Indice
1.
Introducción
2. Relevamiento
3. Comunicaciones
A. Organización Y Administración Del Area
1. Comité y Plan
Informático
a. Situación
Con respecto al relevamiento efectuado, hemos notado lo
siguiente:
- No existe un Comité de Informática o al menos no se encuentra
formalmente establecido. - No existe ninguna metodología de planificación, concepción y/o
seguimiento de proyectos.
b. Efectos y/o implicancias probables
- Posibilidad de que las soluciones
que se implementen para resolver problemas
operativos sean parciales, tanto en Hardware como
en Software. - Falta de conocimiento sobre las inversiones necesarias, ante nuevas exigencias
o prestaciones que se deban implementar para
atender la operatoria de la Cooperativa.
c. Indice de importancia establecida
1 ( uno )
d. Sugerencias
- Establecer un Comité de Informática
integrado por representantes de las áreas funcionales
claves ( Gerencia
Administrativa, responsables de las Áreas Operativas,
responsables de Informática y el responsable
Contable). - Reunirse por lo menos una vez al mes.
- Trazar los lineamientos de dirección del Área de
Informática. - Implementar normas y/o
procedimientos que aseguren la eficaz
administración de los recursos
informáticos, y permitan el crecimiento coherente del
área conforme a la implementación de las
soluciones que se desarrollen y/o se requieran de
terceros.
2. Organización y Administración del
Área
a. Situación
Con respecto a la
organización y Administración del Área
Informática, hemos observado lo siguiente:
- El área adolece de una estructura
organizacional. - Existe una exigua cantidad de funcionarios
capacitados, afectados al área de sistemas,
con lo cual se evidencia heterogeneidad de tareas
desarrolladas con una misma persona. - Ausencia de manual de
funciones para cada puesto de trabajo dentro del
área.
b. Efectos y/o implicancias probables
- La escasez de personal
debidamente capacitado, aumenta el nivel de riesgo de
errores al disminuir la posibilidad de los controles internos
en el procesamiento de la información; y limita la cantidad de
soluciones que pueden implementarse en tiempo y
forma oportuna a los efectos de satisfacer los requerimientos
de las áreas funcionales.
c. Índice de importancia establecida
1 ( uno )
d. Sugerencias
- Establecer una estructura
organizacional del área de la siguiente
manera: - Gerencia del Área
Informática. - Jefe del Área.
- Desarrollo y mantenimiento de
aplicaciones. - Soporte técnico.
- Centro de atención a usuarios.
- Otros.
- Gerencia del Área
- Se establezca un manual de
funciones
para cada uno de los cargos funcionales en que se sub-divida
el área de cómputos.
B. Seguridad
Física Y
Lógica
1. Entorno General
a. Situación
Durante nuestra revisión, hemos observado lo
siguiente:
- No existe una vigilancia estricta del Área
de Informática por personal de seguridad dedicado a
este sector. - No existe detectores, ni extintores
automáticos. - Existe material altamente inflamable.
- Carencia de un estudio de vulnerabilidad de la
Cooperativa, frente a las riesgos
físicos o no físicos, incluyendo el riesgo
Informático. - No existe un puesto o cargo especifico para la
función de seguridad
Informática.
b. Efectos y/o implicancias probables
- Probable difusión de datos
confidenciales. - Alta facilidad para cambios involuntarios o
intencionales de datos, debido a la falta de controles
internos. - Debido a la debilidad del servicio
de mantenimiento del equipo central, la continuidad de las
actividades informáticas podrían verse
seriamente afectadas ante eventuales roturas y/o desperfectos
de los sistemas.
c. Índice de importancia establecida
0 ( cero )
d. Sugerencias
A los efectos de minimizar los riesgos descriptos, se
sugiere:
- Establecer guardia de seguridad, durante horarios
no habilitados para el ingreso al Área de
Informática. - Colocar detectores y extintores de incendios
automáticos en los lugares necesarios. - Remover del Centro de Cómputos los materiales
inflamables. - Determinar orgánicamente la función
de seguridad. - Realizar periódicamente un estudio de
vulnerabilidad, documentando efectivamente el mismo, a los
efectos de implementar las acciones
correctivas sobre los puntos débiles que se
detecten.
2. Auditoría de Sistema
a. Situación
- Hemos observado que la Cooperativa no cuenta con
auditoría Informática , ni con
políticas formales que establezcan
responsables, frecuencias y metodología a seguir para
efectuar revisiones de los archivos de
auditoría. - Cabe destacar que el sistema
integrado posee un archivo que
pudiera servir de auditoria Informática, el cual no es
habilitado por falta de espacio en el disco
duro.
b. Efectos y/o implicancias probables
- Posibilidad de que adulteraciones voluntarias o
involuntarias sean realizadas a los elementos componentes del
procesamiento
de datos (programas,
archivos de datos, definiciones de seguridad de acceso, etc )
o bien accesos a datos confidenciales por personas no
autorizadas que no sean detectadas oportunamente.
c. Índice de importancia establecida
0 ( cero )
d. Sugerencias
- Establecer normas y procedimientos en los que se
fijen responsables, periodicidad y metodología de
control de
todos los archivos de auditoria que pudieran existir como
asimismo, de todos los elementos componentes de los sistemas
de aplicación.
3. Operaciones de
Respaldo
a. Situación
Durante nuestra revisión hemos observado que:
- Existe una rutina de trabajo de tomar una copia de
respaldo de datos en Disckett, que se encuentra en el recinto
del centro de cómputos, en poder del
auxiliar de informática. - Si bien existen la copia de seguridad, no se poseen
normas y/o procedimientos que exijan la prueba
sistemática de las mismas a efectos de establecer los
mínimos niveles de confiabilidad.
b. Efectos y/o implicancias probables
- La Cooperativa está expuesta a la perdida de
información por no poseer un chequeo
sistemático periódico de los back-up's, y que los
mismas se exponen a riesgo por encontrarse en poder del
auxiliar de informática.
c. Índice de importancia establecida
0 ( cero )
d. Sugerencias
Minimizar los efectos, será posible a través
de:
- Desarrollar normas y procedimientos generales que
permitan la toma de respaldo necesarios, utilitario a
utilizar. - Realizar 3 copias de respaldos de datos en Zip de
las cuales, una se encuentre en el recinto del área de
informática, otra en la sucursal más cercana y
la última en poder del Jefe de
área. - Implementar pruebas
sistemáticas semanales de las copias y distribución de las mismas.
4. Acceso a usuarios
a. Situación
De acuerdo a lo relevado hemos constatado que:
- Existen niveles de acceso permitidos, los cuales
son establecidos conforme a la función que cumple cada
uno de los usuarios. - Los usuarios definidos al rotar o retirarse del
local no son borrados de los perfiles de acceso. - Las terminales en uso y dado un cierto tipo de
inactividad no salen del sistema. - El sistema informático no solicita al
usuario, el cambio del
Password en forma mensual.
b. Efectos y/o implicancia probables
- Existe la imposibilidad de establecer
responsabilidades dado que esta se encuentra dividida entre
el área de sistema y los usuarios finales. - La falta de seguridad en la utilización de
los Password, podrían ocasionar fraudes por
terceros.
c. Índice de importancia establecida
2 ( dos )
d. Sugerencia
- Implementar algún software de seguridad y
auditoria existente en el mercado o
desarrollar uno propio. - Establecer una metodología que permita
ejercer un control efectivo sobre el uso o
modificación de los programas o archivos por el
personal autorizado.
5. Plan de Contingencias
a. Situación
En el transcurso de nuestro trabajo hemos observado lo
siguiente:
- Ausencia de un Plan de Contingencia debidamente
formalizado en el Área de
Informática. - No existen normas y procedimientos que indiquen las
tareas manuales e
informáticas que son necesarias para realizar y
recuperar la capacidad de procesamiento ante una eventual
contingencia ( desperfectos de equipos, incendios, cortes de
energía con más de una hora ), y que determinen
los niveles de participación y responsabilidades del
área de sistemas y de los usuarios. - No existen acuerdos formalizados de Centro de
Cómputos paralelos con otras empresas o
proveedores que permitan la
restauración inmediata de los servicios
informáticos de la Cooperativa en tiempo oportuno, en
caso de contingencia.
b. Efectos y/o implicancia probable
- Pérdida de información
vital. - Pérdida de la capacidad de
procesamiento.
c. Índice de Importancia relativa
1 ( uno )
d. Sugerencias
- Establecer un plan de contingencia escrito, en
donde se establezcan los procedimientos manuales e
informáticos para restablecer la operatoria normal de
la Cooperativa y establecer los responsables de cada
sistema. - Efectuar pruebas simuladas en forma
periódica, a efectos de monitorear el desempeño de los funcionarios
responsables ante eventuales desastres. - Establecer convenios bilaterales con empresas o
proveedores a los efectos de asegurar los equipos necesarios
para sustentar la continuidad del procesamiento.
C. Desarrollo y
mantenimiento de los sistemas de aplicaciones
1. Entorno de Desarrollo y mantenimiento de las aplicaciones
a. Situación
- No existe documentaciones técnicas del sistema integrado de la
Cooperativa y tampoco no existe un control o registro
formal de las modificaciones efectuadas. - No se cuenta con un Software que permita la
seguridad de las librerías de los programas y la
restricción y/o control del acceso de los
mismos. - Las modificaciones a los programas son solicitadas
generalmente sin notas internas, en donde se describen los
cambios o modificaciones que se requieren.
b. Efectos y/o implicancias probables
- La escasa documentación técnica de cada
sistema dificulta la compresión de las normas,
demandando tiempos considerables para su mantenimiento e
imposibilitando la capacitación del personal nuevo en el
área. - Se incrementa aún más la posibilidad
de producir modificaciones erróneas y/o no autorizadas
a los programas o archivos y que las mismas no sean
detectadas en forma oportuna.
c. Índice de importancia establecida
1 ( uno )
d. Sugerencias
Para reducir el impacto sobre los resultados de los efectos y
consecuencias probables sugerimos:
- Elaborar toda la documentación
técnica correspondiente a los sistemas implementados y
establecer normas y procedimientos para los desarrollos y su
actualización. - Evaluar e implementar un software que permita
mantener el resguardo de acceso de los archivos de programas
y aún de los programadores. - Implementar y conservar todas las documentaciones
de prueba de los sistemas, como así también las
modificaciones y aprobaciones de programas realizadas por los
usuarios
2 Área de Contabilidad
a. Situación
- No existe una validación de la cuenta a
donde debería acreditarse el monto del aporte
social. - La contabilización de cada operación
se hace en forma manual, tanto en la parte de
recepción de productos,
como en los productos en procesos.
b. Efectos y/o implicancias probables
La Cooperativa se encuentra expuesto a serios riesgos, entre
ellos:
- Posibilidad de que ocurran errores por la falta de
conocimiento del tema contable en el área
operativa. - Alto riesgo de que el usuario final pueda incurrir
en cambios no autorizados en los sistemas, por cuanto que el
usuario final tiene acceso irrestricto al mismo.
c. Índice de importancia establecida
0 ( cero )
d. Sugerencias
- Implementar debidamente los controles internos
necesarios para el adecuado manejo del usuario
final. - Implementar la contabilización
automática.
Relevamiento De Hardware
Equipamiento Central
La cooperativa cuenta actualmente con un Equipo Central Pentium IV con
las siguientes características:
Procesador Intel
Pentium IV de 1.600 mhz
Memoria:
Ram 128 MB
Almacenamiento:
35 GB de 10 K RPM
Conexión: Ethernet
10/100
Es un equipamiento ideal para las funciones que cumple y su
configuración es aceptable. Tiene posibilidades de
crecimiento y el fabricante cuenta con repuestos y mantenimientos
que garantizan la buena utilización del mismo.
Equipamiento Periférico
La cooperativa cuenta en su casa central con 30 PC´s de las
cuales el 50%(cincuenta por ciento) aproximadamente son Pentium
III de 550Mhs con 64 MB de memoria y discos de 5 GB. El resto son
de menor porte, pero el parque de computadoras
personales es suficientemente apto para los requerimientos
actuales.
Las impresoras: de
sistema (conectadas al equipo central) son de marca Epson 1170
y Epson 1200. Ademas cuentan con equipos de HP 560 de chorro de
tintas conectadas a algunos equipos.
Equipamiento en Sucursales
Las sucursales cuentan con PC´s AMD – Athlon de 750
Mhz, 64 de memoria y discos de 5 GB. Equipamiento holgadamente
apto para las funciones que cumple.
Las sucursales tienen una impresora
matricial del sistema y algunos usuarios cuentan con impresoras a
chorro de tinta.
En casa central existe una red local (Ethernet)
conectada al equipo central (Pentium IV) y en la sucursales
cuentan con reuters de marca IBM modelo 7.000
para conectarse a la casa central. Las transmisiones son con
lineas de Antelco.
Cableado
El cableado es estructurado y con cables del tipo UTP
categoría S, tanto en sucursales como en casa matriz
En General no presenta problemas de cableado.
Relevamiento De Software
Software de Base
El sistema operativo
con el que cuenta la Pentium IV es el de Windows Server
2000 que posee una importante estructura de
seguridad.
Con sistema de red Windows 2000 con
licencia para 50 usuarios. Base de datos
Tango Gestión
Software de aplicación
Sistema de Contabilidad,
Control de Materias Primas, Control Presupuestarios, Libro IVA (Compras –
Ventas),
Sueldos y Jornales, todos bajo sistema Tango Gestión
5.2
Programa De Auditoria
PROGRAMA DE AUDITORIA | |||||
EMPRESA: Cooperativa Maná de Producción Agrícola | FECHA: | HOJA N° | |||
FASE | ACTIVIDAD | HORAS ESTIMADAS | ENCARGADOS | ||
I | VISITA PRELIMINAR
| 8 Hs. | |||
}II | DESARROLLO DE LA AUDITORIA
| 32 HS. | |||
III | REVISION Y PRE-INFORME
| 16 Hs. | |||
IV | INFORME
| 4 Hs. | |||
Informe Final De La Auditoria
Cooperativa Maná De Producción Agrícola
Limitada Año 2.002
Encarnación, 26 de Julio de 2.002
Señores
Cooperativa Maná de Producción Agrícola
Limitada
Atte. Sr. Gerente
Luís A. Peña
De nuestra consideración:
Tenemos el agrado de dirigirnos a Ud. a efectos de elevar a
vuestra consideración el alcance del trabajo de
Auditoría del
Área de Informática practicada los días 10
al 14 del corriente, sobre la base del análisis y procedimientos detallados de
todas las informaciones recopiladas y emitidos en el presente
informe, que a nuestro criterio es razonable.
Síntesis de la revisión realizada,
clasificado en las siguientes secciones:
A. Organización y Administración del
Área
B. Seguridad física y lógica
C. Desarrollo y mantenimiento de los sistemas de aplicaciones
El contenido del informe ha sido dividido de la siguiente forma a
efectos de facilitar su análisis.
a. Situación
Describe brevemente las debilidades resultantes de nuestro
análisis.
b. Efectos y/o implicancias probables
Enuncian los posibles riesgos a que se encuentran expuestos las
operaciones realizadas por la Cooperativa.
c. Indice de importancia establecida
Indica con una calificación del 0 al 3 el grado
crítico del problema y la oportunidad en que se deben
tomar las acciones correctivas del caso.
0 = Alto ( acciones correctivas inmediatas)
1 = Alto ( acciones preventivas inmediatas)
2 = Medio ( acciones diferidas correctivas)
3 = Bajo ( acciones diferidas preventivas)
d. Sugerencias
Indicamos a la Gerencia la adopción
de las medidas correctivas tendientes a subsanar las debilidades
comentadas.
Según el análisis realizado hemos encontrado
falencias en que no existe un Comité y plan
informático; falta de organización y
administración del área; falencias en la seguridad
física y lógica;
no existe auditoría de
sistemas; falta de respaldo a las operaciones; accesos de los
usuarios; plan de contingencias; y entorno de desarrollo y
mantenimiento de las aplicaciones.
El detalle de las deficiencias encontradas, como así
también las sugerencias de solución se encuentran
especificadas en el Anexo adjunto. La aprobación y puesta
en práctica de estas sugerencias ayudarán a
la empresa a
brindar un servicio más eficiente a todos sus clientes.
Agradecemos la colaboración prestada durante nuestra
visita por todo el personal de la Cooperativa y quedamos a
vuestra disposición para cualquier aclaración y/o
ampliación de la presente que estime necesaria.
Atentamente.
Arcenio Falk
Socio
Auditoria informática a la cooperativa
maná de producción agrícola limitada A cargo
deaca consult – consultores informáticos socios:
Lic. Arcenio Falk
Lic. Conny Godefroid
Lic. Andrés Laupichler
Lic. Néstor Garay Farías
Señores
Cooperativa Maná de Producción Agrícola
Limitada
Fram – Paraguay
De nuestra consideración
Nos es grato someter a vuestra consideración nuestra
propuesta para la prestación de los servicios
profesionales de auditoría informática,
correspondiente al 1er semestre del año en curso. Nuestra
empresa tiene
un particular interés en
poder servir a la Cooperativa Maná de Producción
Agrícola Limitada y habrá de comprometer sus
mejores recursos humanos y técnicos para hacerlo.
Sabemos que brindar servicios profesionales de alta calidad, requiere
conocimiento, experiencia, creatividad y
por sobre todo, espíritu de trabajo y
dedicación.
Una característica de nuestra modalidad de servicio es
nuestro contacto personal con el cliente, en
especial de nuestros socios y gerentes, de modo tal de estudiar
las cuestiones a medida que surjan, tratando en lo posible de
anticiparnos a los problemas.
A. Descripción de los servicios a ser
prestados
- Asesorar a la Dirección para mejorar el
Control
Interno y el resguardo de los Activos. - Asesorar sobre las nuevas normas legales.
- Emitir informes
sobre los trabajos realizados y los cambios
propuestos. - Mantener reuniones con la Dirección y la
Gerencia.
B. ¿Equipo de trabajo
El equipo de trabajo estará dirigido por un Socio de la
Firma, quién será el responsable de asegurar que
reciban un servicio de la mas alta calidad. El trabajo
de campo será ejecutado por personal capacitado y
experimentado en el área informático.
C. Plazos e informes
Los informes serán entregados en un plazo no máximo
de 2 semanas, una vez discutido previamente con el personal
afectado y con la alta Gerencia.
D. Presupuesto de
honorarios
Teniendo en cuenta nuestra experiencia y trayectoria, proponemos
un honorario total de 6.000 ( Seis mil ) dólares
americanos, pagaderos en seis cuotas mensuales, iguales y
consecutivas de 1.000 dólares cada una a partir de julio
de 2.002.-
Confiamos haber planteado en nuestra propuesta un enfoque y un
alcance del trabajo que se adecua a vuestras necesidades y
responde a nuestra filosofía de servicios profesionales de
alto valor
agregado.
Quedamos a vuestra disposición para efectuar las
aclaraciones o ampliaciones que Uds. consideren necesarias.
Sin otro particular, los saludamos muy atentamente
ACA Consult Auditores Informáticos
Arcenio Falk
Socio
Propuesta técnica
Anexo
Diagnostico de la situación actual
Presentación de la empresa
Cooperativa mana de producción agrícola
ROL BASICO
Se dedica principalmente a la producción, comercialización y exportación de productos
agrícolas.
NATURALEZA
Producción y comercialización.
UBICACIÓN
La Casa Matriz se
encuentra ubicada a 2 Km del centro de la ciudad de Fram, sobre
la ruta Graneros del Sur que une la localidad de La Paz con Fram
pueblo.
Cuenta con 5 sucursales que se encuentran ubicados en
áreas estratégicas, tanto para la producción
y comercialización como para su exportación a los
países vecinos.
Sucursal N° 1 en Asunción
Sucursal N° 2 en Ciudad del Este
Sucursal N° 3 en María Auxiliadora
Sucursal N° 4 en Encarnación
Sucursal N° 5 en Hohenau
Organigrama de la empresa
– Asamblea General de Socios
– Consejo de Administración:
Junta Electoral
Junta de Vigilancia
– Gerencia General:
Administración
Comercialización
Producción
Informática
Contabilidad
Organigrama del área Informática
– Gerencia de Informática:
Análisis y Programación
Operadores
Desarrollo
Autor:
Nestor Garay