Universidad de Guayaquil

Facultad de Ciencias Administrativas

Escuela de Contaduría Pública Autorizada

Área:

Auditoria III

Docente:

Ana Isabel Espinoza Cume

Estudiantes:

Delgado Rodríguez Dolores

Marriott Cabrera Coraima

Mora Avellaneda Kimberly

Zavala Pacheco Jessica

Curso:

7/6

Ciclo I

2019 – 2020
 INFORME FINAL DE AUDITORÍA

Informe ejecutivo de auditoria

San Juan de Pasto, 18 de mayo de 2019

Doctora:
Directora Encargada

REF:   AUDITORIA DE SISTEMAS APLICADA AL SOFTWARE INFO-SALUD  EN LA EMPRESA

XXXXXXXXXXX

Cordial Saludo.

Como es de su conocimiento el software de administración y gestión de información INFO-

SALUD, fue sometido a una auditoria de sistemas para evaluar los módulos que hacen
parte de este software, tanto en entradas, procesos y salidas de datos, de igual manera en
lo referente a seguridad de la información procesada en el software.

Esta evaluación se realizó en un lapso de tiempo comprendido entre Octubre de 2014 y

Junio de 2015.

Los resultados obtenidos fueron los siguientes.

Después de realizar las pruebas y la verificación de procedimientos realizados sobre los

módulos que conforman el software INFO-SALUD se relacionan algunos aspectos
favorables generales extraídos del informe de la presente auditoría.

La auditoría se realizó con buena disposición por parte del personal encargado del manejo
de los módulos del software.

El software posee un buen proceso de generación de informes lo que permite

la  automatización de los procesos, agilizando la generación de informes institucionales
requeridos por las instituciones de control como la EPS y la Secretaria departamental de
salud minimizando trabajos operativos y estandarizar los procesos estos procesos.

Cada proceso para generación de informes tiene incluido Filtros lo que facilita la
recolección de datos y su correcto procesamiento para campañas extramurales de
promoción y prevención.

INFO-SALUD Facilita el proceso de asignación de citas médicas mediante la generación

de una agenda médica por medio de la cual se tiene acceso rápido a datos generales,
de los pacientes que solicitan una cita médica, esta herramientas que reduce el
tiempo necesario para gestionar cita

El programa genera reportes que brindan información sobre los datos capturados en la

agenda, como asistencia de pacientes y carga de trabajo por profesional de la salud.

El módulo de citas médicas permite controlar expedientes médicos digitalizados (historias

clínicas, situación del paciente y su familia, etc) de manera ágil.
 El software provee búsquedas fáciles por medio de ayudas por códigos y nombre de
diagnósticos y medicamentos que permiten agilizar la práctica clínica.

Implementa formularios en el cual se realiza un seguimiento de los controles

correspondientes a un paciente, al diligenciar un nuevo control se pueden ingresar
antecedentes, examen físico, formulación de laboratorio, formulación de medicamentos,
realización de procedimientos, Imagenología, selección de diagnóstico, datos del
acompañante, y diligenciar notas de enfermería correspondientes al paciente lo que
permite llevar un seguimiento completo de su situación médica.

El módulo de Facturación permite llevar un control de las unidades existentes en las sedes
de la institución facturando de acuerdo a la parametrización realizada en el momento de
crear los contratos, esta información puede ser modificada de acuerdo a las necesidades.

Permite llevar de manera automatizada el Inventario de existencias organizando y

realizando un seguimiento de su inventario fácilmente teniendo en cuenta aspectos como:

Niveles óptimos de inventario.

Advertencias de niveles de stock bajos.
Organización de medicamentos del inventario por ubicación y lote.

En cuanto a su funcionamiento, su desempeño es bueno, procesa los datos y realiza las

acciones debidas que ofrece el modulo, sin embargo presenta algunas fallas de registro
debido a la baja conexión y congestión de usuarios.

Por lo tanto se podría decir que el software del módulo de matrícula académica tiene un
funcionamiento adecuado del 40% y el restante 60% del sistema debe ser corregido y
mejorado para lograr la optimización en un 99%, ya que es un sistema de información que
registra, procesa y almacena datos importantes los cuales se deben manejar con la
responsabilidad que amerita.

Respecto a la Arquitectura de la Información.

Hallazgos

  El desarrollador no entrego un diccionario de datos donde se  recolecte, confirme y se

especifique entradas y salidas de datos

  No existen diagramas de flujo de los módulos del software INFO-SALUD.

  No existen esquemas de diseño donde se detallen la lógica de los procesos que se
administran desde el software INFO-SALUD.

Recomendaciones

  Documentar el diccionario de datos de los módulos del software INFO-SALUD.

  Incorporar dentro del diccionario de datos, una descripción detallada del ingeniero
encargado de actualizar el diccionario de datos, la clasificación de tipos de usuarios, los
niveles de acceso y las restricciones para el ingreso de los mismos.

  Tener actualizado el diccionario de datos ante cambios o implementación de nuevas

funcionalidades.

Hallazgos
  No existen esquemas de clasificación de la información basada en que tan confidencial son
los datos administrados por la aplicación.

  No existen diagramas de flujo de datos o pseudocódigo de las partes de los módulos y sus
especificaciones.

  No existen esquemas donde se definan niveles apropiados de seguridad y de controles de

protección de datos como controles de acceso.

Recomendaciones

  Diseñar un plan de administración de seguridad de la información que proporcionen los

controles de seguridad suficientes que protejan los activos de información.

                  Tener adecuadas políticas, procedimientos relacionados con la seguridad de

los             activos,  considerando que la información debe estar clasificada  según la
necesidad de acceso.

  Verificar que los controles de información garanticen que la información sea accesible y
utilizable solo por el personal autorizado.

  Revisar y evaluar el desempeño (eficiencia y eficacia) del plan de seguridad implementado.

Hallazgos

  No existe un manual de diseño del software donde se especifiquen requerimientos del
software y hardware para su funcionamiento.

  No existe documentación donde se describa la configuración y funcionamiento del software.

  No existen diagramas de flujo de datos o pseudocódigo de las partes de los módulos y sus
especificaciones.

Recomendaciones

  Implementar planes de seguridad con el fin de garantizar que la información almacenada en

la base de datos permanezca inalterada a menos que sea modificado por personal
autorizado manteniendo así la integridad de la información.

  Garantizar la integridad de los datos mediante la implementación de:

o   Reglas de normalización de datos.

o   Integridad referencial
o   Validación de los datos.

Respecto A Procesos Y Relaciones Ti

Hallazgo

  Existe dependencia excesiva hacia el personal que posee conocimiento único ya que
no existen políticas que permitan capturar el conocimiento de estos empleados.

Recomendaciones

  Identificar al personal clave de recursos TI y minimizar la dependencia de la institución

hacia esta personal generando planes estratégicos y tácticos para la captura documental
del conocimiento con el fin de recolectar la mayor cantidad de recursos escritos en donde
 se especifique una bitácora de los errores más frecuentes presentados en el software y las
soluciones a implementarse.

  Implementar planes fuertes de entrenamiento para hacia el personal nuevo, con el fin de
lograr la calidad deseada por la entidad.

  La entidad debe tener los manuales de funcionamiento de software actualizados y al

alcance de todos los empleados ya que servirán de material de apoyo para el buen
ejercicio de sus actividades.

Respecto A Administra Recursos Ti

Hallazgos

  No existe entrenamiento continuo para el personal.

  El ingeniero proveedor del software realizo una capacitación inicial en el año 2010 fecha en
la cual se adquirió el software posterior a este facha no se han realizado capacitaciones
pese a las actualizaciones y cambios funcionales en los módulos del software.

  Dificultad de los empleados nuevos para llevar a cabo su trabajo ya que no se realizó la
capacitación necesaria y además no existe un manual de software que les permita conocer
su manejo, es por eso que les toma más tiempo familiarizarse con el sistema con el que
laboran.

Recomendaciones
  Establecer procesos de capacitación a los operarios de los módulos del software que debe
incluir además de charlas acerca del funcionamiento del software los manuales de usuario
donde se especifique su funcionalidad.

  La capacitación debe ser obligatoria y continua, ya que es un factor importante que ayuda a
los empleados a ser competitivos y más eficientes, dando como resultado una excelente
prestación de servicio a los usuarios.

Hallazgo

  No existen documentación de control y registro de errores presentados en el software con el

fin de evitar dependencia hacia el personal clave.

Recomendación

  Implementar procesos de gestión del conocimiento que promuevan la captura, evaluación,

recuperación, preservación y aprovechamiento del conocimiento y la experticia de los
empleados encargados de la operación de los módulos del software Info-Salud en la
institución, con el fin de generar una retroalimentación positiva en los procesos
administrados por este software eliminando así la dependencia hacia este personal clave
para la organización.

Hallazgo

  No se toman medidas de seguridad como eliminar privilegios de acceso al Software cuándo
se presenta terminación de contrato del personal.

Recomendación
  Establecer políticas generales para la gestión de seguridad de la información que
establezcan estrategias como:

o   Administración de cuentas de usuarios

o   Administración de contraseñas de usuario
o   Verificación de usos de usuario, contraseñas y niveles de seguridad
o   Concientización a los usuarios respecto de su responsabilidad frente a la utilización de
contraseñas y equipos.

  Mantener un archivo de auditoría o logs, donde sean registradas todas las operaciones
realizadas por los usuarios; en caso de sospecha de falla en la seguridad este archivo
podrá ser consultado para conocer el autor y los daños causados por operaciones
irregulares.

  Instituir estrategias para verificar el cumplimiento de las pautas establecidas, relacionadas

con control de acceso, creación de usuarios, administración de privilegios, autenticación de
usuarios, uso controlado de utilitarios del software.

  Una buena administración de la seguridad permitirá mayor control de las actividades de los
usuarios sobre el sistema.

Respecto A Administrar Riesgos Ti

Hallazgo

  No existen planes eficaces de mitigación de riesgos cuando se presentan fallas en el

software INFO-SALUD.

Recomendación

  Definir, implementar, probar y mantener un proceso para administrar la continuidad del

servicio que incluya elementos como: prevención y atención de emergencias,
administración de la crisis, planes de contingencia y capacidad de retorno a la operación
normal

  Los planes de contingencia deben cumplir, como mínimo con los siguientes requisitos:

  Haber superado las pruebas necesarias para confirmar su eficacia y eficiencia.

  Ser conocidos por todos los interesados.

  Cubrir por lo menos los siguientes aspectos: identificación de eventos que pueden afectar la
operación, actividades a realizar cuando se presentan fallas, alternativas de operación y
regreso a la actividad.

  Efectuar semestralmente un diagnóstico sobre la situación de los sistemas que incluya

análisis de riesgos y su variación en los niveles.

  Observar los protocolos y procedimientos establecidos para la protección de la información

y garantizar la preservación de la memoria institucional.

Respecto A Administrar Cambios

Hallazgos

  No existe una política formal que permita el análisis, implementación y seguimiento de
cambios requeridos.
  No existen procesos de revisión para garantizar la implantación completa y el correcto
funcionamiento de las actualizaciones

  No se tiene documentación para usuarios finales para el manejo de cambios en algún
módulo.

  El proveedor implementa cambios en el software sin tener en cuenta las necesidades de la
I.P.S.

Recomendaciones

  Implementar un proceso de actualizaciones de software en el cual se analicen los cambios

que la institución necesita que se realicen al software; este procedimiento tiene como
objetivo identificar los que necesita el software para cumplir con todos los requisitos de
funcionalidad y eficiencia de la institución.

  El proceso de actualizaciones se deberá especificar aspectos como:

o   Evaluar, priorizar y autorizar cambios

o   Llevar un control de cambios.
o   Garantizar que el cambio quede bien implantado.
o   Revisión y Aprobación.

Respecto A Planes De Continuidad

Hallazgos

  No existen planes de formales de contingencia efectivos donde se consideren

requerimientos de resistencia, procesamiento alternativo, y capacidad de recuperación de
los servicios.

  Al presentarse una falla en el software los empleados tienen como plan de contingencia
(informal) que continuar con todos los registros en hojas de cálculo o de forma manual,
mientras se reestablece el servicio.

  No se llevan a cabo sesiones de entrenamiento donde se explique al personal operario el

procedimiento a realizarse en caso de interrupciones no planeadas.

Recomendaciones

  Definir acciones y procedimientos a ejecutar en caso de fallas de los elementos que

componen el Sistema de Información de la IPS que permita restituir rápidamente los
servicios de la organización ante la eventualidad de todo lo que lo pueda paralizar, ya sea
de forma parcial o total la prestación del servicio.

  El plan de contingencia es una herramienta que ayudará a que los procesos críticos de la
institución continúen funcionando a pesar de una posible falla en los sistemas
computarizados; es decir, un plan que permite a la organización seguir prestando servicio
a los usuarios.

  Los planes de contingencia deben actualizarse, corregirse, y mejorarse constantemente con

el fin de verificar su eficacia.

Respecto A Plan De Seguridad

 Hallazgo

  Existen usuarios y contraseñas para la identificación de cada operario de INFO-SALUD

pero no se utilizan estos usuarios, se maneja una cuenta de usuario general con
contraseña 1.

Recomendación

  Implementar capacitación a los operadores en temas de seguridad, ya que se evidencia

desconocimiento en este aspecto;  es de vital importancia proporcionar lineamientos para
que usuarios utilicen las cuentas de usuario creadas por el ingeniero de sistemas y
explicar a los operarios que las claves deben ser robustas y no deben ser divulgadas para
garantizar la seguridad de la información.

  Establecer periodos de caducidad de las contraseñas con la finalidad de fomentar a los

empleados encargados de la operatividad de los módulos del software la importancia de la
modificación  constante de las contraseñas de ingreso. 

Hallazgo

  No existen permisos de acceso de usuario al sistema, todos los operarios pueden acceder a
las funciones de otros empleados por ejemplo el personal odontológico puede ingresar a
las funciones e historias de clínicas de medicina general y viceversa.

Recomendaciones

  Establecer procedimientos de cuentas de usuario en donde se deben identificar los datos a

los que ciertos operarios deben tener acceso, los datos que se deben negar a otros y que
datos deberían ser compartidos a todos los empleados; estos procedimientos deben
aplicarse a todos los usuarios, incluyendo administradores (usuarios privilegiados).

  La política de administración de permisos debe establecer grupos para los empleados
encargados de los módulos de Info-Salud y los respectivos derechos de acceso con el fin
de restringir o permitir el acceso de los operarios a archivos para visualización de
contenidos o modificación; incrementando así la privacidad de los usuarios y usos
inadecuados de la información personal de los pacientes.

Atentamente;

___________________                                                    ______________________
xxxxxxxxxx                                                                       XXXXXX
Auditor                                                                                    Auditor