INFORME DE AUDITORIA AL FUNCIONAMIENTO DEL SISTEMA DE

En el desarrollo de la Auditoria en la Oficina Asesora de Sistemas, ... realice más rápidamente, por ejemplo subir un archivo plano que contenga los h...

71 downloads 648 Views 203KB Size
UNIVERSIDAD DISTRITAL FRANCISCO JOSÉ DE CALDAS

OFICINA ASESORA DE CONTROL INTERNO

INFORME DE AUDITORIA AL FUNCIONAMIENTO DEL SISTEMA DE INFORMACION CONDOR

VÍCTOR MANUEL SALAMANCA MORENO Jefe Oficina Asesora de Control Interno

FAUSTO ALEXANDER PUERTO QUINCOS Funcionario Oficina Asesora de Control Interno

BOGOTA, MARZO DE 2013

1. INFORME DE AUDITORIA AL FUNCIONAMIENTO DEL SISTEMA DE INFORMACION CONDOR En cumplimiento de las funciones de la Oficina Asesora de Control Interno, establecidas en la Resolución 1101 de 2002 de Rectoría y teniendo en cuenta los principios de control interno, se llevó a cabo seguimiento y evaluación a la aplicación que la Oficina Asesora de Sistemas ha venido implementando para el registro y consulta de asignaturas en la Universidad. 1.1

OBJETIVO

Verificar las actividades realizadas para el funcionamiento del Sistema Cóndor, de conformidad con las necesidades de la Universidad, que permitan a la Comunidad Universitaria cumplir lo referente al Calendario Académico. 1.2

ALCANCE

Constatar las acciones tomadas mantener disponible y en funcionamiento eficiente cada componente del Sistema Académico Cóndor para la Comunidad Académica, relacionadas con los tiempos que le toman tanto a profesores como a estudiantes formalizar los procesos mencionados en el Calendario Académico . 1.3

METODOLOGIA

En el proceso de consolidación de la información para realizar el proceso de la auditoría se realizaron actividades de: a. Inspección b. Análisis c. Visita d. Observación e. Confirmación f. Revisión analítica

Informe Final de Auditoria al funcionamiento del Sistema Cóndor

OACI – UD

Página 2 de 15

2.

ANTECEDENTES

La Universidad Distrital ha crecido en todos los aspectos, de esta manera se pasó de 22819 estudiantes en 2003 a 29655 en 20111 El cambio en los sistemas de información y especialmente en lo referente a la utilización de Internet, en este mismo periodo de tiempo en nuestro país, mostró una aumento del 27% en 2003 al 64% en 20112 La Universidad sin ser ajena al desarrollo de las tecnologías de información, requirió adaptar su Sistema de Información Académico a esta nueva tendencia y esto dio como resultado la creación de un Sistema que permitiera tanto a sus estudiantes como a sus docentes interactuar con la Universidad desde sus casas. De allí surge el Sistema de Información Cóndor. 3. TEMAS A CUBRIR No

CAPITULOS

REFERENCIA / PAPELES DE TRABAJO

REALIZADO POR

1

Análisis de Requerimientos

Formato de desarrollo de la Auditoria

Equipo Auditor

2

Diseño

Formato de desarrollo de la Auditoria

Equipo Auditor

3

Manuales

Formato de desarrollo de la Auditoria

Equipo Auditor

4

Pruebas

Formato de desarrollo de la Auditoria

Equipo Auditor

5

Capacitación

Formato de desarrollo de la Auditoria

Equipo Auditor

6

Versiones

Formato de desarrollo de la Auditoria

Equipo Auditor

7

Operación

Formato de desarrollo de la Auditoria

Equipo Auditor

8

Plan de contingencia

Formato de desarrollo de la Auditoria

Equipo Auditor

En total, la auditoria comprendió ocho temas, los cuales quedaron documentados en un formato del desarrollo de la auditoría. 1

2

http://www.udistrital.edu.co/files/dependencias/planeacion/planeacIndicadoresBasicos20032011.pdf Evolución en Colombia del consumo de Internet 1999 – 2011, http://www.marketingnews.com.co/site/Portals/0/

Documents/pdf/last_editions/inv.pdf

Informe Final de Auditoria al funcionamiento del Sistema Cóndor

OACI – UD

Página 3 de 15

La información del informe proviene de entrevistas a los ingenieros de la Oficina Asesora de Sistemas y de visitas realizadas a coordinaciones de proyecto curricular. 4. MARCO REFERENCIAL Los aspectos, capítulos o temas a tener en cuenta en la Auditoría se tomaron usando como referencia el marco de trabajo de COBIT 4.1, específicamente sus procesos PO1, PO2, PO4, AI1, AI7, DS3, DS5, DS7, DS8, DS9 y DS133 y la Guía de Auditoria numero 29 de ISACA4. 5. HALLAZGOS POSITIVOS DE LA AUDITORIA

En el desarrollo de la Auditoria en la Oficina Asesora de Sistemas, se evidenció el uso de buenas prácticas en diferentes temas para el mantener en funcionamiento el Sistema de Información Cóndor, así: Análisis de Requerimientos Los requisitos iniciales de un desarrollo como CONDOR, tenían como objetivo base, brindar la posibilidad de conectar a cada estudiante con la Universidad, y así, los procesos de registro de asignaturas y visualizarlas pudiera realizarse u observarse desde cualquier computador con acceso a Internet. Posteriormente, las disposiciones y directrices de la Universidad, debidamente soportados mediante oficios o mensajes de correo electrónico, llevar a desarrollar más funcionalidades que incluyen: •

Que los profesores efectúen el registro de las notas de calificaciones de cada uno de los estudiantes que tienen inscritos en sus asignaturas.

3

COBIT 4.1, páginas 34-46, 41-46, 74-80, 85-88, 114-140, 157-160.

4

IS Auditing Guideline G29 Post Implementation Review, páginas 2-7 Informe Final de Auditoria al funcionamiento del Sistema Cóndor

OACI – UD

Página 4 de 15



Que la Universidad cuente con una herramienta para la generación de información estadística sobre los aspirantes a los programas de pregrado y posgrado de la Institución.



Que se facilite el proceso de matriculas de la Universidad.



Consultar e imprimir certificados de ingresos - retenciones y desprendibles de pago de docentes, funcionarios administrativos de planta y pensionados.



Ingresar y consultar los Planes de Trabajo de Docentes



Evaluar a los Docentes



Inscribir a los estudiantes a las Pruebas Saber-Pro (ECAES)

. Diseño Se tienen documentados los diferentes casos de uso para cada actividad que un usuario del sistema pudiera llegar a realizar en el Sistema Cóndor. La información se encuentra en formato digital. Manuales Se tiene manual de instalación para la aplicación académica del año 2008 que aun está vigente, igualmente el manual de instalación se encuentra en formato digital. De Cóndor, no existe un manual de instalación para el usuario, ya que el Sistema es cliente WEB, por ello no se requiere instalar nada en los equipos que van a utilizar el aplicativo. Para la operación del Sistema, existen videos que pueden ser consultados vía Internet. Pruebas Cada uno de los casos de uso tiene asociado un caso de prueba, debidamente documentado. Capacitación Se cuenta con soportes impresos de las capacitaciones realizadas de parte de funcionarios de la Oficina Asesora de Sistemas a diferentes usuarios del sistema. Informe Final de Auditoria al funcionamiento del Sistema Cóndor

OACI – UD

Página 5 de 15

Versiones Cada modificación (versión) al Sistema de Información Cóndor es guardada en un archivo fuente diferente al anterior. Versiones alojadas además en un repositorio de datos tipo Cloud Computing. Para el Sistema Cóndor se tienen más de 20000 archivos, alojados en el repositorio de datos github. Operación El lenguaje de programación con el que se desarrolla Cóndor es PHP versión 5.4.9 La base de datos utilizada por el Sistema Cóndor se encuentra en la versión 11g de Oracle. En el funcionamiento del sistema Cóndor se tienen diferentes subsistemas: siendo cinco (5) los clave en el proceso de inscripción y registro de datos de asignaturas: Cierre

de

semestre,

preinscripción

por

demanda,

inscripción

automática,

inscripciones y Notas. Anteriormente el sistema realizaba una búsqueda de las asignaturas que secuencialmente debería cursar y las inscribía automáticamente después del cierre de semestre. Esto conducía a que estudiantes que querían cursar otras asignaturas o asignaturas en horarios diferentes, las cancelaran y comenzaran el proceso de adición de las materias de su preferencia. Para el primer semestre de 2013, el registro e inscripción de asignaturas tuvo menos inconvenientes debido al siguiente cambio en el proceso: como según las normas vigentes es estudiante activo quién realiza el proceso de matrícula, es decir quién entre otras haya efectuado el pago de su recibo, los estudiantes que no hayan realizado pago de matricula al momento de la inscripción por demanda, no son tenidos en cuenta para su inscripción automática, es decir no se le adiciona ninguna materia y tienen que posteriormente entrar a buscar dentro de los cupos que se hallen disponibles. El proceso se puede ilustrar de la siguiente forma

Informe Final de Auditoria al funcionamiento del Sistema Cóndor

OACI – UD

Página 6 de 15

De esta manera se han reducido los tiempos y trámites administrativos en el registro e inscripción de asignaturas Plan de Contingencia Con el objetivo de garantizar la Alta Disponibilidad del Sistema Cóndor, se está usando la infraestructura instalada en el Centro de Gestión Olimpo. Sin embargo, no existe un Centro Alterno de Computo que permita restaurar las operaciones desde un sitio físicamente apartado de las instalaciones de la Universidad

6. INFORME Con base en el desarrollo de la auditoria se determinaron nueve (9) observaciones, OBSERVACION 1 Al revisar la operación de Cóndor desde una Coordinación de proyecto curricular, e intentar enviar un mensaje a varios docentes, no fue posible hacerlo en un mismo evento, seleccionando los diferentes docentes (por área) o todos los asociados al proyecto curricular, esta tarea solo puede realizarse enviando secuencialmente a cada destinatario el mensaje.

Informe Final de Auditoria al funcionamiento del Sistema Cóndor

OACI – UD

Página 7 de 15

RIESGO Perdida de la efectividad y disponibilidad de la información. No lograr en un momento dado el envío del mensaje puede impedir que el docente cumpla con lo requerido para la coordinación. Al hacerlo uno a uno aumenta la posibilidad de que algún docente no sea informado oportunamente. RECOMENDACIÓN Adecuar el Sistema para que permita crear listas, o seleccionar varios destinatarios antes de enviar el mensaje. OBSERVACION 2 La asignación de horarios en el modulo “carga académica” debe ser alimentada una a una, cada hora con su respectivo día. Así el cargue de las asignaturas es tedioso y puede llegar a ser lento. RIESGO Perdida de la efectividad y disponibilidad de la información. Estas tareas pueden demorar el cargue de las asignaturas y retrasar los tiempos establecidos en el Calendario Académico, más aún si se contempla que un proyecto curricular debe cargar, en promedio, más de doscientos (200) horarios. RECOMENDACIÓN Hacer los ajustes necesarios en el Sistema que permita que esta tarea se realice más rápidamente, por ejemplo subir un archivo plano que contenga los horarios.

OBSERVACION 3 Los estudiantes que han cursado y aprobado la totalidad de asignaturas de su plan de estudios deben cancelar recibo de pago normal hasta que finalmente se gradúen. Si además de haber culminado todas sus asignaturas el estudiante ya cuenta con anteproyecto aprobado, es decir sus dos revisores han dado concepto de viable, el estudiante sólo está obligado a pagar el valor correspondiente al seguro estudiantil. Informe Final de Auditoria al funcionamiento del Sistema Cóndor

OACI – UD

Página 8 de 15

Actualmente son cinco mil quinientos pesos ($5.500). La revisión de sí el estudiante tiene o no aprobado su anteproyecto no se registra en ningún sistema, algunos proyectos utilizan hojas electrónicas con este propósito. RIESGO Perdida de la eficiencia y la efectividad de la información. En la medida en que no se registren estos datos en el Sistema y se tenga que acudir a medios físicos, para generar un recibo, estos procesos pueden ser susceptibles de error. RECOMENDACIÓN Adecuar el Sistema Cóndor para que previo a la impresión de recibos, se pueda observar si el estudiante cuenta con un anteproyecto de grado viable por sus dos revisores que afecte la liquidación y generación del recibo de pago.

OBSERVACION 4 No se encontró evidencia de la arquitectura inicial del Sistema CONDOR. RIESGO Perdida de la eficiencia y la efectividad de la información. No tener documentados los procesos de negocio impide al nuevo personal conocer la lógica y las tareas al interior de éste RECOMENDACIÓN Documentar todos los cambios en la estructura y diseño de las aplicaciones para facilitar el entendimiento de la lógica de negocio.

OBSERVACION 5 No se halló documentación del diagrama Entidad Relación de CONDOR

Informe Final de Auditoria al funcionamiento del Sistema Cóndor

OACI – UD

Página 9 de 15

RIESGO Perdida de disponibilidad de la información. Si no se encuentra el encargado de la base de datos no es posible tener acceso a esta información estructural del Sistema de Información. RECOMENDACIÓN Tener una persona, además del Administrador de la Base de Datos, que tenga conocimiento de la documentación inherente al modelo relacional de la base de datos, con sus correspondientes versiones.

OBSERVACION 6 El Sistema Cóndor no permite importar datos, usando hojas electrónicas, o archivos de texto. RIESGO Perdida de disponibilidad y oportunidad de la información. Debido a la imposibilidad de utilizar archivos de interfaz QUE agilicen los procesos de asignación de horarios, carga académica, entre otros. RECOMENDACIÓN Ajustar el Sistema Cóndor para que permita importar datos.

OBSERVACION 7 La vinculación de personal contratista, no permite que haya continuidad en los procesos relacionados con el diseño, desarrollo y mantenimiento del Sistema de Gestión Académico. RIESGO Detrimento patrimonial. Pérdida de la inversión realizada en temas de instrucción realizada por la Universidad. RECOMENDACIÓN Impulsar en la alta dirección, el cambio en las condiciones laborales del personal adscrito a la Oficina Asesora de Sistemas. Informe Final de Auditoria al funcionamiento del Sistema Cóndor

OACI – UD

Página 10 de 15

OBSERVACION 8 Se evidenciaron diferentes comunicaciones en donde se pide la apertura de Sistema de Gestión Académico, en fechas posteriores a la fecha límite para el cargue de notas. RIESGO Pérdida de credibilidad en el Sistema de Gestión Académico, porque la no incorporación de registros de calificaciones puede redundar en mala voluntad de parte de los estudiantes. RECOMENDACIÓN Propender para que la totalidad de los docentes, registren las calificaciones de manera oportuna. OBSERVACION 9 Los archivos de copias de respaldo a los datos no se encuentran fuera de la Universidad. RIESGO Pérdida de disponibilidad de la información, en caso de no poder ingresar a la Universidad. RECOMENDACIÓN Que se definan políticas para la guarda y custodia de la información fuera de la Universidad, que pueden incluir la contratación de este servicio con un ente externo. Además, en caso de tener acceso a los datos fuera de la Universidad, se hace necesario también contar con un centro de respaldo para restaurar la información.

Informe Final de Auditoria al funcionamiento del Sistema Cóndor

OACI – UD

Página 11 de 15

7. CONCLUSIONES



Durante el desarrollo de la Auditoria, se observó que las actividades desarrolladas por la Oficina Asesora de Sistemas reflejan el uso de buenas prácticas en la disposición del Sistema Cóndor para su uso de parte de estudiantes, docentes y funcionarios administrativos.



Cóndor, es la cara visible del Sistema de Gestión Académica de la Universidad Distrital, pero ya hace más de cinco (5) años que paralelamente se utiliza la base de datos y algunos reportes de la Aplicación Académica, que actualmente se encuentra obsoleta y presenta deficiencias en su operación.



El servidor que aloja el software del Sistema Cóndor se encontraba ubicado físicamente en el primer piso del Edificio Alejandro Suárez Copete, que tiene problemas de fluido eléctrico, sin embargo se trasladó al Centro de Gestión Olimpo, en ese sentido el riesgo de falta de disponibilidad de la información fue mitigado.

8. RECOMENDACIONES GENERALES •

Se recomienda a la Oficina Asesora de Sistemas realizar el desmonte total de la aplicación académica.



En el tema de la Evaluación Docente, desarrollar un procedimiento que permita generar un visto bueno cuando el docente realiza el cargue de notas de manera oportuna.



Se recomienda a las directivas de la Universidad impulsar cambios necesarios para que la contratación de personal garantice su continuidad, en temas críticos como la administración y funcionamiento del Sistema de Gestión Académico. Informe Final de Auditoria al funcionamiento del Sistema Cóndor

OACI – UD

Página 12 de 15



Se recomienda a la Oficina Asesora de Sistemas documentar las experiencias que se han adquirido en la implementación del Sistema Cóndor que permitan su restauración y soporte desde otro lugar geográfico.



La administración de la Universidad debe propender por la adquisición de como mínimo de un centro de respaldo, que cumpla con las buenas prácticas de gobierno y auditoria, para lograr restaurar los sistemas de información y de comunicaciones en caso de desastre

9. GLOSARIO CLOUD COMPUTING: En castellano Computación en la Nube, es una tecnología nueva que busca tener todos los archivos e información en Internet y que no requiere de hardware de alto desempeño y/o capacidad para almacenar información. COBIT: (Control Objectives for Information and related Technology) En español Objetivos de Control para la Información y la Tecnología, es un marco de referencia usado para controlar las Tecnologías de la Información, que brinda buenas prácticas, las cuales representan el consenso de los expertos y sirven como soporte al Marco de Referencia Integrado de Control Interno (COSO), que es ampliamente aceptado para el gobierno corporativo y para la administración de riesgos. CONFIDENCIALIDAD DE LA INFORMACIÓN: se refiere a la protección de información sensitiva contra revelación no autorizada. DISPONIBILIDAD DE LA INFORMACIÓN: se refiere a que la información esté disponible cuando sea requerida por los procesos del negocio en cualquier

Informe Final de Auditoria al funcionamiento del Sistema Cóndor

OACI – UD

Página 13 de 15

momento. También concierne a la protección de los recursos y las capacidades necesarias asociadas. EFECTIVIDAD DE LA INFORMACIÓN: tiene que ver con que la información sea relevante y pertinente a los procesos del negocio, y se proporcione de una manera oportuna, correcta, consistente y utilizable. EFICIENCIA DE LA INFORMACIÓN: consiste en que la información sea generada con el óptimo (más productivo y económico) uso de los recursos. GITHUB: es una plataforma de desarrollo colaborativo de software para alojar proyectos utilizando el sistema de control de versiones Git. ORACLE: Sistema de gestión de base de datos relacional (o RDBMS por el acrónimo en inglés de Relational Data Base Management System), desarrollado por Oracle Corporation. Es considerado como uno de los sistemas de bases de datos más completos. PHP: (Acrónimo de Hypertext Pre-processor) es un lenguaje de programación de uso general, que permite desarrollos web alojados en un servidor y cuyo contenido es dinámico. PERFIL: Es el conjunto de características de un usuario de un sistema de información en cuanto a sus necesidades, formación, pertinencia y relevancia de los datos a los que puede acceder. REPOSITORIO DE DATOS: también depósito o archivo es un sitio centralizado donde se almacena y mantiene información digital, habitualmente bases de datos o archivos informáticos.

Informe Final de Auditoria al funcionamiento del Sistema Cóndor

OACI – UD

Página 14 de 15

SERVIDOR WEB: En términos de informática, es un software que procesa una aplicación del lado del servidor realizando conexiones bidireccionales y/o unidireccionales y síncronas o asíncronas con otro (s) equipo (s) que tengan instalado el mismo software, llamado (s) cliente (s), generando o cediendo una respuesta en cualquier lenguaje o aplicación del lado del cliente.

Funcionario Oficina Asesora de Control Interno

Papeles de trabajo: Acta de apertura de la Auditoria, Plan de Auditoria, Programa de Auditoria, Formato desarrollo de la Auditoria, COBIT 4.1 (Objetivos de Control para la Información y la Tecnología), IS Auditing Guideline G29 Post Implementation Review (Guía de Auditoria de Sistemas de Información Numero 29 – Verificación Posterior a la Implementación), Arquitectura proyectada Sistema Información Cóndor, Especificación de casos de prueba (subsistema administración de inscripciones para posgrados), Solicitud de paso de componentes de software a entorno de pruebas y/o producción, Matriz de solicitud de pruebas, Impresión de pantalla de Repositorio de datos,, formato de solicitud de pruebas usado por la Oficina Asesora de Sistemas, soporte de Control de Asistencia a Capacitación de Bodega de datos (Incluye Sistema Cóndor,, Acta de cierre de la Auditoria.

Informe Final de Auditoria al funcionamiento del Sistema Cóndor

OACI – UD

Página 15 de 15