INFORME DE AUDITORIA AL FUNCIONAMIENTO DEL SISTEMA DE INFORMACION CONDOR
VCTOR MANUEL SALAMANCA MORENO Jefe Oficina Asesora de Control Interno
FAUSTO ALEXANDER PUERTO QUINCOS Funcionario Oficina Asesora de Control Interno
BOGOTA, MARZO DE 2013 Informe Final de Auditoria al funcionamiento del Sistema Cndor OACI UD Pgina 2 de 15
1. INFORME DE AUDITORIA AL FUNCIONAMIENTO DEL SISTEMA DE INFORMACION CONDOR En cumplimiento de las funciones de la Oficina Asesora de Control Interno, establecidas en la Resolucin 1101 de 2002 de Rectora y teniendo en cuenta los principios de control interno, se llev a cabo seguimiento y evaluacin a la aplicacin que la Oficina Asesora de Sistemas ha venido implementando para el registro y consulta de asignaturas en la Universidad.
1.1 OBJETIVO
Verificar las actividades realizadas para el funcionamiento del Sistema Cndor, de conformidad con las necesidades de la Universidad, que permitan a la Comunidad Universitaria cumplir lo referente al Calendario Acadmico.
1.2 ALCANCE
Constatar las acciones tomadas mantener disponible y en funcionamiento eficiente cada componente del Sistema Acadmico Cndor para la Comunidad Acadmica, relacionadas con los tiempos que le toman tanto a profesores como a estudiantes formalizar los procesos mencionados en el Calendario Acadmico .
1.3 METODOLOGIA
En el proceso de consolidacin de la informacin para realizar el proceso de la auditora se realizaron actividades de: a. Inspeccin b. Anlisis c. Visita d. Observacin e. Confirmacin f. Revisin analtica
Informe Final de Auditoria al funcionamiento del Sistema Cndor OACI UD Pgina 3 de 15
2. ANTECEDENTES La Universidad Distrital ha crecido en todos los aspectos, de esta manera se pas de 22819 estudiantes en 2003 a 29655 en 2011 1
El cambio en los sistemas de informacin y especialmente en lo referente a la utilizacin de Internet, en este mismo periodo de tiempo en nuestro pas, mostr una aumento del 27% en 2003 al 64% en 2011 2
La Universidad sin ser ajena al desarrollo de las tecnologas de informacin, requiri adaptar su Sistema de Informacin Acadmico a esta nueva tendencia y esto dio como resultado la creacin de un Sistema que permitiera tanto a sus estudiantes como a sus docentes interactuar con la Universidad desde sus casas. De all surge el Sistema de Informacin Cndor.
3. TEMAS A CUBRIR
No CAPITULOS REFERENCIA / PAPELES DE TRABAJO REALIZADO POR 1 Anlisis de Requerimientos Formato de desarrollo de la Auditoria Equipo Auditor 2 Diseo Formato de desarrollo de la Auditoria Equipo Auditor 3 Manuales Formato de desarrollo de la Auditoria Equipo Auditor 4 Pruebas Formato de desarrollo de la Auditoria Equipo Auditor 5 Capacitacin Formato de desarrollo de la Auditoria Equipo Auditor 6 Versiones Formato de desarrollo de la Auditoria Equipo Auditor 7 Operacin Formato de desarrollo de la Auditoria Equipo Auditor 8 Plan de contingencia Formato de desarrollo de la Auditoria Equipo Auditor
En total, la auditoria comprendi ocho temas, los cuales quedaron documentados en un formato del desarrollo de la auditora.
1 http://www.udistrital.edu.co/files/dependencias/planeacion/planeacIndicadoresBasicos20032011.pdf 2 Evolucin en Colombia del consumo de Internet 1999 2011, http://www.marketingnews.com.co/site/Portals/0/ Documents/pdf/last_editions/inv.pdf
Informe Final de Auditoria al funcionamiento del Sistema Cndor OACI UD Pgina 4 de 15
La informacin del informe proviene de entrevistas a los ingenieros de la Oficina Asesora de Sistemas y de visitas realizadas a coordinaciones de proyecto curricular.
4. MARCO REFERENCIAL
Los aspectos, captulos o temas a tener en cuenta en la Auditora se tomaron usando como referencia el marco de trabajo de COBIT 4.1, especficamente sus procesos PO1, PO2, PO4, AI1, AI7, DS3, DS5, DS7, DS8, DS9 y DS13 3 y la Gua de Auditoria numero 29 de ISACA 4 .
5. HALLAZGOS POSITIVOS DE LA AUDITORIA
En el desarrollo de la Auditoria en la Oficina Asesora de Sistemas, se evidenci el uso de buenas prcticas en diferentes temas para el mantener en funcionamiento el Sistema de Informacin Cndor, as:
Anlisis de Requerimientos Los requisitos iniciales de un desarrollo como CONDOR, tenan como objetivo base, brindar la posibilidad de conectar a cada estudiante con la Universidad, y as, los procesos de registro de asignaturas y visualizarlas pudiera realizarse u observarse desde cualquier computador con acceso a Internet.
Posteriormente, las disposiciones y directrices de la Universidad, debidamente soportados mediante oficios o mensajes de correo electrnico, llevar a desarrollar ms funcionalidades que incluyen: Que los profesores efecten el registro de las notas de calificaciones de cada uno de los estudiantes que tienen inscritos en sus asignaturas.
3 COBIT 4.1, pginas 34-46, 41-46, 74-80, 85-88, 114-140, 157-160. 4 IS Auditing Guideline G29 Post Implementation Review, pginas 2-7 Informe Final de Auditoria al funcionamiento del Sistema Cndor OACI UD Pgina 5 de 15
Que la Universidad cuente con una herramienta para la generacin de informacin estadstica sobre los aspirantes a los programas de pregrado y posgrado de la Institucin. Que se facilite el proceso de matriculas de la Universidad. Consultar e imprimir certificados de ingresos - retenciones y desprendibles de pago de docentes, funcionarios administrativos de planta y pensionados. Ingresar y consultar los Planes de Trabajo de Docentes Evaluar a los Docentes Inscribir a los estudiantes a las Pruebas Saber-Pro (ECAES) . Diseo Se tienen documentados los diferentes casos de uso para cada actividad que un usuario del sistema pudiera llegar a realizar en el Sistema Cndor. La informacin se encuentra en formato digital.
Manuales Se tiene manual de instalacin para la aplicacin acadmica del ao 2008 que aun est vigente, igualmente el manual de instalacin se encuentra en formato digital. De Cndor, no existe un manual de instalacin para el usuario, ya que el Sistema es cliente WEB, por ello no se requiere instalar nada en los equipos que van a utilizar el aplicativo. Para la operacin del Sistema, existen videos que pueden ser consultados va Internet.
Pruebas Cada uno de los casos de uso tiene asociado un caso de prueba, debidamente documentado.
Capacitacin Se cuenta con soportes impresos de las capacitaciones realizadas de parte de funcionarios de la Oficina Asesora de Sistemas a diferentes usuarios del sistema. Informe Final de Auditoria al funcionamiento del Sistema Cndor OACI UD Pgina 6 de 15
Versiones Cada modificacin (versin) al Sistema de Informacin Cndor es guardada en un archivo fuente diferente al anterior. Versiones alojadas adems en un repositorio de datos tipo Cloud Computing. Para el Sistema Cndor se tienen ms de 20000 archivos, alojados en el repositorio de datos github.
Operacin El lenguaje de programacin con el que se desarrolla Cndor es PHP versin 5.4.9 La base de datos utilizada por el Sistema Cndor se encuentra en la versin 11g de Oracle. En el funcionamiento del sistema Cndor se tienen diferentes subsistemas: siendo cinco (5) los clave en el proceso de inscripcin y registro de datos de asignaturas: Cierre de semestre, preinscripcin por demanda, inscripcin automtica, inscripciones y Notas. Anteriormente el sistema realizaba una bsqueda de las asignaturas que secuencialmente debera cursar y las inscriba automticamente despus del cierre de semestre. Esto conduca a que estudiantes que queran cursar otras asignaturas o asignaturas en horarios diferentes, las cancelaran y comenzaran el proceso de adicin de las materias de su preferencia. Para el primer semestre de 2013, el registro e inscripcin de asignaturas tuvo menos inconvenientes debido al siguiente cambio en el proceso: como segn las normas vigentes es estudiante activo quin realiza el proceso de matrcula, es decir quin entre otras haya efectuado el pago de su recibo, los estudiantes que no hayan realizado pago de matricula al momento de la inscripcin por demanda, no son tenidos en cuenta para su inscripcin automtica, es decir no se le adiciona ninguna materia y tienen que posteriormente entrar a buscar dentro de los cupos que se hallen disponibles. El proceso se puede ilustrar de la siguiente forma Informe Final de Auditoria al funcionamiento del Sistema Cndor OACI UD Pgina 7 de 15
De esta manera se han reducido los tiempos y trmites administrativos en el registro e inscripcin de asignaturas
Plan de Contingencia Con el objetivo de garantizar la Alta Disponibilidad del Sistema Cndor, se est usando la infraestructura instalada en el Centro de Gestin Olimpo. Sin embargo, no existe un Centro Alterno de Computo que permita restaurar las operaciones desde un sitio fsicamente apartado de las instalaciones de la Universidad
6. INFORME
Con base en el desarrollo de la auditoria se determinaron nueve (9) observaciones,
OBSERVACION 1 Al revisar la operacin de Cndor desde una Coordinacin de proyecto curricular, e intentar enviar un mensaje a varios docentes, no fue posible hacerlo en un mismo evento, seleccionando los diferentes docentes (por rea) o todos los asociados al proyecto curricular, esta tarea solo puede realizarse enviando secuencialmente a cada destinatario el mensaje.
Informe Final de Auditoria al funcionamiento del Sistema Cndor OACI UD Pgina 8 de 15
RIESGO Perdida de la efectividad y disponibilidad de la informacin. No lograr en un momento dado el envo del mensaje puede impedir que el docente cumpla con lo requerido para la coordinacin. Al hacerlo uno a uno aumenta la posibilidad de que algn docente no sea informado oportunamente. RECOMENDACIN Adecuar el Sistema para que permita crear listas, o seleccionar varios destinatarios antes de enviar el mensaje.
OBSERVACION 2 La asignacin de horarios en el modulo carga acadmica debe ser alimentada una a una, cada hora con su respectivo da. As el cargue de las asignaturas es tedioso y puede llegar a ser lento. RIESGO Perdida de la efectividad y disponibilidad de la informacin. Estas tareas pueden demorar el cargue de las asignaturas y retrasar los tiempos establecidos en el Calendario Acadmico, ms an si se contempla que un proyecto curricular debe cargar, en promedio, ms de doscientos (200) horarios. RECOMENDACIN Hacer los ajustes necesarios en el Sistema que permita que esta tarea se realice ms rpidamente, por ejemplo subir un archivo plano que contenga los horarios.
OBSERVACION 3 Los estudiantes que han cursado y aprobado la totalidad de asignaturas de su plan de estudios deben cancelar recibo de pago normal hasta que finalmente se graden. Si adems de haber culminado todas sus asignaturas el estudiante ya cuenta con anteproyecto aprobado, es decir sus dos revisores han dado concepto de viable, el estudiante slo est obligado a pagar el valor correspondiente al seguro estudiantil. Informe Final de Auditoria al funcionamiento del Sistema Cndor OACI UD Pgina 9 de 15
Actualmente son cinco mil quinientos pesos ($5.500). La revisin de s el estudiante tiene o no aprobado su anteproyecto no se registra en ningn sistema, algunos proyectos utilizan hojas electrnicas con este propsito. RIESGO Perdida de la eficiencia y la efectividad de la informacin. En la medida en que no se registren estos datos en el Sistema y se tenga que acudir a medios fsicos, para generar un recibo, estos procesos pueden ser susceptibles de error. RECOMENDACIN Adecuar el Sistema Cndor para que previo a la impresin de recibos, se pueda observar si el estudiante cuenta con un anteproyecto de grado viable por sus dos revisores que afecte la liquidacin y generacin del recibo de pago.
OBSERVACION 4 No se encontr evidencia de la arquitectura inicial del Sistema CONDOR.
RIESGO Perdida de la eficiencia y la efectividad de la informacin. No tener documentados los procesos de negocio impide al nuevo personal conocer la lgica y las tareas al interior de ste RECOMENDACIN Documentar todos los cambios en la estructura y diseo de las aplicaciones para facilitar el entendimiento de la lgica de negocio.
OBSERVACION 5 No se hall documentacin del diagrama Entidad Relacin de CONDOR
Informe Final de Auditoria al funcionamiento del Sistema Cndor OACI UD Pgina 10 de 15
RIESGO Perdida de disponibilidad de la informacin. Si no se encuentra el encargado de la base de datos no es posible tener acceso a esta informacin estructural del Sistema de Informacin. RECOMENDACIN Tener una persona, adems del Administrador de la Base de Datos, que tenga conocimiento de la documentacin inherente al modelo relacional de la base de datos, con sus correspondientes versiones.
OBSERVACION 6 El Sistema Cndor no permite importar datos, usando hojas electrnicas, o archivos de texto. RIESGO Perdida de disponibilidad y oportunidad de la informacin. Debido a la imposibilidad de utilizar archivos de interfaz QUE agilicen los procesos de asignacin de horarios, carga acadmica, entre otros. RECOMENDACIN Ajustar el Sistema Cndor para que permita importar datos.
OBSERVACION 7 La vinculacin de personal contratista, no permite que haya continuidad en los procesos relacionados con el diseo, desarrollo y mantenimiento del Sistema de Gestin Acadmico. RIESGO Detrimento patrimonial. Prdida de la inversin realizada en temas de instruccin realizada por la Universidad. RECOMENDACIN Impulsar en la alta direccin, el cambio en las condiciones laborales del personal adscrito a la Oficina Asesora de Sistemas. Informe Final de Auditoria al funcionamiento del Sistema Cndor OACI UD Pgina 11 de 15
OBSERVACION 8 Se evidenciaron diferentes comunicaciones en donde se pide la apertura de Sistema de Gestin Acadmico, en fechas posteriores a la fecha lmite para el cargue de notas. RIESGO Prdida de credibilidad en el Sistema de Gestin Acadmico, porque la no incorporacin de registros de calificaciones puede redundar en mala voluntad de parte de los estudiantes.
RECOMENDACIN Propender para que la totalidad de los docentes, registren las calificaciones de manera oportuna.
OBSERVACION 9 Los archivos de copias de respaldo a los datos no se encuentran fuera de la Universidad.
RIESGO Prdida de disponibilidad de la informacin, en caso de no poder ingresar a la Universidad. RECOMENDACIN Que se definan polticas para la guarda y custodia de la informacin fuera de la Universidad, que pueden incluir la contratacin de este servicio con un ente externo. Adems, en caso de tener acceso a los datos fuera de la Universidad, se hace necesario tambin contar con un centro de respaldo para restaurar la informacin. Informe Final de Auditoria al funcionamiento del Sistema Cndor OACI UD Pgina 12 de 15
7. CONCLUSIONES
Durante el desarrollo de la Auditoria, se observ que las actividades desarrolladas por la Oficina Asesora de Sistemas reflejan el uso de buenas prcticas en la disposicin del Sistema Cndor para su uso de parte de estudiantes, docentes y funcionarios administrativos.
Cndor, es la cara visible del Sistema de Gestin Acadmica de la Universidad Distrital, pero ya hace ms de cinco (5) aos que paralelamente se utiliza la base de datos y algunos reportes de la Aplicacin Acadmica, que actualmente se encuentra obsoleta y presenta deficiencias en su operacin.
El servidor que aloja el software del Sistema Cndor se encontraba ubicado fsicamente en el primer piso del Edificio Alejandro Surez Copete, que tiene problemas de fluido elctrico, sin embargo se traslad al Centro de Gestin Olimpo, en ese sentido el riesgo de falta de disponibilidad de la informacin fue mitigado.
8. RECOMENDACIONES GENERALES
Se recomienda a la Oficina Asesora de Sistemas realizar el desmonte total de la aplicacin acadmica.
En el tema de la Evaluacin Docente, desarrollar un procedimiento que permita generar un visto bueno cuando el docente realiza el cargue de notas de manera oportuna.
Se recomienda a las directivas de la Universidad impulsar cambios necesarios para que la contratacin de personal garantice su continuidad, en temas crticos como la administracin y funcionamiento del Sistema de Gestin Acadmico. Informe Final de Auditoria al funcionamiento del Sistema Cndor OACI UD Pgina 13 de 15
Se recomienda a la Oficina Asesora de Sistemas documentar las experiencias que se han adquirido en la implementacin del Sistema Cndor que permitan su restauracin y soporte desde otro lugar geogrfico.
La administracin de la Universidad debe propender por la adquisicin de como mnimo de un centro de respaldo, que cumpla con las buenas prcticas de gobierno y auditoria, para lograr restaurar los sistemas de informacin y de comunicaciones en caso de desastre
9. GLOSARIO
CLOUD COMPUTING: En castellano Computacin en la Nube, es una tecnologa nueva que busca tener todos los archivos e informacin en Internet y que no requiere de hardware de alto desempeo y/o capacidad para almacenar informacin.
COBIT: (Control Objectives for Information and related Technology) En espaol Objetivos de Control para la Informacin y la Tecnologa, es un marco de referencia usado para controlar las Tecnologas de la Informacin, que brinda buenas prcticas, las cuales representan el consenso de los expertos y sirven como soporte al Marco de Referencia Integrado de Control Interno (COSO), que es ampliamente aceptado para el gobierno corporativo y para la administracin de riesgos.
CONFIDENCIALIDAD DE LA INFORMACIN: se refiere a la proteccin de informacin sensitiva contra revelacin no autorizada.
DISPONIBILIDAD DE LA INFORMACIN: se refiere a que la informacin est disponible cuando sea requerida por los procesos del negocio en cualquier Informe Final de Auditoria al funcionamiento del Sistema Cndor OACI UD Pgina 14 de 15
momento. Tambin concierne a la proteccin de los recursos y las capacidades necesarias asociadas.
EFECTIVIDAD DE LA INFORMACIN: tiene que ver con que la informacin sea relevante y pertinente a los procesos del negocio, y se proporcione de una manera oportuna, correcta, consistente y utilizable.
EFICIENCIA DE LA INFORMACIN: consiste en que la informacin sea generada con el ptimo (ms productivo y econmico) uso de los recursos.
GITHUB: es una plataforma de desarrollo colaborativo de software para alojar proyectos utilizando el sistema de control de versiones Git.
ORACLE: Sistema de gestin de base de datos relacional (o RDBMS por el acrnimo en ingls de Relational Data Base Management System), desarrollado por Oracle Corporation. Es considerado como uno de los sistemas de bases de datos ms completos.
PHP: (Acrnimo de Hypertext Pre-processor) es un lenguaje de programacin de uso general, que permite desarrollos web alojados en un servidor y cuyo contenido es dinmico.
PERFIL: Es el conjunto de caractersticas de un usuario de un sistema de informacin en cuanto a sus necesidades, formacin, pertinencia y relevancia de los datos a los que puede acceder.
REPOSITORIO DE DATOS: tambin depsito o archivo es un sitio centralizado donde se almacena y mantiene informacin digital, habitualmente bases de datos o archivos informticos.
Informe Final de Auditoria al funcionamiento del Sistema Cndor OACI UD Pgina 15 de 15
SERVIDOR WEB: En trminos de informtica, es un software que procesa una aplicacin del lado del servidor realizando conexiones bidireccionales y/o unidireccionales y sncronas o asncronas con otro (s) equipo (s) que tengan instalado el mismo software, llamado (s) cliente (s), generando o cediendo una respuesta en cualquier lenguaje o aplicacin del lado del cliente.
Funcionario Oficina Asesora de Control Interno
Papeles de trabajo: Acta de apertura de la Auditoria, Plan de Auditoria, Programa de Auditoria, Formato desarrollo de la Auditoria, COBIT 4.1 (Objetivos de Control para la Informacin y la Tecnologa), IS Auditing Guideline G29 Post Implementation Review (Gua de Auditoria de Sistemas de Informacin Numero 29 Verificacin Posterior a la Implementacin), Arquitectura proyectada Sistema Informacin Cndor, Especificacin de casos de prueba (subsistema administracin de inscripciones para posgrados), Solicitud de paso de componentes de software a entorno de pruebas y/o produccin, Matriz de solicitud de pruebas, Impresin de pantalla de Repositorio de datos,, formato de solicitud de pruebas usado por la Oficina Asesora de Sistemas, soporte de Control de Asistencia a Capacitacin de Bodega de datos (Incluye Sistema Cndor,, Acta de cierre de la Auditoria.