Auditoría informática dentro de la empresa “Promaelec” de la ciudad de Quevedo, en tiempo de COVID-19

Albarracín Zambrano, Luis Orlando; Marín Vilela, Cinthya Melany; Lozada Calle, Juan Carlos; Martínez Matute, Jennifer Pamela; Albarracín Zambrano, Luis Orlando; Marín Vilela, Cinthya Melany; Lozada Calle, Juan Carlos; Martínez Matute, Jennifer Pamela

Meu SciELO

Serviços customizados

Serviços Personalizados

Artigo

Enviar este artigo por email

Indicadores

Citado por SciELO

Links relacionados

Similares em SciELO

Mais
Mais

Permalink

Revista Universidad y Sociedad

versão On-line ISSN 2218-3620

Universidad y Sociedad vol.13 no.5 Cienfuegos set.-out. 2021 Epub 02-Out-2021

Artículo Original

Auditoría informática dentro de la empresa “Promaelec” de la ciudad de Quevedo, en tiempo de COVID-19

Computer audit within the company "Promaelec" of the city of Quevedo, during COVID-19

0000-0002-3164-5229Luis Orlando Albarracín Zambrano¹^*, 0000-0002-3886-642XCinthya Melany Marín Vilela¹, 0000-0002-6623-3718Juan Carlos Lozada Calle¹, 0000-0001-9122-0305Jennifer Pamela Martínez Matute¹

^¹ Universidad Regional Autónoma de Los Andes. Ecuador

RESUMEN

En tiempos de pandemia las Pymes han tenido que adaptarse, lo cual hace evidente innovar con nuevas investigaciones, esta investigación es el resultado de realizar una auditoría informática dentro de la empresa “PROMAELEC” de la ciudad de Quevedo, en tiempo de covid-19, permitiendo conocer la realidad actual informática de la empresa, investigación que planteó “como conocer la situación actual informática de la empresa PROMAELEC”, problemática que mediante el uso de metodologías de auditoría informática entre ellos el estudio preliminar, la revisión y evaluación, el alcance, el enfoque de la auditoria, ayudando a desglosar la problemática y definir una propuesta que mejoró los procesos permitiendo mantener sus actividades en el mercado con un mejoramiento de la gestión administrativa de manera automatizada.

Palabras-clave: Enfoque de la auditoría; normas ISO; flujo de información

ABSTRACT

In times of pandemic the Pymes have had to adapt, which makes evident to innovate with new investigations, this investigation is the result of carrying out a computer audit inside the company "PROMAELEC" of the city of Quevedo, in time of covid-19, allowing to know the current computer reality of the company, investigation that raised "how to know the current computer situation of the company PROMAELEC". This research proposed "how to know the current IT situation of the company PROMAELEC", through the use of IT audit methodologies, including the preliminary study, review and evaluation, scope, audit approach, helping to break down the problem and define a proposal that improved the processes allowing to maintain its activities in the market with an improvement of the administrative management in an automated way.

Key words: Audit approach; ISO standards; information flow

Introducción

La empresa “PROMAELEC” lleva 7 años en el mercado, dedicados a la venta por mayor y menor de materiales eléctricos en media, baja tensión; en la parte industrial, comercial y residencial. Todas las empresas y organizaciones a nivel mundial han sido afectadas por la pandemia Covid-19, se han generado despidos masivos, cierres de las compañías, o a su vez, adecuaron de una mejor manera su trabajo para el desarrollo o incentivo de este.

La empresa “PROMAELEC” únicamente ha tenido una sola auditoría en el área administrativa, la cual no solamente cubría ese entorno sino también el área de informática, pero por falta de recursos económicos no se ha realizado nuevamente una auditoría en el área administrativa cubriendo el entorno de la informática; por este motivo se presenta la vulnerabilidad en los datos e información de la empresa; de esta manera lo más correcto es evaluar los riesgos y determinar las posibles soluciones en función de su viabilidad considerando que el trabajo que emplearía era totalmente diferente considerando las medidas de bioseguridad ante la emergencia sanitaria del Covid-19.

Motivo de la Auditoría Informática: Realizar una revisión y evaluación, sobre los aspectos más importantes de los equipos de computación y sistemas automáticos de procesamiento y flujo de la información, con el propósito de dar un dictamen final sobre alternativas para el mejoramiento y administración eficaz de los procesos informáticos en la empresa “PROMAELEC”.

La misión de la empresa expresa ser un equipo de personas, comprometido comercializar los productos de materiales eléctricos de la mejor calidad y en servir a cada uno de nuestros clientes en los mercados que participamos, mediante nuestra especialización tecnológica, eficiencia, calidad, seguridad y sustentabilidad. Permitiendo ofrecerles el desempeño y compromiso para cumplir con los requerimientos del mercado y La visión de PROMAELEC es poder llegar a ser una empresa prestigiosa y reconocida a nivel no solo cantonal y provincial sino también nacional por la calidad de nuestros productos, utilización de la energía, con calidad tecnología e innovación cumpliendo con un buen servicio que ofrecemos a nuestros clientes.

Desarrollo

La auditoría informática es realizada por una serie de procesos los cuales son efectuados por profesionales principalmente los que estén preparados y sean responsables, para almacenar, adjuntar y evaluar toda evidencia que sea establecida sin la necesidad de tener un sistema de información, el cual resguarde todas las actividades y su información de la empresa, solo así se podrá verificar que la integridad de los datos de la organización sean eficaces y se utilicen los recursos de manera correcta, cumpliendo con las leyes y regulaciones (^{Imbaquingo, et al., 2020}).

El autor ^{Piattini & Del Peso (2001}), definen a la auditoría informática como la orientación evaluada en los sistemas administrativos, es decir la estructura de la organización, el proceso administrativo, la operación y el ambiente de control establecido. Determinar: pérdidas y diferencias, mejores métodos, formas de control, eficiencia operativa y una mejor utilización de los recursos físicos y humanos.

Por lo tanto, en una auditoría informática en el área administrativa, con base en la relación de los dos autores se determina que es aquel examen completo que se realiza en una empresa u organización, la misma que debe cumplir con sus diferentes fases como son la planeación, organización, ejecución y el control administrativo, de esta manera se realiza con éxito el propósito de ver el desempeño de cada nivel e identificar la debilidad que se llegue a presentar, para generar una acción en la toma de decisiones.

Según ^{Varela, et al. (2013}), las normas de auditoría son los requisitos mínimos de calidad relativos a la personalidad del auditor, al trabajo que desempeña ya la información que rinde como resultado de este trabajo. Las normas de auditoría se clasifican en:

Normas personales.
Normas de ejecución del trabajo.
Normas de información.
Normas personales.

Son cualidades que el auditor debe tener para ejercer sin dolo una auditoría, basados en sus conocimientos profesionales, así como en un entrenamiento técnico, que le permita ser imparcial a la hora de dar sus sugerencias.

El sistema de gestión de seguridad de la información, según ISO 27001 (^{International Organization for Standardization, 2013}), consiste en preservar la confidencialidad, integridad y disponibilidad, además de todos los sistemas implicados en el tratamiento dentro de la organización.

Dentro de las normas de referencia para la auditoría informática, se logra observar el análisis que se obtiene al ser efectuados en los diferentes tipos de clasificación según el trabajo en el que se encuentren dentro de una empresa, para que el auditor tenga de forma clara todos esos datos con base en su conocimiento profesional, además dentro de la norma ISO 27001 es la más utilizada por las organizaciones, esto se debe a que muy independiente del tamaño o sector de la empresa, puede ser implementada brindándole las políticas de seguridad necesarias.

En la plataforma determina que la norma ISO 27005 contiene diferentes recomendaciones y directrices generales para la gestión de riesgo en Sistemas de Gestión de Seguridad de la Información. Gestión de riesgos de la Seguridad la Información. Los indicadores de riesgo muestran si la empresa se encuentra sujeta o tiene alta probabilidad de ser sometida a un riesgo que excede el riesgo permitido (^{Red Nacional de Investigación y Educación del Ecuador, 2014}).

En la página oficial de ISO Tool hace referencia a toda la información que conlleva con las normas ISO 27005, especifica como punto clave el estándar internacional que se ocupa de la gestión de los riesgos relativos a la seguridad de información. La norma suministra las directrices para la gestión de riesgos, apoyándose fundamentalmente en los requisitos sobre esta cuestión definidos en la ISO 27001.

En las normas ISO 27005 es la representación de toda la información que es vital e importante dentro de la gestión de riesgos enfocados en la seguridad de la información, junto con la ISO 27001 son direccionados a este alcance de tipos de riesgos, se puede escoger un camino para observar de forma directa en relación con las TIC. Esta guía deberá relacionarse de manera organizada con la gestión de riesgos basándose en una empresa.

La gestión del riesgo como una actividad recurrente que se refiere al análisis, a la planificación, la ejecución, el control y el seguimiento de todas las medidas implantadas y la política de seguridad que ha sido impuesta (^{Cantos, 2019}). La actualización del establecimiento, mantenimiento y mejora continua de un SGSI ofrecen una clara indicación de que una organización está utilizando un enfoque sistemático para la identificación, evaluación y gestión de riesgos de seguridad de la información.

Según afirma ^{Bracho, et al. (2017)}, plantean que la auditoría informática basada en riesgos es una técnica que permite enfocar los recursos de auditoría hacia los puntos de mayor importancia dentro de las organizaciones, esta técnica es preventiva ante situaciones o eventos no deseos.

De acuerdo con ^{McCafferty (2017}), la auditoría centrada en las Tecnologías de información es un ejercicio que aún hoy día es subestimado y dentro de las empresas prevalecen las medidas de control a través de la auditoría externa, que las medidas que puede ofrecer la auditoría interna. El manejo de la seguridad de la información es un elemento que se debe tener en cuenta en los controles que se llevan a cabo por la administración de la empresa. Es muy importante entonces reconocer la necesidad de proteger la información que puede verse comprometida de manera técnica. Sin embargo, persiste el desconocimiento sobre el tema de la ciberseguridad y en general el manejo de la tecnología de la información.

La gestión de riesgos es una técnica la cual es definida como los procesos que se enfocan y se encargan de identificar, examinar y considerar los posibles quebrantes y sus efectos secundarios que tendrían dentro de la empresa u organización, una medida que se anticipa ante las diferentes situaciones que pueden presentarse, se logrará corregir y reducir los correspondientes desastres y complicaciones para así evitar una baja en la empresa, La evaluación de riesgos en auditoría se cumple midiendo los niveles de riesgo detectado durante el proceso de análisis con criterios de riesgo establecidos.

Ejemplos de riesgos en IT:

Aplicaciones en condiciones vulnerables.
Sistemas operativos, vulnerables y sin actualizaciones.
Diseñar aplicaciones inapropiadas, incompletas, con bugs y errores recurrentes.
Tecnologías obsoletas.
Mal rendimiento de la infraestructura IT.

En la actualidad el mundo atraviesa momentos difíciles y de crisis, y es aquí donde hay que reconocer nuestra capacidad para reinventarnos. Existiendo meses de incertidumbre, dificultades y desaceleración económica a nivel mundial a causa de la contingencia sanitaria, algo que preocupa sobre todo a las pequeñas y medianas empresas, cuya importancia en la actividad productiva.

Diferentes investigadores Detallan que ninguna micro o pequeña empresa cuenta con un plan de contingencia para épocas de baja productividad. Por otra parte, el patrón está obligado a seguir pagando el salario, y tomar decisiones como la reducción de la plantilla laboral con las consecuentes liquidaciones, ante la falta de generación de actividades económicas derivada de la alerta mundial.

El coronavirus obligó al mundo a frenar radicalmente como nunca y ese frenazo se ha sentido mucho peor en las empresas medianas y pequeñas, teniendo que implementar diferentes metodologías para realizar sus auditorias anuales, implicando procesos informáticos que evidenciaron la necesidad de un plan de contingencia dentro de la etapa de baja productividad por causas de las medidas adoptadas por la pandemia del Covid 19.

Metodología de la auditoria.

Estudio inicial del entorno auditable.

Estructura: La empresa PROMAELEC es una compañía que se encuentra en bien de la colectividad.

Objetivos de la Empresa PROMAELEC.

Procurar el bienestar social y económico de la colectividad, contribuyendo al fomento y protección de los intereses del negocio.
Planificar e impulsar el desarrollo físico de la empresa en el Cantón y sus áreas de influencia; marcado dentro de la planificación Provincial y Nacional.
Prestar servicios y ejecutar obras necesarias, encaminadas a proporcionar una racional convivencia entre los diferentes sectores pertenecientes al Catón Quevedo.
Construir, dotar y mantener la infraestructura física de los servicios de atención al cliente, garantizando la aplicación de las normas de bioseguridad.
Construir, dotar y mantener la infraestructura física de la empresa.
Velar y tomar acciones para proteger de la vulnerabilidad las áreas de información delimitadas de la empresa.

Definición de objetivos de la auditoría.

Evaluar la seguridad en el área del Centro de datos.
Dar una opinión sobre la utilización eficaz de los recursos informáticos y equipos de cómputo.
Establecer nuevos planes de contingencia planes, para prever posibles inconvenientes con el sistema actual automatizado.
Dar una opinión sobre la utilización eficiente de los procesos informáticos.

Alcance. - La presente auditoría informática, tiene por finalidad evaluar las normas de control, técnicas y procedimientos que se tiene establecidos en la empresa PROMAELEC; lograr la confiabilidad, seguridad y confidencialidad de la información que se procesa a través del sistema de aplicación que se esté utilizando.

Además, esta Auditoría Informática presentará las novedades analizadas en el área informática, en la empresa PROMAELEC ubicada en el cantón Quevedo, para que sus administradores sean quiénes tomen los correctivos y políticas aplicables que conlleven al logro de objetivos propuestos en caso de que así se lo requiera dicho dictamen.

Dentro de la Auditoría se realizará un análisis sobre los sistemas y redes de conexión con el programa contable dentro del Departamento Financiero.

Determinación enfoque de la auditoria.

Elaboración de planes de trabajo para llevar a cabo auditorías en informática y el desarrollo de actividades apropiadas que permitan maximizar la eficacia del área.
Elaboración de cuestionarios, encuestas, matrices y herramientas que ayuden al levantamiento de la información para el debido desarrollo de las auditorías.
Implementación de los planes de trabajo llevando un control de las actividades a realizar en tiempos estimados reales.
Evaluación de sistemas, procedimientos y equipos de cómputo.
Verificar que los activos, estén debidamente controlados y salvaguardados contra pérdida y mal uso.
Evaluar los resultados de los programas operativos que realice el área de Sistemas para conocer eficiencia y efectividad con que se han utilizado los recursos.
Comprobar el cumplimiento de mandatos constitucionales, legales y reglamentarios, políticas, planes y acuerdos normativos que rigen a la empresa PROMAELEC.
Realizar auditorías y estudios especiales de acuerdo con programas y especiales debidamente respaldados por las Normas para el ejercicio profesional de la Auditoría Interna.
Evaluar la problemática del área de Sistemas a través de un preanálisis de la situación del área, para la determinación de las principales necesidades de esta.
Comunicar los resultados y recomendaciones que resulten de sus evaluaciones, mediante los informes de auditoría.
Comprobar que el área de Sistemas ha tomado las medidas correctivas de los informes de la Auditoría Interna, así como de las omisiones que al respecto se verifiquen en el seguimiento de informes.
Evaluación de los controles de seguridades lógicas y físicas que garanticen la integridad, confidencialidad y disponibilidad de los datos de la empresa PROMAELEC.
Constatar que el área de sistemas se debe regir por los procedimientos más adecuados para garantizar el adecuado funcionamiento de la red de trabajo.
Evaluación de los riegos y controles establecidos para la búsqueda e identificación de debilidades, así como de las áreas de oportunidad.
Evaluar la existencia de políticas, objetivos, normas, metodologías, así como la asignación de tareas y adecuada administración de los recursos, humanos e informáticos.
Generar el Archivo de Papeles de Trabajo con la documentación las auditorías realizadas.

Flujos de información. - La información fluye a través de la Red Interna, por medio de peticiones y entrega de datos, desde un servidor principal hasta las diferentes estaciones de trabajo, para poder realizar los procesos que se requiere para prestar los diferentes servicios de control que ofrece la empresa PROMAELEC a los usuarios.

Dirección Financiera: Solicitud, Ingreso y actualización de datos al servidor, para realizar operaciones de consultas en las cédulas para determinar el saldo actual del cliente y sobre todo el control de los gastos. Además, las consultas de las operaciones de transferencia de dinero a las cuentas de los proveedores.
Jefe de Contabilidad: Registro diario de los gastos e ingresos que se obtiene por parte de los clientes y proveedores.
Contador: Solicitud, Ingreso y actualización de datos al servidor, sobre los estados de cuentas diversos para los cierres diarios y elaboración de balances. Adicionalmente para las operaciones de aportes patronales y declaraciones al SRI, se realiza por medio de Internet.
Asistente de Contabilidad: Solicitud, ingreso y actualización de datos al servidor, sobre los certificados de ingresos a los empleados y obreros, realización de roles de pagos.
Tesorería: No existe sistema de red para el área de tesorería, sólo se coordina de manera de documentación sustentable para el pago.
Recaudación: Existencia del control de contribuciones por parte de los usuarios en los distintos cobros de mejoras por parte de la empresa.

El Administrador de Sistema, es el responsable del perfecto funcionamiento de los equipos, en cuanto a la red funciona a través de la máquina madre que se encuentra en el Área de Contabilidad, la misma que esa máquina central es la que tiene que estar encendida para que el programa se ejecute.

Entorno operacional. - La empresa cuenta con un único centro de proceso de datos, que está ubicado en la primera planta, mismo que es administrado por el Administrador de Sistemas, quién es el funcionario responsable del mantenimiento y el buen funcionamiento de los equipos, por ser una empresa pequeña no cuenta con un departamento el mismo que se maneje en un centro de control todos los ordenadores.

El centro de proceso de datos cuenta con servidor principal, donde está instalada la información necesaria del técnico responsable un UPS y el Swtich.

Las estaciones de trabajo que están conectadas a la red son un total de cinco equipos con privilegios y restricciones (Tabla 1 y 2).

Tabla 1 - Inventario de Sofware.

Inventario de Software
Área	Software	Licencia
Servidor	Sistema Operativo Linux	Si
	EFIMAX (Software de Administración Contable)	Si
	Base de Datos EFIMAX	Si
Contabilidad	Sistema Operativo Windows XP Professional	No
	Microsoft Office 2003	Si
	EFIMAX	Si
	Antivirus Kaspersky Total Security	Si
	Anexos Transaccional SRI	Si
	Comprimidor Winzip 8.1	Si
	Nero Burning 6	Si
	Microsoft Internet Explorer	Si
Jefe de Contabilidad	Sistema Operativo Windows 8	No
	Microsoft Office 2007	Si
	EFIMAX (Software de Administración Contable)	Si
	Microsoft Internet Explorer	Si
Contadora	Sistema Operativo Windows 8	No
	Microsoft Office 2007	Si
	EFIMAX (Software de Administración Contable)	Si
	Microsoft Internet Explorer	Si
	Comprimidor Winzip 8.1	Si
	Nero Burning 6	Si
Presupuesto	Sistema Operativo Windows 8	No
	Microsoft Office 2007	Si
	EFIMAX (Software de Administración Contable)	Si
	Microsoft Internet Explorer	Si
	Comprimidor Winzip 8.1	Si
	Nero Burning 6	Si
Dirección Financiera	Sistema Operativo Windows 7	No
	Microsoft Office 2007	No
	EFIMAX (Software de Administración Contable)	Si
	Microsoft Internet Explorer	Si
	Comprimidor Winzip	Si

Tabla 2 - Auditoría de software.

In Inventario de Hardware
Área	Equipo
Jefe de Contabilidad	CPU: Intel Pentium IV 5.2 GHz 256 MB de RAM, 80 GB (Disco Duro Samsung) Monitor Samsung SVGA 15’’ Teclado Genius PS/2 Mouse Genius PS/2 MODEM 56.6 Kbps Tarjeta de Red 30/100 Mbps Impresa LX - 300 Matricial
Contadora	CPU: Intel Pentium IV 5.2 GHz 256 MB de RAM, 80 GB (Disco Duro Samsung) Monitor Samsung SVGA 15’’ Teclado Genius PS/2 Mouse Genius PS/2 MODEM 56.6 Kbps Tarjeta de Red 50/100 Mbps Impresora HP - 650C inyección a tinta
Presupuestario	CPU: Intel Pentium IV 6.2 450 MB de RAM, 80 GB (Disco Duro Samsung) Monitor Samsung SVGA 15’’ Teclado Genius PS/2 Mouse Genius PS/2 MODEM 56.6 Kbps Tarjeta de Red 50/100 Mbps Impresora Samsung ML 8500 Láser
Asistente Contabilidad	CPU: Intel Pentium III 1.00 GHz 256 MB de RAM, 50 GB (Disco Duro Samsung) Monitor LG SVGA 14’’ Teclado Genius PS/2 Mouse Genius PS/2 MODEM 56.6 Kbps Tarjeta de Red 30/100 Mbps Impresora multifunción Lexmark XL - 2500
Tesorería	CPU: Intel Pentium IV 28 GHz 256 MB de RAM, 80 GB (Disco Duro Samsung) Monitor Samsung SVGA 15’’ Teclado Genius PS/2 Mouse Genius PS/2 MODEM 56.6 Kbps Tarjeta de Red 20/100 Mbps Impresora Multifunción Lexmark XL - 2500

En el análisis del Hardware, se pudo determinar que la mayoría de estos equipos tienen características similares, esto se debe a que han sido adquiridos en conjunto después de que se habían dado de baja los equipos anteriores, los cuales no daban el soporte necesario a los requerimientos exigidos por el sistema a instalarse en la empresa PROMAELEC (EFIMAX).

De la misma manera el cambio de equipos se dio hace ocho meses atrás, ya que la velocidad de los equipos anteriores hacía que el trabajo sea más lento, con los nuevos equipos ha ayudado a que exista mayor agilidad a los trámites de la empresa.

Según ^{Inga (2012)}, la red de computadoras es una interconexión de computadoras para compartir información, recursos y servicios, esta interconexión puede ser a través de un enlace físico (alambrado) o inalámbrico. Algunos expertos afirman que una auténtica red de computadoras se conforma por tres o más los dispositivos o computadoras que se encuentren conectadas, una parte esencial en una red de comunicaciones es la correcta elección del hardware que se va a utilizar, así como el tipo y la topología de red que desea implementar. La definición más clara de una red es la de un sistema de comunicaciones, ya que permite comunicarse con otros usuarios y compartir archivos y periféricos (^{Mancilla & Saavedra, 2015}). El objetivo básico es compartir recursos, haciendo que todos los programas, datos y equipos estén a la mano para la red que lo solicite, sin importar el lugar donde se encuentre el recurso y el usuario.

En el tipo de Red de Área Local (LAN), la tecnología para instalación de la Red interna se basa en el cableado estructurado categoría 5, con cable par trenado de 8 hilos, conectores RJ-45, con una distancia máxima entre el servidor y la estación de trabajo de 20 mts. Garantizando de esta manera la velocidad en la transmisión de la información como de los procesos y como también seguridades. El tipo de contratación del Servicio de Internet es Satelital y que a través de la Red se comparte a las demás estaciones de trabajo, para las diversas transacciones que así lo requieren.

Primera Planta. - Parte Frontal_Aplicaciones:

Anteriormente para todos los procesos financieros de la empresa, se utilizaba el sistema de contabilidad EFIMAX, el cual al no mostrar ciertas ventajas a comparación del actual ha sido descartado para su utilización.

Sistema EFIMAX. - El Software de contabilidad empresarial, es un software administrativo - financiero, el cual está orientado al procesamiento de datos y administración de información de la empresa que realiza la contabilidad y control de las finanzas de la compañía PROMAELEC.

El enfoque del sistema EFIMAX se enmarca en el contexto de la administración empresarial, que se constituye en una herramienta indispensable para el control de los procesos de la información en todas las áreas funcionales de estas intermediarias, como son:

Apoyar a los mandos medios proporcionando información ágil y oportuna que permita el análisis de las cuentas bajo su responsabilidad y la toma de decisiones acertadas.
Proporcionar a la alta gerencia y directivos, información rápida y precisa para la toma de decisiones y desarrollo de estrategias.
Integrar e interrelacionar electrónicamente las operaciones entre las unidades administrativas y el personal responsable mediante la definición clara de las funciones asignadas al recurso humano de la empresa.
Mejorar el control y seguimiento de las operaciones que realizan los usuarios con los clientes, almacenando toda la información necesaria de las transacciones efectuadas en el sistema.

Características Generales del Sistema.

Maneja el concepto de multicuentas y presupuestos
Ambiente gráfico muy amigable
Mantiene registro de firmas y fotografías
Incorpora Base de Datos y archivos planos para el uso en otras aplicaciones y con propósitos de generar información adicional.
Está Basado en la arquitectura cliente - servidor, soportando en una base de datos relacional y construido con herramientas modernas orientada a objetos.

La Administración de la información del sistema actual EFIMAX, es bajo la estructura de módulos que contiene un grupo de procesos que permiten controlar un conjunto de definiciones que sirven de apoyo al resto de módulos, como son: mantenimiento, consultas, reportes, procesos, definiciones.

Estructuras del Sistema: Acceso principal: Planifica y controla las distintas áreas empresariales (administrativas, financieras y contables), de las empresas u organizaciones. Cabe mencionar que los usuarios tienen asignados perfiles, lo cual permite restringir el acceso únicamente a las opciones que tenga necesidad.

Lenguaje de Programación: La aplicación se encuentra desarrollada en una arquitectura servidor, usando como Front End (cliente) una herramienta de cuarta generación Power Builder (desarrollo de la aplicación), que permite aprovechar todas las características de orientación a objetos como son:

Polimorfismo.
Herencia.
Encapsulamiento y reutilización de código.
Abstracción y ocultación de objetos y datos.

Documentación: La Empresa SYSTECOOP proveedora del sistema EFIMAX, ha entregado a la empresa PROMAELEC un manual de usuario sobre la utilización del sistema previa a la capacitación dada a los trabajadores de la empresa. Los mismos quiénes dentro del contrato de adquisición del sistema están comprometidos a dar el debido manteniendo al mencionado sistema. Cabe señalar que en la empresa PROMAELEC no reposa ningún documento de código fuente.

Base de Datos: Informix Dinamic Server. - De acuerdo con el número de transacciones que se realiza diariamente y el volumen de información se ha seleccionado como Back End (motor de base de datos) a INFORMIX IDS 7.x, por las siguientes características.

Trabaja independientemente del Sistema Operativo (Unix, Linux, Windows NT, 2000, XP, 2008; etc.)
Los objetos inmersos en la base de datos son: tablas, campos, índices, procedimientos, triggers y constraints (restricciones a nivel de la base de datos).
Bloqueo a nivel de registros y campos.
Es una Base de Datos Transaccional, por lo que permite la utilización de Commit y Rollback.

Hallazgos.

Uso de computadoras y cuentas en asuntos ajenos a la función de la empresa.
1. Acceder a la Internet.
2. Correo electrónico (envío y recibo de mensajes).
3. Preparación de documentos.
Instalación de programas ajenos que no corresponda en función de la empresa.
Fallas en parámetros de seguridad.
No se establecen los niveles de acceso necesarios - sólo el personal autorizado.
Uso de cuentas de acceso y contraseñas por períodos ilimitados.
No tienen actualizadas las definiciones del programa de antivirus, prevenir y detectar programas no deseados.
No han instalado la pantalla de advertencia sobre el uso del equipo.
No se requiere el uso de contraseñas para desactivar el protector de pantalla en las computadoras.
No se requiere que las contraseñas contengan el mínimo de caracteres adecuado, ni la combinación de estos.
No se requiere el cambio de contraseñas periódicamente.
No se define la cantidad de intentos de acceso sin éxito para deshabilitar la cuenta.

Evaluación de riesgos. - Los ordenadores de la empresa en el departamento de contabilidad tienen un riesgo bajo ya que se encuentran debidamente prevenidas por parte de bajones de luz, en cuanto a lo que se refiere, el ordenador de la jefatura de contabilidad, de la contadora, de la asistente de presupuestos, del tesorero y de la recaudadora en cuanto a precautelar los bienes y documentación que la misma obtenga.

El riesgo es alto, porque en la desactualización de los antivirus que los ordenadores poseen, ya que cada día el ingreso de internet para el envío de información es constante, al no ingresar en páginas seguras ocasionan el contagio de distintos virus que se encuentran en el internet.

Informe de la auditoría informática.- Según los hallazgos encontrados podemos identificar que la empresa PROMAELEC no cuenta con un departamento de auditoría interna, la misma que se encargue de un control continuo, no solo sobre el manejo económico o social que tenga tal o cual equipo de trabajo sino también las seguridades de la información la cual se está manejando, los recursos económicos son muy importantes y la tecnología es un habilitante muy importante para el rápido y eficiente manejo de los mismos, tal es el caso que la empresa, o los encargados en este caso del área financiera no están optimizando recursos para el bien de la empresa sino personal, conllevando a grandes gastos por parte de la compañía.

Propuestas para una auditoría informática en la empresa “PROMAELEC”. - El informe concretamente propone la implementación de un área de auditoría en informática. Lo anterior, se lo fundó a lo largo de este informe, los principales motivos son:

Implementar esta área dentro del órgano de control interno traerá consigo la innovación de un control de empleados laborando de una manera más completa.
La eficiencia, eficacia y calidad de las auditorías que se realizan en el órgano se verán beneficiadas por la capacitación adecuada del personal y la consecuente automatización de procedimientos, que dejarán de ser tradicionales para estar a la vanguardia.

Por lo anterior, en los siguientes puntos detallamos la propuesta específica que contempla cuáles serían las actualizaciones más adecuadas para lograr este objetivo, comenzando por proponer los cambios pertinentes en la normatividad actual, cuál sería su nueva estructura orgánica, proponemos las nuevas funciones del área de auditoría en informática de acuerdo con las nuevas tendencias de la auditoría; asimismo, de entre las diferentes herramientas y técnicas de auditoría en informática además de cumplir con metas como:

Evaluar el desempeño de los sistemas informáticos y las redes de comunicaciones para proporcionar los controles necesarios que permitan la confiabilidad de la información, así como un elevado nivel de seguridad.
Realizar auditorías operacionales, integrales, especiales y de cumplimiento al área de sistemas, administrativas y grupos departamentales, ayudando en la gestión de control de la Auditoría Interna y buscando las áreas de oportunidad.
Evaluar los controles establecidos para proteger los bienes de la empresa, referente al manejo hardware, software.

Dentro evaluación de los riesgos en la empresa PROMAELEC aplicando la norma ISO 27005.- Es necesario establecer un vínculo entre los escenarios de riesgos IT y el impacto empresarial que estos generarían, para así comprender el efecto de los eventos adversos que se pueden desencadenar. Varios factores cumplen con la ayuda de seleccionar eventos con cierto grado de riesgo: Probabilidad, Consecuencias, Ocurrencia, Urgencia, Maleabilidad, Dependencia y Proximidad. La norma ISO 27001, se encuentra capacitada para responder a numerosos controles para el tratamiento de la información gracias a las aplicaciones que contiene y que son totalmente configurables según los requerimientos de cada organización.

Conclusiones

Actualmente una auditoría informática en una empresa u organización es sumamente importante, porque gracias a ello se observa el adecuado desempeño de los SGSI (Sistema de Gestión de Seguridad de la Información), brindando los controles adecuados y necesarios para que los sistemas de la empresa conlleven a una alta confiabilidad, así ismo a un alto nivel en seguridad. Adicionalmente las auditorías que realicen en la empresa PROMAELEC deberán evaluar todo el sistema de información.

Cumpliendo con el tema principal al realizar una auditoría informática en la empresa PROMAELEC, se concluye que toda empresa posee sistemas de información ya sea medianamente complejos o sencillos, aun así, se deberá ser sometida a un control explícitamente detallado incluyendo una evaluación eficientemente eficaz y segura. Hoy en día se conoce, que más del 90% de las empresas cuentan con su información de forma estructurada a los sistemas informáticos, generando un motivo adicional que es de vital importancia que los sistemas de información debe funcionar correctamente. Es importante mencionar que el éxito de cualquier empresa siempre va a depender de su eficiencia en los sistemas de información, es por este motivo que la auditoría aplicada en estos sistemas debe ser ejecutada de forma correcta.

Demostrando que en la empresa PROMAELEC cuenta con un equipo de trabajo conformado por trabajadores de primera, sin embargo, llevando un sistema informático propenso a errores, lentitud, vulnerabilidad e inestabilidad; al no existir un balance entre los dos puntos, lo más probable es que la empresa llegue a fracasar.

Se deberá tomar en consideración el trabajo de auditoría informática, en conocimiento de seriedad, capacidad, minuciosidad y responsabilidad; la auditoría de sistemas de información siempre se deberá realizarse a través de personas con una adecuada capacitación, una auditoría de información mal realizada garantizará consecuencias drásticas e irreversibles para la empresa u organización, sobre todo en la parte económica.

Referencias bibliográficas

Bracho-Ortega, C., Cuzme-Rodríguez, F., Pupiales-Yépez, C., Suárez-Zambrano, L., Peluffo-Ordóñez, D., & Moreira-Zambrano, C. (2017). Auditoría de seguridad informática siguiendo la metodología OSSTMMv3: caso de estudio.Maskana, 8, 307-319. [ Links ]

Cantos Ochoa, M. E. (2019). La auditoría integral como herramienta de validación de la gestión institucional.Telos: Revista de Estudios Interdisciplinarios en Ciencias Sociales,21(2), 422-448. [ Links ]

Imbaquingo, D., Díaz, J., Saltos, T., Arciniega, S., De La Torre, J., & Jesús, J. (2020). Análisis de las principales dificultades en la auditoría informática: una revisión sistemática de literatura.Revista Ibérica de Sistemas e Tecnologias de Informação, (E32), 427-440. [ Links ]

Inga Ortega, E. M. (2012). Redes de comunicación en smart grid. Ingenius. Revista de Ciencia y Tecnología, (7), 36-55. [ Links ]

International Organization for Standardization. (2013). La norma ISO 27001. Aspectos clave de su diseño e implantación. Iso Tools. https://www.isotools.org/pdfs-pro/iso-27001-sistema-gestion-seguridad-informacion.pdf [ Links ]

Mancilla Rendón, M. E., & Saavedra García, M. L. (2015). El gobierno corporativo y el comité de auditoría en el marco de la responsabilidad social empresarial.Contaduría y administración,60(2), 486-506. [ Links ]

McCafferty, J. (2017). Internal Audit Departments Struggle to Retain High Performers. MIS Training Institute. [ Links ]

Piattini, M., & Del Peso, E. (2001). Auditoría informática.Un enfoque práctico. Editorial Paraninfo. [ Links ]

Red Nacional de Investigación y Educación del Ecuador. (2014). Gestión del Riesgo de las TI NTC 27005. Cuenca-Ecuador. REDCEDIA. https://cedia.edu.ec/dmdocuments/publicaciones/Libros/GTI9.pdf [ Links ]

Varela, E., Venini, Á., & Scarabino, J. C. (2013). Normas de auditoría y control interno. Evolución en Argentina de la normativa dedicada a través de diversos organismos de regulación y supervisión estatal. Primera parte. Invenio, 16(30), 91-109. [ Links ]

Received: May 08, 2021; Accepted: July 20, 2021

^*Autor para correspondencia. E-mail: uq.luisalbarracin@uniandes.edu.ec

Los autores declaran no tener conflictos de intereses.

Los autores han participado en la concepción del artículo, la búsqueda de información y análisis de los documentos, así como en la redacción y revisión crítica del manuscrito.