Paciente

El centro Clnico Universitario de Oriente presenta en un organigrama

de tipo Vertical. Se muestra de la siguiente forma:
Un Coordinador General, es el que se encarga de tomar las grandes
decisiones y supervisar todo el movimiento operativo, en la sede principal,.
Es quien evala tambin operaciones administrativas y evala las decisiones
tomadas por la directiva, relacionadas con los objetivos y el desarrollo de la
organizacin.
Un departamento de Administracin, que supervisa todo lo relacionado
al

control

de

las

operaciones

contables

de

los

departamentos

correspondientes, entre ellos estn (Servicio general, enfermera y Atencin

al paciente).
Un departamento de informtica que se encarga de llevar los registros
de verificacin de informacin, todo lo referente al registro de pacientes y sus
respectivas historias clnicas.

METODOLOGIA COBIT
Modelo de Madurez
El modelo de madurez para la administracin y el control de los
procesos de TI se basa en un mtodo de evaluacin de la organizacin, de
tal forma que se pueda evaluar a s misma desde un nivel de no-existente (0)
hasta un nivel de optimizado (5). Este enfoque se deriva del modelo de
madurez que el Software Engineering Institute defini para la madurez de la
capacidad del desarrollo de software. Cualquiera que sea el modelo, las
escalas no deben ser demasiado granulares, ya que eso hara que el sistema
fuera difcil de usar y sugerira una precisin que no es justificable debido a
que en general, el fin es identificar dnde se encuentran los problemas y
cmo fijar prioridades para las mejoras. El propsito no es evaluar el nivel de
adherencia a los objetivos de control.
Utilizando los modelos de madurez desarrollados para cada uno de los
34 procesos TI de COBIT, la direccin superior podr identificar:
El desempeo real de la empresaDnde se encuentra la empresa
hoy.
El objetivo de mejora de la empresaDnde desea estar la
empresa.
El crecimiento requerido entre como es y como ser.

Grficamente el modelo de madurez se describe a continuacin.

El modelo de madurez es una forma de medir qu tan bien estn

desarrollados los procesos administrativos, esto es, qu tan capaces son en
realidad. Qu tan bien desarrollados o capaces deberan ser, principalmente
dependen de las metas de TI y en las necesidades del negocio subyacentes
a las cuales sirven de base.
A continuacin se presenta el modelo de madurez genrico a usarse en esta
auditora:
Nivel de Madurez

Estado del Entorno de Control

Establecimiento de Control Interno

Interno
No se reconoce la necesidad del control
interno. El control no es parte de la cultura o

0 No Existe

misin organizacional. Existe un alto riesgo

de deficiencias e incidentes de control.

1 Inicial / ad hoc

Intuitivo

pero

la

se manejan conforme van surgiendo.

No existe la conciencia de la necesidad de

control

los

evaluar lo que se necesita en trminos de

requerimientos de riesgo y control es a

controles de TI. Cuando se llevan a cabo,

desorganizado,

son solamente de forma ad hoc, a alto nivel

las

y como reaccin a incidentes significativos.

estn

La evaluacin slo se enfoca al incidente

interno.

El

enfoque

sin

supervisin.

No

deficiencias.

Los

Existen

Repetible

de evaluar

necesidad del control interno. Los incidentes

Se reconoce algo de la necesidad del

hacia

comunicacin

se

identifican

empleados

no

consientes de sus responsabilidades.

No existe la intencin

controles

pero

presente.
estn

La evaluacin de la necesidad de control

documentados. Su operacin depende del

sucede solo cuando se necesita para ciertos

conocimiento y motivacin de los individuos.

procesos

La efectividad no se evala de forma

determinar el nivel actual de madurez del

adecuada. Existen muchas debilidades de

control,

control

forma

alcanzado, y las brechas existentes. Se

apropiada; el impacto puede ser severo.

utiliza un enfoque de taller informal, que

y no se resuelven

no

de

seleccionados

el

nivel

meta

de

que

TI

debe

para

ser

3 Definido

Las medidas de la gerencia para resolver

involucra a los gerentes de TI y al equipo

problemas de control no son consistentes ni

interesado en el proceso, para definir un

tienen prioridades. Los empleados pueden

enfoque adecuado hacia el control para los

no

procesos, y para generar un plan de accin

estar

conscientes

de

sus

responsabilidades.

acordado.

Existen controles y estn documentados de

Los procesos crticos de TI se identifican

forma adecuada. Se evala la efectividad

con base en impulsores de valor y de

operativa de forma peridica y existe un

riesgo. Se realiza un anlisis detallado para

nmero

identificar requisitos de control y la causa

promedio

de

problemas.

Sin

embargo, el proceso de evaluacin no est

raz

documentado. Aunque la gerencia puede

desarrollar

manejar la mayora de los problemas de

Adems

control

algunas

herramientas y se realizan entrevistas para

debilidades de control persisten y los

apoyar el anlisis y garantizar que los

impactos

Los

dueos de los procesos de TI son realmente

sus

los dueos e impulsan al proceso de

de

forma

pueden

empleados

estn

predecible,

ser

severos.

consientes

de

responsabilidades de control.

de

las

brechas,

as

oportunidades
de facilitar

como
de

talleres,

para

mejora.
se usan

evaluacin y mejora.
Se define de forma peridica qu tan

Administrado

Medible

Existe un ambiente efectivo de control

crticos son los procesos de TI con el apoyo

interno y de administracin de riesgos. La

y acuerdo completo por parte de los dueos

evaluacin formal y documentada de los

de

controles

peridica.

evaluacin de los requisitos de control se

Muchos controles estn automatizados y se

basa en las polticas y en la madurez real

realizan de forma peridica. Es probable

de estos procesos, siguiendo un anlisis

que la gerencia detecte la mayora de los

meticuloso y medido, involucrando a los

problemas de control, aunque no todos los

Interesados

problemas se identifican de forma rutinaria.

rendicin

Hay

para

evaluaciones es clara y est reforzada. Las

un

manejar

ocurre

de

seguimiento
las

forma

consistente

debilidades

de

los

procesos

correspondientes.

(Stakeholders)
de

cuentas

La

clave.
sobre

La
estas

control

estrategias de mejora estn apoyadas en

identificadas. Se aplica un uso de la

casos de negocio. El desempeo para

tecnologa tctico y limitado a los controles

lograr los resultados deseados se supervisa

automatizados.

de forma peridica. Se organizan de forma

ocasional revisiones externas de control.

5 Optimizado

Un programa organizacional de riesgo y

Los cambios en el negocio toman en cuenta

control proporciona la solucin continua y

que tan crticos son los procesos de TI, y

efectiva a problemas de control y riesgo. El

cubren cualquier necesidad de re-evaluar la

control interno y la administracin de

capacidad del control de los procesos. Los

riesgos

dueos de los procesos realizan auto-

siente

empresariales,

gran

apoyadas

las

prcticas
con

una

evaluaciones

de

forma

peridica

para

supervisin en tiempo real, y una rendicin

confirmar que los controles se encuentran

de cuentas completa para la vigilancia de

en el nivel correcto de madurez para

los controles, administracin de riesgos, e

satisfacer las necesidades del negocio, y

implantacin

La

toman en cuenta los atributos de madurez

evaluacin del control es continua y se basa

para encontrar maneras de hacer que los

del

cumplimiento.

10

en auto-evaluaciones y en anlisis de

controles sean ms eficientes y efectivos.

brechas y de causas raz. Los empleados

La organizacin evala por comparacin

se involucran de forma pro-activa en las

con las mejoras prcticas externas y busca

mejoras de control.

asesora externa sobre la efectividad de los

controles internos. Para procesos crticos,
se realizan evaluaciones independientes
para proporcionar seguridad de que los
controles se encuentran al nivel deseado de
madurez y funcionan como fue planeado.

AUDITORIA DE TICS APLICANDO COBIT

La Auditora de Gestin a las Tecnologas de Informacin y
Comunicaciones,
(independiente),

consiste

en

el

crtico (evidencia),

examen

de

sistemtico

carcter
(normas)

objetivo
y selectivo

(muestral) de las polticas, normas, funciones, actividades, procesos e

informes de una entidad, con el fin de emitir una opinin profesional
(imparcial) con respecto a: eficiencia en el uso de los recursos informticos,
validez y oportunidad de la informacin, efectividad de los controles
establecidos y la optimizacin de los recursos tecnolgicos.
Este enfoque es totalmente compatible con las prcticas y controles
contenidos en COBIT, ITIL, estndares o normativa que relaciona el enfoque
COSO, SAC, NIAS, Estndares de Seguridad de la Informacin (ISO 27000)
entre otros, que hacen referencia a las pistas de auditora en los sistemas
informticos, controles de acceso a los sistemas, bases de datos, reas de
Tecnologa de la Informacin y Comunicaciones (TIC) rea de servidores,
codificacin de la informacin, prevencin de virus, fraude,deteccin y
mitigacin de intrusos, entre otros; estos estndares no proporcionan un
criterio legal aplicable si no han sido adoptados por la entidad, pero s
procedimientos de auditora para examinar la gestin tecnolgica en las
diferentes organizaciones del sector pblico.

11

rea a Auditar
El rea a auditar es el departamento de informtica del centro clnico
universitario de oriente, debido a que all se encuentran los equipos
servidores donde se almacena la base de datos que contiene los registros de
informacin de las historias clnicas de los pacientes.

PROCESO DE RECOLECCIN DE INFORMACIN

Tcnicas de Recoleccin de Datos
En un proceso de investigacin para buscar alternativas de solucin a
un problema determinado de la realidad o, para la produccin de nuevos
conocimientos, que requiere de la aplicacin de tcnicas e instrumentos de
recoleccin de informacin (Castaeda, De la Torre, Morn y Lara, 2004).
Para esta investigacin las tcnicas de recoleccin de datos utilizadas
fueron:
Observacin Directa no Participe o Simple
Segn Arias (2006) define observacin como aquella que se realiza
cuando el investigador observa de manera neutral sin involucrarse en el
medio o realidad en la que se realiza el estudio, (p. 69). Es una tcnica que
consiste en observar atentamente el fenmeno, hecho o caso, tomar
informacin y registrarla para su posterior anlisis. La observacin es un
elemento fundamental de todo proceso investigativo; en ella se apoya el
investigador para obtener el mayor nmero de datos.
Ventajas de la observacin.

Se puede obtener informacin independientemente del deseo de

proporcionarla.

Los fenmenos se estudian dentro de su contexto.

12

Los hechos se estudian sin intermediarios.

Limitaciones de la observacin.

La proyeccin del observador.

Es posible confundir los hechos observados y la interpretacin de

esos hechos.

Es posible la influencia del observador sobre la situacin observada.

Existe el peligro de hacer generalizaciones no vlidas a partir de

observaciones parciales.

La Entrevista
La entrevista, segn Sabino, Carlos. El proceso de la investigacin
cientfica. Buenos Aires: El Cid Editor. (1978). es un encuentro cara a cara
entre personas que conversan con la finalidad, al menos de una de las
partes, de obtener informacin respecto de la otra. En el contexto especfico
de la investigacin, la entrevista se define como una conversacin entre un
investigador y una persona que responde a preguntas orientadas a obtener
la informacin exigida por los objetivos especficos de estudio. La tenemos
Dos modalidades: entrevista estructurada y no estructurada (ob. cit).

La entrevista estructurada o cerrada, es aquella que se

conduce de manera rgida por medio de una lista de preguntas que funcionan
como gua, de la cual el entrevistador no puede desviarse. (James Gordon
Bennett 1836)

La entrevista no estructurada o abierta, se trata de una

conversacin que dirige el entrevistado, pero que controla el entrevistador;

esta no sigue orden o gua, se van realizando las preguntas, segn el curso
que vaya tomando el evento, como las entrevistas realizadas a los
informantes claves: Tsu. Ruben Milln, encargado del rea de informtica.
13

Ventajas de la entrevista:

Es eficaz para obtener datos relevantes.

La informacin obtenida es susceptible de cuantificar y de aplicar

tratamiento estadstico.

Limitaciones de la entrevista:

Todas las respuestas tienen igual validez.

Posibilidad de incongruencias entre lo que se dice y lo que se hace.

Las respuestas dependen del inters y motivacin del entrevistado.

DOCUMENTOS DE GESTION EN EL REA INFORMTICA
Para explicar lo que es Gestin de Documentos o Gestin Documental

partiremos de la definicin presentada por Elisa Garca-Morales que nos

dice:es la parte del sistema de informacin de la empresa desarrollada con
el propsito de almacenar y recuperar documentos, que debe estar diseada
para coordinar y controlar todas aquellas funciones y actividades especficas
que

afectan

la

creacin,

recepcin,

almacenamiento,

acceso

preservacin de los documentos, salvaguardando sus caractersticas

estructurales, y contextuales, y garantizando su autenticidad y veracidad."
Actualmente el centro clnico Universitario de oriente no cuenta con un
adecuado manteamiento preventivo y correctivo de sus sistemas.

Mantenimiento del sistema de informacin.

Un Plan preventivo y correctivo.

PLAN DE LA AUDITORIA EN EL AREA INFORMTICA
Para el Plan de desarrollo de la Auditoria, se cuenta con el apoyo de la

alta gerencia de la Organizacin, solicitando la participacin de los

principales trabajadores de la Organizacin y en donde se realizaran las

14

siguientes acciones:

ACTIVIDADES

Observacin General del rea de Informtica.

Entrevistas a los trabajadores del rea de Informtica.

Analizar con que documentos de Gestin y Tcnicos.

Anlisis de las claves de acceso, control, seguridad, confiabilidad y

respaldos.
Evaluar las tecnologas de informacin (TI), tanto en hardware como

en software.

Evaluacin de la seguridad fsica, lgica y de redes.

HERRAMIENTAS Y TECNICAS
HERRAMIENTAS
Libreta

de

Notas,

Gua

TECNICAS
de

Observacin, Papel, Lapicero, entre

otros.

Observacin Directa, Entrevistas y

Cuestionarios

MOTIVO O NECESIDAD DE LA AUDITORIA

Con la introduccin de las computadoras en los negocios, comienza la
preocupacin por parte de la gerencia en lo relacionado con la informacin,
encontrando como principales razones las siguientes:

Los controles Insuficientes

La complejidad de la Informacin.

La Participacin Insuficiente del Sistema.

La Falta de Normas en la Clasificacin de la Informacin.

15

El Peligro del Fraude.

La Falta de Auditora Independiente Adecuada.

El Rendimiento Inadecuado Sobre la Inversin.

La prdida potencial como resultado de errores y omisiones.

La prdida potencial por controles inadecuados.

La prdida potencial por fraude o desfalco.

Normalmente las reas de preocupacin arribas mencionadas, son en

su mayora controlables a travs de una buena auditora interna de sistemas.
Pero unas de las debilidades tradicionales, en gran parte de las empresas e
instituciones privadas y gubernamentales, en el ambiente latinoamericano, es
la ausencia de una adecuada funcin de la auditora interna del sistema.
Unos de los objetivos de esta auditora de sistema en particular es
precisamente la de colaborar arduamente para la superacin de estos tipos
de problemas en dicha empresa.
A continuacin se enumera de manera resumida, los beneficios que
esta auditora de sistemas ha trado a la empresa o que traer una vez
implantada dicha auditoria.

Mejores controles en los sistemas de aplicacin.

Menor posibilidad de prdida o fraude.

Mayor confianza y satisfaccin del usuario.

Menos errores y omisiones de operacin debido a mejores

controles.

Costos inferiores de operacin en la informacin.

Mejor uso de equipos y mayor eficiencia de operacin.

Menor costo y tiempo en el desarrollo de los sistemas de aplicacin.

Mejores servicios y satisfaccin de sus clientes.

16

MODELOS DE MADUREZ A NIVEL CUALITATIVO (COSO)

EL

informe

COSO,

emitido

por

el

Committee

of

Sponsoring

Organization of Treadway Commission (Comit de la Organizacin de

Patrocinio de la comisin de Marcas) sobre Control Interno, presenta la
siguiente definicin:
El control interno es un

proceso, efectuado por el consejo de

administracin, la direccin y el resto del personal de una entidad, diseado

con el objeto de proporcionar un grado de seguridad razonable en cuanto a
la consecucin de objetivos dentro de las siguientes categoras:
Eficacia y eficiencia de las operaciones
Fiabilidad de la informacin financiera
Cumplimiento de las leyes y normas aplicables
COMPONENTES DEL CONTROL INTERNO
Los componentes del sistema de Control Interno pueden considerarse
como un conjunto de normas que son utilizados para evaluar el control
interno y determinar su efectividad; la estructura de control interno en el
sector gubernamental tiene los siguientes componentes:
a) Ambiente de control
b) Evaluacin de riesgos
c) Actividades de control
d) Informacin y comunicacin
e) Supervisin y seguimiento

17

CAPTULO II
EJECUCIN DE LA AUDITORA
Situacin Actual del rea De Sistemas
Ubicacin.
El rea de infraestructura se encuentra al lado de la oficina principal
de coordinacin general. Tiene la responsabilidad de resolver todo lo
relacionado con los procesos de sistemas y equipos tecnolgicos con que
cuenta la empresa para cumplir su funcin.
Objetivos del departamento
Garantizar la asistencia a los usuarios que reportan fallas con
hardware y software de aplicaciones que son necesarios para su labor diaria.
Ejecutar las actividades requeridas por las dems reas y gerencia en
cuanto a soporte tcnico se refiera.
Suministrar mecanismos de seguridad fsica y lgica de hardware,
software y redes del centro clnico.
Mantener un inventario considerado de hardware y perifricos.
Realizar mantenimiento preventivo a equipos de tecnolgicos de todas
las reas de la institucin

18

Organigrama del Departamento de infraestructura.

Coordinador
General

Analista de Soporte
Tcnico

Analista de
Soporte Tcnico

T.s.u. Rubn Milln = Coordinador General de Soporte Tcnico

T.s.u. Andrea Agostini = Analista de Soporte Tcnico
T.s.u. Andrea Agostini = Analista de Soporte Tcnico
Seguridad Del Departamento

Seguridad fsica:
Establecer un sistema contra incendio y la capacitacin adecuada
para el manejo de estos, tanto en el cuarto de servidores como oficina.
Dividir el cuarto de servidores, de manera que los equipos que se
encuentran en stock estn independientes del rea.
Hacer uso de estndares de calidad de acuerdo a las normas
ISO/IEC, IEEE, ITIL y otros.
Realizar una auditora de la tecnologa de la informacin externa a al
centro clnico universitarios de oriente, debido a que lo necesita.
Seguridad de los datos:
Realizar mensualmente Backups de la base de datos de los
servidores.
El departamento de infraestructura cuenta con:

19

Seguridad fsica:
Puerta principal que solo el personal de esa rea tiene acceso
Puerta que da acceso a la parte de los servidores y que solo el
personal de esa rea tiene acceso a travs de llaves.
Dos cmaras de seguridad, una el rea de servidores y otra en el rea
de oficina.
Respecto a los datos:
Algunos usuarios poseen permiso para utilizar en los equipos
unidades extrables y la unidad de cd.
No se permite realizar descargas ni instalar programas a usuarios no
autorizados. En dado caso que el usuario requiera instalar una aplicacin
necesaria en su equipo el personal de soporte tcnico, podr acceder a
travs de una cuenta y clave que solo ellos poseen y es permitida en casos
que requieran.
Solo el personal de soporte tiene acceso a los servidores y bases de
datos.
Caractersticas De La Plataforma Tecnolgica
La plataforma tecnolgica est formada por los diferentes servidores y
programas de desarrollo propio que permiten integrar todos los servicios que
ofrece en nico entorno de trabajo de funcionamiento Empresarial.
En cuanto a la plataforma tecnolgica el rea cuenta con un cuarto de
servidores, y un enlace de red banda ancha suministrado a travs de
antenas con Sistema Telecom. El departamento posee:
3 (Tres) Servidores fsicos.
2 (Dos) Switch.
2 (Dos) Pachpanel.
1 (Un) Ups de comunicacin NXb 30 KVA, Marca Emerson que da

20

comunicacin al tercer servidor.

2 (Dos) Antenas de comunicacin a travs de la red de banda ancha
telecom. La red principal es de Movilnet y el secundario es de la
telefnica Movistar.
Determinacin de los Problemas y Planteamiento de Hiptesis.
Posibles Problemas
Pueda que algn servidor se quede inhibido debido a que estn
activos los 365 das del ao.
Falla en alguno de los discos duros de los servidores.
Falta

de

una

planificacin

estratgica

del

departamento

de

infraestructura.
Falla en la seguridad de algn equipo, lo que puede generar
desviacin de la informacin y datos que maneja la empresa.
Falla en el encendido del ups de comunicacin.
Falla en la seguridad lgica y fsica de los equipos informticos.
Formulacin de hiptesis:
La organizacin cuenta con buena seguridad en cuanto a los recursos
informticos y humanos, debido a que existen polticas de usuarios y manejo
de equipos.
En dado caso ocurra algn problema con los servidores, la
organizacin cuenta con un sistema de monitoreo de plataforma tecnolgica,
el cual recibe una alerta y acta de inmediato para solucionar la problemtica
que se presente.

21

APLICACIN DE LA AUDITORIA

Modelo de Madurez de los Procesos

Nota: Elaboracin propia 2014.

Reporte General de los Grados de Madurez

DOMINIO

PLANIFICAR Y
ORGANIZAR

ADQUIRIR E
IMPLEMENTAR

PROCESO

NIVEL DE
MADUREZ

Definir el plan estratgico tecnolgico

Definir los procesos, la informacin y las

relaciones de TI.

Identificar soluciones automatizadas

Adquirir recursos de tecnologas de informacin.

Nota: Elaboracin propia 2014.

22

Resumen de Procesos y Criterios de Informacin por Impacto

Procesos
Total nivel de
impacto
Total nivel de
impacto
Total real nivel
de impacto
Total real nivel
de impacto
Total nivel real
de impacto
Total nivel real
de impacto
Total nivel de
impacto

Criterios de
Informacin
Efectividad

Procesos TI

Nivel de
Madurez
4

Confiabilidad

Recursos
Humanos
Sistemas de
Aplicacin
Tecnologa

Confidencialidad

Sistematizacin

Integridad

Instalaciones

Disponibilidad

Datos

Cumplimiento

Computo

Eficiencia

Nota: Elaboracin propia 2014

Anlisis de Criterios
Efectividad: en este criterio se obtuvo un 4% de 10%
Eficiencia: en este criterio se obtuvo un 3% de 10%
Confiabilidad: en este criterio se obtuvo un 4% de 10%
Confidencialidad: en este criterio se obtuvo un 1% de 10%
Integridad: en este criterio se obtuvo un 2% de 10%
Disponibilidad: en este criterio se obtuvo un 3% de 10%
Cumplimiento: en este criterio se obtuvo un 2% de 10%
Recursos humanos: en este criterio se obtuvo un 4% de 10%
Sistemas de aplicacin: en este criterio se obtuvo un 3% de 10%
Tecnologa: en este criterio se obtuvo un 4% de 10%

23

3
4

Sistematizacin: en este criterio se obtuvo un 2% de 10%

Instalacin: en este criterio se obtuvo un 2% de 10%
Datos: en este criterio se obtuvo un 3% de 10%
Computo: en este criterio se obtuvo un 1% de 10%

Resultados Finales del Impacto sobre los Criterios de la Informacin

Total nivel real de impacto
Total real nivel de impacto
Porcentaje alcanzado

4,3
5,6
9,9

Grfica Representativa del Impacto de los Criterios de Informacin.

Actividad 7
Actividad 6
Actividad 5

Sitemas de aplicacion
Recursos Humanos

Actividad 4

Confidencialidad
Eficiencia

Actividad 3

Efectividad
Actividad 2
Actividad 1
0

Nota: Elaboracin propia 2014.

24

CAPTULO III

ANLISIS DE LOS RESULTADOS

Informe Tcnico
Alcance
La auditora pretende evaluar el departamento de informtica de la
empresa Centro Clnico Universitario de Oriente, mediante el proceso el
auditor proporcionar conclusiones y recomendaciones a las actividades que
son realizadas en dicha organizacin empleando la metodologa COBIT 4.1.
Objetivos
Objetivo General
Realizar auditoria al departamento de informtica del Centro Clnico
Universitario de Oriente mediante el uso de la metodologa COBIT 4.1.
Objetivos Especficos
Describir los problemas tcnicos en el departamento de sistemas del
Centro Clnico Universitario de Oriente
Mencionar cules controles permitirn reducir los riesgos en el
departamento de sistemas del Centro Clinico Universitario de Oriente
Elaborar el informe tcnico y ejecutivo de la auditora.

Dominio Planear y Organizar

PO1. Definir un plan estratgico.
El proceso de definir un plan estratgico de TI a alcanzado el nivel de
madurez.

25

RecomendacinCobit: Alinear el departamento de sistema con el

negocio, e instruir a los encargados del rea sobre las capacidades
tecnolgicas de la actualidad y el futuro.
PO2. Definir la Arquitectura de la Informacin.
Conclusion La Organizacin ha tomando en cuenta lo importante en el
uso de una arquitectura para la informacin lo cual ah alcanzado el nivel de
madurez 5.
Recomendacin Cobit: Definir e implementar procedimientos para
brindar integridad y consistencia de los datos o informacin crtica y sensible
que se encuentran almacenados en el departamento de informtica del
Centro Clnico Universitario de Oriente
PO3. Determinar la Direccin Tecnolgica.
Conclusin.- El procesode madurez nivel 1, ya que el desarrollo de
componentes tecnolgicos de tecnologas emergentes son aisladas.
Recomendacin

Cobit:

Crear

complementar

un

plan

de

infraestructura tecnolgica que se acople con los planes estratgicos dentro

de la empresa.
PO4. Definir los Procesos la Organizacin y las Relaciones del
Departamento de Sistemas.
Conclusin.-el proceso se encuentra en el nivel demadurez 2 ya que
las necesidades de los usuarios y relaciones con proveedores se responden
de forma tctica aunque inconsistentemente.
Recomendacin Cobit: Definir un marco de trabajo para el proceso del
departamento.
PO5. Administrar la Inversin del Departamento de Infraestructura.
Conclusin.-

la

responsabilidad

26

cuenta

para

la

seleccin

de

presupuestos de inversiones sonasignadas en especfico al Jefe del

departamento de sistemas
.
Recomendacin Cobit: Incluir un anlisis de costo y beneficio a largo
plazo del ciclo total de vida.
Dominio Adquirir e Implementar.
AI1. Identificar Soluciones Automatizadas.
Conclusin.-el proceso se encuentra en el nivel de madurez 1 ya que
no existe la conciencia de la necesidad dedefinir requerimientos y de
identificar soluciones tecnolgicas
Recomendacin Cobit: Organizar y especificar los requerimientos
funcionales y tcnicos del departamento de sistemas del Centro Clnico
Universitario de Oriente.
AI2. Adquirir y Mantener Software Aplicativo.
Conclusin-el proceso se encuentra en el nivel de madurez 2 por
cuanto existen procesos de adquisicin y mantenimiento de software.
Recomendacin

Cobit:

Realizar

un

diseo

detallado,

los

requerimientos tcnicos del software y garantizar integridad de la

informacin.
AI3. Adquirir y Mantener la Infraestructura Tecnolgica.
Conclusin.-el proceso se encuentra en el nivel demadurez 1, ya que
no se cuenta con un plan de adquisicin de tecnologa, por Io tanto no se
controlan los procesos de adquirir implantar y actualizar infraestructura
tecnolgica.
Recomendacin

Cobit:

Proteger

la

infraestructura

tecnolgica

mediante medidas de control interno, seguridad durante la configuracin,

27

integracin y mantenimiento dehardware y software de la infraestructura

tecnolgica.
AI4. Facilitar la Operacin y el Uso.
Conclusin.-el proceso se encuentra en el nivel de madurez1, puesto
que no existe una generacin de documentacin, pero se tiene la conciencia
de que es necesario.
Recomendacin Cobit:Realizar transferencia de conocimientos a la
partegerencial Io cual permitir que tomen posesin del sistemay los datos.
AI5. Adquirir Recursos de Tecnologa de Informacin.
Conclusin-el proceso se encuentra en el nivel de madurez 4, ya que
la adquisicin se integra totalmente con los sistemas generales del gobierno,
sigue el proceso de compras pblicas en de algn recurso de tecnologa de
informacin.
Recomendacin Cobit: Establecer buenas relaciones con la mayora
de proveedores y socios y hacer cumplir los derechos y obligaciones de
ambas partes en los trminos contractuales.
Dominio Entregar Y Dar Soporte
DS1. Definir y Administrar los Niveles de Servicio.
Conclusin.-el proceso se encuentra en el nivel de madurez 1, ya que
no se administra los niveles de servicio con la debida importancia, tratando
de prestar un servicio de mejor calidad.
Recomendacin Cobit: Se debe definir un marco de trabajo para la
administracin de los niveles de servicio y realizar un monitoreo y reporte del
cumplimiento.
DS2. Administrar los Servicios de Terceros.
Conclusin.-el proceso se encuentra en el nivel de madurez 3 ya que

28

existen procedimientos documentados para el control de los servicios de los

usuarios
Recomendacin Cobit:Establecer criterios formales y estandarizados
para realizar la definicin de los trminos del acuerdo y asignar responsables
para la administracin del contrato y del proveedor.
DS3. Administrar el Desempeo y la Capacidad.
Conclusin- el proceso se encuentra en el nivel de madurez2, ya que
los procesos se siguen segn lo establecido por la clnica esto con el fin de
aplacar las limitaciones que se susciten.
Recomendacin

Cobit:Establecer

mtricas

de

desempeo

evaluacin de la capacidad y realizar un monitoreo continuo del desempeo

y la capacidad de los recursos.
DS4. Garantizar la Continuidad del Servicio.
Conclusin.-el proceso se encuentra en el nivel de madurez 2, se
cuenta con un plan de continuidad de servicios.
Recomendacin Cobit: Realizar pruebas regulares del plan de
continuidad, de forma que asegure que los sistemas sean recuperados de
forma efectiva.
DS5. Garantizar la Seguridad de los Sistemas.
Conclusin.-el proceso se encuentra en el nivel de madurez 1, ya que
la seguridad de los sistemas se encuentra a cargo de un solo individuo el
cual es el Jefe del departamento de sistemas.
Recomendacin Cobit: Realizar pruebas a la implementacin de la
seguridad,

de

igual

forma

monitorearla,

para

garantizar

que

las

caractersticas de posibles incidentes de seguridad sean definidas y

comunicadas de forma clara y oportuna.

29

Dominio Monitorear y Evaluar.

ME1. Monitorear y Evaluar el Desempeo del Departamento de
Sistemas.
Conclusin-el proceso se encuentra en el nivel de madurez 0, por
cuanto no se cuenta con un proceso implementado de monitoreo, ni de
reportes precisos sobre el desempeo.
Recomendacin Cobit:Definir y recolectar los datos del monitoreo
mediante un conjunto de objetivos, mediciones, metas y comparaciones de
desempeo, comparndolo peridicamente con las metas.
ME2. Monitorear y Evaluar el control Interno.
Conclusin.-el proceso se encuentra en el nivel de madurez0, por
cuanto, No se tiene procedimientos para monitorear la efectividad de los
controles internos.
Recomendacin Cobit:Realizar una auto-evaluacin del control interno
de la administracin de procesos, polticas y contratos, mediante revisiones
de terceros asegurar la completitud y efectividad de los controles internos.
ME3. Garantizar El Cumplimiento Regulatorio.
Conclusin.- el proceso se encuentra en el nivel de madurez 1 por
cuanto, se siguen procesos informales para mantener el cumplimiento
regulatorio.
Recomendacin Cobit: Tener muy en cuenta las leyes y reglamentos
del comercio electrnico, privacidad, flujo de datos, reporte financieros,
propiedad intelectual, etc.
M4. Proporcionar Gobierno De Tecnologa de Informacin.
Conclusin.-el proceso se encuentra en el nivel de madurez 0 por

30

cuanto no existe procesos de gobierno tecnologa de informacin.

Recomendacin Cobit:Garantizar la optimizacin de la inversin uso y
asignacin de la tecnologa de informacin.

Impacto Sobre los Criterios de Informacin

Criterios de la Informacin Porcentajes
Efectividad

85%

Eficiencia

92%

Confiabilidad

80%

Integridad

60%

Disponibilidad

85%

85%
Cumplimiento
Factibilidad

Observaciones
El objetivo es alcanzar el 100%, para esto
la informacin
el
Centro Clnico
Universitario de Oriente debe ser
entregada de forma oportuna, correcta y
consistente.
El objetivo es alcanzar el 100%, para esto
la informacin debe ser generada
optimizando los recursos.
El objetivo es alcanzar el 100%, para esto
la informacin debe de estar protegida
contra la revelacin no autorizada.
El objetivo es alcanzar el 100%, para
lograrlo la informacin debe ser correcta,
completa y valida.
El objetivo es alcanzar el 100%, para la
cual la informacin est disponible
cuando esta sea necesaria para su uso
por parte de las reas de la clnica en
cualquier momento.
El objetivo es alcanzar el 100%, para la
cuales deben seguir las leyes y
reglamentos contractuales a los que est
sujeto el proceso del negocio.
El objetivo es alcanzar el 100%, para la
cuales debe seguir correctamente y
proporcionar la informacin apropiada con
el fin de que la Gerencia General
administre la entidad.

60%

Nota: Ejemplo. Tomado de proyecto de auditora de la organizacin DATA CENTER E.I.R.L

Informe Ejecutivo
A continuacin se detallaran los resultados de la evaluacin de
procesos que recomienda COBIT 4.1, siendo evaluado en el departamento
de informtica del el Centro Clnico Universitario de Oriente, los criterios de
informacin, encontrando el siguiente porcentaje, todos sobre el 100 %.

31

Sevisios Medicos
15%
Efectividad
Deficit

85%

La efectividad consiste en que la informacin de consultas sea

entregada de forma oportuna, correcta, consistente y utilizable, el criterio
tiene un promedio del 85%.

Criterio de Informacin:
Eficiencia

8%
92%

Eficiencia
Dficit

La eficiencia consiste en que la informacin debe ser generada

optimizando los recursos, el criterio tiene un promedio del 92%.

32

Criterio de Informacin:
Confiabilidad
20%

80%

Confidencialidad
Dficit

La confiabilidad consiste en que la informacin vital sea protegida

contra la revelacin no autorizada, el criterio tiene un promedio del 80%.

Criterio de Informacin:
Integridad

60%

Dficit
Integridad

40%

La integridad consiste en que la informacin debe ser precisa, completa

y valida, el criterio tiene un promedio del 60%.

Criterio de Informacin:
Disponibilidad
15%

85%

Disponibilidad
Dficit

La disponibilidad consiste en que la informacin est disponible cuando

33

sea requerida por parte de las reas del negocio en cualquier momento, el
criterio tiene un promedio del 85%.

Criterio de Informacin:
Cumplimiento

15%
85%

Cumplimiento
Dficit

El cumplimiento consiste en que se debe respetar las leyes,

reglamentos y acuerdos contractuales a los que est sujeta el proceso del
negocio, como polticas internas, el criterio tiene un promedio del 85%.

Criterio de Informacin:
Factibilidad

40%

60%

Factibilidad
Dficit

La confiabilidad consiste en que se debe respetar y proporcionar la

informacin apropiada con el fin de que la Gerencia General administre la
entidad, el criterio tiene un promedio del 60%.

34

CAPTULO IV
RECOMENDACIONES Y CONCLUSIONES

Recomendaciones
La aplicacin de la auditora interna en el centro clnico universitario de
oriente, se efecto con el fin de obtener un mejor rendimiento del rea de
informtica para alcanzar los objetivos establecidos, por tal motivo, se
recomienda:

Proponer un mantenimiento continuo a los sistemas de informacin en

el centro clnico universitario de oriente que garantice una mejor
eficiencia en el proceso de registro de datos.

Realizar auditoras externas cada 9 meses.

Realizar respaldos a toda la informacin que manejan los servidores.

Realizar una copia de seguridad a la bases de datos.

35

CONCLUSIONES

Durante la ejecucin de la auditoria aplicando la metodologa COBIT,

se determino la problemtica que presentaba el departamento de informtica
del centro clnico universitario de oriente. Lo que conllevo a proponer
soluciones para el mejoramiento de las actividades que realiza la empresa
mediante sus sistemas de informacin.
Con la propuesta, se busca mejorar las condiciones y el rendimiento
de los servidores con los cuales cuenta la institucin, estos con la finalidad
de obtener una mejor confiabilidad, disponibilidad, fiabilidad y resguardo de
la informacin. Que son necesarias para atender las necesidades y los
requerimientos de los pacientes que acuden a las consultas mdicas.

36

GLOSARIO
Auditoria: Tiene como finalidad evaluar y mejorar la eficacia y eficiencia de
una organizacin, al examinar su gestin.
Administracin: Valida las operaciones de recaudacin, realiza la
facturacin y cobranza y ejecuciones presupuestarias, compras y servicios,
recursos humanos y generacin y entrega de indicadores de gestin.
Registro y Anlisis: Cuya funcin corresponde a la auditora interna de los
procesos y administracin del archivo fsico.
Sistematizacin de informacin: Ordenamiento y clasificacin bajo
determinados criterios, relaciones y categoras de todo tipo de datos, ejemplo
la creacin de una base de datos
Sistematizacin de experiencias: Las experiencias son vistas como
procesos desarrollados por diferentes actores en un perodo determinado de
tiempo, envueltas en un contexto econmico y social, en una institucin
determinada.
Sistematizacin: Proceso constante y aditivo de elaboracin de
conocimiento luego de la experiencia en una realidad especfica. Consiste en
el primer nivel de teorizacin de la prctica.

37

REFERENCIAS ELECTRONICAS
Fuente: http://es.scribd.com/doc/75065036/23/Factibilidad-Psicosocial [Fecha
de consulta: Julio 2013]

Fuente: http://www.tecnologiadiaria.com/2010/07/diagramas-gantt-excel.html
[Fecha de consulta: Julio 2013]

Fuente:
http://es.wikipedia.org/wiki/Programaci%C3%B3n_orientada_a_objeto
[Fecha de consulta: Julio 2013]

Fuente:

http://www.esxoops.com/modules/news/article.php?storyid=311

[Fecha de consulta: Julio 2013]

Fuente: http://www.tecnologiadiaria.com/2010/07/diagramas-gantt-excel.html
[Fecha de consulta: Julio 2013]

Fuente:
http://es.answers.yahoo.com/question/index?qid=20080805201057AARY0TM
[Fecha de consulta: Julio 2013]

Fuente:http://www.mty.itesm.mx/die/ddre/transferencia/Transferencia47/eli04.htm [Fecha de consulta: Julio 2013]

Fuente: http://es.wikipedia.org/wiki/PHP[Fecha de consulta: Julio 2013]

38

ANEXOS

39

Presupuesto de Costos del Proyecto

RECURSOS

PRECIOS

Cartucho de tinta a color para impresiones

800 Bs.

Cartucho de tinta negra para impresiones

750 Bs.

Resma de papel de 500 hojas (3)

350 Bs.

Viticos

1500 Bs.

TOTAL

3400Bsf
Nota: Elaboracin Propia (2014)

40