AUDITORÍA AL SISTEMA ADFI DE LA EMPRESA GERENCIA DE PROYECTOS
Y SOLUCIONES S.A.S
JUAN DIEGO QUINTERO CONTRERAS
DAVID FELIPE SÁNCHEZ TORRES
DIEGO ALEXANDER SOSA SUÁREZ
UNIVERSIDAD PEDAGÓGICA Y TECNOLÓGICA DE COLOMBIA
FACULTAD DE INGENIERÍA
ESCUELA DE SISTEMAS Y COMPUTACIÓN
TUNJA
2018
AUDITORÍA AL SISTEMA ADFI DE LA EMPRESA GPS GERENCIA DE
PROCESOS Y SOLUCIONES S.A.S
JUAN DIEGO QUINTERO CONTRERAS - 201120246
DAVID FELIPE SÁNCHEZ TORRES - 201223689
DIEGO ALEXANDER SOSA SUÁREZ - 201221261
ASESOR DE PROYECTO:
ING JUAN JOSÉ CAMARGO VEGA
UNIVERSIDAD PEDAGÓGICA Y TECNOLÓGICA DE COLOMBIA
FACULTAD DE INGENIERÍA
ESCUELA DE SISTEMAS Y COMPUTACIÓN
TUNJA
2018
TABLA DE CONTENIDO
1. IDENTIFICACIÓN DE LA EMPRESA
8
1.1.
OBJETIVOS
8
1.2.
MISIÓN
8
1.3.
VISIÓN
8
1.4.
LOCALIZACIÓN
9
1.5.
ORGANIGRAMA GENERAL
2. CENSO A NIVEL DE HARDWARE Y SOFTWARE
10
10
2.1.
EQUIPOS DE CÓMPUTO
10
2.2.
OTROS DISPOSITIVOS
11
3. PLANOS CENTRO DE CÓMPUTO
11
3.1.
PLANO EQUIPOS DE CÓMPUTO
11
3.2.
PLANO DE RED
12
4. CENSO DE DOCUMENTACIÓN
13
5. SELECCIÓN APLICACIÓN
14
6. DESCRIPCIÓN GENERAL APLICACIÓN Y MODULO SELECCIONADO
15
6.1.
APLICACIÓN SELECCIONADA
15
6.2.
MODULO SELECCIONADO
15
7. FLUJOGRAMA APLICACIÓN SELECCIONADA
18
7.1.
INICIO DE SESIÓN EN ADFI
18
7.2.
CUENTA BANCARIA
19
7.3.
TESORERÍA
20
8. PROCESOS SIGNIFICATIVOS
21
9. DISEÑO DE REGISTRO, BASE DE DATOS
21
10.
DISEÑO DE ENTRADAS Y SALIDAS
22
11.
INTERFAZ DE LA APLICACIÓN SELECCIONADA
22
12.
GUÍA DE EVALUACIÓN DE CONTROLES
27
12.1.
ORIGEN DE LAS TRANSACCIONES
27
12.2.
ENTRADA DE DATOS
29
12.3.
COMUNICACIÓN DE LOS DATOS
31
12.4.
PROCESAMIENTO DE DATOS
32
12.5.
ALMACENAMIENTO Y RECUPERACIÓN DE DATOS
34
12.6.
SALIDA DE INFORMACIÓN
36
12.7.
SEGURIDAD FÍSICA
37
13.
HOJA EVALUACIÓN DE CONTROLES
40
13.1.
ORIGEN DE LAS TRANSACCIONES
40
13.2.
ENTRADA DE DATOS
40
13.3.
COMUNICACIÓN DE LOS DATOS
41
13.4.
PROCESAMIENTO DE DATOS
42
13.5.
ALMACENAMIENTO Y RECUPERACIÓN DE LOS DATOS
43
13.6.
SALIDAS DE INFORMACIÓN
44
13.7.
SEGURIDAD FÍSICA
44
14.
MATRIZ DE ANÁLISIS DE RIESGOS
46
14.1.
ORIGEN DE LAS TRANSACCIONES
46
14.2.
ENTRADA DE DATOS
47
14.3.
COMUNICACIÓN DE LOS DATOS
48
14.4.
PROCESAMIENTO DE DATOS
50
14.5.
ALMACENAMIENTO Y RECUPERACIÓN DE LOS DATOS
51
14.6.
SALIDAS DE INFORMACIÓN
53
14.7.
SEGURIDAD FÍSICA
54
15.
DEFICIENCIAS Y RECOMENDACIONES
55
LISTA DE FIGURAS
Figura 1. Ubicación de la empresa.
9
Figura 2. Organigrama general
10
Figura 3. Plano de Equipos
11
Figura 4. Plano de Red
12
Figura 5. Flujograma de inicio de sesión.
18
Figura 6. Flujograma de gestión de cuentas bancarias
19
Figura 7. Flujograma de gestión de tesorería
20
Figura 8. Procesos Significativos
21
Figura 9. Portal Web Secretaria de educación de Boyacá
23
Figura 10. Login Aplicación
23
Figura 11. Modulo Tesorería
24
Figura 12. Cuentas Bancarias ADFI
24
Figura 13.Registro cuenta bancaria ADFI
25
Figura 14. Ingreso Tesorería ADFI
26
Figura 15. Registro Tesorería ADFI
26
LISTA DE TABLAS
Tabla 1. Equipos de Cómputo
10
Tabla 2. Otros Dispositivos
11
Tabla 3. Aplicaciones de la empresa
13
Tabla 4. Manuales Aplicaciones.
13
Tabla 5. Necesidad Auditoria aplicaciones
14
Tabla 6. Necesidad Auditoria módulos
14
Tabla 7. Diseño de entradas y salidas
22
Tabla 8. Control Origen de las Transacciones
27
Tabla 9. Control Entrada de Datos
29
Tabla 10. Control Comunicación de los Datos
31
Tabla 11. Control Procesamiento de Datos
32
Tabla 12. Controles de Almacenamiento y Recuperación de Datos
34
Tabla 13. Controles Salida de Información
36
Tabla 14. Control Seguridad Física
37
Tabla 15. Evaluación de Controles Origen de las Transacciones
40
Tabla 16. Evaluación de Controles Entrada de Datos
40
Tabla 17. Evaluación de Controles Comunicación de los Datos
41
Tabla 18. Evaluación de Controles de Procesamiento de Datos
42
Tabla 19. Evaluación de Controles Almacenamiento y Recuperación de Datos
43
Tabla 20. Evaluación de Controles Salidas de Información
44
Tabla 21. Evaluación de Controles Seguridad Física
44
Tabla 22. Análisis de Riegos Origen de las Transacciones
46
Tabla 23. Análisis de Riesgo Entrada de Datos
47
Tabla 24. Análisis de Riesgos Comunicación de los Datos
48
Tabla 25. Análisis de Riesgos Procesamiento de Datos
50
Tabla 26. Análisis de Riesgos Almacenamiento y Recuperación de Datos
51
Tabla 27. Análisis de Riesgos Salidas de Información
53
Tabla 28. Análisis de Riesgos Seguridad Física
54
Tabla 29. Deficiencias y Recomendaciones
55
1. IDENTIFICACIÓN DE LA EMPRESA
La empresa seleccionada es “GPS Gerencia de Proyectos y Soluciones S.A.S” la
cual es una empresa de desarrollo de Software que nace en la ciudad de Tunja
como necesidad de crear Software que permita optimizar tareas cotidianas y dar
soluciones a problemas a través de la Tecnología.
1.1.
OBJETIVOS
El objetivo principal de GPS es dar soluciones informatizadas a problemas
cotidianos todo mediante el desarrollo de Software con los más altos estándares
de calidad siempre garantizando un trabajo eficiente y eficaz que conduzcan a
satisfacer las necesidades de nuestros clientes.
1.2.
MISIÓN
Brindar soluciones tecnológicas, sistemáticas y de asistencia especializada sobre
diferentes tipos de plataformas en las diferentes áreas de educación,
telecomunicaciones, soporte financiero, gestión documental, salud y demás
sectores que impacten el entorno social, garantizando a nuestros clientes la
creación de proyectos eficientes e innovadores con los mejores estándares de
calidad contribuyendo a la optimización de sus procesos, consolidación y
desarrollo empresarial competitivo, para lo cual GPS S.A.S dispone de un equipo
de profesionales especializados en desarrollo de software, soporte y demás
servicios tecnológicos para atender sus diferentes necesidades.
1.3.
VISIÓN
GPS S.A.S para el año 2020 proyecta consolidarse como una compañía líder a
nivel nacional en el desarrollo software, plataformas y servicios tecnológicos
brindando a sus clientes soluciones a su medida combinando profesionalismo,
experiencia y conocimiento específico en el dominio de las necesidades que se
presenten, que cuente con un equipo de profesionales altamente calificados.
Asimismo, buscamos el bienestar de nuestro personal competente velando por su
salud, seguridad e integridad, como eje fundamental de nuestra compañía.
8
1.4.
LOCALIZACIÓN
Figura 1. Ubicación de la empresa.
Fuente: Google maps
9
1.5.
ORGANIGRAMA GENERAL
Figura 2. Organigrama general
Fuente: Elaboración propia
2. CENSO A NIVEL DE HARDWARE Y SOFTWARE
2.1.
EQUIPOS DE CÓMPUTO
Tabla 1. Equipos de Cómputo
Fuente: Elaboración propia
10
2.2.
OTROS DISPOSITIVOS
Tabla 2. Otros Dispositivos
Fuente: Elaboración propia
3. PLANOS CENTRO DE CÓMPUTO
3.1.
PLANO EQUIPOS DE CÓMPUTO
Figura 3. Plano de Equipos
Fuente: Elaboración propia
11
3.2.
PLANO DE RED
Figura 4. Plano de Red
Fuente: Elaboración propia
12
4. CENSO DE DOCUMENTACIÓN
La empresa cuenta con cuatro aplicaciones en ejecución cuyos nombres se
mencionan a continuación y posteriormente se ilustra el censo de Documentación
para cada una de ellas:
Tabla 3. Aplicaciones de la empresa
N°
NOMBRE
NOMENCLATURA
1
Sistema de Información Pensional y Archivístico
SIPA
2
Sistema de Información financiero y Administrativo
ADFI
3
Sistema Mesa de Ayuda
MDA
4
Sistema Administrador de Edificios
ADMIN
Fuente: Elaboración propia
Tabla 4. Manuales Aplicaciones.
Sistema
M. de
usuario
M. de
mantenimi
ento
M.
Bitácor
operac
a
ión
Estudio
Reposito Marco
de
rio
legal
mercado
SIPA
No
No
No
Si
Si
Si
Si
ADFI
Si
No
Si
No
Si
No
Si
MDA
Si
No
Si
Si
Si
No
No
ADMIN
No
No
No
Si
Si
Si
No
Fuente: Elaboración propia
13
5. SELECCIÓN APLICACIÓN
La aplicación que presenta mayor riesgo potencial acorde a la metodología
previamente seleccionada es el “Sistema ADFI” con necesidad de auditoría de
111.62. Ver documento anexo Tabla de selección de la aplicación. (Anexo 01).
Tabla 5. Necesidad Auditoria aplicaciones
APLICACIONES GPS S.A.S
N°
NOMBRE
APLICACIÓN
NECESIDAD
AUDITORÍA
CRITICIDAD
ESFUERZO
AUDITORÍA
1
Sistema SIPA
18,27
10,15
1,8
2
Sistema ADFI
111,63
77,52
1,44
3
Sistema MDA
17,02
14,18
1,2
4
Sistema ADMIN
79,96
37,02
2,16
Fuente: Elaboración propia
Así mismo el módulo que presenta mayor riesgo acorde a la metodología
presentada es “El módulo de Tesorería “con necesidad de auditoria de 474.42. Ver
documento anexo Tabla de selección del módulo de la aplicación. (Anexo 02).
Tabla 6. Necesidad Auditoria módulos
MÓDULO APLICACIÓN ADFI
N
°
NOMBRE MÓDULO
NECESIDAD
AUDITORÍA
CRITICIDAD
ESFUERZO
AUDITORÍA
1
Modulo Presupuestal
330,75
206,72
1,6
2
Módulo Tesorería
474,42
219,64
2,16
3
Modulo Contable
104,65
74,75
1,4
4
Módulo Reportes
189,76
131,78
1,44
Fuente: Elaboración propia
14
6. DESCRIPCIÓN GENERAL APLICACIÓN Y MÓDULO SELECCIONADO
6.1.
APLICACIÓN SELECCIONADA
El sistema integrado de información ADFI fue diseñado como una herramienta
que permite automatizar las operaciones de las siguientes áreas en entidades del
sector Gobierno o privadas: Presupuestos, Contabilidad, Tesorería, Nómina,
Activos Fijos, Cuentas por cobrar, Cuentas por Pagar, Portafolio de Inversiones,
compras (involucra almacén, compras e inventarios). Las Características
generales del Sistema son:
•
•
Diseño global, estructural, modular y parametrizable
Diseño Moderno
El sistema ha sido diseñado mediante la utilización de las tecnologías más
avanzadas de herramientas de Software y las técnicas más modernas de la
Ingeniería de Software. Se ha utilizado la filosofía de base de datos relacionales y
lenguajes de programación de cuarta generación, bajo el esquema
cliente/servidor.
La parte cliente fue desarrollada con la herramienta Power Builder bajo Windows
con motor Oracle. Sin embargo, puede ser migrada de otras bases de datos como
DB2, Sysbase, Informix, Ingres, Sql - Server y en general, a cualquier herramienta
que soporte ODBC. Así como, en cualquier ambiente UNIX o WINDOWS NT. La
parte WEB, fue desarrollada en PHP.
El módulo seleccionado según la metodología aplicada es el módulo de
“Tesorería”.
6.2.
MODULO SELECCIONADO
El módulo de tesorería cuenta con dos opciones; la primera opción permite
visualizar, registrar, modificar o eliminar registros de cuentas bancarias utilizadas
por las instituciones y en la segunda se permite gestionar el de dinero y llevar
reportes de tesorería.
Los datos de entrada que se requieren para registrar una cuenta bancaria son:
Compensación: Es el número de cámara de compensación asignado al banco.
15
Nombre de la cuenta bancaria: Nombre para diferenciar cuentas en un solo
banco y evitar errores en la selección de la cuenta bancaria cuando se realicen
pagos por el sistema.
Nivel uno, Nivel dos y Nivel tres Centro de costo: No se digita nada. Siempre
aparecerá el centro de costo en el cual está asignado el funcionario que ingresó al
sistema.
Saldo Manual: Es el saldo con el cual se comenzará la cuenta bancaria para el
sistema. Normalmente corresponde al saldo real de la cuenta en el momento de
creación en el sistema.
Vigencia: Año o vigencia correspondiente.
Obliga Chequera: Indicador para el sistema si cuando se gire de esta cuenta
debe solicitar número de cheque. Se debe seleccionar “SI o NO”.
Estado de la cuenta activa, inactiva: Indicador para el sistema del estado de la
cuenta. Se debe seleccionar “AC o IN”.
Tipo de cuenta: Ahorros, Corriente: Indicador para el sistema de tipo de cuenta.
Se debe seleccionar “AH o CC”.
Banco: Seleccionar el nombre del banco.
Número de cuenta: Digitar el número de la cuenta bancaria o de ahorros.
Código de cuenta: Código de la cuenta asignado por la institución.
Para el ingreso de tesorería los datos de entrada que se requieren son:
Rubro presupuestal: Es el primero que se debe seleccionar para continuar. Son
los artículos u objetos de consumo que requiere la institución.
Nivel uno, dos y tres Centro de costo: Centro de costo en el cual está asignado
el funcionario que ingresó al sistema.
Fecha de Creación: Se digita la fecha del día de la operación. Normalmente
aparece la fecha del día en curso.
Número recibo: Se digita el número del recibo utilizado en la consignación o
pago.
16
Usuario: Aparecerá automáticamente el código del usuario que está conectado.
Observaciones: Se digita la descripción del ingreso.
Cuenta bancaria: Se debe seleccionar la cuenta bancaria donde se recibió el
ingreso.
Estado: Anulado, Activo: Es el estado de la cuenta bancaria. El sistema solo
acepta “AN= Anulado o AC=Activo”. Se debe seleccionar alguno de los dos
valores.
Medio de Pago: Efectivo, Consignación, Cheque: Se debe seleccionar el medio
de pago. El sistema solo acepta EF= Efectivo, CN=Consignación y CH= Cheque.
Total, Ingreso: Digitar el valor del Ingreso.
Identificación del tercero: Seleccionar el número de identificación del tercero que
realizó el ingreso. Si el sistema no contiene el número de identificación del tercero,
se debe crear primero por la opción de Terceros por municipio.
Anulación: S,N: Seleccionar si el registro es una anulación del pago o no. El
sistema solo permite seleccionar “Si” o “No”.
Número Caja: Digitar el número de caja asignada por la institución.
Ci n fuente financ: Se debe seleccionar la fuente de financiación dando click
sobre la que corresponda.
Identificación del Empleado: Seleccionar el empleado que está incluyendo la
información del ingreso. Normalmente aparece el código del usuario de la
institución.
17
7. FLUJOGRAMA
7.1.
INICIO DE SESIÓN EN ADFI
Figura 5. Flujograma de inicio de sesión.
Fuente: Elaboración propia
18
7.2.
CUENTA BANCARIA
Figura 6. Flujograma de gestión de cuentas bancarias
Fuente: Elaboración propia
19
7.3.
INGRESOS DE TESORERÍA
Figura 7. Flujograma de ingresos de tesorería
Fuente: Elaboración propia
20
8. PROCESOS SIGNIFICATIVOS
Figura 8. Procesos Significativos
Fuente: Elaboración propia
9. BASE DE DATOS
Ver documento anexo: “BD ADFI.pdf”
21
10. DISEÑO DE ENTRADAS Y SALIDAS
Tabla 7. Diseño de entradas y salidas
ENTRADAS
SALIDAS
Todas las entradas son manuales el Se generan reportes en formato “pdf”
usuario debe de crear el mismo las los cuales se pueden almacenar en el
cuentas bancarias y presupuestos.
sistema para su posterior impresión.
No se registra carga de datos al Toda transacción que se realice en el
sistema por ningún otro medio.
sistema de manera automática envía
una copia digital a la secretaria de
educación de Boyacá.
Fuente: Elaboración propia
11. INTERFAZ DE LA APLICACIÓN SELECCIONADA
El acceso al sistema ADFI WEB se realiza de la siguiente manera:
En el explorador web con que se encuentre diríjase a la siguiente URL:
“www.sedboyaca.gov.co”, saldrá la página de la secretaria de educación de
Boyacá como se ilustra en la figura.
22
Figura 9. Portal Web Secretaria de educación de Boyacá
Fuente: Elaboración propia
Con el cursor pararse en Servicios SEB. Aquí se muestra el menú de opciones de
servicios, donde se encuentra el acceso a ADFI. Dar click en “Ingreso sistema de
Información Financiero ADFI”.
Al ingresar por primera vez a la plataforma se encuentra un formulario de
autenticación, con la ayuda de los administradores de la plataforma se logra
conseguir un usuario y una contraseña para el ingreso
Figura 10. Autenticación en aplicación
Fuente: Elaboración propia
23
Una vez autenticados encontraremos en la parte superior el menú principal de la
aplicación, en donde tenemos acceso a los ingresos, a los reportes al módulo de
tesorería, al módulo de egresos, listado de terceros por municipio y al módulo de
consultas
Figura 11. Modulo Tesorería
Fuente: Elaboración propia
Al dar clic sobre la opción de tesorería nos encontraremos con un menú
desplegable con dos opciones que son las cuentas bancarias y los ingresos de
tesorería, ingresamos a la primera opción de cuentas bancarias
Figura 12. Cuentas Bancarias ADFI
Fuente: Elaboración propia
En la sección de cuentas bancarias únicamente se permite crear, modificar o
visualizar información sobre cuentas bancarias que utilizan las instituciones, si
ingresamos a una cuenta bancaria veremos un formulario como el siguiente
24
Figura 13.Registro cuenta bancaria ADFI
Fuente: Elaboración propia
Dentro del formulario se deben ingresar datos como son compensación que es el
número de cámara de compensación asignado al banco, también se encuentra el
nombre de la cuenta, el nivel, el saldo, la vigencia, si obliga a chequera o no, si es
cuenta de ahorros o corriente, número de cuenta y código de la cuenta.
En la segunda opción del menú desplegable del módulo de tesorería encontramos
la opción de ingresos de tesorería
25
Figura 14. Ingreso Tesorería ADFI
Fuente: Elaboración propia
En esta sección se permiten registrar todos los ingresos presupuestales
dependiendo del rubro o los rubros que se tengan, ya seleccionado el rubro
aparece un formulario como el siguiente
Figura 15. Registro Tesorería ADFI
Fuente: Elaboración propia
En donde se ingresa la fecha de creación o cuando se realizó la operación o
movimiento de dinero, en el campo aparece por defecto la fecha actual, se digita el
número del recibo utilizado en la consignación o en el pago, se ingresa el usuario
que lo realizó y los datos del banco utilizado y otros datos que requiere la
plataforma.
26
12. GUÍA DE EVALUACIÓN DE CONTROLES
12.1. ORIGEN DE LAS TRANSACCIONES
OBJETIVO: Evaluar los procedimientos en el origen de las transacciones
Tabla 8. Control Origen de las Transacciones
N°
C1
C2
C3
C4
C5
C6
CRITERIO
¿Se puede verificar la integridad
y veracidad de los datos que
van a ser analizados?
¿Se encuentran contenidos los
procedimientos operativos de
los datos permitidos a ingresar
en una guía para su manejo?
¿Existen formatos
preestablecidos para la
realización de las actividades
tales como cuentas bancarias?
¿Existe una adecuada
separación funcional entre el
origen de los datos y la custodia
de los activos asociados?
¿Los documentos fuentes llevan
una firma para facilitar su
rastreo?
¿Existe una enumeración de los
paquetes de archivos en forma
secuencial para evitar riesgos
SI
NO NA
OBSERVACIONES
X
X
X
X
X
X
27
Se tienen en cuenta la
separación de
información que va a ser
usada para el ingreso
de datos, por medio de
distintos formularios preimpresos
Todos los documentos
llevan la firma del
contador designado o
del encargado.
Todos los documentos
tienen un código de
identificación.
por pérdida?
C7
C8
C9
¿Es limitado el acceso a los
documentos exclusivamente al
personal autorizado?
X
¿Existe implementación de
correcciones en los
documentos?
X
¿La documentación del sistema
es suficientemente clara y
comprensible para garantizar un
eficiente manejo?
X
Fuente: Elaboración propia
28
Solo la persona
autorizada tiene la
potestad de realizar
cambios en los
documentos.
Hay aspectos que no se
describen a profundidad
en la documentación.
12.2. ENTRADA DE DATOS
OBJETIVO: Evaluar los procedimientos en la entrada de datos.
Tabla 9. Control Entrada de Datos
N°
CRITERIO
C10
¿Existe una examinación doble
de los campos críticos para
asegurar su exactitud?
C11
SI
¿Existe una verificación del
contenido de las etiquetas
internas y externas para evitar
uso de archivos equivocados?
NO
NA
OBSERVACIONES
X
Solo se realiza un registro
único el cual es validado al
terminar de llenar la
información y enviar el
formulario.
X
No existe tal verificación
de que el mismo archivo
interno sea externo por
medio de etiquetas.
¿El sistema permite validar los
datos que son ingresados?
C12
X
¿Existe entrenamiento para el
personal de operación?
C13
C14
X
¿Los registros en el sistema
mantienen la sencillez del
proceso,
ajustado
a
las
necesidades del usuario?
Se realizan frecuentes
capacitaciones
a
las
personas encargadas del
soporte.
.
X
29
C15
C16
C17
C18
C19
¿En el ingreso de los datos, la
aplicación posee adecuados
mensajes de ayuda, con el fin
de facilitar los ingresos de
estos y advertir sobre algún
error cometido, indicando la
clase de error?
Pero existen mensajes de
errores con términos muy
técnicos para los usuarios.
X
¿Se brindan alternativas de
ingreso de datos al sistema
para mejorar su desempeño en
la entrada de los datos?
¿Se restringe el acceso a los
usuarios de acuerdo a las
funciones de cada cargo,
disminuyendo el riesgo de que
personas no autorizadas que
puedan
leer,
modificar,
adicionar, eliminar datos?
X
Solo se tiene una entrada
al sistema si falla el portal
Web de la secretaria de
educación falla el sistema.
Se manejan roles dentro
de la aplicación.
X
¿Existe un registro de los datos
que están pendientes por
procesar?
X
¿Son evaluadas las habilidades
y el cumplimiento de las
funciones por parte de los
operadores que interactúan con
el sistema?
X
Fuente: Elaboración propia
30
No existe un control de
espera
que
almacene
datos a procesar
Se
está
capacitando
constantemente
al
personal de soporte pero
no
se
evalúa
el
desempeño que tienen
hacia el uso del Software.
12.3. COMUNICACIÓN DE LOS DATOS
OBJETIVO: Evaluar los procedimientos en la comunicación de datos.
Tabla 10. Control Comunicación de los Datos
N°
CRITERIO
C20
¿Existe verificación física (MAC) de
las terminales autorizadas para el
ingreso al sistema?
C21
¿Existe
gestión
redes
de
telecomunicación
entre
dependencias
y
sucursales
cercanas de la empresa?
C22
¿Se registra el tipo de error, hora,
fecha, el terminal, el nombre del
operador y el número de veces que
se presenta el fallo?
C23
SI
NO
NA
OBSERVACIONES
Se vienen desarrollando
informes que permitan
demostrar la necesidad de
verificar la MAC.
X
X
La aplicación es distribuida
y la gestión de redes va de
acuerdo
a
normas
propuestas
para
cada
dependencia
X
¿Existen fuentes de energía alterna
que prevengan la caída del sistema
y daños en el mismo?
X
¿Existen políticas de seguridad y
privacidad para todo el circuito de
Se ha pensado en la
posibilidad de comprar una
UPS, está en proceso de
evaluación.
.
31
C24
comunicación de datos?
C25
¿Los programas que procesan
datos
confidenciales
están
almacenados en áreas protegidas
de la memoria principal o
secundaria?
X
Se tiene designada un
área en específica para
proteger los equipos en el
cual solo puede ingresar
personal autorizado.
X
Fuente: Elaboración propia
12.4. PROCESAMIENTO DE DATOS
OBJETIVO: Evaluar los procedimientos en el procesamiento de datos.
Tabla 11. Control Procesamiento de Datos
N°
CRITERIO
SI
C26
¿Se hace uso de códigos de
transacción para indicar el tipo de
documento y la transacción que se
realiza?
X
C27
C28
¿Existe
supervisión
de
la
razonabilidad de los datos tanto
manual como en la aplicación?
¿Los operadores del computador
trabajan con base en un conjunto
de procedimientos debidamente
autorizados?
X
X
32
NO
NA
OBSERVACIONES
C29
C30
C31
¿Se
programan
revisiones
periódicas por parte de personal
especializado a la aplicación a
nivel de bases de datos y tiempos
de respuesta del sistema?
¿Se
programan
revisiones
periódicas a los periféricos de
entrada, salida y almacenamiento
del sistema?
¿Los operadores del computador
trabajan con base en un conjunto
de procedimientos debidamente
autorizados?
C32
¿Se hace uso de claves de
seguridad que impiden el acceso
no autorizado?
C33
¿Se tiene una versión anterior del
sistema en caso de presentar
actualizaciones
fallidas
en
versiones posteriores?
C34
X
¿Los nuevos programas cargados
en las terminales distribuidas se
revisan periódicamente?
X
No se tiene una bitácora
de
actividades
ni
cronograma de actividades
relacionadas
a
este
aspecto.
No se tiene una bitácora
de
actividades
ni
cronograma de actividades
relacionadas
a
este
aspecto.
X
X
X
X
Fuente: Elaboración propia
33
El
sistema
no
tiene
versiones previas, solo se
encuentra una versión la
cual es la que se
encuentra
en
funcionamiento
12.5. ALMACENAMIENTO Y RECUPERACIÓN DE DATOS
OBJETIVO: Evaluar los procedimientos en el almacenamiento y recuperación de
datos.
Tabla 12. Controles de Almacenamiento y Recuperación de Datos
N°
CRITERIO
SI
C35
¿Cuenta con librerías en
plataformas de servicios en la
nube para el almacenamiento
de archivos que maneja la
empresa?
X
C36
¿Cuenta con librerías para
conservar el programa fuente
antiguo cuando se ingresa uno
nuevo?
C37
NO
C38
C39
¿Se protegen ciertos archivos
por criterio de la dirección
mediante
el
uso
de
contraseñas?
OBSERVACIONES
Cuenta con librerías y se
paga por una licencia anual
con Amazon
X
¿Los archivos de los sistemas
se dividen en grupos para
efectos de control?
¿Se clasifican los archivos por
niveles de importancia de
acuerdo con el criterio del
contador?
NA
X
X
X
34
No se identifica relación con
el contador para verificar
que se cumpla la acción.
.
C40
C41
C42
¿Se realiza inspecciones a los
archivos críticos por parte de
un operador, para descubrir
archivos
incorrectos
o
ilógicos?
¿Se realizan copias de
seguridad (Backups) para
salvaguardar la integridad de
la información?
X
Se tienen almacenados en
registros físicos y digitales
copias de archivos críticos y
copias de seguridad en la
nube.
X
¿Existen etiquetas internas y
externas para identificar los
archivos en materia
de
nombre, número de serie,
fecha de creación y otros
aspectos?
X
Fuente: Elaboración propia
35
12.6. SALIDA DE INFORMACIÓN
OBJETIVO: Evaluar los procedimientos en la salida de la información.
Tabla 13. Controles Salida de Información
N°
CRITERIO
C43
¿Se comparan los totales de
entrada con los totales de
salida?
SI
NO
C44
X
C45
¿Los informes emitidos por el
sistema, se registran de acuerdo
a sus características más
importantes?
X
C46
¿El manual de sistema establece
los procedimientos de salida
para cada aplicación como un
rótulo, hora y fecha?
C47
¿Los informes contienen: Fecha
de preparación, descripción,
usuario
y
número
de
procesamiento?
OBSERVACIONES
Existe una persona que
siempre se encarga de
auditar esta información.
X
¿Se comparan las transacciones
de entrada con las de salida para
asegurar el procesamiento de los
datos?
NA
X
Se indago esta información
y no se encontró relación de
lo que dice en el manual de
usuario a lo que evidencia.
.
X
36
C48
C49
¿Se hace destrucción de todas
las transacciones abortadas para
evitar efectos fraudulentos?
¿Los
reportes
estadísticos
confidenciales de uso de la
plataforma
permanecen
en
lugares confiables?
Todas las transacciones
abortadas se almacenan
para generar un informe que
corrobora el contador.
X
X
Fuente: Elaboración propia
12.7. SEGURIDAD FÍSICA
OBJETIVO: Evaluar los procedimientos en la seguridad física.
Tabla 14. Control Seguridad Física
N°
CRITERIO
C50
¿Los equipos del sistema están
protegidos
por
alarmas
y
cerraduras de combinación para
evitar usos fraudulentos?
C51
¿Se lleva un control de acceso e
identificación
de
paquetes,
vehículos y bienes de la
empresa?
SI
37
NO
NA
OBSERVACIONES
X
Los
equipos
se
encuentran
a
disposición del personal
sin importar el papel que
desempeñen
X
Existe un inventario
general
pero
no
detallado sobre cada
elemento que se posee.
C52
C53
C54
¿El sitio de trabajo se encuentra
vigilado
por
personal
de
seguridad para evitar el ingreso
de personas no autorizadas y
malintencionada?
X
¿El sistema se encuentra
resguardado por alarmas de
detección de personas?
¿La empresa se encuentra
custodiada por mecanismos de
apertura y cierre tales como
cerraduras
de
llave
o
combinación, electrónicas?
El edificio tiene una
persona encargada de
seguridad para todos los
establecimientos.
X
.
X
¿Los equipos se encuentran
ubicados lejos de las ventanas?
C55
C56
X
¿Se revisa periódicamente que
todas las conexiones del sistema
estén en un estado correcto para
su funcionamiento y que no
presenten daños ni aberturas
que impidan la comunicación?
Al realizar la visita a la
empresa no se registró
un sistema de alarma de
detección de intrusos.
X
38
Algunos equipos se
encuentran muy cerca
de las ventanas que dan
acceso a la calle.
C57
C58
C59
C60
¿El servidor se encuentra
ubicado en un área que cumpla
con las normas mínimas de
seguridad?
X
¿La
empresa
cuenta
con
detectores de calor, humo e
incendios?
¿Existen extintores especiales
en el centro de cómputo para
apagar fuego en caso de
incendios, fallos eléctricos, entre
otros?
El servidor no se
encuentra en un área
específica sino en área
común dentro de la
empresa.
X
X
¿Se utilizan tarjetas inteligentes
para garantizar que no se
ingrese al área de cómputo sin
autorización?
X
Fuente: Elaboración propia
39
Se observa el uso de
tarjetas inteligentes en
la entrada del edificio
pero no en las oficinas
de la empresa
13. HOJA EVALUACIÓN DE CONTROLES
13.1. ORIGEN DE LAS TRANSACCIONES
Tabla 15. Evaluación de Controles Origen de las Transacciones
N° CONTROL
DESCRIPCIÓN
C8
Deben de seguir los lineamientos y normas que permitan
identificar los formularios pre-impresos que tiene errores para
prevenir fraudes al ser usados así no tengan validez por manos
de terceros.
C9
Se deben de especificar detalladamente todos los campos de los
registros a llenar por medio de un instructivo antes de ser
ingresado al sistema.
Fuente: Elaboración propia
13.2. ENTRADA DE DATOS
Tabla 16. Evaluación de Controles Entrada de Datos
N° CONTROL
DESCRIPCIÓN
C10
Se deben de implementar la validación y registro de un
segundo campo en registro que sean de vital importancia o
que puedan traer repercusiones al ser mal ingresado al
sistema.
C11
Es importante implementar un sistema que permita hacer un
seguimiento por medio de etiquetas a los datos de entrada y
los que se va a encontrar en el sistema que sea único e
irrepetible,
40
C16
Se debe de pensar una forma de poder ingresar al sistema
llegado el caso de que el dominio principal de la secretaria
de educación de Boyacá presente fallas.
C18
Se debe de diseñar e implementar un registro que permita
llevar un control de las operaciones en estado de espera
para evitar posibles fraudes.
C19
Constantemente se deben de realizar evaluaciones para
corroborar que el sistema se esté usando de la manera en
que fue diseñado y pueda dar los resultados esperados.
Fuente: Elaboración propia
13.3. COMUNICACIÓN DE LOS DATOS
Tabla 17. Evaluación de Controles Comunicación de los Datos
N° CONTROL
DESCRIPCIÓN
C20
Es importante tener un registro donde se almacene la
dirección MAC del usuario que ingreso al sistema para poder
controlar si existe algún tipo de modificación, creación y
desarrollo de algún tipo de fraude que no haya sido
autorizada o se haya hecho con otros fines.
C22
Se debe de crear un log que permita registra el tipo de error,
hora, fecha, el terminal, el nombre del operador y el número
de veces que se presenta el fallo para correlacionar si el
sistema está presentando fallas esporádicas o es una falla
temporal y poder dar solución al problema.
41
C23
Se debe de pensar en la implementación de una fuente
eléctrica externa UPS para permitir el funcionamiento del
sistema 24/7 en cualquier caso que se requiera
especialmente para el funcionamiento del servidor.
Fuente: Elaboración propia
13.4. PROCESAMIENTO DE DATOS
Tabla 18. Evaluación de Controles de Procesamiento de Datos
N° CONTROL
DESCRIPCIÓN
C29
Se debe crear un cronograma de revisiones periódicas para
permitir evaluar rendimientos en la base de datos en la
creación, eliminación y consulta de datos
C30
Se debe de crear una bitácora y registro de los dispositivos
periféricos de entrada y salida para prevenir posibles errores
de hardware que se puedan presentar
C32
Es importante mejorar la seguridad de las claves que permita
números, letras, símbolos y combinación de mayúsculas y
minúsculas para controlar el acceso a la información.
C33
Es importante crear puntos de restauración de factores
críticos que permitan controlar fallas al sistema si se
llegasen a presentar.
Fuente: Elaboración propia
42
13.5. ALMACENAMIENTO Y RECUPERACIÓN DE LOS DATOS
Tabla 19. Evaluación de Controles Almacenamiento y Recuperación de Datos
N° CONTROL
DESCRIPCIÓN
C36
Es importante contrarrestar la actualización del sistema por
medio de Backups de funciones vital del sistema que pueda
ser reutilizado al migrar el sistema a uno más moderno sin
perder información.
C38
Se deben de implementar mecanismos de identificación de
archivos vitales que puedan ser reconocidos fácilmente para
él o las personas que van hacer usos de estos.
C39
Para evitar fraude en la modificación de archivos vitales
dentro del sistema es importante cifrar estos con el fin de
que solo puedan ser salvaguardados de manera segura y no
puedan caer en manos de terceros.
C40
Es importante tener personal capacitado que pueda ayudar a
descubrir posibles fallas del sistema y ser reportadas a la
gerencia.
C42
Se deben de crear etiquetas claras que permitan la fácil
identificación cuando se haga una consulta de la base de
datos cuando el usuario lo requiera y pueda ser mostrada
con transaccionalidad.
Fuente: Elaboración propia
43
13.6. SALIDAS DE INFORMACIÓN
Tabla 20. Evaluación de Controles Salidas de Información
N° CONTROL
DESCRIPCIÓN
C46
Se deben de especificar con exactitud en el manual de
usuario las salidas de los informes tal cual como se esperaría
que salga, desde la fecha de inicio del registro hasta la fecha
del mismo.
C48
De no ser posible la eliminación de algunos archivos que se
encuentren, se debe de bloquear el acceso a mismos a
través de una contraseña maestra la cual es dada a la
persona que corresponda.
Fuente: Elaboración propia
13.7. SEGURIDAD FÍSICA
Tabla 21. Evaluación de Controles Seguridad Física
N° CONTROL
DESCRIPCIÓN
C50
Se debe restringir el acceso a los equipos ya sea por medio
de contraseñas, cerraduras o ubicación de lugares
estratégicos para contrarrestar posibles riesgos.
C51
Es importante crear un inventario detallado de los vehículos,
paquetes, y bienes que posea la empresa, así mismo llevar
una bitácora de lo que entra y sale.
44
C53
Se recomienda adquirir un sistema de alarma de detección
de intrusos.
C55
Es recomendable reorganizar la ubicación de los escritorios y
los equipos de cómputo alejándolos de las ventajas para
prevenir posibles accidentes que se puedan presentar.
C57
Se recomienda diseñar un espacio especialmente para la
ubicación del servidor, donde se cumplan con las
características de seguridad mínimas
C58
Al permanecer el servidor encendido todo el tiempo, se
recomienda contar con detectores de calor, humo o
incendios para prevenir riesgos que se puedan presentar
provocados por fuego.
C60
Para el acceso al centro de cómputo se recomienda instalar
un sistema de acceso a través de tarjetas inteligente para
aumentar la seguridad de ingreso.
Fuente: Elaboración propia
45
14. MATRIZ DE ANÁLISIS DE RIESGOS
14.1. ORIGEN DE LAS TRANSACCIONES
Tabla 22. Análisis de Riegos Origen de las Transacciones
ERROR
POTENCIAL
POSIBLE CAUSA DEL
ERROR
RIESGO
INHERENTE
CONTROL CONFIA
RELACIO BILIDA
NADO
D
Desconocimiento
de
lineamientos y normas
para el llenado de
formularios tales como
Mala ejecución
cotizaciones,
órdenes
de
las
Alto
de compra, remisiones
actividades
entre otras, por parte
del
personal
que
desarrolla
las
actividades.
C8
Alta
No se especifica a
detalle cómo se deben
de
preparar
la
Alto
información antes de
ser
ingresada
al
sistema.
C9
Alta
Malentendidos
a la hora de
ingresar
información al
sistema
Fuente: Elaboración propia
46
14.2. ENTRADA DE DATOS
Tabla 23. Análisis de Riesgo Entrada de Datos
ERROR
POTENCIAL
Se
ingresar
erróneos
sistema.
POSIBLE CAUSA DEL
ERROR
No
se
tiene
pueden
implementado
la
datos
validación y registro de
al
campos
dobles
en
registros importantes.
RIESGO
INHERENTE
CONTROL CONFIA
RELACIO BILIDA
NADO
D
Alto
C10
Alta
Se pueden tener
malentendidos por
el
seguimientos
de
información
ingresada
al
sistema y que no
corresponda
No
se
tiene
implementado
un
mecanismo
de
seguimiento
de
la
información por medio
de etiquetas.
Alto
C11
Alta
El sistema no está
disponible 24/7 se
depende de la
página
de
la
secretaria
de
educación
de
Boyacá.
Dependen estrictamente
de la página principal de
la
secretaria
de
educación de Boyacá.
Alto
C16
Alta
Se
pueden
presentar fraudes
al no tener un lista
de espera por
fechas
ni
secuencia
No
se
tiene
implementado
un
registro que permita
llevar un control de las
operaciones en estado
de espera para evitar
posibles fraudes.
Alto
C18
Alta
47
El personal que
hace
uso
del
Software
puede
cometer errores al
ingresar los datos
No
se
realizan
evaluaciones
para
corroborar
que
el
sistema se esté usando
de la manera en que fue
diseñado y pueda dar
los
resultados
esperados.
Alto
C19
Alta
Fuente: Elaboración propia
14.3. COMUNICACIÓN DE LOS DATOS
Tabla 24. Análisis de Riesgos Comunicación de los Datos
ERROR
POTENCIAL
POSIBLE CAUSA DEL
ERROR
No se tiene un registro
donde se almacene la
dirección
MAC
del
No
se
podría usuario que ingreso al
identificar si hubo sistema para poder
manipulación
controlar si existe algún
malintencionada
tipo de modificación,
del sistema por creación y desarrollo de
parte de terceros
algún tipo de fraude que
no haya sido autorizada
o se haya hecho con
otros fines.
48
RIESGO
INHERENTE
Alto
CONTROL CONFIA
RELACIO BILIDA
NADO
D
C20
Alta
No se puede llevar
un
control
de
cuando el sistema
presenta fallas y
con
qué
frecuencia.
No se posee un log que
permita registra el tipo
de error, hora, fecha, el
terminal, el nombre del
operador y el número de
veces que se presenta
el
fallo
para
correlacionar
si
el
sistema
está
presentando
fallas
esporádicas o es una
falla temporal y poder
dar
solución
al
problema.
Medio
C22
Alta
El
sistema
no
estaría disponible
24/7 cuando los
usuarios
del
sistema
lo
necesiten.
No
se
tiene
implementada
una
fuente eléctrica externa
UPS para permitir el
funcionamiento
del
sistema
24/7
en
cualquier caso que se
requiera especialmente
para el funcionamiento
del servidor.
Alta
C23
Alta
Fuente: Elaboración propia
49
14.4. PROCESAMIENTO DE DATOS
Tabla 25. Análisis de Riesgos Procesamiento de Datos
CONTRO
L
RELACIO
NADO
CONFI
ABILID
AD
ERROR
POTENCIAL
POSIBLE CAUSA DEL RIESGO
ERROR
INHERENTE
Puede presentar
bajo rendimiento
de respuesta a
causa de un mal
diseño de la
base de datos
No
se
tiene
cronograma
de
revisiones
periódicas
para permitir evaluar
rendimientos en la
base de datos en la
creación, eliminación y
consulta de datos
Medio
C29
Alta
Pueden
presentarse
daños
inesperados en
el
funcionamiento
de
los
del
hardware y no
estar
preparados
No se tiene una
bitácora y registro de
los
dispositivos
periféricos de entrada y
salida para prevenir
posibles errores de
hardware
que
se
puedan presentar
Alto
C30
Alta
El código fuente
puede
ser
modificado por
manos
de
terceros
y
cometer fraude
No se posee una clave
de
seguridad
que
permita
números,
letras,
símbolos
y
combinación
de
mayúsculas
y
minúsculas
para
controlar el acceso a la
información.
Alta
C32
Alta
50
El
sistema
puede presentar
fallas
en
factores críticos
del sistema
No se tiene puntos de
restauración
de
factores críticos que
permitan
controlar
fallas al sistema si se
llegasen a presentar.
Alta
C33
Alta
Fuente: Elaboración propia
14.5. ALMACENAMIENTO Y RECUPERACIÓN DE LOS DATOS
Tabla 26. Análisis de Riesgos Almacenamiento y Recuperación de Datos
POSIBLE CAUSA DEL
ERROR
Al
realizar
alguna
actualización
el
sistema
tomaría mucho
tiempo
en
añadirle
nuevas
funciones
o
mejorar las ya
existentes
No se tienen Backups de
funciones
vitales
del
sistema que pueda ser
reutilizado al migrar el
sistema a uno más
moderno
sin
perder
información
Medio
C36
Alta
Al
recuperar
datos se debe
de
tener
presente que
el mismo dato
que se desea
sea el mismo
que se extrae
No
se
tienen
implementados
mecanismos
de
identificación de archivos
vitales que puedan ser
reconocidos
fácilmente
para él o las personas que
van hacer usos de estos.
Medio
C38
Alta
51
RIESGO
INHERENTE
CONTROL CONFIA
RELACIO BILIDA
NADO
D
ERROR
POTENCIAL
Modificación
de
archivos
aflamencados
en la base de
datos al no
estar cifrados
Fraude en la modificación
de archivos vitales dentro
del sistema al no estar
cifrados.
Alta
C39
Alta
Si se presenta
fallas en el
sistema
los
arreglos
pueden tardar
más
tiempo
del esperado
Hay
poco
personal
capacitado que pueda
ayudar
a
descubrir
posibles fallas del sistema
y ser reportadas a la
gerencia.
Alta
C40
Alta
Al
realizar
recuperación
de datos se
pueden
presentar
inconsistencia
s
en
los
archivos
solicitados.
No se tiene etiquetas
claras que permitan la fácil
identificación cuando se
haga una consulta de la
base de datos cuando el
usuario lo requiera y
pueda ser mostrada con
transaccionalidad.
Media
C42
Alta
Fuente: Elaboración propia
52
14.6. SALIDAS DE INFORMACIÓN
Tabla 27. Análisis de Riesgos Salidas de Información
ERROR
POTENCIAL
POSIBLE CAUSA DEL
ERROR
RIESGO
INHERENTE
No se tiene especificado
Se
pueden con exactitud en el
presentar
manual de usuario las
errores
de salidas de los informes
malinterpretaci tal
cual
como
se
ón
en
los esperaría que salga,
resultados
desde la fecha de inicio
obtenidos
del registro hasta la
fecha del mismo.
Se
pude
incurrir
en
fraude en la
obtención de
estos archivos
Eliminación de algunos
archivos
que
se
encuentren, se debe de
bloquear el acceso a
mismos a través de una
contraseña maestra la
cual es dada a la
persona
que
corresponda.
Fuente: Elaboración propia
53
CONTROL
CONFIA
RELACIO
BILIDAD
NADO
Medio
C46
Alta
Alto
C48
Alta
14.7. SEGURIDAD FÍSICA
Tabla 28. Análisis de Riesgos Seguridad Física
POSIBLE CAUSA DEL
ERROR
Se puede incurrir
en
pérdidas
materiales,
manipulación del
sistema a través
estos equipos
No se restringe el
acceso a los equipos ya
sea por medio de
contraseñas, cerraduras
o ubicación de lugares
estratégicos
para
contrarrestar
posibles
riesgos.
Medio
C50
Alta
No
existen
control de los
bienes
que
posee
la
empresa
No se posee inventario
detallado
de
los
vehículos, paquetes, y
bienes que posea la
empresa, así mismo
llevar una bitácora de lo
que entra y sale.
Medio
C51
Alta
Se
puede No se tiene sistema de
cometer delitos alarma de detección de
por intrusos
intrusos.
Medio
C53
Alta
Se
pueden
presentar
incidentes a raíz
del rompimiento
tan cerca de las
ventanas a los
equipos
y
personal cerca.
Medio
C55
Alta
Ubicación
de
los
escritorios y los equipos
de
cómputo
cerca
ventajas
54
RIESGO
INHERENTE
CONTROL CONFIA
RELACIO BILIDA
NADO
D
ERROR
POTENCIAL
Daños sobre el
servidor, lo que
conlleva
a
inhabilidad
del
sistema
Ubicación del servidor,
en un espacio donde no
cumple con las normas
de seguridad mínimas
Alto
C57
Alta
Daños por fuego No
se
poseen
en el centro de detectores de calor,
cómputo.
humo o fuego
Alto
C58
Alta
Podría
existir
manipulación de
la
chapa
de No se posee un sistema
entrada o copia de acceso a través de
sin autorización tarjetas inteligentes
de la llave de
ingreso
Medio
C60
Alta
Fuente: Elaboración propia
15. DEFICIENCIAS Y RECOMENDACIONES
Tabla 29. Deficiencias y Recomendaciones
RECOMENDACIÓN
DEFICIENCIA
Los
manuales
del
sistema
no Se propone actualizar la documentación
especifican a detalle ciertos puntos lo del sistema para garantizar un eficiente
que ocasiona dificultad en el desarrollo manejo por parte del personal.
de las actividades por parte del
personal.
Se presenta errores en el ingreso de Hacer una revisión doble a los campos
datos causando incoherencia en la más importantes a la hora de ingresar
información.
los datos al sistema.
55
Se presenta desorden en los formatos y Se sugiere realizar un listado de
documentos que se requieren ingresar registros pendientes de los datos que
al sistema causando registros erróneos están por ingresar al sistema.
en la entrada de datos al sistema
No se lleva un control de los Se recomienda realizar una verificación
computadores o puntos de acceso que de los equipos de cómputo autorizados
ingresan al sistema generando ingresos para el ingreso al sistema.
no autorizados.
Pérdida de conexión entre los Se recomienda emplear módems de
computadores o puntos de acceso al respaldo
sistema a causa de fallas en el
hardware del módem.
No hay listas que permitan informar la
existencia de fallos en la comunicación
en los computadores o puntos de
acceso
Se recomienda registrar el tipo de error,
la hora, la fecha, el punto de acceso, el
empleado y el número de veces que se
presenta el fallo
No existen guías que indiquen cómo
corregir los errores que se presentan en
la comunicación entre los computadores
que tienen el sistema.
Se propone crear una línea de ayuda
del sistema para solventar los
inconvenientes de procedimientos para
la corrección de errores.
Se presentan fallas en el suministro Adquirir una UPS (Sistema de
eléctrico causando caídas del sistema y alimentación ininterrumpida) que tenga
generando pérdida de la información.
un límite de tiempo mínimo de 30
minutos.
Los periféricos o elementos de entrada, Realizar un mantenimiento periódico a
salida y procesamiento presentan bajo los periféricos o elementos de entrada,
rendimiento.
salida
y
procesamiento
de
la
información por parte de personal
especializado, además proteger estos
elementos adecuadamente.
56
No se cuenta con copias de seguridad Hacer uso de copias de seguridad antes
de los archivos que maneja la empresa de realizar cambios en los archivos,
generando pérdida de la información.
además de utilizar alternativas de
almacenamiento como librerías en la
nube o librerías virtuales
No se cuenta con librerías para Se recomienda utilizar librerías para
almacenar las versiones anteriores del conservar versiones anteriores o
aplicativo
posteriores del sistema.
Los archivos que maneja el sistema no Realizar clasificación de los archivos de
se almacenan en orden de importancia acuerdo con el criterio del gerente
ocasionando
desorden
en
la
información
No se lleva un registro de errores Dictaminar y examinar los archivos de
presentados en la salida de los datos errores para su revisión.
para su posterior revisión ocasionando
que algunos errores se pasen por alto.
No se cuenta con personal de seguridad
que salvaguarde los bienes de la
empresa causando Ingreso de personas
no autorizadas a la empresa
Se recomienda contratar un servicio de
vigilancia para evitar el ingreso de
personas
no
autorizadas
y
malintencionadas.
El servidor se encuentra ubicado en el Se recomienda reubicar el servidor en
primer piso lo que representa un riesgo un área que cumpla con las normas
frente a inundaciones.
mínimas de seguridad.
No se tiene detectores de calor, humo e Hacer uso de dispositivos de alarma
incendios en ningún área de la para detectar de manera oportuna focos
empresa.
de calor, humo e incendios en algunas
áreas de la empresa.
No se cuenta con extintores contra
incendios especiales en el centro de
cómputo, los cuales deben estar
compuestos a base de polvo químico
seco o bióxido de carbono.
Implementar extintores adecuados al
centro de cómputo los cuales deben
estar compuestos a base de polvo
químico seco o bióxido de carbono.
57
No existen dispositivos electrónicos que Se propone establecer identificadores
garanticen la seguridad al ingresar al electrónicos que garanticen la seguridad
área de cómputo causando ingresos de al ingresar al área de cómputo.
personal no autorizados al área de
sistemas.
Fuente: Elaboración propia
58