AUDITORÍA AL SISTEMA ADFI DE LA EMPRESA GERENCIA DE PROYECTOS Y SOLUCIONES S.A.S JUAN DIEGO QUINTERO CONTRERAS DAVID FELIPE SÁNCHEZ TORRES DIEGO ALEXANDER SOSA SUÁREZ UNIVERSIDAD PEDAGÓGICA Y TECNOLÓGICA DE COLOMBIA FACULTAD DE INGENIERÍA ESCUELA DE SISTEMAS Y COMPUTACIÓN TUNJA 2018 AUDITORÍA AL SISTEMA ADFI DE LA EMPRESA GPS GERENCIA DE PROCESOS Y SOLUCIONES S.A.S JUAN DIEGO QUINTERO CONTRERAS - 201120246 DAVID FELIPE SÁNCHEZ TORRES - 201223689 DIEGO ALEXANDER SOSA SUÁREZ - 201221261 ASESOR DE PROYECTO: ING JUAN JOSÉ CAMARGO VEGA UNIVERSIDAD PEDAGÓGICA Y TECNOLÓGICA DE COLOMBIA FACULTAD DE INGENIERÍA ESCUELA DE SISTEMAS Y COMPUTACIÓN TUNJA 2018 TABLA DE CONTENIDO 1. IDENTIFICACIÓN DE LA EMPRESA 8 1.1. OBJETIVOS 8 1.2. MISIÓN 8 1.3. VISIÓN 8 1.4. LOCALIZACIÓN 9 1.5. ORGANIGRAMA GENERAL 2. CENSO A NIVEL DE HARDWARE Y SOFTWARE 10 10 2.1. EQUIPOS DE CÓMPUTO 10 2.2. OTROS DISPOSITIVOS 11 3. PLANOS CENTRO DE CÓMPUTO 11 3.1. PLANO EQUIPOS DE CÓMPUTO 11 3.2. PLANO DE RED 12 4. CENSO DE DOCUMENTACIÓN 13 5. SELECCIÓN APLICACIÓN 14 6. DESCRIPCIÓN GENERAL APLICACIÓN Y MODULO SELECCIONADO 15 6.1. APLICACIÓN SELECCIONADA 15 6.2. MODULO SELECCIONADO 15 7. FLUJOGRAMA APLICACIÓN SELECCIONADA 18 7.1. INICIO DE SESIÓN EN ADFI 18 7.2. CUENTA BANCARIA 19 7.3. TESORERÍA 20 8. PROCESOS SIGNIFICATIVOS 21 9. DISEÑO DE REGISTRO, BASE DE DATOS 21 10. DISEÑO DE ENTRADAS Y SALIDAS 22 11. INTERFAZ DE LA APLICACIÓN SELECCIONADA 22 12. GUÍA DE EVALUACIÓN DE CONTROLES 27 12.1. ORIGEN DE LAS TRANSACCIONES 27 12.2. ENTRADA DE DATOS 29 12.3. COMUNICACIÓN DE LOS DATOS 31 12.4. PROCESAMIENTO DE DATOS 32 12.5. ALMACENAMIENTO Y RECUPERACIÓN DE DATOS 34 12.6. SALIDA DE INFORMACIÓN 36 12.7. SEGURIDAD FÍSICA 37 13. HOJA EVALUACIÓN DE CONTROLES 40 13.1. ORIGEN DE LAS TRANSACCIONES 40 13.2. ENTRADA DE DATOS 40 13.3. COMUNICACIÓN DE LOS DATOS 41 13.4. PROCESAMIENTO DE DATOS 42 13.5. ALMACENAMIENTO Y RECUPERACIÓN DE LOS DATOS 43 13.6. SALIDAS DE INFORMACIÓN 44 13.7. SEGURIDAD FÍSICA 44 14. MATRIZ DE ANÁLISIS DE RIESGOS 46 14.1. ORIGEN DE LAS TRANSACCIONES 46 14.2. ENTRADA DE DATOS 47 14.3. COMUNICACIÓN DE LOS DATOS 48 14.4. PROCESAMIENTO DE DATOS 50 14.5. ALMACENAMIENTO Y RECUPERACIÓN DE LOS DATOS 51 14.6. SALIDAS DE INFORMACIÓN 53 14.7. SEGURIDAD FÍSICA 54 15. DEFICIENCIAS Y RECOMENDACIONES 55 LISTA DE FIGURAS Figura 1. Ubicación de la empresa. 9 Figura 2. Organigrama general 10 Figura 3. Plano de Equipos 11 Figura 4. Plano de Red 12 Figura 5. Flujograma de inicio de sesión. 18 Figura 6. Flujograma de gestión de cuentas bancarias 19 Figura 7. Flujograma de gestión de tesorería 20 Figura 8. Procesos Significativos 21 Figura 9. Portal Web Secretaria de educación de Boyacá 23 Figura 10. Login Aplicación 23 Figura 11. Modulo Tesorería 24 Figura 12. Cuentas Bancarias ADFI 24 Figura 13.Registro cuenta bancaria ADFI 25 Figura 14. Ingreso Tesorería ADFI 26 Figura 15. Registro Tesorería ADFI 26 LISTA DE TABLAS Tabla 1. Equipos de Cómputo 10 Tabla 2. Otros Dispositivos 11 Tabla 3. Aplicaciones de la empresa 13 Tabla 4. Manuales Aplicaciones. 13 Tabla 5. Necesidad Auditoria aplicaciones 14 Tabla 6. Necesidad Auditoria módulos 14 Tabla 7. Diseño de entradas y salidas 22 Tabla 8. Control Origen de las Transacciones 27 Tabla 9. Control Entrada de Datos 29 Tabla 10. Control Comunicación de los Datos 31 Tabla 11. Control Procesamiento de Datos 32 Tabla 12. Controles de Almacenamiento y Recuperación de Datos 34 Tabla 13. Controles Salida de Información 36 Tabla 14. Control Seguridad Física 37 Tabla 15. Evaluación de Controles Origen de las Transacciones 40 Tabla 16. Evaluación de Controles Entrada de Datos 40 Tabla 17. Evaluación de Controles Comunicación de los Datos 41 Tabla 18. Evaluación de Controles de Procesamiento de Datos 42 Tabla 19. Evaluación de Controles Almacenamiento y Recuperación de Datos 43 Tabla 20. Evaluación de Controles Salidas de Información 44 Tabla 21. Evaluación de Controles Seguridad Física 44 Tabla 22. Análisis de Riegos Origen de las Transacciones 46 Tabla 23. Análisis de Riesgo Entrada de Datos 47 Tabla 24. Análisis de Riesgos Comunicación de los Datos 48 Tabla 25. Análisis de Riesgos Procesamiento de Datos 50 Tabla 26. Análisis de Riesgos Almacenamiento y Recuperación de Datos 51 Tabla 27. Análisis de Riesgos Salidas de Información 53 Tabla 28. Análisis de Riesgos Seguridad Física 54 Tabla 29. Deficiencias y Recomendaciones 55 1. IDENTIFICACIÓN DE LA EMPRESA La empresa seleccionada es “GPS Gerencia de Proyectos y Soluciones S.A.S” la cual es una empresa de desarrollo de Software que nace en la ciudad de Tunja como necesidad de crear Software que permita optimizar tareas cotidianas y dar soluciones a problemas a través de la Tecnología. 1.1. OBJETIVOS El objetivo principal de GPS es dar soluciones informatizadas a problemas cotidianos todo mediante el desarrollo de Software con los más altos estándares de calidad siempre garantizando un trabajo eficiente y eficaz que conduzcan a satisfacer las necesidades de nuestros clientes. 1.2. MISIÓN Brindar soluciones tecnológicas, sistemáticas y de asistencia especializada sobre diferentes tipos de plataformas en las diferentes áreas de educación, telecomunicaciones, soporte financiero, gestión documental, salud y demás sectores que impacten el entorno social, garantizando a nuestros clientes la creación de proyectos eficientes e innovadores con los mejores estándares de calidad contribuyendo a la optimización de sus procesos, consolidación y desarrollo empresarial competitivo, para lo cual GPS S.A.S dispone de un equipo de profesionales especializados en desarrollo de software, soporte y demás servicios tecnológicos para atender sus diferentes necesidades. 1.3. VISIÓN GPS S.A.S para el año 2020 proyecta consolidarse como una compañía líder a nivel nacional en el desarrollo software, plataformas y servicios tecnológicos brindando a sus clientes soluciones a su medida combinando profesionalismo, experiencia y conocimiento específico en el dominio de las necesidades que se presenten, que cuente con un equipo de profesionales altamente calificados. Asimismo, buscamos el bienestar de nuestro personal competente velando por su salud, seguridad e integridad, como eje fundamental de nuestra compañía. 8 1.4. LOCALIZACIÓN Figura 1. Ubicación de la empresa. Fuente: Google maps 9 1.5. ORGANIGRAMA GENERAL Figura 2. Organigrama general Fuente: Elaboración propia 2. CENSO A NIVEL DE HARDWARE Y SOFTWARE 2.1. EQUIPOS DE CÓMPUTO Tabla 1. Equipos de Cómputo Fuente: Elaboración propia 10 2.2. OTROS DISPOSITIVOS Tabla 2. Otros Dispositivos Fuente: Elaboración propia 3. PLANOS CENTRO DE CÓMPUTO 3.1. PLANO EQUIPOS DE CÓMPUTO Figura 3. Plano de Equipos Fuente: Elaboración propia 11 3.2. PLANO DE RED Figura 4. Plano de Red Fuente: Elaboración propia 12 4. CENSO DE DOCUMENTACIÓN La empresa cuenta con cuatro aplicaciones en ejecución cuyos nombres se mencionan a continuación y posteriormente se ilustra el censo de Documentación para cada una de ellas: Tabla 3. Aplicaciones de la empresa N° NOMBRE NOMENCLATURA 1 Sistema de Información Pensional y Archivístico SIPA 2 Sistema de Información financiero y Administrativo ADFI 3 Sistema Mesa de Ayuda MDA 4 Sistema Administrador de Edificios ADMIN Fuente: Elaboración propia Tabla 4. Manuales Aplicaciones. Sistema M. de usuario M. de mantenimi ento M. Bitácor operac a ión Estudio Reposito Marco de rio legal mercado SIPA No No No Si Si Si Si ADFI Si No Si No Si No Si MDA Si No Si Si Si No No ADMIN No No No Si Si Si No Fuente: Elaboración propia 13 5. SELECCIÓN APLICACIÓN La aplicación que presenta mayor riesgo potencial acorde a la metodología previamente seleccionada es el “Sistema ADFI” con necesidad de auditoría de 111.62. Ver documento anexo Tabla de selección de la aplicación. (Anexo 01). Tabla 5. Necesidad Auditoria aplicaciones APLICACIONES GPS S.A.S N° NOMBRE APLICACIÓN NECESIDAD AUDITORÍA CRITICIDAD ESFUERZO AUDITORÍA 1 Sistema SIPA 18,27 10,15 1,8 2 Sistema ADFI 111,63 77,52 1,44 3 Sistema MDA 17,02 14,18 1,2 4 Sistema ADMIN 79,96 37,02 2,16 Fuente: Elaboración propia Así mismo el módulo que presenta mayor riesgo acorde a la metodología presentada es “El módulo de Tesorería “con necesidad de auditoria de 474.42. Ver documento anexo Tabla de selección del módulo de la aplicación. (Anexo 02). Tabla 6. Necesidad Auditoria módulos MÓDULO APLICACIÓN ADFI N ° NOMBRE MÓDULO NECESIDAD AUDITORÍA CRITICIDAD ESFUERZO AUDITORÍA 1 Modulo Presupuestal 330,75 206,72 1,6 2 Módulo Tesorería 474,42 219,64 2,16 3 Modulo Contable 104,65 74,75 1,4 4 Módulo Reportes 189,76 131,78 1,44 Fuente: Elaboración propia 14 6. DESCRIPCIÓN GENERAL APLICACIÓN Y MÓDULO SELECCIONADO 6.1. APLICACIÓN SELECCIONADA El sistema integrado de información ADFI fue diseñado como una herramienta que permite automatizar las operaciones de las siguientes áreas en entidades del sector Gobierno o privadas: Presupuestos, Contabilidad, Tesorería, Nómina, Activos Fijos, Cuentas por cobrar, Cuentas por Pagar, Portafolio de Inversiones, compras (involucra almacén, compras e inventarios). Las Características generales del Sistema son: • • Diseño global, estructural, modular y parametrizable Diseño Moderno El sistema ha sido diseñado mediante la utilización de las tecnologías más avanzadas de herramientas de Software y las técnicas más modernas de la Ingeniería de Software. Se ha utilizado la filosofía de base de datos relacionales y lenguajes de programación de cuarta generación, bajo el esquema cliente/servidor. La parte cliente fue desarrollada con la herramienta Power Builder bajo Windows con motor Oracle. Sin embargo, puede ser migrada de otras bases de datos como DB2, Sysbase, Informix, Ingres, Sql - Server y en general, a cualquier herramienta que soporte ODBC. Así como, en cualquier ambiente UNIX o WINDOWS NT. La parte WEB, fue desarrollada en PHP. El módulo seleccionado según la metodología aplicada es el módulo de “Tesorería”. 6.2. MODULO SELECCIONADO El módulo de tesorería cuenta con dos opciones; la primera opción permite visualizar, registrar, modificar o eliminar registros de cuentas bancarias utilizadas por las instituciones y en la segunda se permite gestionar el de dinero y llevar reportes de tesorería. Los datos de entrada que se requieren para registrar una cuenta bancaria son: Compensación: Es el número de cámara de compensación asignado al banco. 15 Nombre de la cuenta bancaria: Nombre para diferenciar cuentas en un solo banco y evitar errores en la selección de la cuenta bancaria cuando se realicen pagos por el sistema. Nivel uno, Nivel dos y Nivel tres Centro de costo: No se digita nada. Siempre aparecerá el centro de costo en el cual está asignado el funcionario que ingresó al sistema. Saldo Manual: Es el saldo con el cual se comenzará la cuenta bancaria para el sistema. Normalmente corresponde al saldo real de la cuenta en el momento de creación en el sistema. Vigencia: Año o vigencia correspondiente. Obliga Chequera: Indicador para el sistema si cuando se gire de esta cuenta debe solicitar número de cheque. Se debe seleccionar “SI o NO”. Estado de la cuenta activa, inactiva: Indicador para el sistema del estado de la cuenta. Se debe seleccionar “AC o IN”. Tipo de cuenta: Ahorros, Corriente: Indicador para el sistema de tipo de cuenta. Se debe seleccionar “AH o CC”. Banco: Seleccionar el nombre del banco. Número de cuenta: Digitar el número de la cuenta bancaria o de ahorros. Código de cuenta: Código de la cuenta asignado por la institución. Para el ingreso de tesorería los datos de entrada que se requieren son: Rubro presupuestal: Es el primero que se debe seleccionar para continuar. Son los artículos u objetos de consumo que requiere la institución. Nivel uno, dos y tres Centro de costo: Centro de costo en el cual está asignado el funcionario que ingresó al sistema. Fecha de Creación: Se digita la fecha del día de la operación. Normalmente aparece la fecha del día en curso. Número recibo: Se digita el número del recibo utilizado en la consignación o pago. 16 Usuario: Aparecerá automáticamente el código del usuario que está conectado. Observaciones: Se digita la descripción del ingreso. Cuenta bancaria: Se debe seleccionar la cuenta bancaria donde se recibió el ingreso. Estado: Anulado, Activo: Es el estado de la cuenta bancaria. El sistema solo acepta “AN= Anulado o AC=Activo”. Se debe seleccionar alguno de los dos valores. Medio de Pago: Efectivo, Consignación, Cheque: Se debe seleccionar el medio de pago. El sistema solo acepta EF= Efectivo, CN=Consignación y CH= Cheque. Total, Ingreso: Digitar el valor del Ingreso. Identificación del tercero: Seleccionar el número de identificación del tercero que realizó el ingreso. Si el sistema no contiene el número de identificación del tercero, se debe crear primero por la opción de Terceros por municipio. Anulación: S,N: Seleccionar si el registro es una anulación del pago o no. El sistema solo permite seleccionar “Si” o “No”. Número Caja: Digitar el número de caja asignada por la institución. Ci n fuente financ: Se debe seleccionar la fuente de financiación dando click sobre la que corresponda. Identificación del Empleado: Seleccionar el empleado que está incluyendo la información del ingreso. Normalmente aparece el código del usuario de la institución. 17 7. FLUJOGRAMA 7.1. INICIO DE SESIÓN EN ADFI Figura 5. Flujograma de inicio de sesión. Fuente: Elaboración propia 18 7.2. CUENTA BANCARIA Figura 6. Flujograma de gestión de cuentas bancarias Fuente: Elaboración propia 19 7.3. INGRESOS DE TESORERÍA Figura 7. Flujograma de ingresos de tesorería Fuente: Elaboración propia 20 8. PROCESOS SIGNIFICATIVOS Figura 8. Procesos Significativos Fuente: Elaboración propia 9. BASE DE DATOS Ver documento anexo: “BD ADFI.pdf” 21 10. DISEÑO DE ENTRADAS Y SALIDAS Tabla 7. Diseño de entradas y salidas ENTRADAS SALIDAS Todas las entradas son manuales el Se generan reportes en formato “pdf” usuario debe de crear el mismo las los cuales se pueden almacenar en el cuentas bancarias y presupuestos. sistema para su posterior impresión. No se registra carga de datos al Toda transacción que se realice en el sistema por ningún otro medio. sistema de manera automática envía una copia digital a la secretaria de educación de Boyacá. Fuente: Elaboración propia 11. INTERFAZ DE LA APLICACIÓN SELECCIONADA El acceso al sistema ADFI WEB se realiza de la siguiente manera: En el explorador web con que se encuentre diríjase a la siguiente URL: “www.sedboyaca.gov.co”, saldrá la página de la secretaria de educación de Boyacá como se ilustra en la figura. 22 Figura 9. Portal Web Secretaria de educación de Boyacá Fuente: Elaboración propia Con el cursor pararse en Servicios SEB. Aquí se muestra el menú de opciones de servicios, donde se encuentra el acceso a ADFI. Dar click en “Ingreso sistema de Información Financiero ADFI”. Al ingresar por primera vez a la plataforma se encuentra un formulario de autenticación, con la ayuda de los administradores de la plataforma se logra conseguir un usuario y una contraseña para el ingreso Figura 10. Autenticación en aplicación Fuente: Elaboración propia 23 Una vez autenticados encontraremos en la parte superior el menú principal de la aplicación, en donde tenemos acceso a los ingresos, a los reportes al módulo de tesorería, al módulo de egresos, listado de terceros por municipio y al módulo de consultas Figura 11. Modulo Tesorería Fuente: Elaboración propia Al dar clic sobre la opción de tesorería nos encontraremos con un menú desplegable con dos opciones que son las cuentas bancarias y los ingresos de tesorería, ingresamos a la primera opción de cuentas bancarias Figura 12. Cuentas Bancarias ADFI Fuente: Elaboración propia En la sección de cuentas bancarias únicamente se permite crear, modificar o visualizar información sobre cuentas bancarias que utilizan las instituciones, si ingresamos a una cuenta bancaria veremos un formulario como el siguiente 24 Figura 13.Registro cuenta bancaria ADFI Fuente: Elaboración propia Dentro del formulario se deben ingresar datos como son compensación que es el número de cámara de compensación asignado al banco, también se encuentra el nombre de la cuenta, el nivel, el saldo, la vigencia, si obliga a chequera o no, si es cuenta de ahorros o corriente, número de cuenta y código de la cuenta. En la segunda opción del menú desplegable del módulo de tesorería encontramos la opción de ingresos de tesorería 25 Figura 14. Ingreso Tesorería ADFI Fuente: Elaboración propia En esta sección se permiten registrar todos los ingresos presupuestales dependiendo del rubro o los rubros que se tengan, ya seleccionado el rubro aparece un formulario como el siguiente Figura 15. Registro Tesorería ADFI Fuente: Elaboración propia En donde se ingresa la fecha de creación o cuando se realizó la operación o movimiento de dinero, en el campo aparece por defecto la fecha actual, se digita el número del recibo utilizado en la consignación o en el pago, se ingresa el usuario que lo realizó y los datos del banco utilizado y otros datos que requiere la plataforma. 26 12. GUÍA DE EVALUACIÓN DE CONTROLES 12.1. ORIGEN DE LAS TRANSACCIONES OBJETIVO: Evaluar los procedimientos en el origen de las transacciones Tabla 8. Control Origen de las Transacciones N° C1 C2 C3 C4 C5 C6 CRITERIO ¿Se puede verificar la integridad y veracidad de los datos que van a ser analizados? ¿Se encuentran contenidos los procedimientos operativos de los datos permitidos a ingresar en una guía para su manejo? ¿Existen formatos preestablecidos para la realización de las actividades tales como cuentas bancarias? ¿Existe una adecuada separación funcional entre el origen de los datos y la custodia de los activos asociados? ¿Los documentos fuentes llevan una firma para facilitar su rastreo? ¿Existe una enumeración de los paquetes de archivos en forma secuencial para evitar riesgos SI NO NA OBSERVACIONES X X X X X X 27 Se tienen en cuenta la separación de información que va a ser usada para el ingreso de datos, por medio de distintos formularios preimpresos Todos los documentos llevan la firma del contador designado o del encargado. Todos los documentos tienen un código de identificación. por pérdida? C7 C8 C9 ¿Es limitado el acceso a los documentos exclusivamente al personal autorizado? X ¿Existe implementación de correcciones en los documentos? X ¿La documentación del sistema es suficientemente clara y comprensible para garantizar un eficiente manejo? X Fuente: Elaboración propia 28 Solo la persona autorizada tiene la potestad de realizar cambios en los documentos. Hay aspectos que no se describen a profundidad en la documentación. 12.2. ENTRADA DE DATOS OBJETIVO: Evaluar los procedimientos en la entrada de datos. Tabla 9. Control Entrada de Datos N° CRITERIO C10 ¿Existe una examinación doble de los campos críticos para asegurar su exactitud? C11 SI ¿Existe una verificación del contenido de las etiquetas internas y externas para evitar uso de archivos equivocados? NO NA OBSERVACIONES X Solo se realiza un registro único el cual es validado al terminar de llenar la información y enviar el formulario. X No existe tal verificación de que el mismo archivo interno sea externo por medio de etiquetas. ¿El sistema permite validar los datos que son ingresados? C12 X ¿Existe entrenamiento para el personal de operación? C13 C14 X ¿Los registros en el sistema mantienen la sencillez del proceso, ajustado a las necesidades del usuario? Se realizan frecuentes capacitaciones a las personas encargadas del soporte. . X 29 C15 C16 C17 C18 C19 ¿En el ingreso de los datos, la aplicación posee adecuados mensajes de ayuda, con el fin de facilitar los ingresos de estos y advertir sobre algún error cometido, indicando la clase de error? Pero existen mensajes de errores con términos muy técnicos para los usuarios. X ¿Se brindan alternativas de ingreso de datos al sistema para mejorar su desempeño en la entrada de los datos? ¿Se restringe el acceso a los usuarios de acuerdo a las funciones de cada cargo, disminuyendo el riesgo de que personas no autorizadas que puedan leer, modificar, adicionar, eliminar datos? X Solo se tiene una entrada al sistema si falla el portal Web de la secretaria de educación falla el sistema. Se manejan roles dentro de la aplicación. X ¿Existe un registro de los datos que están pendientes por procesar? X ¿Son evaluadas las habilidades y el cumplimiento de las funciones por parte de los operadores que interactúan con el sistema? X Fuente: Elaboración propia 30 No existe un control de espera que almacene datos a procesar Se está capacitando constantemente al personal de soporte pero no se evalúa el desempeño que tienen hacia el uso del Software. 12.3. COMUNICACIÓN DE LOS DATOS OBJETIVO: Evaluar los procedimientos en la comunicación de datos. Tabla 10. Control Comunicación de los Datos N° CRITERIO C20 ¿Existe verificación física (MAC) de las terminales autorizadas para el ingreso al sistema? C21 ¿Existe gestión redes de telecomunicación entre dependencias y sucursales cercanas de la empresa? C22 ¿Se registra el tipo de error, hora, fecha, el terminal, el nombre del operador y el número de veces que se presenta el fallo? C23 SI NO NA OBSERVACIONES Se vienen desarrollando informes que permitan demostrar la necesidad de verificar la MAC. X X La aplicación es distribuida y la gestión de redes va de acuerdo a normas propuestas para cada dependencia X ¿Existen fuentes de energía alterna que prevengan la caída del sistema y daños en el mismo? X ¿Existen políticas de seguridad y privacidad para todo el circuito de Se ha pensado en la posibilidad de comprar una UPS, está en proceso de evaluación. . 31 C24 comunicación de datos? C25 ¿Los programas que procesan datos confidenciales están almacenados en áreas protegidas de la memoria principal o secundaria? X Se tiene designada un área en específica para proteger los equipos en el cual solo puede ingresar personal autorizado. X Fuente: Elaboración propia 12.4. PROCESAMIENTO DE DATOS OBJETIVO: Evaluar los procedimientos en el procesamiento de datos. Tabla 11. Control Procesamiento de Datos N° CRITERIO SI C26 ¿Se hace uso de códigos de transacción para indicar el tipo de documento y la transacción que se realiza? X C27 C28 ¿Existe supervisión de la razonabilidad de los datos tanto manual como en la aplicación? ¿Los operadores del computador trabajan con base en un conjunto de procedimientos debidamente autorizados? X X 32 NO NA OBSERVACIONES C29 C30 C31 ¿Se programan revisiones periódicas por parte de personal especializado a la aplicación a nivel de bases de datos y tiempos de respuesta del sistema? ¿Se programan revisiones periódicas a los periféricos de entrada, salida y almacenamiento del sistema? ¿Los operadores del computador trabajan con base en un conjunto de procedimientos debidamente autorizados? C32 ¿Se hace uso de claves de seguridad que impiden el acceso no autorizado? C33 ¿Se tiene una versión anterior del sistema en caso de presentar actualizaciones fallidas en versiones posteriores? C34 X ¿Los nuevos programas cargados en las terminales distribuidas se revisan periódicamente? X No se tiene una bitácora de actividades ni cronograma de actividades relacionadas a este aspecto. No se tiene una bitácora de actividades ni cronograma de actividades relacionadas a este aspecto. X X X X Fuente: Elaboración propia 33 El sistema no tiene versiones previas, solo se encuentra una versión la cual es la que se encuentra en funcionamiento 12.5. ALMACENAMIENTO Y RECUPERACIÓN DE DATOS OBJETIVO: Evaluar los procedimientos en el almacenamiento y recuperación de datos. Tabla 12. Controles de Almacenamiento y Recuperación de Datos N° CRITERIO SI C35 ¿Cuenta con librerías en plataformas de servicios en la nube para el almacenamiento de archivos que maneja la empresa? X C36 ¿Cuenta con librerías para conservar el programa fuente antiguo cuando se ingresa uno nuevo? C37 NO C38 C39 ¿Se protegen ciertos archivos por criterio de la dirección mediante el uso de contraseñas? OBSERVACIONES Cuenta con librerías y se paga por una licencia anual con Amazon X ¿Los archivos de los sistemas se dividen en grupos para efectos de control? ¿Se clasifican los archivos por niveles de importancia de acuerdo con el criterio del contador? NA X X X 34 No se identifica relación con el contador para verificar que se cumpla la acción. . C40 C41 C42 ¿Se realiza inspecciones a los archivos críticos por parte de un operador, para descubrir archivos incorrectos o ilógicos? ¿Se realizan copias de seguridad (Backups) para salvaguardar la integridad de la información? X Se tienen almacenados en registros físicos y digitales copias de archivos críticos y copias de seguridad en la nube. X ¿Existen etiquetas internas y externas para identificar los archivos en materia de nombre, número de serie, fecha de creación y otros aspectos? X Fuente: Elaboración propia 35 12.6. SALIDA DE INFORMACIÓN OBJETIVO: Evaluar los procedimientos en la salida de la información. Tabla 13. Controles Salida de Información N° CRITERIO C43 ¿Se comparan los totales de entrada con los totales de salida? SI NO C44 X C45 ¿Los informes emitidos por el sistema, se registran de acuerdo a sus características más importantes? X C46 ¿El manual de sistema establece los procedimientos de salida para cada aplicación como un rótulo, hora y fecha? C47 ¿Los informes contienen: Fecha de preparación, descripción, usuario y número de procesamiento? OBSERVACIONES Existe una persona que siempre se encarga de auditar esta información. X ¿Se comparan las transacciones de entrada con las de salida para asegurar el procesamiento de los datos? NA X Se indago esta información y no se encontró relación de lo que dice en el manual de usuario a lo que evidencia. . X 36 C48 C49 ¿Se hace destrucción de todas las transacciones abortadas para evitar efectos fraudulentos? ¿Los reportes estadísticos confidenciales de uso de la plataforma permanecen en lugares confiables? Todas las transacciones abortadas se almacenan para generar un informe que corrobora el contador. X X Fuente: Elaboración propia 12.7. SEGURIDAD FÍSICA OBJETIVO: Evaluar los procedimientos en la seguridad física. Tabla 14. Control Seguridad Física N° CRITERIO C50 ¿Los equipos del sistema están protegidos por alarmas y cerraduras de combinación para evitar usos fraudulentos? C51 ¿Se lleva un control de acceso e identificación de paquetes, vehículos y bienes de la empresa? SI 37 NO NA OBSERVACIONES X Los equipos se encuentran a disposición del personal sin importar el papel que desempeñen X Existe un inventario general pero no detallado sobre cada elemento que se posee. C52 C53 C54 ¿El sitio de trabajo se encuentra vigilado por personal de seguridad para evitar el ingreso de personas no autorizadas y malintencionada? X ¿El sistema se encuentra resguardado por alarmas de detección de personas? ¿La empresa se encuentra custodiada por mecanismos de apertura y cierre tales como cerraduras de llave o combinación, electrónicas? El edificio tiene una persona encargada de seguridad para todos los establecimientos. X . X ¿Los equipos se encuentran ubicados lejos de las ventanas? C55 C56 X ¿Se revisa periódicamente que todas las conexiones del sistema estén en un estado correcto para su funcionamiento y que no presenten daños ni aberturas que impidan la comunicación? Al realizar la visita a la empresa no se registró un sistema de alarma de detección de intrusos. X 38 Algunos equipos se encuentran muy cerca de las ventanas que dan acceso a la calle. C57 C58 C59 C60 ¿El servidor se encuentra ubicado en un área que cumpla con las normas mínimas de seguridad? X ¿La empresa cuenta con detectores de calor, humo e incendios? ¿Existen extintores especiales en el centro de cómputo para apagar fuego en caso de incendios, fallos eléctricos, entre otros? El servidor no se encuentra en un área específica sino en área común dentro de la empresa. X X ¿Se utilizan tarjetas inteligentes para garantizar que no se ingrese al área de cómputo sin autorización? X Fuente: Elaboración propia 39 Se observa el uso de tarjetas inteligentes en la entrada del edificio pero no en las oficinas de la empresa 13. HOJA EVALUACIÓN DE CONTROLES 13.1. ORIGEN DE LAS TRANSACCIONES Tabla 15. Evaluación de Controles Origen de las Transacciones N° CONTROL DESCRIPCIÓN C8 Deben de seguir los lineamientos y normas que permitan identificar los formularios pre-impresos que tiene errores para prevenir fraudes al ser usados así no tengan validez por manos de terceros. C9 Se deben de especificar detalladamente todos los campos de los registros a llenar por medio de un instructivo antes de ser ingresado al sistema. Fuente: Elaboración propia 13.2. ENTRADA DE DATOS Tabla 16. Evaluación de Controles Entrada de Datos N° CONTROL DESCRIPCIÓN C10 Se deben de implementar la validación y registro de un segundo campo en registro que sean de vital importancia o que puedan traer repercusiones al ser mal ingresado al sistema. C11 Es importante implementar un sistema que permita hacer un seguimiento por medio de etiquetas a los datos de entrada y los que se va a encontrar en el sistema que sea único e irrepetible, 40 C16 Se debe de pensar una forma de poder ingresar al sistema llegado el caso de que el dominio principal de la secretaria de educación de Boyacá presente fallas. C18 Se debe de diseñar e implementar un registro que permita llevar un control de las operaciones en estado de espera para evitar posibles fraudes. C19 Constantemente se deben de realizar evaluaciones para corroborar que el sistema se esté usando de la manera en que fue diseñado y pueda dar los resultados esperados. Fuente: Elaboración propia 13.3. COMUNICACIÓN DE LOS DATOS Tabla 17. Evaluación de Controles Comunicación de los Datos N° CONTROL DESCRIPCIÓN C20 Es importante tener un registro donde se almacene la dirección MAC del usuario que ingreso al sistema para poder controlar si existe algún tipo de modificación, creación y desarrollo de algún tipo de fraude que no haya sido autorizada o se haya hecho con otros fines. C22 Se debe de crear un log que permita registra el tipo de error, hora, fecha, el terminal, el nombre del operador y el número de veces que se presenta el fallo para correlacionar si el sistema está presentando fallas esporádicas o es una falla temporal y poder dar solución al problema. 41 C23 Se debe de pensar en la implementación de una fuente eléctrica externa UPS para permitir el funcionamiento del sistema 24/7 en cualquier caso que se requiera especialmente para el funcionamiento del servidor. Fuente: Elaboración propia 13.4. PROCESAMIENTO DE DATOS Tabla 18. Evaluación de Controles de Procesamiento de Datos N° CONTROL DESCRIPCIÓN C29 Se debe crear un cronograma de revisiones periódicas para permitir evaluar rendimientos en la base de datos en la creación, eliminación y consulta de datos C30 Se debe de crear una bitácora y registro de los dispositivos periféricos de entrada y salida para prevenir posibles errores de hardware que se puedan presentar C32 Es importante mejorar la seguridad de las claves que permita números, letras, símbolos y combinación de mayúsculas y minúsculas para controlar el acceso a la información. C33 Es importante crear puntos de restauración de factores críticos que permitan controlar fallas al sistema si se llegasen a presentar. Fuente: Elaboración propia 42 13.5. ALMACENAMIENTO Y RECUPERACIÓN DE LOS DATOS Tabla 19. Evaluación de Controles Almacenamiento y Recuperación de Datos N° CONTROL DESCRIPCIÓN C36 Es importante contrarrestar la actualización del sistema por medio de Backups de funciones vital del sistema que pueda ser reutilizado al migrar el sistema a uno más moderno sin perder información. C38 Se deben de implementar mecanismos de identificación de archivos vitales que puedan ser reconocidos fácilmente para él o las personas que van hacer usos de estos. C39 Para evitar fraude en la modificación de archivos vitales dentro del sistema es importante cifrar estos con el fin de que solo puedan ser salvaguardados de manera segura y no puedan caer en manos de terceros. C40 Es importante tener personal capacitado que pueda ayudar a descubrir posibles fallas del sistema y ser reportadas a la gerencia. C42 Se deben de crear etiquetas claras que permitan la fácil identificación cuando se haga una consulta de la base de datos cuando el usuario lo requiera y pueda ser mostrada con transaccionalidad. Fuente: Elaboración propia 43 13.6. SALIDAS DE INFORMACIÓN Tabla 20. Evaluación de Controles Salidas de Información N° CONTROL DESCRIPCIÓN C46 Se deben de especificar con exactitud en el manual de usuario las salidas de los informes tal cual como se esperaría que salga, desde la fecha de inicio del registro hasta la fecha del mismo. C48 De no ser posible la eliminación de algunos archivos que se encuentren, se debe de bloquear el acceso a mismos a través de una contraseña maestra la cual es dada a la persona que corresponda. Fuente: Elaboración propia 13.7. SEGURIDAD FÍSICA Tabla 21. Evaluación de Controles Seguridad Física N° CONTROL DESCRIPCIÓN C50 Se debe restringir el acceso a los equipos ya sea por medio de contraseñas, cerraduras o ubicación de lugares estratégicos para contrarrestar posibles riesgos. C51 Es importante crear un inventario detallado de los vehículos, paquetes, y bienes que posea la empresa, así mismo llevar una bitácora de lo que entra y sale. 44 C53 Se recomienda adquirir un sistema de alarma de detección de intrusos. C55 Es recomendable reorganizar la ubicación de los escritorios y los equipos de cómputo alejándolos de las ventajas para prevenir posibles accidentes que se puedan presentar. C57 Se recomienda diseñar un espacio especialmente para la ubicación del servidor, donde se cumplan con las características de seguridad mínimas C58 Al permanecer el servidor encendido todo el tiempo, se recomienda contar con detectores de calor, humo o incendios para prevenir riesgos que se puedan presentar provocados por fuego. C60 Para el acceso al centro de cómputo se recomienda instalar un sistema de acceso a través de tarjetas inteligente para aumentar la seguridad de ingreso. Fuente: Elaboración propia 45 14. MATRIZ DE ANÁLISIS DE RIESGOS 14.1. ORIGEN DE LAS TRANSACCIONES Tabla 22. Análisis de Riegos Origen de las Transacciones ERROR POTENCIAL POSIBLE CAUSA DEL ERROR RIESGO INHERENTE CONTROL CONFIA RELACIO BILIDA NADO D Desconocimiento de lineamientos y normas para el llenado de formularios tales como Mala ejecución cotizaciones, órdenes de las Alto de compra, remisiones actividades entre otras, por parte del personal que desarrolla las actividades. C8 Alta No se especifica a detalle cómo se deben de preparar la Alto información antes de ser ingresada al sistema. C9 Alta Malentendidos a la hora de ingresar información al sistema Fuente: Elaboración propia 46 14.2. ENTRADA DE DATOS Tabla 23. Análisis de Riesgo Entrada de Datos ERROR POTENCIAL Se ingresar erróneos sistema. POSIBLE CAUSA DEL ERROR No se tiene pueden implementado la datos validación y registro de al campos dobles en registros importantes. RIESGO INHERENTE CONTROL CONFIA RELACIO BILIDA NADO D Alto C10 Alta Se pueden tener malentendidos por el seguimientos de información ingresada al sistema y que no corresponda No se tiene implementado un mecanismo de seguimiento de la información por medio de etiquetas. Alto C11 Alta El sistema no está disponible 24/7 se depende de la página de la secretaria de educación de Boyacá. Dependen estrictamente de la página principal de la secretaria de educación de Boyacá. Alto C16 Alta Se pueden presentar fraudes al no tener un lista de espera por fechas ni secuencia No se tiene implementado un registro que permita llevar un control de las operaciones en estado de espera para evitar posibles fraudes. Alto C18 Alta 47 El personal que hace uso del Software puede cometer errores al ingresar los datos No se realizan evaluaciones para corroborar que el sistema se esté usando de la manera en que fue diseñado y pueda dar los resultados esperados. Alto C19 Alta Fuente: Elaboración propia 14.3. COMUNICACIÓN DE LOS DATOS Tabla 24. Análisis de Riesgos Comunicación de los Datos ERROR POTENCIAL POSIBLE CAUSA DEL ERROR No se tiene un registro donde se almacene la dirección MAC del No se podría usuario que ingreso al identificar si hubo sistema para poder manipulación controlar si existe algún malintencionada tipo de modificación, del sistema por creación y desarrollo de parte de terceros algún tipo de fraude que no haya sido autorizada o se haya hecho con otros fines. 48 RIESGO INHERENTE Alto CONTROL CONFIA RELACIO BILIDA NADO D C20 Alta No se puede llevar un control de cuando el sistema presenta fallas y con qué frecuencia. No se posee un log que permita registra el tipo de error, hora, fecha, el terminal, el nombre del operador y el número de veces que se presenta el fallo para correlacionar si el sistema está presentando fallas esporádicas o es una falla temporal y poder dar solución al problema. Medio C22 Alta El sistema no estaría disponible 24/7 cuando los usuarios del sistema lo necesiten. No se tiene implementada una fuente eléctrica externa UPS para permitir el funcionamiento del sistema 24/7 en cualquier caso que se requiera especialmente para el funcionamiento del servidor. Alta C23 Alta Fuente: Elaboración propia 49 14.4. PROCESAMIENTO DE DATOS Tabla 25. Análisis de Riesgos Procesamiento de Datos CONTRO L RELACIO NADO CONFI ABILID AD ERROR POTENCIAL POSIBLE CAUSA DEL RIESGO ERROR INHERENTE Puede presentar bajo rendimiento de respuesta a causa de un mal diseño de la base de datos No se tiene cronograma de revisiones periódicas para permitir evaluar rendimientos en la base de datos en la creación, eliminación y consulta de datos Medio C29 Alta Pueden presentarse daños inesperados en el funcionamiento de los del hardware y no estar preparados No se tiene una bitácora y registro de los dispositivos periféricos de entrada y salida para prevenir posibles errores de hardware que se puedan presentar Alto C30 Alta El código fuente puede ser modificado por manos de terceros y cometer fraude No se posee una clave de seguridad que permita números, letras, símbolos y combinación de mayúsculas y minúsculas para controlar el acceso a la información. Alta C32 Alta 50 El sistema puede presentar fallas en factores críticos del sistema No se tiene puntos de restauración de factores críticos que permitan controlar fallas al sistema si se llegasen a presentar. Alta C33 Alta Fuente: Elaboración propia 14.5. ALMACENAMIENTO Y RECUPERACIÓN DE LOS DATOS Tabla 26. Análisis de Riesgos Almacenamiento y Recuperación de Datos POSIBLE CAUSA DEL ERROR Al realizar alguna actualización el sistema tomaría mucho tiempo en añadirle nuevas funciones o mejorar las ya existentes No se tienen Backups de funciones vitales del sistema que pueda ser reutilizado al migrar el sistema a uno más moderno sin perder información Medio C36 Alta Al recuperar datos se debe de tener presente que el mismo dato que se desea sea el mismo que se extrae No se tienen implementados mecanismos de identificación de archivos vitales que puedan ser reconocidos fácilmente para él o las personas que van hacer usos de estos. Medio C38 Alta 51 RIESGO INHERENTE CONTROL CONFIA RELACIO BILIDA NADO D ERROR POTENCIAL Modificación de archivos aflamencados en la base de datos al no estar cifrados Fraude en la modificación de archivos vitales dentro del sistema al no estar cifrados. Alta C39 Alta Si se presenta fallas en el sistema los arreglos pueden tardar más tiempo del esperado Hay poco personal capacitado que pueda ayudar a descubrir posibles fallas del sistema y ser reportadas a la gerencia. Alta C40 Alta Al realizar recuperación de datos se pueden presentar inconsistencia s en los archivos solicitados. No se tiene etiquetas claras que permitan la fácil identificación cuando se haga una consulta de la base de datos cuando el usuario lo requiera y pueda ser mostrada con transaccionalidad. Media C42 Alta Fuente: Elaboración propia 52 14.6. SALIDAS DE INFORMACIÓN Tabla 27. Análisis de Riesgos Salidas de Información ERROR POTENCIAL POSIBLE CAUSA DEL ERROR RIESGO INHERENTE No se tiene especificado Se pueden con exactitud en el presentar manual de usuario las errores de salidas de los informes malinterpretaci tal cual como se ón en los esperaría que salga, resultados desde la fecha de inicio obtenidos del registro hasta la fecha del mismo. Se pude incurrir en fraude en la obtención de estos archivos Eliminación de algunos archivos que se encuentren, se debe de bloquear el acceso a mismos a través de una contraseña maestra la cual es dada a la persona que corresponda. Fuente: Elaboración propia 53 CONTROL CONFIA RELACIO BILIDAD NADO Medio C46 Alta Alto C48 Alta 14.7. SEGURIDAD FÍSICA Tabla 28. Análisis de Riesgos Seguridad Física POSIBLE CAUSA DEL ERROR Se puede incurrir en pérdidas materiales, manipulación del sistema a través estos equipos No se restringe el acceso a los equipos ya sea por medio de contraseñas, cerraduras o ubicación de lugares estratégicos para contrarrestar posibles riesgos. Medio C50 Alta No existen control de los bienes que posee la empresa No se posee inventario detallado de los vehículos, paquetes, y bienes que posea la empresa, así mismo llevar una bitácora de lo que entra y sale. Medio C51 Alta Se puede No se tiene sistema de cometer delitos alarma de detección de por intrusos intrusos. Medio C53 Alta Se pueden presentar incidentes a raíz del rompimiento tan cerca de las ventanas a los equipos y personal cerca. Medio C55 Alta Ubicación de los escritorios y los equipos de cómputo cerca ventajas 54 RIESGO INHERENTE CONTROL CONFIA RELACIO BILIDA NADO D ERROR POTENCIAL Daños sobre el servidor, lo que conlleva a inhabilidad del sistema Ubicación del servidor, en un espacio donde no cumple con las normas de seguridad mínimas Alto C57 Alta Daños por fuego No se poseen en el centro de detectores de calor, cómputo. humo o fuego Alto C58 Alta Podría existir manipulación de la chapa de No se posee un sistema entrada o copia de acceso a través de sin autorización tarjetas inteligentes de la llave de ingreso Medio C60 Alta Fuente: Elaboración propia 15. DEFICIENCIAS Y RECOMENDACIONES Tabla 29. Deficiencias y Recomendaciones RECOMENDACIÓN DEFICIENCIA Los manuales del sistema no Se propone actualizar la documentación especifican a detalle ciertos puntos lo del sistema para garantizar un eficiente que ocasiona dificultad en el desarrollo manejo por parte del personal. de las actividades por parte del personal. Se presenta errores en el ingreso de Hacer una revisión doble a los campos datos causando incoherencia en la más importantes a la hora de ingresar información. los datos al sistema. 55 Se presenta desorden en los formatos y Se sugiere realizar un listado de documentos que se requieren ingresar registros pendientes de los datos que al sistema causando registros erróneos están por ingresar al sistema. en la entrada de datos al sistema No se lleva un control de los Se recomienda realizar una verificación computadores o puntos de acceso que de los equipos de cómputo autorizados ingresan al sistema generando ingresos para el ingreso al sistema. no autorizados. Pérdida de conexión entre los Se recomienda emplear módems de computadores o puntos de acceso al respaldo sistema a causa de fallas en el hardware del módem. No hay listas que permitan informar la existencia de fallos en la comunicación en los computadores o puntos de acceso Se recomienda registrar el tipo de error, la hora, la fecha, el punto de acceso, el empleado y el número de veces que se presenta el fallo No existen guías que indiquen cómo corregir los errores que se presentan en la comunicación entre los computadores que tienen el sistema. Se propone crear una línea de ayuda del sistema para solventar los inconvenientes de procedimientos para la corrección de errores. Se presentan fallas en el suministro Adquirir una UPS (Sistema de eléctrico causando caídas del sistema y alimentación ininterrumpida) que tenga generando pérdida de la información. un límite de tiempo mínimo de 30 minutos. Los periféricos o elementos de entrada, Realizar un mantenimiento periódico a salida y procesamiento presentan bajo los periféricos o elementos de entrada, rendimiento. salida y procesamiento de la información por parte de personal especializado, además proteger estos elementos adecuadamente. 56 No se cuenta con copias de seguridad Hacer uso de copias de seguridad antes de los archivos que maneja la empresa de realizar cambios en los archivos, generando pérdida de la información. además de utilizar alternativas de almacenamiento como librerías en la nube o librerías virtuales No se cuenta con librerías para Se recomienda utilizar librerías para almacenar las versiones anteriores del conservar versiones anteriores o aplicativo posteriores del sistema. Los archivos que maneja el sistema no Realizar clasificación de los archivos de se almacenan en orden de importancia acuerdo con el criterio del gerente ocasionando desorden en la información No se lleva un registro de errores Dictaminar y examinar los archivos de presentados en la salida de los datos errores para su revisión. para su posterior revisión ocasionando que algunos errores se pasen por alto. No se cuenta con personal de seguridad que salvaguarde los bienes de la empresa causando Ingreso de personas no autorizadas a la empresa Se recomienda contratar un servicio de vigilancia para evitar el ingreso de personas no autorizadas y malintencionadas. El servidor se encuentra ubicado en el Se recomienda reubicar el servidor en primer piso lo que representa un riesgo un área que cumpla con las normas frente a inundaciones. mínimas de seguridad. No se tiene detectores de calor, humo e Hacer uso de dispositivos de alarma incendios en ningún área de la para detectar de manera oportuna focos empresa. de calor, humo e incendios en algunas áreas de la empresa. No se cuenta con extintores contra incendios especiales en el centro de cómputo, los cuales deben estar compuestos a base de polvo químico seco o bióxido de carbono. Implementar extintores adecuados al centro de cómputo los cuales deben estar compuestos a base de polvo químico seco o bióxido de carbono. 57 No existen dispositivos electrónicos que Se propone establecer identificadores garanticen la seguridad al ingresar al electrónicos que garanticen la seguridad área de cómputo causando ingresos de al ingresar al área de cómputo. personal no autorizados al área de sistemas. Fuente: Elaboración propia 58