Auditoria Beca Centro Occidente C.A.

AUDITORÍA BECA

CENTRO

OCCIDENTE C.A.

Auditoria de sistemas de información

Por: Ricardo Salinas, Luis Castro, Reinaldo Bermúdez

1

OBJETIVO

GENERAL

Redactar un informe comprensivo de las

posibles fallas y errores que se puedan presentar

en el uso y gestión del sistema de punto de

ventas SICOM utilizado por la empresa auditada.

2


OBJETIVOS

ESPECÍFICOS

• Evaluar los componentes físicos (hardware) que componen el sistema auditado para la generalización de un documento de estado.

• Determinar la interacción de los usuarios con el sistema; el manejo, control, y uso que ejercen sobre el mismo para la compresión del sistema a nivel de los usuarios.

3


OBJETIVOS

ESPECÍFICOS

• Evaluar el funcionamiento de las aplicaciones (software) que componen el sistema auditado con el propósito de la construcción de una visión global de cómo funciona el sistema.

• Evaluar las redes, tanto a nivel de hardware como de software, que actúan en el funcionamiento del sistema auditado para la obtención de posibles oportunidades de mejora.

4


DESCRIPCIÓN

EMPRESARIAL

La empresa Beca Centro Occidente, C.A., nace en Venezuela en el año

2000, ante la necesidad inminente de descentralizar las operaciones,

producto del auge y la expansión, de la marca “Burger King” en el país. Su sede administrativa y legal se ubica

desde entonces en la ciudad de Valencia, específicamente en la Urb. La Alegría, Av. Bolívar Norte, Torre

Principal, Piso 7, Oficina 7-A. Actualmente la empresa dirige las

operaciones de doce (12) restaurantes de la marca “Burger King”, generando así más de trescientos (300) empleos

directos en la región.

5


EVALUACIÓN DE

SISTEMAS

SICOM Systems Enterprise Management Solution

Desarrollado por SICOM Systems, proveedor norteamericano

ubicado en Doylestown, Pennsylvania, Estados Unidos,

advocado al área de desarrollo de puntos de venta avanzados para la industria de los Restaurantes de

Servicio Rápido.

6


EVALUACIÓN DE

SISTEMAS

Kitchen Minder QSR (Quick Service Restaurants)

Desarrollado por el proveedor norteamericano Integrated Control

Corporation, y se encarga básicamente de indicarle al

Operador de Alimentos (Crew) que se encuentra laborando en el Broiler

(parrilla donde son cocidas las carnes de hamburguesas en Burger King) cuántas piezas de carne debe

colocar a cocinar.

7


EVALUACIÓN DE

SISTEMAS

Sistema de Auriculares y Medición de tiempo Auto

Servicio de HME Los sistemas de HM Electronics, Inc. (HME) son los encargados de

permitir un correcto funcionamiento de las

comunicaciones entre los empleados y la clientela

involucrada en el proceso de compra/venta a través del auto

servicio del restaurant.

8


EVALUACIÓN DE

SISTEMAS

Sistema de control de asistencia de empleados por

capta huellas. Este sistema se encarga de

registrar, a través de marcajes en un terminal capta huellas, la hora

de entrada y salida de cada empleado, con el fin de evitar

vicios y malversación de esta data ya que la huella digital es única para cada empleado y sin ella no se puede registrar la asistencia.

9


EVALUACIÓN DE

SISTEMAS

Circuito de cámaras de seguridad o CCTV

El CCTV de los restaurants varía de uno a otro dependiendo del

tamaño de la tienda, en base a lo cual variará el número de cámaras

y la capacidad del DVR en cuestión según corresponda.

El DVR se conecta por red a la red de acceso a Internet de la tienda

para que el CCTV sea accesible de manera remota.

10


EVALUACIÓN DE

SISTEMAS

Ambos proveedores, tanto SICOM Systems como Integrated Control

Corporation tienen, según sus propias palabras, un compromiso

perenne para con la innovación y el constante desarrollo de mejoras y avances que garanticen que sus

sistemas estén en constante mejora y optimización.

Sin embargo, más allá de eso resulta imposible determinar avances en

tiempo real ya que ambos proveedores se encuentran fuera del

país y no dan acceso a sus operaciones por motivos de confidencialidad industrial.

11


SEGURIDAD

LÓGICA

A nivel de seguridad lógica, que es precisamente el alcance

objetivo de esta auditoría, el sistema SICOM parece contar

de antemano con los requisitos mínimos para asegurar un

nivel de seguridad acorde a la importancia que tiene la

información que es manejada por su sistema SEMS para la

empresa en cuestión.

12


SEGURIDAD

LÓGICA

Igualmente el sistema muestra en papel sólidos procesos de

respaldo de la información, ya que diariamente la base de

datos es respaldada en el disco duro del terminal SL master e inmediatamente copiada por éste en un servidor externo a

través de Internet.

13


DERECHOS DE

AUTOR

SICOM Systems protege de manera muy celosa sus derechos de autoría

sobre el sistema SEMS y por ello gran parte de las fallas son

atendidas directamente por ellos mismos accediendo de manera

remota al sistema, y en caso de que no haya una conexión a Internet

disponible, te guían vía telefónica para encontrar una solución sin dar

mayores explicaciones de los motivos o causas. Igualmente no se

permite manipular los equipos a nivel de hardware puesto pierden

automáticamente la garantía.

14


PLANIFICACIÓN

DE LA AUDITORÍA

Alcance, Objetivo, criterio y manejo de recursos


15

ALCANCE

Se evaluará el sistema general de facturación de la empresa, SICOM SEMS. Basándose la investigación

en el control de los recursos que aseguran la integridad de la data

en este y generada por los usuarios, así como los diferentes

niveles de acceso y su uso. También se apreciarán el flujo de los datos desde la entrada en las

terminales de facturación hasta el control de la alta gerencia la cual

genera una cierta cantidad de reportes para la toma de

decisiones de la empresa.

16


OBJETIVO

Esta auditoría tiene como propósito determinar la exactitud

de los procesos que están establecidos en el sistema de

facturación de Burger King. Para así poder generar un reporte

completo de las áreas donde se encontraron oportunidades de

mejora.

17


ALCANCE

Se basa en la recolección de la información y entrevistas con los

empleados, encontrar oportunidades de mejora en la

empresa y reportar las mismas a ésta.

18


MANEJO DE

RECURSOS

Entrevistas con el personal que utiliza el sistema a diario, así

como también con la alta gerencia para determinar el

funcionamiento del sistema en la actualidad. Estas entrevistas

estarán pautadas con anterioridad con la alta gerencia para no interrumpir las operaciones

normales de la empresa.

19


EVALUACIÓN

FINAL

Equipos, seguridad, personal y actividades informáticas


20

EVALUACIÓN DE

LOS EQUIPOS

La adquisición de los equipos importados, todos aquellos

relacionados con SICOM Systems, se lleva a cabo previo a la apertura de cada restaurant, dependiendo de las dimensiones del mismo, ya que en base a ello y al volumen de clientes estimado que atenderá la

tienda dependerá el número de terminales que serán adquiridos.

21


EVALUACIÓN DE

LOS EQUIPOS

Los equipos pertenecientes al sistema SICOM vienen ya configurados para

trabajar bajo los estándares de Burger King Venezuela desde EEUU, por lo

que el personal técnico de Beca Centro Occidente, C.A., únicamente se

limita a instalar y conectar correctamente cada terminal y equipo en su sitio correspondiente. Luego de

ello la BD es cargada en el terminal master y el sistema ya se encuentra

configurado como el de cualquier otro restaurant de la cadena a nivel

nacional.

22


EVALUACIÓN DE

LOS EQUIPOS

Actualmente, proyectos de adquisición que incluyan equipos

que no han sido utilizados anteriormente no existen.

Las nuevas adquisiciones vienen sobre la marcha cuando se

apertura una nueva sucursal o bien cuando algún equipo se

avería y no tiene reparación y debe ser reemplazado.

23


EVALUACIÓN DE

LOS EQUIPOS

Toda la información que genera y concierne al sistema de facturación y

producción SICOM es almacenada por el mismo en sus discos duros

principal y el de respaldo ubicados en el terminal SL master. Dichos

terminales cuentan con una batería que les da hasta seis (6) horas de

autonomía en caso de apagones, así se garantiza la integridad y el correcto

respaldo de la BD.

24


EVALUACIÓN DE

LOS EQUIPOS

Cada tienda cuenta con los servicios básicos de comunicación

que se ofrecen en el país actualmente, siendo éstos:

telefonía (CANTV regularmente o en su defecto el proveedor de la zona), acceso a internet y correo

electrónico (CANTV regularmente o en su defecto el proveedor de la

zona).

25


EVALUACIÓN DE

LOS EQUIPOS

En cada tienda existe una red interna basada en tecnología

Ethernet para la integración de todos los componentes del sistema

de facturación y producción SICOM. Cada terminal se

encuentra interconectado con los demás a través de esta red que

tiene su punto de encuentro en un switch central.

26


EVALUACIÓN DE LA

SEGURIDAD

El computador de la gerencia, a través del cual se accede a la aplicación web

del SICOM, correo corporativo, y demás aplicaciones de oficina

necesarias para el óptimo funcionamiento del restaurant, se

encuentra protegido de manera lógica contra uso no autorizado a través de los mecanismos regulares que ofrece Windows XP (sistema operativo bajo

el cual trabajan los PC Gerenciales de los restaurantes) de cuentas de

usuario y clave secreta, habiendo una sola cuenta para todos los gerentes.

27


EVALUACIÓN DE LA

SEGURIDAD

La seguridad lógica de los equipos muestra ser robusta, para ingresar a

la aplicación web que permite configurar las opciones del sistema

SICOM se debe contar con un usuario y una clave, los cuales sólo pueden ser

creados por el personal de sistemas.

28


EVALUACIÓN DE LA

SEGURIDAD

Cada usuario es asignado a un nivele de acceso que limita la cantidad y variedad de funciones a las cuales puede acceder. Únicamente a los

gerentes de restaurant se les crea un usuario y el acceso del mismo se

limita a la manipulación de opciones básicas propias de un gerente como

montaje y desmontaje de cajeros, manejo de inventarios, apertura y cierre de facturación, supervisión

remota de las pantallas de cada uno de los terminales activos, consulta e

impresión de reportes variados, etc.

29


EVALUACIÓN DE LA

SEGURIDAD

La consulta y auditoría del material grabado a través del CCTV es de uso

exclusivo del personal de sistema y de la alta gerencia de la empresa

(Gerentes de Operaciones, Directores Generales, Gerente General); los

gerentes de tienda no pueden acceder al mismo.

30


SEGURIDAD FÍSICA

DE LOS EQUIPOS

La seguridad física de los equipos podemos destacarla de aceptable.

En al menos un noventa por ciento de las ocasiones, los

equipos relevantes como el PC de la Gerencia, el DVR del CCTV, los

terminales SL del sistema SICOM, los dispositivos biométricos de

control de asistencia, los controladores de video de los

monitores de Producción.

31


SEGURIDAD FÍSICA

DE LOS EQUIPOS

32


Los switches y routers de redes, contaban todos con su respectiva

protección contra sobre-voltajes y en muchas ocasiones contaban con un

UPS ya sea externo o propio (los terminales SL del sistema SICOM y los dispositivos biométricos cuentan con

UPS internos propios).

SEGURIDAD EN EL

PERSONAL

La seguridad en el personal viene dada principalmente por el juicio

que tenga la persona sobre la importancia del manejo prudente

de los nombres de usuario y/o claves de acceso a los diversos

módulos de configuración y consulta de los sistemas

presentes, así como del resguardo adecuado de las tarjetas Manager

del sistema SICOM.

33


SEGURIDAD EN EL

PERSONAL

Las PC de los Gerentes de tienda cuentan con licencias originales

Kaspersky por lo que en este punto se consideran aceptables

las medidas con las que cuenta la empresa.

La empresa cuenta con pólizas de seguro que cubren todos los

equipos presentes en las tiendas.

34


SEGURIDAD EN EL

PERSONAL

No existe un plan de contingencia ni procedimientos especificados

en la empresa para casos de desastre. Las tiendas cuentan con

UPS y plantas autónomas de energía que suplen de corriente

eléctrica al restaurante en su totalidad en caso de apagones y fallas mayores en el suministro eléctrico, dándole autonomía

operativa a las tiendas de hasta seis horas.

35


ACTIVIDADES

INFORMÁTICAS

En operación y desarrollo


36

SISTEMAS EN

OPERACIÓN

Se puede determinar que la empresa actualmente posee una

situación estable de los sistemas, con una baja cantidad de reportes

en errores de los mismos. Sin embargo la misma no posee un plan para controlar la situación

en caso de que surja un problema y delega todo a una sola persona

que en este caso se hace indispensable para el manejo de

los diferentes sistemas.

37


SISTEMAS EN

OPERACIÓN

La empresa no posee los esquemas de los sistemas por lo

que se desarrollara esta actividad netamente con la observación del auditor. El sistema de producción

posee una composición de una base de datos en la nube, la cual es controlada por una aplicación web y una de escritorio en Linux.

38


SISTEMAS EN

DESARROLLO

Actualmente la empresa utiliza una compañía de Software

contratada para el diseño de sus sistemas por lo cual no existe

información en esta de sistemas en próximo desarrollo.

39


EVALUACIÓN DEL

PERSONAL

Participación y entrevistas realizadas dentro dela auditoría


40

PARTICIPACIÓN

INTERNA

La participación del personal con los auditores fue de gran ayuda.

Todo el personal estuvo completamente dispuesto a

describir las actividades que desempeña en su labor diaria, apuntar los riesgos y hallazgos que existen actualmente en la

empresa como también entregar los diferentes documentos

pertinentes a la investigación.

41


EVALUACIÓN DE LA

INFORMACIÓN

Se puede decir que los sistemas cumplen con las necesidades de

los empleados y los requerimientos de los mismos, al

punto en el que los empleados subutilizan el sistema y

desaprovechan diferentes oportunidades que el mismo

ofrece para facilitar la labor que desempeñan.

42


EVALUACIÓN DE LA

INFORMACIÓN

Un ejemplo de esto es el inventario, el empleado podría

entrar al módulo de inventario del sistema, cargar que se compró y el

sistema descuenta automáticamente por cada venta que se haga del inventario lo que

se consume, sin embargo los empleados de la gerencia llevan

esta labor a mano por desconocimiento del mismo.

43


RESUMEN Y

CONCLUSIÓN

Debilidades, Fortalezas, conclusiones y recomendaciones.


44

DEBILIDADES

Con respecto a las debilidades podemos decir que no

encontramos muchas, es un sistema verdaderamente

completo, aunque el hecho de que los problemas que presenten las

terminales solo los atiendan personas de afuera del país es algo

limitante, esto representa una debilidad, si por ejemplo se quiere algo más personal simplemente la

empresa no presta ese servicio.

45


FORTALEZAS

Dentro de las fortalezas de SICOM tenemos que las soluciones de gestión de la empresa le darán

acceso inmediato a la información sin tener que invertir miles de

dólares para crear y mantener una infraestructura de TI.

SICOM ofrece flexibilidad y confiabilidad a un costo

significativamente menor que las soluciones de la competencia.

46


CONCLUSIONES

Los resultados obtenidos en el presente trabajo de investigación del caso

estudio a la empresa Beca Centro Occidente, C.A., nos

llevan a las siguientes conclusiones.

47


CONCLUSIONES

En sentido amplio podemos decir, que los sistemas de información, comprenden

los medios para almacenar, procesar y manipular datos

de cualquier naturaleza, mediante el uso de diferente

software con diferentes funciones o

especificaciones.

48


CONCLUSIONES

La empresa en estudio no presenta muchos problemas a nivel lógico, físico o humano. Presenta unos sistemas muy

bien estructurados que trabajan de una manera estándar de la

cual han venido trabajando por muchísimos años. Esto le brinda

mucha experiencia lo cual le permite saber o estar prevenidos

a problemas anteriormente presentados.

49


RECOMENDACIONES

Recomendamos a la empresa poseer un departamento de

sistemas, de manera de que los problemas técnicos, aunque se resuelvan a larga distancia, sea

más fácil su control así como poseer proveedores nacionales de

manera de poder determinar avances en tiempo real

50


GRACIAS

Informe de Auditoría de Sistemas de Información.


51

Auditoria Beca Centro Occidente C.A.

Career

Transcript of Auditoria Beca Centro Occidente C.A.