Tesis - Dirección General de Servicios Telemáticos

Transcription

UNIVERSIDAD DE COLIMA
FACULTAD DE INGENIERÍA MECÁNICA Y ELÉCTRICA
LA AUDITORIA EN LA INFORMÁTICA
ENSAYO
QUE PARA OBTENER EL GRADO DE:
MAESTRA EN CIENCIAS COMPUTACIONALES
PRESENTA: LORENA CARMINA MORENO JIMÉNEZ
ASESOR: MC. ANDRÉS GERARDO FUENTES COVARRUBIAS
COQUIMATLÁN, COLIMA, ABRIL DE 2003
FACULTAD DE INGENIERÍA MECÁNICA Y ELÉCTRICA
EXPEDIENTE: 510
NUM. 92-5131
MORENO JIMÉNEZ LORENA CARMINA
AVE. NIÑOS HÉROES #427
VILLA DE ÁLVAREZ, COLIMA
Informo a usted que ha sido APROBADO por el H. CONSEJO TÉCNICO DE LA MAESTRÍA EN
COMPUTACIÓN, como tema de titulación para obtener el grado de MAESTRA EN CIENCIAS
COMPUTACIONALES.
El solicitado por usted bajo el título:
"LA AUDITORIA EN LA INFORMÁTICA (ENSAYO)"
Desarrollado bajo los siguientes puntos:
1. ANTECEDENTES
2. TERMINOLOGÍA DE LA AUDITORIA INFORMÁTICA
3. AUDITORIA INFORMÁTICA
4. TIPOS DE AUDITORIAS
5. PLANEACIÓN DE LA AUDITORIA EN INFORMÁTICA
6. AUDITORIA DE LA FUNCIÓN DE INFORMÁTICA
7. EVALUACIÓN DE SISTEMAS
8. EVALUACIÓN DEL PROCESOS DE DATOS Y DE LOS EQUIPOS DE COMPUTO
9. EVALUACIÓN DE LA SEGURIDAD
10. INFORME FINAL
11. DIFERENTES ENFOQUES DE LA AUDITORIA
12. CONCLUSIONES
BIBLIOGRAFÍA
Al mismo tiempo, informo a usted que ha sido designado como DIRECTOR DE TESIS el C. M.C.
ANDRÉS GERARDO FUENTES COVARRUBIAS.
En cada uno de los ejemplares de titulación que presente para examen, deberá aparecer en primer
termino copia del presente oficio.
C.c.p. EXPEDIENTE ALUMNO
RFC7AGFC/laal*
Km 9 Carretera Colima-Coquimatlán, Colima, Colima, México, Cp 28400
Tel. 01 (3) 316 1165, Ext. 51451, Ext Fax 51454
H. CONSEJO TÉCNICO DE POSGRADO EN COMPUTACIÓN FACULTAD DE
INGENIERÍA MECÁNICA Y ELÉCTRICA
Por medio del presente conducto informo que la C. MORENO JIMÉNEZ
LORENA CARMINA, terminó su período de revisión de tesis. El trabajo al cual se
hace mención fue denominado:
LA AUDITORIA EN LA INFORMÁTICA (ENSAYO)
Cuyo contenido es el siguiente:
1. ANTECEDENTES
4. TIPOS DE AUDITORIAS
8. EVALUACIÓN DEL PROCESOS DE DATOS Y DE LOS EQUIPOS DE
COMPUTO
10. INFORME FINAL
12. CONCLUSIONES
BIBLIOGRAFÍA
El cual cumple con los requisitos necesarios para su aprobación, por lo cual
lo autorizo para su impresión.
C.c.p. Expediente
EXPEDIENTE: 510
FECHA: 05-04-2003
Acta No. :23
MORENO JIMÉNEZ LORENA CARMINA
AVE. NIÑOS HÉROES #427
VILLA DE ÁLVAREZ, COLIMA
TEL: 01-312-3136872
En cumplimiento a lo dispuesto por los artículos 13 y 14 del reglamento de titulación vigente, al
artículo 40, inciso A del reglamento de estudios de posgrado vigente y al artículo 46 de las normas
complementarias al reglamento de posgrado, correspondiente al Posgrado de la Facultad de ingeniería
Mecánica y Eléctrica. Informamos a usted que ha sido AUTORIZADO por este Consejo Técnico su tema de
tesis para obtener el grado de MAESTRA EN CIENCIAS COMPUTACIONALES el denominado: "LA
AUDITORIA EN LA INFORMÁTICA (ENSAYO)". Para ser desarrollado bajo los siguientes puntos:
1. ANTECEDENTES
4. TIPOS DE AUDITORIAS,
8. EVALUACIÓN DEL PROCESOS DE DATOS Y DE LOS EQUIPOS DE COMPUTO
10. INFORME FINAL
12. CONCLUSIONES
BIBLIOGRAFÍA
Así mismo, hacemos de su conocimiento que de acuerdo con la línea de investigación en la cual se
enmarca C su proyecto ha sido designado como DIRECTOR DE TESIS el C. M.C. ANDRÉS GERARDO
FUENTES COVARRUBIAS.
A partir de la fecha de aprobación tendrá como plazo un año para presentar su examen de grado, en
caso contrario tendrá usted derecho a una prorroga única de seis meses so pena de perder el registro de su
proyecto, lo anterior bajo la consideración del Consejo Técnico y la aprobación de su director de tesis.
Una vez concluidos los tramites de revisión de su documento de tesis e integrado su expediente de
titulación deberá recoger el oficio que acompañara el visto bueno de su director de tesis, los cuales
encabezarán cada uno de los ejemplares de sus tesis.
DEDICATORIA
Agradezco,
a mi familia por el apoyo incondicional y el aliciente que me
proporcionan para seguir adelante, en particular a mi esposo el
Dr. Nicandro Farias Mendoza, que formo parte importante en la
culminación de mi trabajo.
A la Universidad de Colima por brindarme la oportunidad de
seguir preparándome.
A mis maestros por trasmitir sus conocimientos.
Al maestro Andrés Gerardo Fuentes Covarrubias por
haberme brindado la oportunidad de trabajar con él en el
desarrollo del trabajo.
CONTENIDO
INTRODUCCIÓN
CAPITULO 1
ANTECEDENTES
CAPITULO 2 TERMINOLOGÍA DE LA AUDITORIA
INFORMÁTICA
2.1 Informática
2.2 Auditoria
2.3 Tareas principales de la auditoria
2.4 Auditoria en informática
9
12
13
13
CAPITULO 3 AUDITORIA INFORMÁTICA
3.1 Importancia de la auditoria informática
3.2 Formas de llevar a cabo una auditoria informática
3.3 Síntomas de necesidad de una auditoría informática
3.4 Herramientas y técnicas para la auditoría informática
3.4.1 Cuestionarios
3.4.2 Entrevistas
3.4.3 Checklist
3.4.4 Trazas y/o huellas
3.4.5 Software de interrogación
15
15
16
18
18
18
19
22
23
CAPITULO 4 TIPOS DE AUDITORIAS
4.1. Concepto de auditoría en informática
4.2. Auditoria interna y auditoría contable/financiera
4.2.1 Definición de control interno
4.2.2 Objetivos del control interno
4.2.3 Clases de controles internos
4.2.3.1 Atendiendo al momento que se actúa
4.2.3.2 Controles de supervisión
4.3. Auditoria administrativa
4.4. Concepto de auditoría con informática
4.5 Concepto de auditoría de programas
4.6 Concepto de auditoria de seguridad
4.6.1 Consideraciones inmediatas
4.6.2 Consideraciones para elaborar un sistema
de seguridad integral
4.6.3 Etapas para implementar un sistema
de seguridad
4.6.4 Etapas para implementar un sistema de
seguridad en marcha
4.6.5 Beneficios de un sistema de seguridad
25
27
27
27
31
31
31
37
38
44
45
45
49
50
51
51
CAPITULO 5 PLANEACIÓN DE LA AUDITORIA EN INFORMÁTICA
5.1 Planeación de la auditoría en informática
5.1.1 Investigación preliminar
5.1.2 Personal participante
52
53
56
CAPITULO 6 AUDITORIA DE LA FUNCIÓN DE INFORMÁTICA
6.1 Recopilación de la información organizacional
6.2 Evaluación de la estructura orgánica
6.3 Evaluación de los recursos humanos
6.4 Entrevistas con el personal de informática
6.5 Situación presupuestal y financiera
58
59
73
79
80
CAPITULO 7 EVALUACIÓN DE SISTEMAS
7.1 Evaluación de sistemas
7.2 Evaluación del análisis
7.3 Evaluación del diseño lógico del sistema
7.4 Evaluación del desarrollo del sistema
7.5 Control de proyectos
7.6 Control de diseño de sistemas de información
7.7 Instructivos de operación
7.8 Forma de implantación
7.9 Equipo y facilidades de programación
7.10 Entrevistas a usuarios
84
86
88
93
94
96
99
100
100
100
CAPITULO 8 EVALUACIÓN DEL PROCESO DE DATOS Y DE
LOS EQUIPOS DE COMPUTO
8.1 Controles
8.1.1 Controles de los datos fuente y manejo
de cifras de control
8.1.2 Control de operación
8.1.3 Controles de salida
8.1.4 Control de asignación de trabajo
8.1.5 Control de medios de almacenamiento masivos
8.1.6 Control de mantenimiento
8.2 Orden en el centro de cómputo
8.3 Evaluación de la configuración del sistema de cómputo
8.4 Productividad
104
104
107
112
112
114
117
124
125
126
CAPITULO 9 EVALUACIÓN DE LA SEGURIDAD
9.1 Seguridad lógica y confidencialidad
9.2 Seguridad en el personal
9.3 Seguridad física
9.4 Seguros
9.5 Seguridad en la utilización de equipo
9.6 Procedimiento de respaldo en caso de desastre
9.7 Condiciones, procedimientos y controles para otorgar
soporte a otras instituciones
CAPITULO 10 INFORME FINAL
10.1 Técnicas para la interpretación de la información
10.1.1 Análisis crítico de los hechos
10.1.2 Metodología para obtener el grado de madurez
del sistema
10.1.3 Uso de diagramas
10.2 Evaluación de los sistemas
10.3 Evaluación de los sistemas de información
10.4 Controles
10.5 Confección y redacción del informe final
128
137
137
144
146
150
155
156
156
157
158
159
163
165
167
CAPITULO 11 DIFERENTES ENFOQUES DE LA AUDITORIA
11.1 Introducción
170
CAPITULO 12 CONCLUSIONES
202
BIBLIOGRAFÍA
206
ANEXOS
207
Introducción
A finales del siglo XX, los Sistemas Informáticos se han constituido en las
herramientas más poderosas para materializar uno de los conceptos más vitales y
necesarios para cualquier organización empresarial, los Sistemas de Información
de la empresa.
La Informática hoy, está subsumida en la gestión integral de la empresa, y
por eso las normas y estándares propiamente informáticos deben estar, por lo
tanto, sometidos a los generales de la misma. En consecuencia, las
organizaciones informáticas forman parte de lo que se ha denominado el
"management" o gestión de la empresa. Cabe aclarar que la Informática no
gestiona propiamente la empresa, ayuda a la toma de decisiones, pero no decide
por sí misma. Por ende, debido a su importancia en el funcionamiento de una
empresa, existe la Auditoria Informática.
El término de Auditoría se ha empleado incorrectamente con frecuencia ya
que se ha considerado, como una evaluación cuyo único fin es detectar errores y
señalar fallas. A causa de esto, se ha tomado la frase "Tiene Auditoría" como
sinónimo de que, en dicha entidad, antes de, realizarse la auditoría, ya se habían
detectado fallas.
El concepto de auditoría es mucho más que esto.
La palabra auditoría proviene del latín auditorius, y de esta proviene la
palabra auditor, que se refiere a todo aquel que tiene la virtud de oír.
Por otra parte, el diccionario Español Sopena lo define como: Revisor de
Cuentas colegiado. En un principio esta definición carece de la explicación del
objetivo fundamental que persigue todo auditor: evaluar la eficiencia y eficacia.
Si consultamos el Boletín de Normas de auditoría del Instituto mexicano de
contadores nos dice: " La auditoría no es una actividad meramente mecánica que
implique la aplicación de ciertos procedimientos cuyos resultados, una vez llevado
a cabo son de carácter indudable."
De todo esto sacamos como deducción que la auditoría es un examen
crítico pero no mecánico, que no implica la preexistencia de fallas en la entidad
auditada y que persigue el fin de evaluar y mejorar la eficacia y eficiencia de una
sección o de un organismo.
El auditor informático ha de velar por la correcta utilización de los amplios
recursos que la empresa pone en juego para disponer de un eficiente y eficaz
Sistema de Información. Claro está, que para la realización de una auditoría
informática eficaz, se debe entender a la empresa en su más amplio sentido, ya
que una Universidad, un Ministerio o un Hospital son tan empresas como una
1
Sociedad Anónima o empresa Pública. Todos utilizan la informática para gestionar
sus "negocios" de forma rápida y eficiente con el fin de obtener beneficios
económicos y reducción de costos.
Por eso, al igual que los demás órganos de la empresa (Balances y
Cuentas de Resultados, Tarifas, Sueldos, etc.), los Sistemas Informáticos están
sometidos al control correspondiente, o al menos debería estarlo. La importancia
de llevar un control de esta herramienta se puede deducir de varios aspectos. He
aquí algunos:
• Las computadoras y los Centros de Proceso de Datos se convirtieron en
blancos apetecibles no solo para el espionaje, sino para la delincuencia y
el terrorismo. En este caso interviene la Auditoría Informática de
Seguridad.
• Las computadoras creadas para procesar y difundir resultados o
información elaborada pueden producir resultados o información errónea
si dichos datos son, a su vez, erróneos. Este concepto obvio es a veces
olvidado por las mismas empresas que terminan perdiendo de vista la
naturaleza y calidad de los datos de entrada a sus Sistemas
Informáticos, con la posibilidad de que se provoque un efecto cascada y
afecte a Aplicaciones independientes. En este caso interviene la
Auditoría Informática de Datos.
• Un Sistema Informático mal diseñado puede convertirse en una
herramienta peligrosa para la empresa: como las máquinas obedecen
ciegamente a las órdenes recibidas y la modelización de la empresa está
determinada por las computadoras que materializan los Sistemas de
Información, la gestión y la organización de la empresa no puede
depender de un Software y Hardware mal diseñados. Estos son solo
algunos de los varios inconvenientes que puede presentar un Sistema
Informático, por eso, la necesidad de la Auditoría de Sistemas.
2
1
__________________________________________________________________
Antecedentes
La información es inherente a la existencia de las personas y de las
sociedades. Permite conocer la realidad, interactuar con el medio físico, apoyar en
la toma de decisiones, y evaluar las acciones de individuos y grupos el
aprovechamiento de la información propicia la mejoría de los niveles de bienestar
y permite aumentar la productividad y competitividad de las naciones.
El importante aporte de la información se ha visto acrecentado por la
posibilidad que ha traído consigo la informática, surgida de la convergencia
tecnológica de la computación, la microelectrónica y las telecomunicaciones, para
producir información en grandes volúmenes, y para consultarla y transmitirla a
través de enormes distancias.
De hecho, el mundo de fin de siglo XX esta inmerso en una nueva
Revolución tecnológica basada en la informática. Esta encuentra su principal
impulso en el acceso expedito y en la capacidad de procesamiento de información
sobre prácticamente todos los temas y sectores. La nueva Revolución tecnológica
ha contribuido a que culturas y sociedades se transformen aceleradamente, tanto
económica como social y políticamente, con el objetivo fundamental de alcanzar la
plenitud de sus potencialidades.
En el mundo, hoy la informática es de carácter estratégico sus aplicaciones,
ya han afectado prácticamente todas las actividades humanas de la manera
siguiente:
• permitiendo la comunicación instantánea de conocimiento a distancia.
(por ejemplo permitir integrar grupos de personas que radiquen en
distintos sitios, con afinidades o necesidades especifica, para resolver
problemas que les son comunes, generando los que se denomina
inteligencia colectiva, etc..)
• ampliando las capacidades intelectuales del hombre.
• estableciendo al conocimiento como factor productivo.
• facilitando la generación de nuevas tecnologías y la automatización de
procesos.
• permitiendo la reducción de tiempos y costos de producción.
3
• impulsando la aparición de nuevos productos.
• propiciando nuevos servicios y de mejor calidad. (en el sector publico,
algunos, como los de salud, enseñanza y seguridad social prestándose
en mayor escala y de manera mas eficaz. las computadoras y las
telecomunicaciones pueden coadyuvar en el suministro de estos
servicios a comunidades marginadas, etc... todo esto se traduce a
beneficios tangibles para la población.)
• generando nuevos empleos, principalmente en los servicios
(mantenimiento, instalación y reparación de equipo, capacitación, etc...)
• modificando la composición y estructuras de los sectores productivos. (se
efientizan estructuras, se redefinen responsabilidades de los directivos y
trabajadores, etc...)
• da lugar a la noción del mundo como aldea global. (ya que los avances
tecnológicos que se perfilan, hacen posible la transformación de los
servicios para acercarlos a las necesidades particulares de las personas.
(por ejemplo, la conexión a redes de computadoras nacionales e
internacionales.)
A estos efectos se están sumando transformaciones igualmente
importantes, en el ámbito social, al cambiar la manera en que se llevan a cabo
innumerables actividades cotidianas.
Por la magnitud de sus efectos, esta Revolución tecnológica es comparable
a dos importantes acontecimientos históricos de desarrollo tecnológico estratégico:
Imprenta (siglo XV)
• permitió una mayor comunicación de ideas a distancia en forma
impresa.
• impulso la generación del conocimiento.
• propicio el surgimiento de la escritura y la lectura como habilidad
social.
• motivo la evolución cultural, social, política y económica.
Revolución Industrial (siglo XVIII)
• Incremento capacidades productivas y la disponibilidad de
satisfactores.
• Amplio opciones de empleo y de organización productiva.
• Causo desplazamiento del campo a la ciudad.
• Motivo desarrollo heterogéneo entre las naciones redefiniendo la
arquitectura del mundo.
En conclusión las sociedades que han incorporado la informática a su forma
de vida cuentan con una ventaja económica y social invaluable en el contexto de
la globalización debido a ello, múltiples naciones están enfocando sus esfuerzos a
diseñar políticas y estrategias en informática.
4
El mundo no puede sustraerse de este contexto: los futuros niveles de
bienestar y la viabilidad competitiva, dependen en gran medida de una estrategia
informática que permita aprovechar el potencial que representa esta tecnología,
haciendo de ella un instrumento eficaz que sirva para resolver problemas y para
enfrentar con optimismo renovado los retos que el presente y el futuro presenten,
por lo que es necesario en definitiva, para obtener un buen aprovechamiento evitar
que por una falta de estándares y metodologías, y por una falta de formación y
cultura generalizada, sobre todo en los aspectos de control y de seguridad
informática, a pesar de los grandes adelantos tecnológicos, se produzca en las
áreas de informática islotes de mecanización y de procesos manuales difíciles de
controlar y caros de mantener por una falta de asimilación de las nuevas
tecnologías, por una infrautilización de los equipos informáticos, por un
descontento generalizado de los usuarios, por una obsolescencia de las
aplicaciones informáticas actuales, por una falta de planificación de los Sistemas
de Información, por falta de seguridad física y lógica y por soluciones planteadas
parcialmente que, todo esto puede ser resueltos mediante la auditoría en
Informática que es válida para cualquier tamaño de empresa y que teniéndola
como un ejercicio práctico y formal, brindará a sus ejecutantes, así como a los
negocios, un sentimiento de satisfacción justificado por el entendimiento y
compromiso que implica asegurar la utilización correcta de los recursos de
informática para lograr los objetivos de la organización.
Todo lo que se planea debe ejecutarse con formalidad y oportunidad, lo que
se relaciona con el hecho de que cualquier organización desea mantener sus
activos en las mejores condiciones posibles y salvaguardar su integridad.
La función de del auditor en informática no es fungir como capataz o policía
del negocio, como tantas veces se ha planteado en forma sarcástica o
costumbrista en las organizaciones. Este profesionista se orienta a funcionar como
un punto de control y confianza para la alta dirección, además de que se busca ser
un facilitador de soluciones.
Por analogía el auditor se asemeja al médico que evalúa al paciente y le
recomienda el tratamiento idóneo para estar en óptimas condiciones de salud.
Según la situación del enfermo, recomendará tratamientos ligeros o fuertes y
estrictos.
Lo importante es que el paciente sepa que puede mejorar su salud. Esa es
la orientación del auditor en informática: conducir a la empresa a la búsqueda
permanente de la "salud" de los recursos de informática y de aquellos elementos
que se relacionan con ella.
No hay que pensar que este proceso cambiará la cultura organizacional de
la noche a la mañana, los métodos de trabajo, la mala calidad, ni la
improductividad en las áreas relacionadas con la informática; es un elemento
estratégico directo que apoya la eliminación de cada una de las debilidades
mencionadas. Sin embargo ha de coexistir con el personal responsable y
profesional, así como con directores ya accionistas comprometidos con la
productividad, calidad y otros factores recomendados para ser empresas de clase
mundial.
Se espera que cada auditor sea un profesional, un experto, pero sobre todo
que sea un ser sensible, humano, que entienda el contesto real del negocio. Su
5
principal objetivo es conferir la dimensión justa a cada problemática, convirtiéndola
en un área de oportunidad y orientándola hacia la solución del negocio.
En los años cuarenta empezaron a presentarse resultados relevantes en el
campo de la computación, a raíz de los sistemas de apoyo para estrategias
militares; posteriormente se incrementó el uso de las computadoras y sus
aplicaciones y se diversificó el apoyo a otros sectores de la sociedad: educación,
salud, industria, política, banca, aeronáutica, comercio, etc.
En aquellos años la seguridad y control de ese medio se limitaba a
proporcionar custodia física a los equipos y a permitir la utilización de los mismos
al personal altamente calificado (no existía un gran número de usuarios, ya fueran
técnicos o administrativos).
En el presente, la informática se ha extendido a todas las ramas de la
sociedad, es decir, resulta factible controlar un vuelo espacial por medio de una
computadora, así como seleccionar las compras del hogar en una computadora
personal con acceso a internet, por ejemplo.
Esta rapidez en el crecimiento de la informática permite deducir que los
beneficios se han incrementado con la misma velocidad, algunos con mediciones
tangible -como reducción de costos e incremento porcentual en ventas- y otros
con aspectos intangibles -como mejoría en la imagen o satisfacción del cliente-,
pero ambos con la misma importancia para seguir impulsando la investigación y
actualización constante de la tecnología.
La idea de que se obtienen mayores beneficios que antes no se halla muy
lejos de la realidad; no obstante, también es válido afirmar que los costos han sido
altos y en muchas ocasiones han rebasado los límites esperados, ocasionando
grandes pérdidas y decepciones en los negocios.
Las empresas y organismos interesados en que la informática continúe
creciendo para beneficio de la humanidad (educación, productividad, calidad,
ecología, etc.) desean que este incremento se controle y oriente de manera
profesional: se debe obtener el resultado planeado y esperado en cada inversión
de esta rama.
Asegurar que las inversiones y proyectos inherentes a la función de
informática sean justificados y brinden los resultados esperados es una
responsabilidad de quien administre dicha función y, de igual manera, es
responsabilidad de la dirección no aprobar proyectos que no aseguren la
rentabilidad de la inversión.
Con el paso de los años la informática y los elementos tecnológicos que la
rodean han creado necesidades en cada sector social y se han tornado en un
requerimiento permanente para alcanzar soluciones.
El incremento persistente de las expectativas y necesidades relacionadas
con la informática, al igual que la actualización continua de los elementos que
componen la tecnología de este campo, obligan a las entidades que la aplican a
disponer de controles, políticas y procedimientos que aseguren la alta dirección de
los recursos humanos, materiales y financieros involucrados para que se protejan
adecuadamente y se oriente a la rentabilidad y competitividad del negocio.
Si se pregunta ¿por qué preocuparse de cuidar esa caja etiquetada con el
nombre de informática, y la respuesta que brinde a cualquiera de las siguientes
preguntas es negativa, le convendría reafirmar o considerar la necesidad de
6
asumir la responsabilidad del control y otorgamiento de seguridad permanente a
los recursos de informática?
• ¿Los usuarios y la alta dirección conocen la situación actual de la función
de informática en la empresa (organización, políticas, servicios, etc.)?
• ¿Se aprueba formal y oportunamente el costo / beneficio de cada proyecto
relacionado en forma directa con la informática?
• ¿La informática apoya las áreas críticas del negocio?
• ¿El responsable de la informática conoce los requerimientos actuales y
futuros del negocio que necesitan apoyo de los servicios y productos de su
área ?
• ¿Cada uno de los elementos del negocio conoce las políticas y
procedimientos inherentes al control y seguridad de la tecnología
informática?
• ¿Existen dichas políticas y procedimientos de manera formal?
• ¿Hay un plan de seguridad en la informática?
• ¿Se ha calculado el alcance e impacto de la informática en la empresa?
• ¿Hay un plan estratégico de informática alineado al negocio?
• ¿Existen responsables que evalúen formal e imparcialmente la función de
informática?
• ¿Se cuenta con un control formal de cada proyecto relativo al área?
• ¿Es importante para usted la informática?
• ¿Evalúa periódica y formalmente dicha función de la informática?
• ¿Auditan sólo sistemas de información y no otras áreas de la información?
Cada una de las preguntas encierra una importancia específica para el buen
funcionamiento informático de cualquier negocio; están interrelacionadas y la
negación de alguna es una pequeña fuga de gas que, con el tiempo y un pequeño
chispazo, puede ocasionar graves daños a los negocios, ya sean fraudes,
proyectos cancelados con alto porcentaje de costos no recuperables, rechazo de
los servicios de informática por los usuarios clave del negocio, improductividad y
baja calidad de los recursos de informática, planes de informática no orientados a
las metas y estrategias del negocio, piratería de software, fuga de información
hacia la competencia o proveedores, entre otros daños.
La improductividad, el mal servicio y la carencia de soluciones totales de la
función informática fueron, son y pueden continuar siendo mal de muchas
organizaciones. El problema real radica en que los proyectos prioritarios hacen
gala del apoyo que obtienen de la informática; entonces, ¿por qué no cuidarla?
Algunos de los problemas por las debilidades o fallas de la informática son:
• Debilidades en la planeación del negocio al no involucrar la informática
generan inconsistencias.
• Resultados negativos (improductividad, duplicidad de funciones, etc.) en el
desarrollo, operación y mantenimiento de sistemas de información.
• Falta de actualización del personal de informática y técnico donde se
encuentran instalados los sistemas y las soluciones del negocio.
• Mínimo o nulo involucramiento de los usuarios en el desarrollo e
implantación de soluciones de informática.
• Capacitación deficiente en el usos de los sistemas de información, el
7
•
•
•
•
•
•
•
•
software (base de datos, procesadores de palabras, hojas de cálculo,
graficadores, etc.) y el hardware (equipos de cómputo, impresoras y otros
periféricos, etc.).
Administración de proyectos que no es formal ni completa (no se alinea a
los objetivos del negocio)
Carencia de un proceso de análisis costo / beneficio formal previo al
arranque de cada proyecto de informática.
Metodologías de planeación y desarrollo de sistemas informales no
estandarizadas y en muchos casos inexistentes.
Uso y entendimiento mínimo o inexistente de técnicas formales para el
desempeño de funciones en las áreas de informática:
• Análisis y diseño de sistemas de información
• Entrevistas a usuarios operativos y ejecutivos
• Cuestionarios
• Modelación de procesos
• Modelación de datos
• Costo / beneficio, etcétera.
• Control de proyectos.
Trabajo en equipo de desempeño.
Involucramiento mínimo o informal de la alta dirección en los proyectos de
informática.
Proyectos de auditoría o evaluación de informática esporádicos e
informales y en muchos casos inexistente.
Otros.
8
2
__________________________________________________________________
Terminología
informática
de
la
auditoría
en
2.1 Informática
La informática se desarrolla con base en normas, procedimientos y técnicas
definidas por institutos establecidos a nivel nacional e internacional.
La informática es el campo que se encarga del estudio y aplicación práctica
de la tecnología, métodos, técnicas y herramientas relacionados con las
computadoras y el manejo de información por medios electrónicos, el cual
comprende las áreas de la tecnología de información orientadas al buen uso y
aprovechamiento de los recursos computacionales para asegurar que la
información de las organizaciones fluya(entidades internas y externas de los
negocios) de manera oportuna y veraz; además es el proceso metodológico que
se desarrolla de manera permanente en las organizaciones para el análisis,
evaluación, selección, implantación y actualización de los recursos humanos
(conocimientos, habilidades, normas, etc), tecnológicos (hardware, software, etc.)
materiales (escritorios, edificios, accesorios. etc.) y financieros (inversiones)
encaminados al manejo de la información, buscando que no se pierdan los
propósitos confiabilidad, oportunidad, integridad y veracidad entre otros
propósitos.
Hardware se refiere a los componentes físicos y tangibles de las
computadoras, generalmente clasificados en cuatro grandes ramas:
• computadoras personales
• Redes (locales, abiertas, etc.)
• Minicomputadoras
• Supercomputadoras (mainframes)
Software implica la parte no física de las computadoras. Esto significa que
es la porción intangible de los equipos de cómputo, es decir, programas con
9
orientaciones específicas para la administración de la informática y el uso eficiente
de los recursos de cómputo. Su clasificación se puede resumir en los siguientes
términos:
Software de aplicaciones (sistemas de información)
• Administrativos.
• Financieros.
• De manufactura.
• Otros.
Software de paquetes computacionales (paquetería)
• Hojas electrónicas.
• Procesadores de palabras.
• Otros.
Software de programación
• Lenguajes de tercera generación
• Lenguajes de cuarta generación Software de sistemas operativos
• Para computadoras personales.
• Para minicomputadoras.
• Para supercomputadoras.
Productos CASE (ComputerAided Software Enaineering)
• Para planeación de sistemas de información.
• Para análisis de sistemas de información.
• Para diseño de sistemas de información.
• Para todo ciclo de desarrollo e implantación de sistemas de información
(CDISI).
Para Propósitos específicos
• Arquitectura.
• Auditoría.
• Ingeniería.
• Medicina.
• Otras ciencias.
Sistemas de información: Son el conjunto de módulos computacionales o
manuales organizados e interrelacionados de manera formal para la
administración y uso eficiente de los recursos (humanos, materiales, financieros,
tecnológicos, etc.) de un área específica de la empresa (manufactura,
administración, dirección, etc.), con la finalidad de representar los procesos reales
del negocio y orientar los procedimientos, políticas y funciones inherentes para
lograr las metas y objetivos del negocio de forma eficiente.
Los sistemas de información pueden orientarse al apoyo de los siguientes
aspectos:
- Niveles operativos del negocio
- Niveles tácticos del negocio
- Niveles estratégicos del negocio
Sistemas de información estratégica (SIE): Son aquellos que de manera
permanente proporcionan a la alta dirección una serie de parámetros y acciones
encaminadas a la toma de decisiones que apoyarán al negocio en el seguimiento
10
de la rentabilidad y competitividad respecto a la competencia.
Metodología: Es un conjunto de etapas (fases o módulos) formalmente
estructurados, de manera que brinden a los interesados los siguientes parámetros
de acción en el desarrollo de sus proyectos:
• Plan general y detallado.
• Tareas y acciones.
• Tiempos.
• Aseguramiento de calidad.
• Involucrados.
• Etapas (fases o módulos).
• Revisiones de avance.
• Recursos requeridos.
• Otros.
Una buena metodología debe responder a los siguientes cuestionamientos:
¿qué hacer?, ¿Dónde debo hacerlo?,¿cómo plantearlos?, ¿por qué aprobarlo?,
¿cuándo revisarlo?, ¿cuándo empezarlo?, ¿quién debe hacerlo?, ¿por qué debo
hacerlo?, ¿cómo aprobarlo?, ¿quiénes deben comprometerse?, ¿por qué
revisarlo?, ¿cuándo terminarlo?, ¿cómo justificarlo?, etcétera.
Técnicas: Es el conjunto de procedimientos y pasos ordenados que se usan
con el desarrollo de un proyecto con el propósito de finalizar las etapas, fases o
módulos definidos en el proceso metodológico.
Algunas de las técnicas generalmente aceptadas son:
• Análisis estructurado
• Diseño estructurado
• Gráficas de Pert
• Gráficas de Gantt
• Documentación
• Programación estructurada
• Modulación de datos y procesos
• Entrevistas
• Otras
Las técnicas son el conjunto de pasos ordenados lógicamente para
apoyarse en la terminación (cómo hacerlo) de las acciones o tareas estimadas en
el proyecto emanado de la metodología.
Herramientas: Es el conjunto de elementos físicos utilizados para llevar a
cabo las acciones y pasos definidos en la técnica. Antes del auge de las
computadoras, así como de otros elementos tecnológicos relacionados con la
ingeniería, arquitectura, etc., dichas herramientas eran simples máquinas o
utensilios manuales que apoyaban el desarrollo de las tareas de cada uno de los
proyectos.
Herramientas de productividad: Ayudan a optimizar el tiempo de los
recursos en el desarrollo de un proyecto; así mismo, se encaminan a proporcionar
11
resultados de alta calidad para apoyar el logro de las actividades administrativas
relacionadas con procesos de información, por ejemplo;
• Procesadores de palabras (documentación, entrevistas y cuestionarios
entre otros)
• Diagramadores (diagramas de flujo, diagramas organizacionales, etc)
• Graficadores (estadísticas, estimación de actividades en tiempo, costos,
etcétera)
• Productos CASE (modelación de datos, modelación de procesos,
validación de datos y procesos, generadores de diccionarios de datos,
por citar algunos casos)
• Impresoras (láser, por ejemplo)
• Computadoras personales
• Otros.
Las herramientas de productividad no se asocian necesariamente con
inversiones elevadas en la compra de hardware y software especializado; se
relacionan con los recursos mecánicos o automatizados que apoyan al personal
en la obtención de productos de calidad en niveles de productividad aceptados por
los líderes de proyectos, o definidos por los estándares de trabajo del negocio.
2.2 Auditoria
Con frecuencia la palabra auditoria se ha empleado incorrectamente y se
ha considerado como una valuación cuyo único fin es detectar errores y señalar
fallas; por eso se ha llegado a acuñar la frase "tiene auditoria" como sinónimo de
que, desde antes de realizarse, ya se encontraron fallas y por lo tanto se esta
haciendo la auditoria. El concepto de auditoria es más amplio: no sólo detecta
errores, sino que es un examen crítico que se realiza con objeto de evaluar la
eficiencia y eficacia de una sección o de un organismo.
La palabra auditoría viene del latín auditorius, y de ésta proviene auditor,
que tiene la virtud de oír, y el diccionario lo define como "revisor de cuentas
auditor". El auditor tiene la virtud de oír y revisar cuentas, pero debe estar
encaminado a un objetivo específico que es el de evaluar la eficiencia y eficacia
con que se está operando para que, por medio del señalamiento de recursos
alternativos de acción, se tome decisiones que permitan corregir los errores, en
caso de que existan, o bien mejorar la forma de actuación.
Si consultamos nuevamente el diccionario encontramos que eficacia es:
"virtud, actividad, fuerza, para poder obrar" mientras que eficiencia es: "virtud y
facultad para lograr un efecto determinado", por lo que eficiencia es el poder lograr
lo planeado con los menores recursos posibles, mientras que eficacia es lograr los
objetivos.
El Boletín "C" de Normas de Auditoria del Instituto Mexicano de Contadores
nos dice.
"La auditoria no es una actividad meramente mecánica que implique la
aplicación de ciertos procedimientos cuyos resultados, una vez llevados a cabo,
son de carácter indudable. La auditoría requiere el ejercicio de un juicio
profesional, sólido y maduro, para juzgar los procedimientos que debe de seguir y
12
estimar los resultados obtenidos".
Así como existen normas y procedimientos específicos para la realización
de auditorias contables, debe haber también normas y procedimientos para la
realización de auditorias en informática como parte de una profesión . Pueden
estar basadas en las experiencias de otras profesiones pero con algunas
características propias y siempre detección de errores, y además la auditoría debe
evaluar para mejorar lo existente, corregir errores y proponer alternativas de
solución.
2.3 Tareas principales de la auditoría
•
•
•
•
•
Estudiar y actualizar permanentemente las áreas susceptibles de
revisión.
Apegarse a las tareas que desempeñen las normas, políticas,
procedimientos y técnicas de auditoría establecidas por organismos
generalmente aceptados a nivel nacional e internacional.
Evaluación y verificación de las áreas requeridas por la alta dirección o
responsables directos del negocio.
Elaboración del informe de auditoría (debilidades y recomendaciones).
Otras recomendadas para el desempeño eficiente de la auditoría.
2.4 Auditoría en informática
La auditoría en informática se desarrolla en función de normas,
procedimientos y técnicas definidas por institutos establecidos a nivel nacional e
internacional; por ello, nada más se señalarán algunos aspectos básicos para su
entendimiento.
Así, la auditoría en informática es:
a) Un proceso formal ejecutado por especialistas del área de auditoría y de
informática; se orienta a la verificación y aseguramiento para que las
políticas y procedimientos en la organización se realicen de una manera
oportuna y eficiente.
b) Las actividades ejecutadas por profesionales del área de informática y de
auditoría encaminadas a evaluar el grado de cumplimiento de políticas,
controles y procedimientos correspondientes al uso de los recursos de
informática por el personal de la empresa (usuarios, informática, alta
dirección, etc.).Dicha evaluación deberá ser la pauta para la entrega del
informe de auditoría en informática, el cual debe contener las
observaciones, recomendaciones y áreas de oportunidad para el
mejoramiento y optimización permanente de la tecnología de informática
en el negocio.
c) El conjunto de acciones que realiza el personal especializado en las
áreas de auditoría y de informática para el aseguramiento continuo de
que los recursos de informática operen en un ambiente de seguridad y
control eficientes, con la finalidad de proporcionar a la alta dirección o
13
niveles ejecutivos la certeza de que la información que circula por el
área se maneja con los conceptos básicos de integridad, totalidad,
exactitud, confiabilidad, etcétera.
d) Proceso metodológico que tiene el propósito principal de evaluar los
recursos (humanos, materiales, financieros, tecnológicos, etc.)
relacionados con la función de informática para garantizar al negocio
que dicho conjunto opere con un criterio de integración y desempeño de
niveles altamente satisfactorios, para que a su vez apoyen la
productividad y rentabilidad de la organización.
14
3
__________________________________________________________________
Auditoría informática
3.1 La importancia de la auditoría en informática
La tecnología de informática, traducida en hardware, software, sistemas de
información, investigación tecnológica, redes locales, base de datos, ingeniería de
software, telecomunicaciones, servicios y organización de informática, es una
herramienta estratégica que brinda rentabilidad y ventajas competitivas a los
negocios frente a sus similares en el mercado, pero puede originar costos y
desventajas si no es bien administrada por el personal encargado.
Para darse cuenta si se está administrando de manera correcta la función
de la informática es necesario que se evalúe dicha función mediante evaluaciones
oportunas y completas por personal calificado consultores externos, auditores en
informática o evaluaciones periódicas realizadas por el mismo personal de
informática, entre otras estrategias.
3.2 Formas de llevar a cabo una auditoria en informática
La auditoría interna es la realizada con recursos materiales y personas que
pertenecen a la empresa auditada. Los empleados que realizan esta tarea son
remunerados económicamente. La auditoría interna existe por expresa decisión de
la empresa, o sea, que puede optar por su disolución en cualquier momento.
Por otro lado, la auditoría externa es realizada por personas afines a la
empresa auditada; es siempre remunerada. Se presupone una mayor objetividad
que en la auditoría Interna, debido al mayor distanciamiento entre auditores y
auditados.
La auditoría en informática interna cuenta con algunas ventajas adicionales
muy importantes respecto de la auditoría externa, las cuales no son tan
perceptibles como en las auditorias convencionales. La auditoría interna tiene la
ventaja de que puede actuar periódicamente realizando revisiones globales, como
parte de su Plan Anual y de su actividad normal. Los auditados conocen estos
planes y se habitúan a las auditorias, especialmente cuando las consecuencias de
15
las recomendaciones habidas benefician su trabajo.
En una empresa, los responsables de Informática escuchan, orientan e
informan sobre las posibilidades técnicas y los costos de tal sistema. Con voz,
pero a menudo sin voto, el área de informática trata de satisfacer lo más
adecuadamente, posible aquellas necesidades. La empresa necesita controlar su
Informática y ésta; necesita que su propia gestión esté sometida a los mismos
procedimientos y estándares que el resto de aquella. La conjunción de ambas
necesidades cristaliza en la figura del auditor interno en informática.
En cuanto a empresas se refiere, solamente las más grandes pueden
poseer una auditoría propia y permanente, mientras que el resto acuden a las
auditorias externas. Puede ser que algún profesional informático sea trasladado
desde su puesto de trabajo a la auditoría Interna de la empresa cuando ésta
existe. Finalmente, la propia Informática requiere de su propio grupo de control
interno, con implantación física en su estructura, puesto que si se ubicase dentro
de la estructura Informática ya no sería independiente. Hoy, ya existen varias
organizaciones Informáticas dentro de la misma empresa, y con diverso grado de
autonomía, que son coordinadas por órganos corporativos de Sistemas de
Información de las Empresas.
Una Empresa o Institución que posee auditoría interna puede y debe en
ocasiones contratar servicios de auditoría externa. Las razones para hacerlo
suelen ser:
• Necesidad de auditar una materia de gran especialización, para la cual
los servicios propios no están suficientemente capacitados.
• Contrastar algún Informe interno con el que resulte del externo, en
aquellos supuestos de emisión interna de graves recomendaciones que
chocan con la opinión generalizada de la propia empresa.
• Servir como mecanismo protector de posibles auditorias en informática
externas decretadas por la misma empresa.
• Aunque la auditoría interna sea independiente del Departamento de
Sistemas, sigue siendo la misma empresa, por lo tanto, es necesario que
se le realicen auditorias externas como para tener una visión desde
afuera de la empresa.
La auditoría en informática, tanto externa como interna, debe ser una
actividad exenta de cualquier contenido o matiz "político" ajeno a la propia
estrategia y política general de la empresa. La función de auditoria puede actuar
de oficio, por iniciativa del propio órgano, o a instancias de parte, esto es, por
encargo de la dirección o cliente.
3.3 Síntomas de necesidad de una Auditoria Informática:
Las empresas acuden a las auditorias en informática cuando existen
síntomas bien perceptibles de debilidad. Estos síntomas pueden agruparse en
clases:
Síntomas de descoordinación y desorganización:
• No coinciden los objetivos de la Informática de la empresa y de la propia
16
empresa.
• Los estándares de productividad se desvían sensiblemente de los
promedios conseguidos habitualmente.
[Puede ocurrir con algún cambio masivo de personal, o en una
reestructuración fallida de alguna área o en la modificación de alguna
norma importante]
Síntomas de mala imagen e insatisfacción de los usuarios:
• No se atienden las peticiones de cambios de los usuarios. Ejemplos:
cambios de Software en los terminales de usuario, refrescamiento de
paneles, variación de los ficheros que deben ponerse diariamente a su
disposición, etc.
• No se reparan las averías de Hardware ni se resuelven incidencias en
plazos razonables. El usuario percibe que está abandonado y
desatendido permanentemente.
• No se cumplen en todos los casos los plazos de entrega de resultados
periódicos. Pequeñas desviaciones pueden causar importantes
desajustes en la actividad del usuario, en especial en los resultados de
Aplicaciones críticas y sensibles.
Síntomas de debilidades económico-financiero:
• Incremento desmesurado de costos.
• Necesidad de justificación de Inversiones Informáticas (la empresa no
está absolutamente convencida de tal necesidad y decide contrastar
opiniones).
• Desviaciones Presupuestarias significativas.
• Costos y plazos de nuevos proyectos (deben auditarse simultáneamente
a Desarrollo de Proyectos y al órgano que realizó la petición).
Síntomas de Inseguridad: Evaluación de nivel de riesgos
• Seguridad Lógica
• Seguridad Física
• Confidencial ¡dad
[Los datos son propiedad inicialmente de la organización que los genera.
Los datos de personal son especialmente confidenciales]
• Continuidad del Servicio. Es un concepto aún más importante que la
Seguridad. Establece las estrategias de continuidad entre fallos mediante
Planes de Contingencia' Totales y Locales.
• Centro de Proceso de Datos fuera de control. Si tal situación llegara a
percibirse, seria prácticamente inútil la auditoria. Esa es la razón por la
cual, en este caso, el síntoma debe ser sustituido por el mínimo indicio.
* Planes de Contingencia:
Por ejemplo, la empresa sufre un corte total de energía o explota, ¿Cómo sigo
operando en otro lugar? Lo que generalmente se pide es que se hagan
Backups de la información diariamente y que aparte, sea doble, para tener un
Backup en la empresa y otro afuera de ésta. Una empresa puede tener unas
oficinas paralelas que posean servicios básicos (luz, teléfono, agua) distintos
de los de la empresa principal, es decir, si a la empresa principal le proveía
17
teléfono Telecom, a las oficinas paralelas, Telefónica. En este caso, si se
produce la inoperancia de Sistemas en la empresa principal, se utilizaría el
Backup para seguir operando en las oficinas paralelas. Los Backups se
pueden acumular durante dos meses, o el tiempo que estipule la empresa, y
después se van reciclando.
3.4 Herramientas y Técnicas para la Auditoria Informática:
3.4.1 Cuestionarios:
Las auditorias en informática se materializan recabando información y
documentación de todo tipo. Los informes finales de los auditores dependen de
sus capacidades para analizar las situaciones de debilidad o fortaleza de los
diferentes entornos. El trabajo de campo del auditor consiste en lograr toda la
información necesaria para la emisión de un juicio global objetivo, siempre
amparado en hechos demostrables, llamados también evidencias.
Para esto, suele ser lo habitual comenzar solicitando la complementación
de cuestionarios preimpresos que se envían a las personas concretas que el
auditor cree adecuadas, sin que sea obligatorio que dichas personas sean las
responsables oficiales de las diversas áreas a auditar.
Estos cuestionarios no pueden ni deben ser repetidos para instalaciones
distintas, sino diferentes y muy específicos para cada situación, y muy cuidados en
su fondo y su forma.
Sobre esta base, se estudia y analiza la documentación recibida, de modo
que tal análisis determine a su vez la información que deberá elaborar el propio
auditor. El cruzamiento de ambos tipos de información es una de las bases
fundamentales de la auditoría.
Cabe aclarar, que esta primera fase puede omitirse cuando los auditores
hayan adquirido por otro medios la información que aquellos preimpresos hubieran
proporcionado.
3.4.2 Entrevistas:
El auditor comienza a continuación las relaciones personales con el
auditado. Lo hace de tres formas:
1. Mediante la petición de documentación concreta sobre alguna materia de
su responsabilidad,
2. Mediante "entrevistas" en las que no se sigue un plan predeterminado ni
un método estricto de sometimiento a un cuestionario.
3. Por medio de entrevistas en las que el auditor sigue un método
preestablecido de antemano y busca unas finalidades concretas.
La entrevista es una de las actividades personales más importante del
18
auditor; en ellas, éste recoge más información, y mejor matizada, que la
proporcionada por medios propios puramente técnicos o por las respuestas
escritas a cuestionarios.
Aparte de algunas cuestiones menos importantes, la entrevista entre auditor
y auditado se basa fundamentalmente en el concepto de interrogatorio; es lo que
hace un auditor, interroga y se interroga a sí mismo. El auditor informático experto
entrevista al auditado siguiendo un cuidadoso sistema previamente establecido,
consistente en que bajo la forma de una conversación correcta y lo menos tensa
posible, el auditado conteste sencillamente y con pulcritud a una serie de
preguntas variadas, también sencillas. Sin embargo, esta sencillez es solo
aparente. Tras ella debe existir una preparación muy elaborada y sistematizada, y
que es diferente para cada caso particular.
3.4.3 Checklist:
El auditor profesional y experto es aquél que reelabora muchas veces sus
cuestionarios en función de los escenarios auditados. Tiene claro lo que necesita
saber, y por qué. Sus cuestionarios son vitales para el trabajo de análisis,
cruzamiento y síntesis posterior, lo cual no quiere decir que haya de someter al
auditado a unas preguntas estereotipadas que no conducen a nada. Muy por el
contrario, el auditor conversará y hará preguntas "normales", que en realidad
servirán para la complementación sistemática de sus Cuestionarios, de sus
Checklists.
Hay opiniones que descalifican el uso de las Checklists, ya que consideran
que leerle una pila de preguntas recitadas de memoria o leídas en voz alta
descalifica al auditor informático. Pero esto no es usar Checklists, es una evidente
falta de profesionalismo. El profesionalismo pasa por un procesamiento interno de
información a fin de obtener respuestas coherentes que permitan una correcta
descripción de puntos débiles y fuertes. El profesionalismo pasa por poseer
preguntas muy estudiadas que han de formularse flexiblemente.
El conjunto de estas preguntas recibe el nombre de Checklist. Salvo
excepciones, las Checklists deben ser contestadas oralmente, ya que superan en
riqueza y generalización a cualquier otra forma.
Según la claridad de las preguntas y el talante del auditor, el auditado
responderá desde posiciones muy distintas y con disposición muy variable. El
auditado, habitualmente informático de profesión, percibe con cierta facilidad el
perfil técnico y los conocimientos del auditor, precisamente a través de las
preguntas que éste le formula. Esta percepción configura el principio de autoridad
y prestigio que el auditor debe poseer.
Por ello, aun siendo importante tener elaboradas listas de preguntas muy
sistematizadas, coherentes y clasificadas por materias, todavía lo es más el modo
y el orden de su formulación. Las empresas externas de Auditoría Informática
guardan sus Checklists, pero de poco sirven si el auditor no las utiliza adecuada y
oportunamente. No debe olvidarse que la función auditora se ejerce sobre bases
de autoridad, prestigio y ética.
El auditor deberá aplicar el Checklist de modo que el audítado responda
19
clara y escuetamente. Se deberá interrumpir lo menos posible a éste, y solamente
en los casos en que las respuestas se aparten sustancialmente de la pregunta. En
algunas ocasiones, se hará necesario invitar a aquél a que exponga con mayor
amplitud un tema concreto, y en cualquier caso, se deberá evitar absolutamente la
presión sobre el mismo.
Algunas de las preguntas de las Checklists utilizadas para cada sector,
deben ser repetidas. En efecto, bajo apariencia distinta, el auditor formulará
preguntas equivalentes a las mismas o a distintas personas, en las mismas
fechas, o en fechas diferentes. De este modo, se podrán descubrir con mayor
facilidad los puntos contradictorios; el auditor deberá analizar los matices de las
respuestas y reelaborar preguntas complementarias cuando hayan existido
contradicciones, hasta conseguir la homogeneidad. El entrevistado no debe
percibir un excesivo formalismo en las preguntas. El auditor, por su parte, tomará
las notas imprescindibles en presencia del auditado, y nunca escribirá cruces ni
marcará cuestionarios en su presencia.
Los cuestionarios o Checklists responden fundamentalmente a dos tipos de
filosofía" de calificación o evaluación:
a. Checklist de rango
Contiene preguntas que el auditor debe puntuar dentro de un rango
preestablecido (por ejemplo, de 1 a 5, siendo 1 la respuesta más negativa y
el 5 el valor más positivo)
Ejemplo de Checklist de rango:
Se supone que se está realizando una auditoria sobre la seguridad
física de una instalación y, dentro de ella, se analiza el control de los
accesos de personas y cosas al Centro de Cálculo. Podrían formularse las
preguntas que figuran a continuación, en donde las respuestas tiene los
siguientes significados:
1 : Muy deficiente.
2 : Deficiente.
3 : Mejorable.
4 : Aceptable.
5 : Correcto.
Se figuran posibles respuestas de los auditados. Las preguntas
deben sucederse sin que parezcan encorsetadas ni clasificadas
previamente. Basta con que el auditor lleve un pequeño guión. La
complementación del Checklist no debe realizarse en presencia del
auditado.
-¿Existe personal específico de vigilancia externa al edificio?
-No, solamente un guarda por la noche que atiende además otra instalación
20
adyacente.
<Puntuación: 1 >
-Para la vigilancia interna del edificio, ¿Hay al menos un vigilante por turno
en los aledaños del Centro de Cálculo?
-Si, pero sube a las otras 4 plantas cuando se le necesita. <Puntuación: 2>
-¿Hay salida de emergencia además de la habilitada para la entrada y
salida de máquinas?
-Si, pero existen cajas apiladas en dicha puerta. Algunas veces las quitan.
<Puntuación: 2>
-El personal de Comunicaciones, ¿Puede entrar directamente en la Sala de
Computadoras?
-No, solo tiene tarjeta el Jefe de Comunicaciones. No se la da a su gente
salvo causa muy justificada, y avisando casi siempre al Jefe de Explotación.
<Puntuación: 4>
El resultado sería el promedio de las puntuaciones: (1 + 2 + 2 + 4) 14 = 2,25
Deficiente.
b. Checklist Binaria
Es la constituida por preguntas con respuesta única y excluyente: Si o No.
Aritméticamente, equivalen a 1 (uno) o 0(cero), respectivamente.
Ejemplo de Checklist Binaria:
Se supone que se está realizando una Revisión de los métodos de pruebas
de programas en el ámbito de Desarrollo de Proyectos.
-¿Existe Normativa de que el usuario final compruebe los resultados finales
de los programas?
<Puntuación: 1>
-¿Conoce el personal de Desarrollo la existencia de la anterior normativa?
<Puntuación: 1>
-¿Se aplica dicha norma en todos los casos?
<Puntuación: 0>
-¿Existe una norma por la cual las pruebas han de realizarse con juegos de
ensayo o copia de Bases de Datos reales?
<Puntuación: 0>
21
Obsérvese como en este caso están contestadas las siguientes preguntas:
-¿Se conoce la norma anterior?
<Puntuación: 0>
-¿Se aplica en todos los casos?
<Puntuación: 0>
Los Checklists de rango son adecuados si el equipo auditor no es muy
grande y mantiene criterios uniformes y equivalentes en las valoraciones. Permiten
una mayor precisión en la evaluación que en los checklist binarios. Sin embargo,
la bondad del método depende excesivamente de la formación y competencia del
equipo auditor.
Los Checklists Binarios siguen una elaboración inicial mucho más ardua y
compleja. Deben ser de gran precisión, como corresponde a la suma precisión de
la respuesta. Una vez construidas, tienen la ventaja de exigir menos uniformidad
del equipo auditor y el inconveniente genérico del <si o no> frente a la mayor
riqueza del intervalo.
No existen Checklists estándar para todas y cada una de las instalaciones
informáticas a auditar. Cada una de ellas posee peculiaridades que hacen
necesarios los retoques de adaptación correspondientes en las preguntas a
realizar.
3.4.4 Trazas y/o Huellas:
Con frecuencia, el auditor informático debe verificar que los programas,
tanto de los sistemas como de usuario, realizan exactamente las funciones
previstas, y no otras. Para ello se apoya en productos Software muy potentes y
modulares que, entre otras funciones, rastrean los caminos que siguen los datos a
través del programa.
Muy especialmente, estas «Trazas" se utilizan para comprobar la ejecución
de las validaciones de datos previstas. Las mencionadas trazas no deben
modificar en absoluto el Sistema. Si la herramienta auditora produce incrementos
apreciables de carga, se convendrá de antemano las fechas y horas más
adecuadas para su empleo.
Por lo que se refiere al análisis del Sistema, los auditores informáticos
emplean productos que comprueban los valores asignados por Técnica de
Sistemas a cada uno de los parámetros variables de las Librerías más importantes
del mismo. Estos parámetros variables deben estar dentro de un intervalo
marcado por el fabricante. A modo de ejemplo, algunas instalaciones
descompensan el número de iniciadores de trabajos de determinados entornos o
toman criterios especialmente restrictivos o permisivos en la asignación de
unidades de servicio según cuales tipos carga. Estas actuaciones, en principio
útiles, pueden resultar contraproducentes si se traspasan los límites.
No obstante la utilidad de las Trazas, ha de repetirse lo expuesto en la
descripción de la auditoría informática de Sistemas: el auditor informático emplea
preferentemente la amplia información que proporciona el propio Sistema: Así, los
ficheros de <Accounting> o de <contabilidad>, en donde se encuentra la
producción completa de aquél, y los <Log*> de dicho Sistema, en donde se
22
recogen las modificaciones de datos y se pormenoriza la actividad general.
Del mismo modo, el Sistema genera automáticamente exacta información
sobre el tratamiento de errores de maquina central, periféricos, etc.
[La auditoría financiero-contable convencional emplea trazas con mucha
frecuencia. Son programas encaminados a verificar lo correcto de los cálculos de
nóminas, primas, etc.].
*Log:
El log vendría a ser un historial que informa que fue cambiando y cómo fue
cambiando (información). Las bases de datos, por ejemplo, utilizan el log para
asegurar lo que se llaman las transacciones. Las transacciones son unidades
atómicas de cambios dentro de una base de datos; toda esa serie de cambios se
encuadra dentro de una transacción, y todo lo que va haciendo la Aplicación
(grabar, modificar, borrar) dentro de esa transacción, queda grabado en el log. La
transacción tiene un principio y un fin, cuando la transacción llega a su fin, se
vuelca todo a la base de datos. Si en el medio de la transacción se cortó por x
razón, lo que se hace es volver para atrás. El log te permite analizar
cronológicamente que es lo que sucedió con la información que está en el Sistema
o que existe dentro de la base de datos.
3.4.5 Software de Interrogación:
Hasta hace ya algunos años se han utilizado productos software llamados
genéricamente <paquetes de auditoría>, capaces de generar programas para
auditores escasamente cualificados desde el punto de vista informático.
Más tarde, dichos productos evolucionaron hacia la obtención de muestreos
estadísticos que permitieran la obtención de consecuencias e hipótesis de la
situación real de una instalación.
En la actualidad, los productos de software especiales para la auditoría
informática se orientan principalmente hacia lenguajes que permiten la
interrogación de ficheros y bases de datos de la empresa auditada. Estos
productos son utilizados solamente por los auditores externos, por cuanto los
internos disponen del software nativo propio de la instalación.
Del mismo modo, la proliferación de las redes locales y de la filosofía
"Cliente-Servidor", han llevado a las firmas de software a desarrollar interfaces de
transporte de datos entre computadoras personales y mainframe, de modo que el
auditor informático copia en su propia PC la información más relevante para su
trabajo.
Cabe recordar, que en la actualidad casi todos los usuarios finales poseen
datos e información parcial generada por la organización informática de la
Compañía.
Efectivamente, conectados como terminales al "Host", almacenan los datos
proporcionados por este, que son tratados posteriormente en modo PC. El auditor
se ve obligado (naturalmente, dependiendo del alcance de la auditoría) a recabar
información de los mencionados usuarios finales, lo cual puede realizar con suma
23
facilidad con los polivalentes productos descritos. Con todo, las opiniones más
autorizadas indican que el trabajo de campo del auditor informático debe
realizarse principalmente con los productos del cliente.
Finalmente, ha de indicarse la conveniencia de que el auditor confeccione
personalmente determinadas partes del Informe. Para ello, resulta casi
imprescindible una cierta soltura en el manejo de Procesadores de Texto,
paquetes de Gráficos, Hojas de Cálculo, etc.
24
4
__________________________________________________________________
Tipos de auditorias
4.1. Concepto de auditoria en informática
Después de analizar los conceptos de auditoría y de informática, los
diferentes tipos de auditoría, así como su interrelación con informática, nos
hacemos las preguntas: ¿Qué es auditoría en informática? ¿Y cual es su campo
de acción?
Auditoría en informática es la revisión y evaluación de los controles,
sistemas, procedimientos de informática, de los equipos de computo, su
utilización, eficiencia y seguridad, de la organización que participan en el
procesamiento de la información, a fin de que por medio del señalamiento de
cursos alternativos se logre una utilización más eficiente y segura de la
información que servirá para una adecuada toma de decisiones.
La auditoría en informática deberá comprender no sólo la evaluación de los
equipos de computo o de un sistema o procedimiento específico, sino que además
habrá de evaluar los sistemas de información en general desde sus entradas,
procedimientos, controles, archivos, seguridad y obtención de información. Ello
debe incluir los equipos de computo como la herramienta que permite obtener la
información adecuada y la organización específica (departamento de computo,
departamento de informática, gerencia de procesos electrónicos, etc) que hará
posible el uso de los equipos de computo.
Su campo de acción será:
A. La evaluación administrativa del departamento de proceso electrónicos.
B. La evaluación de los sistemas y procedimientos, y de la eficacia que se
tiene en el uso de la informática.
C. La evaluación del proceso de datos y de los equipos de computo.
Para lograr los puntos antes señalados necesitas:
25
A. Evaluación administrativa del departamento de informática.
Esto comprende la evaluación de:
- Los objetivos de departamento, dirección o gerencia.
- Metas, planes, políticas y procedimientos de procesos electrónicos
estándar.
- Organización del área y su estructura orgánica.
- Funciones y niveles de autoridad y responsabilidad del área de procesos
electrónicos.
- Integración de los recursos materiales y técnicos.
- Dirección costos y controles presupuéstales.
- Controles administrativos del área de procesos electrónicos.
B. Evaluación de los sistemas v procedimientos, y de la eficiencia que se
tienen en el uso de la información que comprende:
-
Evaluación del análisis de los sistemas y sus diferentes etapas
Evaluación del diseño lógico del sistema
Evaluación del desarrollo físico del sistema.
Control de proyectos.
Control de sistemas y programación
Instructivos y documentación
Formas de implantación
Seguridad física y lógica de los sistemas
Confidencialidad de los sistemas
Controles de mantenimiento y forma de respaldo de los sistemas.
Utilización de los sistemas.
C. Evaluación del proceso de datos y de los equipos de computo que
comprende:
-
Controles de los datos fuente y manejo de cifras de control
Control de operación
Control de salida
Control de asignación de trabajo.
Control de medios de almacenamiento masivos.
Control de otros elementos de computo
Orden en el centro de computo
Seguridad física y lógica
Confidencialidad
Respaldos.
La interrelación que debe existir entre la auditoría en informática y los
diferentes tipos de auditoría en la siguiente:
El núcleo o centro de la informática son los programas, los cuales pueden
ser auditados por medio de la auditoría de programas. Estos programas se usan
26
en la computadoras de acuerdo con la organización del centro de computo
(personal).
La auditoría en informática debe evaluar el todo (informática, organización
del centro de computo, computadoras y programas) con auxilio de los principios de
auditoría administrativa, auditoría interna, auditoría contable/financiera y, a su vez,
puede proporcionar información a esos tipos de auditoría, y las computadoras
deben ser una herramienta para la realización de cualquiera de las auditorias.
Como se ve, la evaluación a desarrollar para la realización de la auditoría
en informática deben hacerla personas con alto grado de conocimiento en
informática y con mucha experiencia en el área.
4.2 Auditoria interna y auditoria contable/financiera
El boletín E-02 del Instituto Mexicano de Contadores, señala con respecto
al control interno:
"El estudio y evaluación del control interno se efectúa con el objeto de
cumplir con la norma de ejecución del trabajo que requiere que: el auditor debe
efectuar un estudio y evaluación adecuados del control interno existente, que les
sirvan de base para determinar el grado de confianza que va a depositar en el, así
mismo, que el permita determinar la naturaleza, extensión y oportunidad que va a
dar a los procedimientos de auditoria".
4.2.1 Definición de control interno.
"El control interno comprende el plan de organización y todos los métodos y
procedimientos que en forma coordinada se adoptan en un negocio para
salvaguardar sus activos, verificar la razonabilidad y confiabilidad de su
información financiera, promover la eficiencia operacional y provocar la adherencia
a las políticas prescriptas por la administración".
4.2.2 Objetivos del control interno.
a) Los básicos son:
(1) La protección de los activos de la empresa.
(2) La obtención de información financiera veraz, confiable y oportuna.
(3) La promoción de la eficiencia en la operación del negocio.
(4) Lograr que en la ejecución de las operaciones se cumplan las políticas
establecidas por los administradores de la empresa.
Se ha definido que los dos primeros objetivos abarcan el aspecto de
controles internos contables y los dos últimos se refieren a controles internos
administrativos.
27
b) Generales
El control contable comprende el plan de organización y los procedimientos
y registros que se refieren a la protección de los activos y a la confiabilidad de los
activos y la confiabilidad de los registros financieros. Por lo tanto, el control interno
contable está diseñado en función de los objetivos de la organización para ofrecer
seguridad razonable de que: las operaciones se realizan de acuerdo con las
normas y políticas señalados por la administración.
Cuando hablamos de los objetivos de los controles contables internos
podremos identificar dos niveles.
a) Objetivos generales de control interno aplicables a todos los sistemas y
b) Objetivos de control interno aplicables a ciclos de transacciones
Los objetivos generales de control aplicables a todos los sistemas se
desarrollan a partir de los objetivos básicos de control interno enumerados
anteriormente, siendo más específicos para facilitar su aplicación. Los objetivos de
control de ciclos se desarrollan a partir de los objetivos generales de control de
sistema, para que se aplique a las diferentes clases de transacciones agrupadas
en un ciclo.
Los objetivos generales de control interno de sistema pueden resumirse a
continuación:
1. Objetivos de autorización.
Todas las operaciones deben realizarse de acuerdo con autorizaciones
generales o especificaciones de la administración.
Las autorizaciones deben estar de acuerdo con criterios establecidos por el
nivel apropiado de la administración.
Las transacciones deben ser válidas para conocerse y ser sometidas
oportunamente a su aceptación. Todas aquellas que reúnan los requisitos
establecidos por la administración deben reconocerse como tales y procesarse a
tiempo.
Los resultados del procedimiento de transacciones deben comunicarse
oportunamente y estar respaldados por archivos adecuados.
2. Objetivos del procesamiento y clasificación de transacciones
Todas las operaciones deben registrarse para permitir la preparación de
estados financieros en conformidad con los principios de contabilidad
generalmente aceptados o con cualquier otro criterio aplicable a los estados y para
mantener en archivos apropiados los datos relativos a los activos sujetos a
custodia.
Las transacciones deben clasificarse en forma tal que permitan la
preparación de estados financieros en conformidad con los principios de
contabilidad generalmente aceptados y el criterio de la administración.
Las transacciones deben quedar registradas en el mismo periodo contable,
cuidando especialmente que se registren aquellas que afectan más de un ciclo.
28
3. Objetivo de salvaguarda física.
El acceso a los activos sólo debe permitirse de acuerdo con autorizaciones
de la administración.
4. Objetivo de verificación y evaluación.
Los datos registrados relativos a los activos sujetos a custodia deben
compararse con los activos existentes a intervalos razonables y tomar las medidas
apropiadas respecto a las diferencias que existan.
Así mismo, deben existir controles relativos a la verificación y evaluación
periódica de los saldos que se incluyen en los estados financieros, ya que este
objetivo complementa en forma importante los mencionados anteriormente.
Estos objetivos generales del control interno de sistemas son aplicables a
todos los ciclos. No se trata de que se usen directamente para evaluar las técnicas
de control interno de una organización, pero representan un base para desarrollar
objetivos específicos de control interno por ciclos de transacciones que sean
aplicables a una empresa individual.
El área de informática puede interactuar de dos maneras en el control
interno. La primera es servir de herramienta para llevar a cabo un adecuado
control interno y la segunda es tener un control interno del área y del
departamento de informática.
En el primer caso se lleva el control interno por medio de la evaluación de
una organización, utilizando la computadora como herramienta que auxiliará en el
logro de los objetivos del control interno, lo cual se puede hacer por medio de
paquetes de auditoria. Y esto debe ser considerado como parte del control interno
con informática.
En el segundo caso se lleva a cabo el control interno de informática. Es
decir, como se señala en los objetivos del control interno, se deben proteger
adecuadamente los activos de la organización por medio del control para que se
obtengan la información en forma veraz, oportuna y confiable, se mejore la
eficiencia de la operación de la organización mediante la informática y en la
ejecución de las operaciones de informática se cumplan las políticas establecidas
por la administración de todo ello debe ser considerado como control interno de
informática.
Al estudiar los objetivos del control interno podemos ver en primer lugar
que, aunque en auditoria en informática el objetivo es más amplio, se deben tener
en cuenta los objetivos generales del control interno aplicables a todo ciclo de
transacciones.
La auditoria en informática debe tener presentes los objetivos de
autorización, procesamiento y clasificación de transacciones, así como los de
salvaguarda física, verificación y evaluación de los equipos y de la información. La
diferencia entre los objetivos de control interno desde un punto de vista contable
financiero es que, mientras éstos están enfocados a la evaluación de una
organización mediante la revisión contable financiera y de otras operaciones, los
objetivos del control interno a informática están orientados a todos los sistemas en
general, al equipo de computo y al departamento de informática, para lo cual se
29
requieren conocimientos de contabilidad, finanzas, recursos humanos,
administración, etc. Y un conocimiento profundo y experiencia en informática.
La auditoria interna debe estar presente en todas y cada una de las partes
de la organización. Ahora bien, la pregunta que normalmente se plantea es, ¿cuál
debe ser su participación dentro del área de informática?
Como ya vimos, la informática es en primer lugar una herramienta muy
valiosa para tener un adecuado control y un auxiliar de la auditoria interna. Pero,
según este concepto, la auditoria interna puede considerarse como un usuario del
área de informática.
Se ha estudiado que los objetivos generales del control interno son:
•
•
•
•
Autorización
Procesamiento y clasificación de las transacciones
Salvaguarda física
Verificación y evaluación
Con base en los objetivos y responsabilidades del control interno podemos
hacer otras dos preguntas:
¿De qué manera puede participar el personal de control interno en el diseño
de los sistemas? y ¿qué conocimientos debe tener el personal de control interno
para poder cumplir adecuadamente sus funciones dentro del área de informática?
Las respuestas a estas preguntas dependerán del nivel que tenga el control
interno dentro de la organización, pero en el diseño general y detallado de los
sistemas se debe incluir a personal de la contraloría interna, que habrá de tener
conocimientos de informática, pero no se requerirá que sea especialistas ya que
sólo intervendrán en el diseño general del sistema, diseño de controles, sistemas
de seguridad, respaldo y confidencialidad del sistema, sistemas se verificación.
Habrá de comprobar que las fórmulas de obtención del impuesto sobre el producto
del trabajo, el cálculo del pago del seguro social, etc., pero no deberán intervenir
en la elaboración de los sistemas, bases de datos o programación. Y tendrán que
comprobar que lo señalado en el diseño general sea igual a lo obtenido en el
momento de implantación, para que puedan dar su autorización a la corrida en
paralelo.
El auditor interno, en el momento de que se están elaborando los sistemas,
debe participar en estas etapas, para:
1. Asegurarse de verificar que los requerimientos de seguridad y de
auditoría sean incorporados, y participar en la revisión de puntos de
verificación.
2. Revisar la aplicación de los sistemas y de control tanto con el usuario
como en el centro de informática.
3. Verificar que las políticas de seguridad y los procedimientos estén
incorporados al plan en caso de desastre.
4. Incorporar técnicas avanzadas de auditoría en los sistemas de computo.
Los sistemas de seguridad no pueden llevarse a cabo a menos que existan
30
procedimientos de control y un adecuado plan en caso de desastre, elaborados
desde el momento en el que se diseña el sistema.
El auditor interno desempeña una importante función al participar en los
planes a largo plazo y en el diseño detallado de los sistemas y su implantación, de
tal manera que se asegure de que los procedimientos de auditoría y de seguridad
sean incorporados a todas y cada una de las fases del sistema.
4.2.3 Clase de controles internos
● 4.2.3.1 Atendiendo al momento en que se actúa, pueden ser:
a) Controles preventivos: establecen las condiciones necesarias para que el
error no se produzca. Como ejemplos de controles preventivos tenemos
la segregación de funciones, la estandarización de procedimientos, las
autorizaciones, los passwords, o los formularios prenumerados.
b) Controles detectivos: Identifican el error pero no lo evitan, actuando
como alarmas que permiten registrar el problema y sus causas. Sirven
como verificación del funcionamiento de los procesos y de sus controles
preventivos. Como ejemplos tenemos la validación de los datos de
entrada, cuando se realiza con posterioridad al procesamiento de dichos
datos, los totales de control, los controles cruzados, o los controles de
supervisión, estos últimos se componen de tres tipos de controles:
1. Controles de aplicaciones.
2. Controles de tecnologías de la información.
3. Controles de usuario
c) Controles correctivos: Permiten investigar y rectificar los errores y sus
causas, están destinados a procurar que las acciones necesarias para su
solventación sean tomadas. Como ejemplos tenemos los listados de
errores, las evidencias de auditoria o las estadísticas de causas de
errores.
● 4.2.3.2. Los controles de supervisión
Son procedimientos utilizados por la dirección para poder alcanzar los
objetivos del negocio y así controlarlo. Este tipo de controles proporcionan a la
dirección (y por lo tanto, a los auditores) seguridad en cuanto a la fiabilidad de la
información financiera.
Dichos controles pueden estar incluido, de un modo intrínseco, en las
actividades recurrentes de una entidad o consistir en una evaluación periódica
independiente, llevada a cabo normalmente por la dirección. La frecuencia de
estas evaluaciones depende del juicio de la dirección. Mediante estos controles
podremos detectar errores significativos y realizar un control continuo de la
31
fiabilidad y de la eficacia de los procesos informáticos.
Controles de supervisión: controles de las aplicaciones
Son un conjunto de procedimientos programados y manuales diseñados
especialmente para cada aplicación con el fin de cumplir con objetivos específicos
de control utilizando una o más técnicas. Los podemos clasificar en:
a) Controles sobre captura de datos: sobre altas de movimientos,
modificaciones de movimientos, consultas de movimientos, mantenimiento
de los ficheros.
b) Controles de proceso de datos: normalmente se incluyen en los programas.
Se diseñan para detectar o prevenir los siguientes tipos de errores (entrada
de datos repetidos, procesamiento y actualización de ficheros o ficheros
equivocados, entrada de datos ilógicos, pérdida o distorsión de datos
durante el proceso).
c) Controles de salida y distribución: Los controles de salida se diseñan para
asegurarse de que el resultado del proceso es exacto y que los informes y
demás salidas solo las personas que estén autorizadas, lo reciben.
Para solucionar deficiencias de control de una aplicación será necesario
retroceder a las etapas iniciales teniendo en cuenta que:
1. Los controles deben contemplar la secuencia de los procesos (manuales y
programados) de una aplicación. Muchos controles de aplicación serán
efectuados por personas, pero dependerán del ordenador, siendo una
combinación de procedimientos de control programados y controles de los
usuarios. Dado que muchos controles de aplicación dependen de
procedimientos contables y/o de controles programados y el
correspondiente procesamiento informático, la eficacia de los controles de
las aplicaciones, y, en consecuencia, el logro de los objetivos de control de
las mismas, casi siempre dependerán de los controles informáticos.
2. Las técnicas aplicadas se diseñan para cubrir toda la vida de una
transacción o documento, desde su inicio hasta su destino final en el
ordenador.
3. La extensión y rigidez de los controles pueden ser diferentes dependiendo
de que los datos sean permanentes o transitorios.
4. Prestar especial consideración al objetivo verdadero de cada control,
evaluando el costo de operación del control y las pérdidas que podría
generar su omisión.
Totalidad de las entradas
Las técnicas de control utilizadas para asegurar la totalidad de las
entradas son:
a) Conciliación de totales: Un ejemplo de conciliación de totales sería
comprobar que el auxiliar de proveedores coincide con el saldo de
proveedores en el sistema central. Otro ejemplo sería comprobar que el
saldo con el banco según extracto bancario coincide con el saldo según
contabilidad, y si no es así buscar las partidas conciliatorias.
32
• Verificación de la secuencia numérica. Comprobar que los documentos
siguen la secuencia numérica de manera establecida de manera que no
falte ningún documento.
• Confrontación de ficheros.
• Comprobación uno por uno.
Exactitud de la entrada
Las técnicas de control utilizadas para asegurar la exactitud de las
entradas son:
• Conciliación de totales.
• Confrontación de ficheros.
• Comprobación uno por uno.
• Controles de validación o edición:
a) Prueba de existencia: ¿la información introducida concuerda con
información similar existente en un fichero maestro (como ejemplo de
documento maestro de una empresa tenemos el fichero con los datos
de todos nuestros clientes) o de referencia?
b) Prueba de pantalla: los detalles correspondientes a un código o a un
número de partida se visualizan en pantalla para que el usuario pueda
comprobar dichos detalles
c) Prueba de dependencia: ¿tienen sentido los datos introducidos? El
ordenador puede comprobar una relación predeterminada entre los
datos.
d) Prueba de sintaxis o de formato: se comprueba que únicamente se
introduzcan datos numéricos cuando el campo sea numérico o datos
alfanuméricos, cuando el campo sea alfanumérico.
e) Prueba de razonabilidad: consiste en verificar si el valor de un dato
está comprendido entre los límites lógicos previamente definidos.
Autorización de las entradas
Las técnicas de control utilizadas para asegurar la autorización de las
entradas son:
• Momento de la autorización.
• Confrontación programada.
• Autorización manual.
• Autorización en línea
Los controles sobre las entradas de datos deben contemplar
procedimientos de actuación con las transacciones erróneas que son rechazadas
por los controles preventivos.
En sistemas de autorización en línea los errores se detectan en el momento
de su entrada, las medidas correctivas se pueden iniciar inmediatamente. Existen,
sin embargo, ocasiones en que determinados errores pueden ser detectados en
una fase posterior del proceso. Estos errores deben ser comunicados, tomándose
33
las medidas correctivas correspondientes.
Con una combinación de procedimientos programados y manuales se debe
garantizar la investigación inmediata de las causas de los rechazos, la corrección
adecuada de los errores, el registro y seguimiento de las transacciones pendientes
de corregir y la existencia de una nueva autorización de las correcciones hechas a
los datos claves o sensibles. Con todos estos controles conseguiremos que todos
los rechazos vuelvan a entrar en el ordenador de forma exacta y autorizada.
Totalidad y exactitud de la actualización
Las técnicas de control utilizadas para asegurar la totalidad y exactitud de
las actualizaciones son principalmente:
• Controles de totalidad y exactitud de las entradas.
• Conciliación manual de los totales.
• Controles de proceso a proceso que incluyen:
a) Totales de los ficheros
b) Listados de detalle.
c) Transacciones generadas por la aplicación
En cuanto a este último tipo de controles:
En toda aplicación informática los datos contenidos en los ficheros deben
ser tratados por ciertos procesos antes de la emisión de la información de salida.
Los más comunes son:
• Cálculo: Generación de información utilizando datos de uno o más
ficheros en base a rutinas predeterminadas.
• Resumen: Acumulación de los valores de las transacciones de un
fichero para generar totales.
• Clasificación: Acumulación de totales de un fichero en base al análisis
de cuentas, códigos o campos de las transacciones.
Para este tipo de procesos, la aplicación debe tener controles que permitan
asegurar:
• El funcionamiento adecuado y continuo de los programas que efectúan
los procesos
• El proceso de la totalidad de las transacciones.
• La integridad (totalidad y exactitud) de los ficheros utilizados en los
procesos.
• Que la generación o versión de los ficheros procesados ha sido la
correcta.
• La comprobación manual de la corrección de la información generada
por los procesos.
Segregación de funciones
El objetivo principal de la segregación de funciones es imposibilitar el fraude
por parte de los empleados, de tal manera que un empleado que tenga la
oportunidad de hurtar activos no pueda ocultar el fraude mediante la manipulación
34
contable.
Controles de supervisión: controles de la tecnología de la información:
Son el conjunto de normas y procedimientos que deben existir en todo
Centro de Proceso de Datos para asegurar la confidencialidad, integridad y
disponibilidad de los datos informatizados.
Aseguran que los procedimientos programados dentro de un sistema
informático se diseñen, implanten, mantengan y operen de forma adecuada y que
solo se introduzcan cambios autorizados en los programas y en los datos. Dentro
de los controles de la tecnología de la información nos encontraremos con
distintos tipos de controles:
• Controles de desarrollo e implantación de aplicaciones.
• Controles de mantenimiento: destinados a asegurar que las
modificaciones
de
los
procedimientos
programados
están
adecuadamente diseñadas, probadas, aprobadas e implantadas.
• Controles de explotación.
• Controles de Seguridad de Programas: destinados a garantizar que no
se puedan efectuar cambios no autorizados en los procedimientos
programados
• Controles de Seguridad de Ficheros de datos: destinados a asegurar
que no se puedan efectuar modificaciones no autorizadas en los
archivos de datos.
• Controles de la Operación Informática: destinados a garantizar que los
procedimientos programados autorizados se aplican de manera
uniforme y se utilizan versiones correctas de los ficheros de datos.
• Controles de Conversión de ficheros: destinados a garantizar una
completa y exacta conversión de los datos de un sistema antiguo a uno
nuevo.
• Controles de Software Sistema: destinados a asegurar que se implante
un software de sistema apropiado y que se encuentre protegido contra
modificaciones no autorizadas.
• Controles de implantación: destinados a asegurar que los
procedimientos programados para los nuevos sistemas son adecuados
y están efectivamente implantados, y que el sistema está diseñado para
satisfacer las necesidades del usuario
Si los sistemas informáticos estuviesen funcionando inadecuadamente y
esta situación pudiese influir en la fiabilidad de los datos o poner en peligro otros
objetivos de control, ¿tendría conocimiento de ello la alta dirección?.
A diferencia de los controles de supervisión de las aplicaciones, los
controles de supervisión informáticos están relacionados con entornos
informáticos que generalmente cubren varias aplicaciones. Por ejemplo, los
controles utilizados para supervisar la seguridad de los sistemas generalmente
serán los mismos para el ciclo de ventas y para el ciclo de compras.
35
Los controles de supervisión informáticos se consideran en términos de
categorías más que de ciclos (a diferencia de los controles de supervisión de
aplicaciones). A continuación se tratan más ampliamente algunos de los controles
enumerados anteriormente:
• Controles de mantenimiento: Las solicitudes para introducir
modificaciones en los programas deben tramitarse de forma
adecuada, además de someterse a pruebas. La documentación
técnica debe estar actualizada con el fin de reflejar las
modificaciones de los programas. Este tipo de controles van a limitar
los riesgos que comportan las modificaciones de las aplicaciones.
Algunos de los riegos con los que nos podemos encontrar son: la
pérdida de solicitudes de cambio, que haya cambios duplicados,
cambios que no se ajusten a los requerimientos del usuario, perder
demasiado tiempo en la resolución de problemas debido a la falta de
documentación técnica o la existencia de cambios no autorizados en
las aplicaciones que afecten negativamente a las operaciones y/o a
la integridad de la información.
• Controles de desarrollo e implantación de aplicaciones: La dirección
del proyecto debe garantizar que el control del diseño, desarrollo e
implantación de las nuevas aplicaciones es adecuado. Es por eso
que las aplicaciones deben diseñarse de forma adecuada para
alcanzar las exigencias de control de las aplicaciones y del negocio.
Y en caso de que implantemos un paquete informático adaptado nos
aseguraremos que cumple con dichas exigencias. En caso de no
existir estos controles nos podemos encontrar con varios problemas:
que los costos estén por encima de los presupuestados por lo que se
podría producir un retraso en la entrega del proyecto, que los
proyectos no se ajusten a los requerimientos del usuario, que haya
errores en las aplicaciones, que conviertan de forma errónea los
datos o que las aplicaciones se infrautilicen o se utilicen
incorrectamente debido a la ausencia de documentación técnica y de
formación.
• Controles de seguridad informática: La dirección debe asegurar la
implantación de políticas de control de acceso basadas en el nivel de
riesgo que se derivaría del acceso a los programas y a los datos. El
acceso a funciones concretas dentro de las aplicaciones debe estar
adecuadamente restringido para asegurar la segregación de
funciones relevantes y evitar actividades no autorizadas además de
estar restringido el acceso físico a los ordenadores. Este tipo de
controles evitarán el riesgo de fraude o de que información
confidencial o sensible llegue a personas no autorizada dentro o
fuera de la sociedad. Otro riesgo que evitaríamos con la seguridad
física sería el posible daño o destrucción de las instalaciones
informáticas como resultado de incendios, inundaciones o sabotajes
que podrían interrumpir la ejecución de los procesos.
• Controles de operaciones informáticas: Los procedimientos de
36
operaciones que cubren procesos diferidos o por lotes que se
realizan en momentos específicos deben estar documentados,
programados y mantenidos de forma adecuada. Las copias d
seguridad de los programas y de los datos deben estar siempre
disponibles para casos de emergencia. Las instalaciones
informáticas de los usuarios finales deben ser apropiadas para las
necesidades del negocio y controladas para maximizar la
compatibilidad y apoyar eficazmente al usuario. Con todos estos
controles podremos evitar fallos en los equipos y en el software o
como mínimo tendremos capacidad para recuperarnos de ellos (ya
que la continuidad del negocio puede estar en juego) o sacar poco
rendimiento de los sistemas informáticos.
Controles de supervisión: controles de los usuarios
Son los procedimientos manuales tradicionales que se deben ejecutar
sobre los documentos y transacciones antes y después de su proceso en el
ordenador para comprobar el adecuado y continuo funcionamiento de los controles
de las aplicaciones.
4.3 Auditoría administrativa [1 página 8-9]
Willian P. Leonard la define como "el examen global y constructivo de la
estructura de una empresa, de una institución, una sección del gobierno a
cualquier parte de una organismo, en cuanto a su planes y objetivos, sus métodos
y controles, su forma de operación y sus facilidades humanas y físicas".
Se lleva a cabo una revisión y consideración de la empresa organización
con el fin de precisar:
•
•
•
•
•
Pérdidas y deficiencias
Mejores métodos
Mejores formas de control
Operaciones más eficientes
Mejor uso de los recursos físicos y humanos.
La auditoria administrativa debe llevarse a cabo como parte de la auditoría
del área de informática. Se ha de considerar dentro del programa de trabajo de
auditoría en informática, tomando principios de la auditoría administrativa para
aplicarlos al área de informática.
Se deberá evaluar el departamento de informática de acuerdo con:
a) su objetivo
b) metas, planes, políticas y procedimientos
c) organización
37
d) estructura orgánica
e) funciones
f) niveles de autoridad y responsabilidad
Es importante tener en cuenta los siguientes factores:
•
•
•
•
•
•
•
•
•
•
•
Elemento humano
Organización (manual de organización)
Integración
Dirección
Supervisión
Comunicación y coordinación
Delegación
Recursos materiales
Recursos técnicos
Recursos financieros
Control
4.4 Concepto de auditoria con Informática [1 página 9-16]
Los procedimientos de auditoría con informática varían de acuerdo con la
filosofía y técnica de cada departamento de auditoría en particular. Sin embargo,
existen ciertas técnicas y/o procedimientos que son compatibles en la mayoría de
los ambientes de informática. Estas técnicas caen en dos categorías: métodos
manuales y métodos asistidos por computadora.
Utilización de las técnicas de auditorias asistidas por computadora.
En general, el auditor debe utilizar la computadora en la ejecución de la
auditoría, ya que esta herramienta permitirá ampliar la cobertura del examen,
reduciendo el tiempo/costo de las pruebas y procedimientos de muestreo, que de
otra manera tendría que efectuarse manualmente. Además, el empleo de la
computadora por el auditor le permite familiarizarse con la operación del equipo en
el centro de computo de la institución. Una computadora puede ser empleada por
el auditor en:
• Verificación de cifras totales y cálculos para comprobar la exactitud de
los reportes de salidas producidos por el departamento de informática.
• Pruebas de los registros de los archivos para verificar la consistencia
lógica, la validación de condiciones y la razonabilidad de los montos de
las operaciones.
• Clasificación de datos y análisis de la ejecución de procedimientos.
• Selección e impresión de datos mediante técnicas de muestreo y
confirmaciones.
• Llevar a cabo en forma independiente una simulación del proceso de
38
transacciones para verificar la conexión y consistencia de los programas
de computadora.
Con fines de auditoria el auditor interno puede emplear la computadora
para:
a) Utilización de paquetes para auditoría, por ejemplo, paquetes
provenientes del fabricante de equipos, firmas de contadores públicos o
compañías de software.
b) Supervisar la elaboración de programas que permitan el desarrollo de la
auditoría interna.
c) Utilización de programas de auditoría desarrollados por proveedores de
equipo y que básicamente verifican la eficiencia en el empleo del
computador o miden la eficiencia de los programas, su operación o
ambas cosas.
Todos los programas o paquetes empleados en la auditoría deben
permanecer bajo estricto control del departamento de auditoría. Por esto, toda la
documentación, material de pruebas, listados fuente, programas fuente y objeto,
además de los cambios que se les hagan, serán responsabilidad del auditor.
En aquellas instalaciones que cuentan con bibliotecas de programas catalogados,
los programas de auditoría pueden ser guardados utilizando contraseñas de
protección, situación que sería aceptable en tanto se tenga el control de las
instrucciones necesarias para la recuperación y ejecución de los programas desde
la biblioteca donde están almacenados. Si los procedimientos de control interno
dentro del sistema de computo no permiten un estricto control del departamento
de auditoría, los programas de auditoría no deberían ser catalogados. Los
programas desarrollados con objeto de hacer auditoría deben estar
cuidadosamente documentados para definir sus propósitos y objetivos y asegurar
una ejecución continua.
Cuando los programas de auditoría estén siendo procesados, los auditores
internos deberán asegurarse de la integridad del procesamiento mediante
controles adecuados como:
1. Mantener el control básico sobre los programas que se encuentren
catalogados en el sistema y llevara a cabo protecciones apropiadas.
2. Observar directamente el procesamiento de la aplicación de auditoría.
3. Desarrollar programas independientes de control que monitoreen el
procesamiento del programa de auditoría.
4. Mantener el control sobre las especificaciones de los programas,
documentación y comandos de control.
5. Controlar la integridad de los archivos que se están procesando y las
salidas generadas.
Técnicas avanzadas de auditoria con informática.
Cuando en una instalación se encuentren operando sistemas avanzados de
39
computación como procesamiento en línea, bases de datos y procesamiento
distribuido, se podría evaluar el sistema empleado técnicas avanzadas de
auditoría. Estos métodos requieren un experto, y por lo tanto, pueden no ser
apropiados si el departamento de auditoría no cuenta con el entrenamiento
adecuado. Otra limitante, incluyendo el costo, puede ser la sobrecarga del sistema
y la degradación en el tiempo de respuesta. Sin embargo, cuando se usan
apropiadamente, estos métodos superan la utilización en una auditoría tradicional.
• Pruebas integrales. Consiste en el procesamiento de datos de un
departamento ficticio, comparando estos resultados con resultados
predeterminados. En otras palabras, las transacciones iniciadas por el
auditor son independientes de la aplicación normal, pero son procesadas
al mismo tiempo. Especial cuidado se debe tener con las particiones que
se están utilizando en el sistema para prueba de la contabilidad o
balances a fin de evitar situaciones anormales.
• Simulación. Consiste en desarrollar programas de aplicación para
determinada prueba y comparar los resultados de la simulación con la
aplicación real.
• Revisiones de acceso. Se conserva un registro computarizado de todos
los accesos a determinados archivos; por ejemplo información de la
identificación tanto de la terminal como del usuario.
• Operaciones en paralelo. Consiste en verificar de la exactitud de la
información sobre los resultados que produce un sistema nuevo que
substituye a uno ya auditado.
• Evaluación de un sistema con datos de prueba. Esta verificación consiste
en probar los resultados producidos en la aplicación con datos de prueba
contra los resultados que fueran obtenidos inicialmente en la pruebas del
programa (solamente aplicable cuando se hacen modificaciones a un
sistema).
• Registros extendidos. Consiste en agregar un campo de control a un
registro determinado como un campo especial a un registro extra, que
pueda incluir datos de todos los programas de aplicación que forman
parte del procesamiento de determinada transacción, como en los
siguientes casos.
• Totales aleatorios en ciertos programas. Se consiguen totales en algunas
partes del sistema para ir verificando su exactitud en forma parcial.
• Selección de determinado tipo de transacciones como auxiliar en el
análisis de un archivo histórico. Por medio de este método podemos
analizar en forma parcial el archivo histórico de un sistema, el cual sería
casi imposible de verificar en forma total.
• Resultados de ciertos cálculos para comparaciones posteriores. Con
ellos podemos comparar en el futuro los totales en diferentes fechas.
Al auditor interno, todas las técnicas anteriores le ayudan al establecimiento
de una metodología para la revisión de los sistemas de aplicación de un
institución, empleando como herramienta el mismo equipo de computo. Sin
embargo, actualmente se desarrollan programas y sistemas de auditoría que
40
eliminan los problemas de responsabilidad del departamento de auditoría, al
intervenir en las actividades e información cuyo control corresponde estrictamente
al departamento de informática, proporcionando una verdadera independencia al
auditor en la revisión de los datos del sistema.
El empleo de la microcomputadora en la auditoría constituye una
herramienta que facilita la realización de actividades de revisión como:
•
•
•
•
•
•
•
Trasladar los datos del sistema a un ambiente de control del auditor
Llevar a cabo la selección de datos
Verificar la exactitud de los cálculos
Muestreo estadístico
Visualización de datos
Ordenamiento de la información
Producción de reportes e histogramas.
Lo anterior implica una metodología que garantiza una revisión más
extensa e independiente de los sistemas de informática, que podría consistir en
los siguientes pasos:
• Selección de un sistema de información que se va a revisar.
• Obtención de la documentación de los archivos que incluye: nombre del
archivo y descripción, nombre de los campos y descripción (longitud,
tipo), codificación empleada, etc.
• Trasladar el archivo de datos a una microcompurtadora con una gran
capacidad de almacenamiento.
• Llevar a cabo con un software de auditoría las verificaciones de auditoría
que se mencionan anteriormente.
• Participación del auditor interno en el desarrollo de sistemas.
El auditor interno debe participar en el diseño general y específico de los
sistemas, con el fin de asegurar que se tengan todos los controles de acuerdo con
las políticas internas antes de que se comience la programación del sistema.
A continuación se muestran ejemplos de las formas tradicionales de
evidencia que existen en un proceso manual y las maneras en que la computadora
puede cambiarlas.
•
•
Transacciones originadas por personas y accesadas a un sistema para
su proceso. En las aplicaciones computarizadas pueden generarse
automáticamente.
Por
ejemplo,
el
sistema
puede
emitir
automáticamente una orden de reposición cuando el inventario esté a
un nivel por debajo del punto de reorden. Sin la computadora se
requería que una persona estuviera revisando y elaborara la orden de
reposición cuando el inventario estuviera abajo del mínimo establecido.
El registro manual de la información necesaria para originar una
transacción. En las aplicaciones computarizadas, no se producen
documentos impresos cuando la información es accesada a través de
una terminal. Por ejemplo, un cambio, hecho a las tarifas de nómina
41
•
•
•
•
•
•
puede ser accesado a un archivo maestro de nóminas computarizado a
través de una terminal de computadora sin dejar registro impreso del
cambio, aunque se debe tener una clave de seguridad para poder
accesarlo y llevar un registro histórico en el que se tenga la información
sobre la persona y terminal en la que se acceso la información.
La revisión de transacciones por el personal, que deja constancia con
sus firmas, iniciales o sellos en los documentos para indicar la
autorización del proceso. En las aplicaciones computarizadas puede ser
automática. Por ejemplo, una venta a crédito puede ser
automáticamente aprobada si el límite de crédito previamente
determinado no está excedido. Otros métodos de autorización
electrónica incluyen el acceso mediante claves de seguridad, insertando
una tarjeta de códigos magnéticos o colocando un llave de supervisión
en una terminal.
Anteriormente se tenían firmas donde ahora sólo se tiene una clave o
llave de acceso que es equivalente a la autorización, dejando
únicamente un registro (en el mejor de los casos) de la llave de acceso
utilizada, la terminal en la que se procesó y la hora y día en que fue
autorizada.
El transporte de documentos de una estación de trabajo a otra por
personas, correo o servicios similares de un lugar del negocio a otro
sitio completamente distinto. Por estos medios se moviliza un
documento físicamente. En aplicaciones computarizadas, los datos
pueden ser enviados electrónicamente. La información es transcrita,
codificado, frecuentemente condensado y entonces enviada
electrónicamente por líneas de comunicaciones; y al final queda un
registro de cuándo recibió la información el receptor.
Procesamiento manual. Generalmente, los documentos de las
transacciones contienen espacio de trabajo para ejecutar el proceso
necesario. En las aplicaciones computarizadas, el proceso se efectúa
electrónicamente dentro de la memoria del computador mediante
procedimientos programados y siguiendo reglas predeterminadas.
Proceso simplificado que facilita las ejecuciones repetitivas sin alta
probabilidad de error. En las aplicaciones computarizadas, el proceso
puede ser extremadamente complejo debido a la velocidad y exactitud
de la computadora. Por ejemplo, una compañía puede utilizar su
computadora para calcular la efectividad de cientos de posibles horarios
o cédulas de producción a fin de seleccionar el más adecuado, mientras
que en los métodos manuales esto sería casi imposible.
Mantenimiento en manuales de información de naturaleza fija que es
necesaria para el proceso, tales como tarifas de nominas o precios de
productos. En las aplicaciones computarizadas, esta información se
almacena en medios computarizados o bien por medio de catálogos; en
los métodos manuales es difícil tener catálogos demasiado amplios.
Listado de los resultados del proceso en documentos impresos, tales
como cheques y reportes. Frecuentemente, estos documentos
contienen resultados de procesos intermedios. En las aplicaciones
42
•
•
•
•
•
computarizadas, el proceso puede no dar por resultado documentos
impresos. Por ejemplo, los fondos pueden ser transferidos
electrónicamente y los reportes de salida ser desplegados en pantallas
de video. En algunos sistemas, la información rutinaria es retenida de
manera que sólo se recibe noticia de aquellas partidas que requieren
acción.
Almacenamiento de documentos de entrada, proceso y salida en
registro de archivo o similares. Cuando la información es necesaria,
puede localizarse y recobrarse manualmente del área de
almacenamiento física. En las aplicaciones computarizadas, la mayoría
de los archivos están en medios a computarizados, como cintas y
discos. Programas extractivos deben utilizarse para recobrar la
información de tales medios, los cuales son normalmente muy rápidos y
exactos; por ejemplo, en el caso de bases de datos.
Uso de documentos impresos para construir el proceso. En los
procesos manuales estos documentos contienen información fuente,
firmas de autorización, métodos de proceso y resultados de salida. Esta
información usualmente es suficiente para construir la transacción y
rastrearla hacia totales de control o, a partir de éstos, hasta el
documento fuente. En las aplicaciones computarizadas, las pistas de
auditoría pueden verse fragmentadas, como frecuentemente ocurre en
un ambiente de base de datos. Además, gran parte de la información
que serviría de pista de auditoría puede estar almacenada en medios
computarizados.
Las
pistas
de
auditoría
computarizadas
frecuentemente requieren entender las reglas del proceso del sistema y
no siempre es obvio cuales pasos del proceso se ejecutaron,
especialmente cuando el proceso computacional es complejo.
Uno o más manuales de procedimientos que contienen información
relativa a las transacciones del sistema. Estos manuales guían a la
gente en la circulación y proceso de las transacciones. En las
aplicaciones computarizadas, pueden ser listados de programas y
computadora, listados de diccionarios de datos y documentación de
proveedores.
Revisión de procesos por personas, generalmente supervisores, para
determinar su razonabilidad, exactitud, totalidad y autorización. En las
aplicaciones computarizadas, gran parte de este monitoreo es
ejecutado automáticamente mediante una lógica de programa
predeterminada. Está llegando a ser más difícil para la gente monitorear
los procesos, conforme los sistemas computacionales están más
integrados y son más complejos y el ciclo del proceso se acorta.
La división de tareas entre los empleados. En las aplicaciones
computarizadas, la distribución de deberes implica no sólo la división de
tareas entre los empleados, sino también la división de tareas entre los
pasos del proceso automatizado. Por ejemplo, los programas
computarizados pueden procesar diferentes partes de una transacción
en diversos lugares y terminales, y en ocasiones se requiere que tengan
sistemas de seguridad de acceso a nivel sistema, dato o programa
43
•
como en el caso de los sistemas bancarios.
Proceso de grandes cantidades de datos que pueden requerir la
repetición o cruzamiento de diversos elementos de la información. Esto
es frecuentemente difícil y costoso en un sistema manual y sólo se
realiza cuando es necesario. En las aplicaciones computarizadas,
grandes cantidades de datos pueden ser almacenadas en una base de
datos. La velocidad y capacidades de proceso del computador hacen
esta información disponible en el formato deseado. En un ambiente
computarizado, son posibles los más complejos análisis y usos
secundarios de los datos.
4.5 Concepto de auditoria de programas [1 página 18]
La auditoría de programas es la evaluación de la eficiencia técnica, del uso
de diversos recursos (cantidad de memoria) y del tiempo que utilizan los
programas, su seguridad y confiabilidad con el objetivo de optimizarlos y evaluar el
riesgo que tienen para la organización.
La auditoría de programas tiene un mayor grado de profundidad y de detalla
que la auditoría en informática, ya que analiza y evalúa la parte central del uso de
las computadoras que es el programa, aunque se puede considerar como parte de
la auditoría en informática.
Para lograr que la auditoría de programas sea eficiente las personas que la
realicen han de poseer conocimientos profundos sobre sistemas operativos,
sistemas de administración de base de datos, lenguajes de programación,
utilerías, bases de datos y el equipo en que fue escrito el programa, y deberán
comenzar con la revisión de la documentación del mismo. Para poder llevar a
cabo una adecuada auditoría de los programas se necesitan que los sistemas
estén trabajando correctamente y se obtengan los resultados requeridos, ya que el
cambiar el proceso del sistema en general se cambiaría posiblemente los
programas. Sería absurdo intentar optimizar un programa de un sistema que no
está funcionando correctamente.
Para optimizar los programas se deberá tener pleno conocimiento y
aceptación del sistema o sistemas que usan ese programa, y disponer de toda la
documentación detallada del sistema total.
Se considera como banco de datos: El conjunto de datos que guarda entre
si una coherencia temática independiente del medio de almacenamiento.
La cantidad de información que contiene un banco de datos suele ser
grande, del orden de millones de datos.
Se considera como base de datos: La organización sistemática de archivos
de datos para facilitar su acceso, recuperación y actualización, relacionados los
unos con los otros y tratados como una entidad. Puede decirse que una base es
un banco de datos organizados como un tipo estructurado de datos.
DBMS (Dato base management system = sistema de administración de
bases de datos): Es un conjunto de programas de permiten manejar cómodamente
una base de datos, o sea, "el conjunto de facilidades y herramientas de
44
actualización y recuperación de información de una base de datos".
4.6 Concepto de auditoría seguridad
Las empresas conocen, o has de conocer todos los problemas. Y cuando
deciden darles una solución global, buscando los puntos débiles de su seguridad
para atajarlos de una vez, pueden decidirse por una Auditoría de Seguridad. Las
auditorias son actividades muy comunes en esto entornos empresariales,
especialmente las realizadas por personal externo (permitiendo un nivel obvias), y
permiten conocer el nivel de seguridad y las acciones a emprender para corregir
los posibles fallos.
Este tipo de auditoría puede durar, en función del tamaño del sistema,
desde unos pocos días, hasta varias semanas. Siempre debemos tener en cuenta
que el costo de realizar una auditoría de seguridad siempre es menor que el valor
que pueden tener los datos internos en la empresa.
La auditoría de seguridad cada vez resulta más conveniente realizarla, ya
que el desarrollo de Internet es espectacular y las posibilidades del comercio
electrónico son ilimitadas; esto origina una vulnerabilidad en los datos ya que cada
vez existen más personas que se dedican a cometer delitos informáticos.
El proceso de esta auditoría generalmente comienza con un análisis de las
amenazas potenciales que enfrentan a una organización. Examina sistemas,
políticas y prácticas de la organización para identificar sus vulnerabilidades. El
análisis continúa con una valoración de riesgo y concluye con un informe de
valoración y una serie de recomendaciones.
Es necesario pensar en el establecimiento de políticas de seguridad, tal y
como la palabra lo dice, se asemejan a los seguros de la vida cotidiana, muchas
veces no se toma una decisión al respecto hasta que no se conocer un caso
cercano a quien la adversidad le coge por sorpresa. Las seguridad representa un
gasto que muchas veces parece inútil y que se podría evitar, aunque el costo de
una buena gestión de seguridad siempre es menor que el valor que pueden tener
los datos internos de la empresa.
4.6.1 Consideraciones inmediatas para la auditoría de la seguridad
1. Uso de la computadora
Se debe observar el uso adecuado de la computadora y su software que
puede ser susceptible a:
•
•
•
tiempo de máquina para uso ajeno.
copia de programas de la organización para fines de comercialización
(copia pirata)
acceso directo o telefónico a bases de datos con fines fraudulentos
45
•
evaluar la seguridad contemplando la relación costo, ya que a mayor
tecnología de acceso mayor costo
3. Cantidad y tipo de Información
El tipo y la cantidad de información que se introduce en las computadoras
debe considerarse como un factor de alto riesgo ya que podrían producir que:
• la información este en manos de algunas personas
• la alta dependencia en caso de perdida de datos
4. Control de programación
Se debe tener conocer que el delito más común está presente en el
momento de la programación, ya que puede ser cometido intencionalmente o no,
para lo cual se debe controlar que:
• los programas no contengan bombas lógicas
• los programas deben contar con fuentes y sus ultimas actualizaciones
• los programas deben contar con documentación técnica, operativa y de
emergencia
5. Personal
Se debe observar este punto con mucho cuidado, ya que hablamos de las
personas que están ligadas al sistema de información de forma directa y se
deberá contemplar principalmente:
• la dependencia del sistema a nivel operativo y técnico
• evaluación del grado de capacitación operativa y técnica
• contemplar la cantidad de personas con acceso operativo y
administrativo
• conocer la capacitación del personal en situaciones de emergencia
6. Medios de control
Se debe contemplar la existencia de medios de control para conocer
cuando se produce un cambio o un fraude en el sistema. También se debe
observar con detalle el sistema ya que podría generar indicadores que pueden
actuar como elementos de auditoría inmediata, aunque esta no sea una
especificación del sistema.
7. Rasgos del personal
Se debe ver muy cuidadosamente el carácter del personal relacionado con
el sistema, ya que pueden surgir:
• malos manejos de administración
• malos manejos por negligencia
• malos manejos por ataques deliberados
8. Instalaciones
Es muy importante no olvidar las instalaciones físicas y de servicios, que significan
un alto grado de riesgo. Para lo cual se debe verificar:
• la continuidad del flujo eléctrico
• efectos del flujo eléctrico sobre el software y hardware
• evaluar las conexiones con los sistemas eléctrico, telefónico, cable, etc.
46
•
verificar si existen un diseño, especificación técnica, manual o algún tipo
de documentación sobre las instalaciones
9. Control de residuos
Observar como se maneja la basura de los departamentos de mayor
importancia, donde se almacena y quien la maneja.
10. Establecer áreas y prado del riesgo
Es muy importante el crear una conciencia en los usuarios de la
organización sobre el riesgo que corre la información y hacerles comprender que
la seguridad es parte de su trabajo. Para esto se deben conocer los principales
riesgos que acechan a la función informática y los medios de prevención que se
deben tener, para lo cual se debe:
a) Establecer el Costo del Sistema de Seguridad (Análisis Costo contra
Beneficio)
Este estudio se realiza considerando el costo que se presenta cuando se
pierde la información contra el costo de un sistema de seguridad. Para realizar
este estudio se debe considerar lo siguiente:
• clasificar la instalación en términos de riesgo (alto, mediano, pequeño)
• identificar las aplicaciones que tengan alto riesgo
• cuantificar el impacto en el caso de suspensión del servicio aquellas
aplicaciones con un alto riesgo
• formular las medidas de seguridad necesarias dependiendo del nivel de
seguridad que se requiera
• la justificación del costo de implantar las medidas de seguridad
Cada uno de estos puntos es de mucha importancia por lo que se sugiere
clasificar estos elementos en áreas de riesgo que pueden ser:
a) Riesgo Computacional
Se debe evaluar las aplicaciones y la dependencia del sistema de
información, para lo cual es importante considerar responder las siguientes cuatro
preguntas:
1. ¿Qué sucedería si no se puede utilizar el sistema? Si el sistema
depende de la aplicación por completo se debe definir el nivel de riesgo.
2. ¿Qué consecuencias traería si es que no se pudiera acceder al
sistema? Al considerar esta pregunta se debe cuidar la presencia de
manuales de respaldo para emergencias o algún modo de cómo se
soluciono este problema en el pasado.
3. ¿Existe un procedimiento alternativo y que problemas ocasionaría?
Se debe verificar si el sistema es único o es que existe otro sistema
también computarizado de apoyo menor. Ejemplo: Sí el sistema principal
esta diseñado para trabajar en red sea tipo WAN quizá haya un soporte de
apoyo menor como una red LAN o monousuario. E el caso de un sistema
47
de facturación en red, si esta cae, quizá pudiera trabajar en forma
distribuida con un módulo menor monousuario y q tenga la capacidad de
que al levantarse la red existan métodos actualización y verificación
automática.
4. ¿Qué se ha hecho en casos de emergencia hasta ahora? Para
responder esta pregunta se debe considerar al menos las siguientes
situaciones, donde se debe rescatar los acontecimientos, h consecuencias
y las soluciones tomadas, considerando:
Que exista un sistema paralelo al menos manual
Si hay sistemas duplicados en las áreas críticas (tarjetas de red
teclados, monitores, servidores, unidades de disco, aire acondicionado).
Si hay sistemas de energía ininterrumpida UPS.
Si las instalaciones eléctricas, telefónicas y de red son adecuada, (se
debe contar con el criterio de un experto).
Si se cuenta con un método de respaldo y su manual administrativo.
Una vez que se ha definido el grado de riesgo se debe elaborar una lista de
los sistemas con las medidas preventivas que se deben tomar y las correctivas en
casi de desastre, señalando la prioridad de cada uno. Con el objetivo que en caso
de desastres se trabajen los sistemas de acuerdo a sus prioridades.
Disposiciones que Acompañan la Seguridad
De acuerdo a experiencias pasadas, y a la mejor conveniencia de la
organización, desde el punto de vista de seguridad, contar con un conjunto de
disposiciones o cursos de acción para llevarse a cabo en caso de presentarse
situaciones de riesgo. Para lo cual se debe considerar:
• Obtener una especificación de las aplicaciones, los programas y
archivos de datos.
• Medidas en caso de desastre como perdida total de datos, abuso y los
planes necesarios para cada caso.
• Prioridades en cuanto a acciones de seguridad de corto y largo plazo.
• Verificar el tipo de acceso que tiene las diferentes personas de la
organización, cuidar que los programadores no cuentes con acceso a la
sección de operación ni viceversa.
• Que los operadores no sean los únicos en resolver los problemas que
se presentan.
b) Higiene
Otro aspecto que parece de menor importancia es el de orden e higiene,
que debe observarse con mucho cuidado en las áreas involucradas de la
organización (centro de computo y demás dependencias), pues esto ayudará a
detectar problemas de disciplina y posibles fallas en la seguridad. También
podemos ver que la higiene y el orden son factores que elevan la moral del
recurso humano, evita la acumulación de desperdicios y limita las posibilidades de
accidentes. Además es un factor que puede perjudicar el desarrollo del trabajo
tanto a nivel formal como informal.
48
c) Cultura Personal
Cuando hablamos de información, su riesgo y su seguridad, siempre se
debe considerar al elemento humano, ya que podría definir la existencia o no de
los más altos grados de riesgo. Por lo cual es muy importante considerar la
idiosincrasia del personal, al menos de los cargos de mayor dependencia o riesgo.
4.6.2 Consideraciones para elaborar un sistema de seguridad
integral.
Como hablamos de realizar la evaluación de la seguridad es importante
también conocer como desarrollar y ejecutar el implantar un sistema de seguridad.
Desarrollar un sistema de seguridad significa: "planear, organizar coordinar dirigir
y controlar las actividades relacionadas a mantener y garantizar la integridad física
de los recursos implicados en la función informática, así como el resguardo de los
activos de la empresa."
Un sistema integral debe contemplar:
• Definir elementos administrativos
• Definir políticas de seguridad
• A nivel departamental
• A nivel institucional
• Organizar y dividir las responsabilidades
• Contemplar la seguridad física contra catástrofes (incendios,
terremotos, inundaciones, etc.)
• Definir P Prácticas de seguridad para el personal:
Plan de emergencia (plan de evacuación, uso de recursos de
emergencia como extintores
Números telefónicos de emergencia
Definir el tipo de pólizas de seguros
Definir elementos técnicos de procedimientos
• Definir las necesidades de sistemas de seguridad para:
Hardware y software
Flujo de energía
Cableados locales y externos
• Aplicación de los sistemas de seguridad incluyendo datos y archivos
• Planificación de los papeles de los auditores internos y externos
• Planificación de programas de desastre y sus pruebas (simulación)
• Planificación de equipos de contingencia con carácter periódico
• Control de desechos de los nodos importantes del sistema:
Política de destrucción de basura copias, fotocopias, etc.
Consideración de las normas ISO 14000
4.6.3 Etapas para implementar un sistema de seguridad.
49
Para dotar de medios necesarios para elaborar su sistema de seguridad se
debe considerar los siguientes puntos:
• Sensibilizar a los ejecutivos de la organización en torno al tema de
seguridad.
• Se debe realizar un diagnóstico de la situación de riesgo y seguridad de
la información en la organización a nivel software, hardware, recursos
humanos, y ambientales.
• Elaborar un plan para un programa de seguridad. El plan debe
elaborarse contemplando:
a) Plan de Seguridad Ideal (o Normativo)
Un plan de seguridad para un sistema de seguridad integral debe
contemplar:
• El plan de seguridad debe asegurar la integridad y exactitud de los
datos
• Debe permitir identificar la información que es confidencial
• Debe contemplar áreas de uso exclusivo
• Debe proteger y conservar los activos de desastres provocados por la
mano del hombre y los actos abiertamente hostiles
• Debe asegurar la capacidad de la organización para sobrevivir
accidentes
• Debe proteger a los empleados contra tentaciones o sospechas
innecesarias
• Debe contemplar la administración contra acusaciones por imprudencia
b) Consideraciones para con el personal
Es de gran importancia la elaboración del plan considerando el personal,
pues se debe llevar a una conciencia para obtener una autoevaluación de su
comportamiento con respecto al sistema, que lleve a la persona a:
Asumir riesgos
Cumplir promesas
Innovar
Para apoyar estos objetivos se debe cumplir los siguientes pasos:
1) Motivar
Se debe desarrollar métodos de participación reflexionando sobre lo que
significa la seguridad y el riesgo, así como su impacto a nivel
empresarial, de cargo y individual.
2) Capacitación General
En un principio a los ejecutivos con el fin de que conozcan y entiendan la
relación entre seguridad, riesgo y la información, y su impacto en la
empresa.
El objetivo de este punto es que se podrán detectar las debilidades y
potencialidades de la organización frente al riesgo. Este proceso incluye
50
como práctica necesaria la implantación la ejecución de planes de
contingencia y la simulación de posibles delitos.
3) Capacitación de Técnicos
Se debe formar técnicos encargados de mantener la seguridad como
parte de su trabajo y que esté capacitado para capacitar a otras personas
en lo que es la ejecución de medidas preventivas y correctivas.
4) Ética y Cultura
Se debe establecer un método de educación estimulando el cultivo de
elevados principios morales, que tengan repercusión a nivel personal e
institucional. De ser posible realizar conferencias periódicas sobre:
doctrina, familia, educación sexual, relaciones humanas, etc.
4.6.4 Etapas para implantar un sistema integral en marcha
Para hacer que el plan entre en vigor y los elementos empiecen a funcionar
y se observen y acepten las nuevas instituciones, leyes y costumbres del nuevo
sistema de seguridad se deben seguir los siguiente 8 pasos:
1. Introducir el tema de seguridad en la visión de la empresa.
2. Definir los procesos de flujo de información y sus riesgos en cuanto a
todos los recursos participantes.
3. Capacitar a los gerentes y directivos, contemplando el enfoque global.
4. Designar y capacitar supervisores de área.
5. Definir y trabajar sobre todo las áreas donde se pueden lograr mejoras
relativamente rápidas.
6. Mejorar las comunicaciones internas.
7. Identificar claramente las áreas de mayor riesgo corporativo y trabajar
con ellas planteando soluciones de alto nivel.
8. Capacitar a todos los trabajadores en los elementos básicos de
seguridad y riesgo para el manejo del software, hardware y con respecto
a la seguridad física.
4.6.5 Beneficios de un sistema de seguridad
Los beneficios de un sistema de seguridad bien elaborado son inmediatos,
ya que el la organización trabajará sobre una plataforma confiable, que se refleja
en los siguientes puntos:
• Aumento de la productividad.
• Aumento de la motivación del personal.
• Compromiso con la misión de la compañía.
• Mejora de las relaciones laborales.
• Ayuda a formar equipos competentes.
• Mejora de los climas laborales
51
5
__________________________________________________________________
Planeación
informática
de
la
auditoría
en
5.1 Planeación de la auditoria en informática
Para nacer una adecuada planeación de la auditoría en informática, hay
que seguir una serie de pasos previos que permitirán dimensionar el tamaño y
características del área dentro del organismo a auditar, sus sistemas, organización
y equipo; con ello podremos determinar el número y características del personal
de auditoría, las herramientas necesarias, el tiempo y costo, así como definir los
alcances de la auditoria para, en caso necesario, poder elaborar el contrato de
servicios.
Dentro de la auditoria en general, la planeación es uno de los pasos más
importantes, ya que una inadecuada planeación repercutirá en una serie de
problemas, que pueden provocar que no se cumpla con la auditoría o bien que no
se efectúe con el profesionalismo que debe tener el desarrollo de cualquier
auditoría.
En el caso de la auditoría en informática, la planeación es fundamental,
pues habrá que hacer desde el punto de vista de los tres objetivos:
• Evaluación administrativa del área de procesos electrónicos.
• Evaluación de los sistemas y procedimientos.
• Evaluación de los equipos de cómputo.
Para lograr una adecuada planeación, lo primero que se requiere es
obtener información general sobre la organización y sobre la función de
informática a evaluar. Para ello es preciso hacer una investigación preliminar y
algunas entrevistas previas, y con base a esto planear el programa de trabajo, el
cual deberá incluir tiempo, costo, personal necesario y documentos auxiliares a
solicitar o formular el desarrollo de las mismas.
52
5.1.1 Investigación preliminar
"Es necesario iniciar el trabajo de obtención de datos con un contacto
preliminar que permita una primera idea global. El objeto de este primer contacto
es percibir rápidamente las estructuras fundamentales y diferencias principales
entre el organismo auditar y otras organizaciones que se hayan investigado".
Se debe recopilar información para obtener una visión general del
departamento por medio de observaciones, entrevistas preliminares y solicitudes
de documentos; la finalidad es definir el objetivo y alcance del estudio, así como el
programa detallado de la investigación.
Se deberá observar el estado general del departamento o área, su situación
dentro de la organización, si existe la información solicitada, si es o no necesaria y
la fecha de su última actualización.
La planeación de la auditoría debe señalar en forma detallada el alcance y
dirección esperados y debe comprender un plan de trabajo para que, en caso de
que existan cambios o condiciones inesperadas que ocasionen modificaciones al
plan general sean justificadas por escrito (un ejemplo de formato de programa de
auditoría se da en anexo 1).
En el caso de la auditoría en informática debemos comenzar la
investigación preliminar con una visita al organismo, al área de informática y a los
equipos de cómputo, y solicitar una serie de documentos. Se debe hacer la
investigación preliminar solicitando y revisando la información de cada una de las
áreas basándose en los siguientes puntos:
Administración
Se recopila la información para obtener una visión general del
departamento por medio de observaciones, entrevista preliminar y solicitud de
documentos para poder definir el objetivo y alcances del departamento.
La eficiencia en el departamento de informática sólo se puede lograr si sus
objetivos están integrados con los objetivos de la institución y permanentemente
se adapta a los posibles cambios de éstos.
Esta adaptación únicamente puede ser posible si los altos ejecutivos y los
usuarios de los sistemas toman parte activa en las decisiones referentes a la
dirección y utilización de los sistemas de información, y si el responsable de dicho
sistema constantemente consulta y pide asesoría y cooperación a los ejecutivos y
usuarios.
Así mismo el control de la dirección de informática no es posible, a menos
que el personal responsable aplique la misma disciplina de trabajo y los métodos
que se exigen normalmente a los usuarios. Podemos hablar de tener el control,
únicamente cuando sé contemplaron los objetivos, se estableció un presupuesto y
se registraron correctamente los costos en el desarrollo de la aplicación y ésta
contempla el nivel de servicio en términos de calidad y tiempos mínimos de
entrega de resultados de la operación del computador.
El éxito de la dirección de informática dentro de una organización, depende
finalmente de que todas las personas responsables del mismo tomen una actitud
53
positiva respecto a su trabajo y evalúen constantemente la eficiencia en su propio
trabajo así como el trabajo desarrollado por su área, estableciendo metas y
estándares que incrementen su productividad.
La dirección de informática, según las diferentes áreas de la organización,
es evaluada desde diferentes puntos de vista.
Los usuarios a nivel operativo generalmente la ven como una herramienta
para incrementar su eficiencia en el trabajo. Para estos usuarios, la dirección de
informática es una función de servicio similar al departamento de nominas. Cada
grupo de usuarios tiene su propia expectativa del tipo y nivel de servicio, sin
considerar el costo del mismo y normalmente sin tomar en cuenta las necesidades
de otros grupos de usuarios.
Los altos ejecutivos consideran a la dirección de informática como una
inversión importante, con la función de que participe activamente en el
cumplimiento de los objetivos de la organización, y esperan un máximo del retorno
de su inversión, que los recursos destinados a la dirección de informática
proporcionen un beneficio máximo a la organización y que participen en la
administración eficiente y en la minimización de los costos mediante información
que permita una adecuada toma de decisiones.
Esencialmente la meta principal de los administradores de la dirección de
informática, es la misma que inspira cualquier departamento de servicio; combinar
un servicio adecuado con una operación económica.
El problema estriba en balancear el nivel de servicio a los usuarios, que
siempre puede ser incrementado a costa de un incremento del factor económico o
viceversa.
Para poder analizar y dimensionar la estructura por auditar se debe
solicitar:
a) a nivel organizacional total
- Objetivos a corto y largo plazo.
- Manual de la organización.
- Antecedentes o historia del organismo.
- Políticas generales.
b) a nivel del área de informática
- Objetivos a largo plazo
- Manual de organización del área que incluya puestos, funciones,
niveles jerárquicos y tramos de mando.
- Manual de políticas, reglamentos internos y lineamientos generales.
- Número de personal y puestos en el área.
- Procedimientos administrativos del área.
- Presupuestos y costos del área.
c) Recursos materiales y técnicos
- Solicitar documentos sobre los equipos, números de ellos, localización y
características.
- Estudios de vialidad.
- Número de equipos, localización y las características (de los equipos
instalados, por instalar y programados).
- Fechas de instalación de los equipos y planes de instalación.
54
- Contratos vigentes de compra, renta y servicio de mantenimiento.
- Contratos de seguros.
- Convenios que se tiene con otras instalaciones.
- Configuración de los equipos y capacidades actuales y máximas.
- Planes de expansión.
- Ubicación general de los equipos.
- Políticas de operación.
- Políticas de uso de los equipos.
d) Sistemas
- Descripción general de los sistemas instalados y de los que estén por
instalarse que contengan volúmenes de información.
- Manual de formas.
- Manual de procedimientos de los sistemas
- Descripción genérica
- Diagrama de entrada, archivos, salida.
- Salidas
- Fecha de instalación de los sistemas
- Proyecto de instalación de nuevos sistemas.
En el momento de hacer la planeación de la auditoría o bien su realización,
debemos evaluar que pueden presentarse las siguientes situaciones:
Se solicita la información y se ve que:
1. No se tiene y se necesita.
2. No se tiene y no se necesita.
3. Se tiene la información pero;
a) No se usa.
b) Es incompleta.
c) No está actualizada
d) No es la adecuada.
e) Se usa, está actualizada, es la adecuada y está completa.
Es el caso de que no se disponga de la información y se considere que no
se necesita, se debe evaluar la causa por la que no es necesaria, ya que se puede
estar solicitando un tipo de información que debido a las características del
organismo no se requiera. Eso nos dará un parámetro muy importante para hacer
una adecuada planeación de la auditoría.
En el caso de que no se tenga la información pero que sea necesaria, se
debe recomendar que se elabore de acuerdo con las necesidades y con el uso
que se le va a dar.
En el caso de que tenga la información pero no se utilice se debe analizar
por que no se usa. El motivo puede ser que esté incompleta, que no esté
actualizada, que no sea la adecuada, etc. Hay que analizar y definir las causas
para señalar alternativas de solución, que dan por resultado la utilización de la
información.
En caso de que se tenga la información, se debe analizar si se usa, si está
55
actualizada, si es la adecuada y si está completa; de ser así, se considerará
dentro de las conclusiones de la evaluación, ya que como se dijo la auditoría no
sólo debe considerar errores, sino también señalar los aciertos.
Además de concluir esta etapa no se olvide que el éxito del análisis crítico
depende de las consideraciones siguientes:
- Estudiar hechos y no opiniones (no se toman en cuenta los rumores ni
la información sin fundamento)
- Investigar las causas, no los efectos
- Atender razones, no excusas
- No confiar en la memoria, preguntar constantemente
- Criticar objetivamente y a fondo todos los informes y los datos
recabados
5.1.2 Personal participante
Una de las partes más importantes dentro de la planeación de la auditoria
en informática es el personal que deberá participar.
En este punto no veremos el número de personas que deberá participar ya
que esto estaba dado en función de las dimensiones de la organización, de los
sistemas y de los equipos. Lo que deberá considerarse son las características del
personal que habrá de participar en la auditoría.
Uno de los esquemas generalmente aceptados para tener un adecuado
control es que el personal que intervenga esté debidamente capacitado, con alto
sentido de moralidad, al cual se le exija la optimización de recursos (eficiencia) y
se le retribuya o compense justamente por su trabajo.
Con estas bases debemos considerar las características de conocimientos,
práctica profesional y capacitación que debe tener el personal que intervendrá en
la auditoría.
En primer lugar debemos pensar que hay personal asignado por la
organización, con el suficiente nivel para poder coordinar el desarrollo de la
auditoría, proporcionarnos toda la información que se solicite y programar las
reuniones y entrevistas requeridas.
Éste es un punto muy importante ya que, de no tener el apoyo de la alta
dirección ni contar con un grupo multidisciplinario en el cual estén presentes una o
varias personas del área a auditar, sería casi imposible obtener información en el
momento y con las características deseadas.
También se debe contar con personas asignadas por los usuarios para que
en el momento que se solicite información o bien se efectúe alguna entrevista de
comprobación de hipótesis, nos proporcionen aquello que se está solicitando, y
complementen el grupo multidisciplinario, ya que debemos analizar no sólo el
punto de vista de la dirección de informática, sino también el del usuario del
sistema.
Para complementar el grupo, como colaboradores directos en la realización
de la auditoría se debe tener personas con las siguientes características:
- Técnico en informática
56
- Conocimientos de administración, contaduría y finanzas.
- Experiencia en el área de informática
- Experiencia en operación y análisis de sistemas
- Conocimientos y experiencia en psicología industrial
- Conocimientos de los sistemas más importantes.
En caso de sistemas complejos se deberá contar con personal con
conocimientos y experiencia en áreas específicas como base de datos, redes, etc.
Lo anterior no significa que una sola persona tenga los conocimientos y
experiencias señaladas, pero si deben intervenir una o varias personas con las
características apuntadas.
Una vez planteada la forma de llevar a cabo la auditoría, estaremos en
posibilidad de presentar la carta convenio de servicios profesionales (en caso de
auditores externos) y el plan de trabajo.
La carta convenio es un compromiso del auditor dirigida a su cliente para su
confirmación de aceptación; en ella se especifican el objetivo y alcance de la
auditoría, las limitaciones y colaboración necesaria, el grado de responsabilidad y
los informes que se han de entregar.
Una vez que se ha hecho la planeación, se puede utilizar el formato
señalado en el anexo 1, el cual servirá para resumir el plan de trabajo de la
auditoría. Este formato de programa de auditoría nos servirá de base para llevar
un adecuado control del desarrollo de la misma.
En él figuran el organismo, la fecha de formulación, las fases y subfases
que comprenden la descripción de la actividad, e número de días hábiles y el
número de días-hombre estimados.
El control de avance de la auditoría lo podemos llevar mediante el anexo 2,
el cual nos permite cumplir con los procedimientos de control y asegurarnos de
que el trabajo se está llevando la cabo de acuerdo con el programa de auditoría,
con los recursos estimados y en el tiempo señalado en la planeación.
El hecho de contar con la información del avance nos permite revisar el
trabajo elaborado por cualquiera de nuestros asistentes.
57
6
__________________________________________________________________
Auditoría
de
informática
la
función
de
[1; pág. 28-50]
6.1 Recopilación de la información organizacional.
Una vez elaborada la planeación de la auditoría, la cual servirá como plan
maestro de los tiempos, costos y prioridades, y como medio de control de la
auditoría, se debe empezar la recolección de la información.
Se procederá a efectuar la revisión sistematizada del área a través de la
observación y entrevistas de fondo en cuanto a:
a) Estructura Orgánica
Jerarquías (Definición de la autoridad lineal, funcional y de asesoría)
Estructura orgánica
Funciones
Objetivos
b) Se deberá revisar la situación de los recursos humanos.
c) Entrevistas con el personal de procesos electrónicos:
Jefatura
Análisis
Programadores
Operadores
Capturistas
Personal administrativo
d) Se deberá conocer la situación presupuestal y financiera en cuanto a:
Presupuesto
Recursos materiales
Mobiliario y equipo
e) Se hará un levantamiento del censo de recursos humanos y análisis de
situación en cuanto a:
Número de personas y distribución por áreas
58
Denominación de puestos
Salario
Capacitación
Conocimientos
Escolaridad
Experiencia profesional
Antigüedad
Historial de trabajo
Salario y conformación
Movimientos salariales
índice de rotación del personal
Programa de capacitación (vigente y capacitación dada en el último
año)
f) Por último, se deberá revisar el grado de cumplimiento de los documentos
administrativos.
Normas y políticas
Planes de trabajo
Controles
Estándares
Procedimientos
La información nos servirá para determinar:
-
Si las responsabilidades en la organización están definidas
adecuadamente
Si la estructura organizacional está adecuada a las necesidades
Si el control organizacional es el adecuado
Si se tienen los objetivos y políticas adecuadas, se encuentran
vigentes y están bien definidas
Si existe la documentación de las actividades, funciones y
responsabilidades
Si los puestos se encuentran definidos y señaladas sus
responsabilidades
Si el análisis y descripción de puestos está de acuerdo con el
personal que los ocupa
Si se cumplen los lineamientos organizacionales
Si el nivel de salarios comparado con el mercado de trabajo
Si los planes de trabajo concuerdan con los objetivos de la empresa
Si se cuenta con los recursos humanos necesarios que garanticen la
continuidad de la operación o se cuenta con "indispensables"
Si se evalúan los planes y se determinan las desviaciones
6.2 Evaluación de la estructura orgánica
Para lograr el objetivo de evaluación de la estructura orgánica se deberá
solicitar el manual de organización de la dirección, el cual deberá comprender
59
como mínimo:
- Organigrama con jerarquías
- Funciones
- Objetivos y políticas
- Análisis, descripción y evaluación de puestos
- Manual de procedimientos
- Manual de normas
- Instructivos de trabajo o guías de actividad
También se deben solicitar:
Objetivos de la dirección
Políticas y normas de la dirección
El director de informática y aquellas personas que tengan un cargo directivo
deben llevar los cuestionarios sobre estructura orgánica, funciones, objetivos y
políticas de los cuales se presenta un ejemplo.
El cuestionario que se presenta a continuación tiene por objeto poder
conocer en primer lugar la organización del departamento de informática y su
dependencia dentro de la organización total.
El departamento de informática básicamente puede estar dentro de alguno
de estos tipos de dependencia:
a) Depende de alguna dirección o gerencia lo cual, normalmente, es la
dirección de finanzas. Esto se debe a que inicialmente informática o
departamento de procesamiento electrónico de datos, nombre con que
se le conocía, procesaba principalmente sistemas de tipo contable,
financiero o administrativo, por ejemplo, la contabilidad la nómina,
ventas o facturación. El que informática dependa del usuario principal
normalmente se da en estructuras pequeñas o bien que inician en el
área de informática. La ventaja que tiene es que no se crea una
estructura adicional para el área de informática y permite que el usuario
principal tenga un mayor control sobre sus sistemas.
La ventaja principal es que los otros usuarios son considerados como
secundarios y normalmente no se les da la importancia y prioridad
requerida; otra desventaja es que, como la información es poder, a
veces hace que un área tenga un mayor poder. También, en ocasiones,
sucede que el gerente o director del área usuaria del cual depende
informática tiene muy poco conocimiento de informática; ello ocasiona
que el jefe de informática cree una isla dentro de la gerencia y que
acuerde directamente con otras gerencias usuarias, dando lugar a
problemas con las líneas de autoridad.
b) La segunda posibilidad es que la dirección de informática dependa de la
gerencia general; esto puede ser en línea o bien en forma de asesoría.
La ventaja de alguna de estas organizaciones es que el director de
informática podrá tener un nivel adecuado dentro de la organización, lo
cual le permitirá lograr una mejor comunicación con los departamentos
usuarios y, por lo tanto, proporcionarles un mejor servicio y asignar las
60
prioridades de acuerdo con los lineamientos dados por la gerencia
general.
La desventaja es que aumentan los niveles de la organización, lo que
elevará el costo de la utilización de los sistemas de computo.
c) La tercera posibilidad es que estructuras muy grandes en la que hay
bases de datos, redes o bien equipos en diferentes lugares. En esta
estructura se considera la administración corporativa. La dirección de
informática depende de la gerencia general, o de departamentos de
informática dentro de las demás gerencias, las cuales reciben todas las
normas, políticas, procedimientos y estándares de la dirección de
informática, aunque funcionalmente dependan de la gerencia a la cual
estás adscritas. Son controladas en cuanto a sus funciones y equipo en
forma centralizada por la dirección de informática. Deben estar
perfectamente definidas las funciones, organización y políticas de los
departamentos para evitar la duplicidad de mando y el que en dos
lugares diferentes se estén desarrollando los mismos sistemas o bien
que sólo en un lugar se programe, y no se permita usar los equipos
para programar en otro lugar que no sea la dirección de informática.
Esto se puede dar en instalaciones que tengan equipo en varias
ciudades o lugares, y para evitarlo se deben tener bien definidas las
políticas y funciones de todas las áreas.
La ventaja principal de esta organización consiste en que se puede
tener centralizada la información (base de datos) y descentralizados los
equipos; pero se debe tener una adecuada coordinación entre la
dirección de informática y los departamentos de informática de las áreas
usuarias para evitar duplicar esfuerzos o duplicidad de mando.
d) La cuarta forma de organización es la creación de una compañía
independiente que de servicio de informática a la organización.
Cuestionario para conocer la estructura orgánica
1.1 Bases jurídicas (principalmente en el sector público)
¿Se ajusta la estructura orgánica actual a las disposiciones jurídicas vigentes?
No, ¿porqué razón?
__________________________________________________________________
__________________________________________________________________
¿Cuáles son los ordenamientos legales en que se sustenta la dirección?
__________________________________________________________________
__________________________________________________________________
Objetivo de la estructura
¿La estructura actual está encaminada a la consecución de los objetos del área?
Explique en qué forma.
__________________________________________________________________
61
Permite la estructura actual que se lleven a cabo con eficiencia
- Las atribuciones encomendadas?
SI
NO
- Las funciones establecidas?
SI
NO
- Las distribución del trabajo?
SI
NO
- El control interno?
SI
NO
Si algunas de las respuestas es negativa explique cuál es la razón
__________________________________________________________________
1.2 Niveles jerárquicos (es conveniente conocer los niveles jerárquicos para poder
evaluar si son los necesarios y si bien están bien definidos).
¿Los niveles jerárquicos establecidos actualmente son necesarios y suficientes
para el desarrollo de las actividades del área?
¿Por qué o cuáles son sus recomendaciones?
__________________________________________________________________
__________________________________________________________________
Permiten los niveles jerárquicos actuales que se desarrolle adecuadamente la:
- Operación?
- Supervisión?
Los niveles actuales permiten que se tenga una ágil
- Comunicación ascendente?
SI
NO
- Comunicación descendente? SI
NO
- Toma de decisiones?
SI
NO
Si alguna de las respuestas es negativa, explique cuál es la razón.
__________________________________________________________________
Se considera que algunas áreas debería tener
- Mayor jerarquía?
SI
NO
- Menor jerarquía?
SI
NO
Por qué razón
__________________________________________________________________
__________________________________________________________________
1.3 Departamentalización
SE consideran adecuados los departamentos, áreas y oficinas en que está
dividida actualmente la estructura de la dirección?
SI
NO
No, ¿por qué razón?
__________________________________________________________________
__________________________________________________________________
__________________________________________________________________
62
¿El área y sus subáreas tienen delimitadas con claridad sus responsabilidades?
SI
NO
No, ¿qué efectos provoca esta situación?
__________________________________________________________________
__________________________________________________________________
Puesto (se debe tener cuidado de que estén bien definidas las funciones de cada
puesto, ya que desafortunadamente existe mucha confusión en los nombres que
se dan a los puestos dentro del medio de la informática).
¿Los puestos actuales son adecuados a las necesidades que tiene el área para
llevar a cabo sus funciones?
SI
NO
No, ¿Por qué razón?
__________________________________________________________________
__________________________________________________________________
__________________________________________________________________
¿El número de empleados que trabajan actualmente es adecuado para cumplir
con las funciones encomendadas?
SI
NO
Solicite el manual de descripción de puestos de:
- Análisis
- Programación
- Técnicos
- Operación
- Captura
- Dirección
- Administración
- Otros
NOTA: (de la pregunta anterior). Pide la plantilla de personal.
Especifique el número de personas que reportan a las personas que a su vez
reportan a cada puesto.
- Dirección
- Subdirector
- Jefes de departamento
- Jefes de sección
- Jedes de área
¿El número de personas es el adecuado en cada uno de los puestos?
SI
NO
¿Por qué?
__________________________________________________________________
__________________________________________________________________
__________________________________________________________________
63
No, ¿Cuál es el número de personal que consideraría adecuado? (señale el
puesto o los puestos)
__________________________________________________________________
__________________________________________________________________
1.4. Expectativas (dentro de las expectativas se pueden detectar, en algunas
ocasiones, deficiencias y frustraciones de las personas).
¿Considera que debe revisarse la estructura actual, a fin de hacerla más eficiente?
SI
NO
Si, ¿por qué razón?
__________________________________________________________________
__________________________________________________________________
¿Cuál es la estructura que propondría?
__________________________________________________________________
__________________________________________________________________
De realizar una modificación a la estructura, ¿cuándo considera que debería
hacerse?
__________________________________________________________________
__________________________________________________________________
__________________________________________________________________
1.5. Autoridad
¿Se encuentra definida adecuadamente la línea de autoridad?
SI
NO
__________________________________________________________________
__________________________________________________________________
¿Su autoridad va de acuerdo a su responsabilidad?
SI
NO
__________________________________________________________________
__________________________________________________________________
¿En su área se han presentado conflictos por el ejercicio de la autoridad?
SI
NO
Si, explique en que casos
__________________________________________________________________
__________________________________________________________________
¿Existe en el área algún sistema de sugerencias y quejas por parte del personal?
SI
NO
64
2. Funciones (las funciones en informática pueden diferir de un organismo a otro,
aunque se designen con el mismo nombre; por ejemplo, la función del
programador en una organización puede ser diferente en otra organización).
2.1. Existencia
¿Se han establecido funciones del área?
SI
NO
No, ¿Por que no?
__________________________________________________________________
__________________________________________________________________
¿Las funciones están de acuerdo con las atribuciones legales?
Si
NO
¿Por qué no están de acuerdo?
__________________________________________________________________
__________________________________________________________________
sugerencias
__________________________________________________________________
__________________________________________________________________
¿Están por escrito en algún documento las funciones del área?
SI
NO
¿Cuál es la causa de que no estén por escrito?
__________________________________________________________________
__________________________________________________________________
¿Cuál es la forma de darlas a conocer?
__________________________________________________________________
__________________________________________________________________
¿Quién elaboró las funciones?
__________________________________________________________________
__________________________________________________________________
¿Participó el área en su formulación?
SI
NO
¿Por qué causas no participó?
__________________________________________________________________
__________________________________________________________________
¿Quién las autorizó o aprobó?
__________________________________________________________________
__________________________________________________________________
2.2 Coincidencias (se debe tener cuidado en que se conozcan las funciones del
área).
65
¿Las funciones están encaminadas a la consecución de los objetivos
institucionales e internos?
SI
NO
¿Por qué no?
__________________________________________________________________
__________________________________________________________________
Sugerencias
__________________________________________________________________
__________________________________________________________________
¿Las funciones del área están acordes al reglamento interior?
SI
NO
No, ¿en qué considera que difieren?
__________________________________________________________________
__________________________________________________________________
¿A qué nivel se conocen las funciones del área?
__________________________________________________________________
__________________________________________________________________
¿Conocen otras áreas las funciones del área?
SI
NO
¿Por qué no?
__________________________________________________________________
__________________________________________________________________
¿Considera que se deben dar a conocer?
SI
NO
¿Por qué no?
__________________________________________________________________
2.3 Adecuadas (debemos tener cuidado ya que en esta área podemos detectar
malestares del personal debido a que como las funciones no son adecuadas a las
necesidades, pueden existir problemas de definición de funciones o bien de
cargas de trabajo).
¿Son adecuadas a la realidad las funciones?
SI
NO
¿Por qué no son adecuadas?
__________________________________________________________________
__________________________________________________________________
¿Son adecuadas a las necesidades actuales?
SI
NO
¿Por qué no?
__________________________________________________________________
__________________________________________________________________
¿Cuáles son sus principales limitaciones?
__________________________________________________________________
__________________________________________________________________
66
Sugerencias
__________________________________________________________________
__________________________________________________________________
¿Están adecuadas a las cargas de trabajo?
SI
NO
¿Existen conflictos por las cargas de trabajo desequilibradas?
SI
NO
¿De qué tipo?
__________________________________________________________________
__________________________________________________________________
¿Se tiene contemplada la desconcentración?
SI
NO
¿Por que no?
__________________________________________________________________
_________________________________________________________________
¿Cómo afecta la desconcentración a las funciones?
__________________________________________________________________
__________________________________________________________________
¿Qué funciones se van a desconcentrar?
__________________________________________________________________
__________________________________________________________________
¿Participó la de informática en su elaboración?
SI
NO
¿Por qué no?
__________________________________________________________________
__________________________________________________________________
2.4 Cumplimiento (esta sección nos sirve para evaluar el grado de cumplimiento
de las funciones)
¿Están delimitadas las funciones?
SI
NO
¿A nivel de departamento? ¿A nivel de puesto?
No, ¿por que?
__________________________________________________________________
__________________________________________________________________
¿Las actividades que realiza son acordes a las funciones que tiene asignadas?
SI
NO
No, ¿qué tipo de actividades realiza que no están acordes a las funciones
asignadas?
__________________________________________________________________
__________________________________________________________________
¿Cuál es la causa?
__________________________________________________________________
__________________________________________________________________
¿Quién las ordena?
__________________________________________________________________
__________________________________________________________________
67
¿Las actividades que realiza actualmente cumplen en su totalidad con las
funciones conferidas?
SI
NO
No, ¿cuál es su grado de cumplimiento?
__________________________________________________________________
__________________________________________________________________
La falta de cumplimiento de sus funciones es por:
( ) Falta de personal
( ) Personal no capacitado
( ) Cargas de trabajo excesivas
( ) Porque realiza otras actividades
( ) La forma en que las ordena
¿Cuáles funciones realiza en forma:
Periódica?
__________________________________________________________________
Eventual?
__________________________________________________________________
Sistemática?
__________________________________________________________________
Otras?
__________________________________________________________________
¿Tienen programas y tareas encomendadas?
SI
NO
No, ¿por qué?
__________________________________________________________________
¿Permiten cumplir con los programas y tareas encomendadas (necesidades de
operación)?
SI
NO
No, ¿por qué causas?
__________________________________________________________________
¿Quién es el responsable de ordenar que se ejecuten las actividades?
__________________________________________________________________
En caso de realizar otras actividades, ¿quién las ordena y autoriza?
__________________________________________________________________
En caso de no encontrarse el jefe inmediato, ¿quién lo puede realizar?
__________________________________________________________________
2.5 Apoyos
¿Para cumplir con sus funciones requiere de apoyos de otras áreas?
SI
NO
Sí, ¿de qué tipo?
__________________________________________________________________
¿Cuál es el área que proporciona el apoyo?
__________________________________________________________________
68
¿Se lo proporcionan con oportunidad?
SI
NO
No, ¿qué le ocasiona?
__________________________________________________________________
No, ¿cómo resuelve esa falta de apoyo?
__________________________________________________________________
¿Con qué frecuencia lo solicita?
__________________________________________________________________
Para cumplir con sus funciones, ¿proporciona apoyos a otras áreas?
SI
NO
Si, ¿qué tipo de apoyo proporciona?
__________________________________________________________________
¿A cuántas áreas?
__________________________________________________________________
¿Cuáles son?
__________________________________________________________________
2.6 Duplicidad
¿Existe duplicidad de funciones en la misma área?
SI
NO
Si, ¿qué conflictos ocasiona y cuáles funciones?
__________________________________________________________________
¿Existe duplicidad de funciones en otras áreas?
SI
NO
Si, ¿cuáles y dónde?
__________________________________________________________________
¿Qué conflictos ocasiona?
__________________________________________________________________
¿La duplicidad de funciones se debe a que el área no puede realizarlas?
SI
NO
Si, ¿cuáles la razón?
__________________________________________________________________
No, ¿cuál es su opinión al respecto?
__________________________________________________________________
¿Se pueden eliminar funciones?
SI
NO
Si, ¿cuáles?
__________________________________________________________________
¿Se pueden transferir funciones?
SI
NO
Si, ¿cuáles y adónde?
__________________________________________________________________
¿Permite la duplicidad que se dé el control interno?
SI
NO
69
No, ¿porqué?
__________________________________________________________________
3. Objetivos
(Uno de los posibles problemas o descontentos que puede tener el personal es el
desconocimiento de los objetivos de la organización, lo cual puede ser debido a
una falta de definición de los objetivos y provoca que no se pueda tener una
planeación adecuada).
3.1 Existencia
¿Se han establecido objetivos para el área?
SI
NO
¿Quién los estableció?
__________________________________________________________________
¿Cuál fue el método para el establecimiento de los objetivos?
__________________________________________________________________
¿Participó el área en su establecimiento?
SI
NO
¿Cuáles fueron las principales razones de la selección de los objetivos?
__________________________________________________________________
¿Los objetivos establecidos son congruentes con:
- Los de la dirección?
SI
NO
- Los de la subdirección?
SI
NO
- Los del departamento/ oficina?
SI
NO
- Los de otros departamentos/oficinas?
SI
NO
¿Por qué no se han establecido objetivos para el área?
__________________________________________________________________
¿Nadie le exige establecerlos?
SI
NO
¿Considera importante que se establezcan?
SI
NO
¿Es responsabilidad de otra área establecer los objetivos? SI
NO
¿Cuál?
__________________________________________________________________
¿De qué manera planea el trabajo del área?
__________________________________________________________________
¿Cómo afecta la operación del área el no tener establecidos los objetivos?
__________________________________________________________________
3.2 Formales
¿Se han definido por escrito los objetivos del área?
SI
NO
¿En qué documento? (recabar)
¿Por qué no están definidos por escrito?
__________________________________________________________________
70
¿Qué problemas se han derivado de esta situación?
__________________________________________________________________
Conocimiento
¿Se han dado a conocer los objetivos?
SI
NO
¿A quién se han dado a conocer?
__________________________________________________________________
¿Quién mas debería conocerlos?
__________________________________________________________________
¿Qué método se ha utilizado para dar a conocer los objetivos?
__________________________________________________________________
¿Por qué no se han dado a conocer los objetivos?
__________________________________________________________________
¿Considera importante que los conozca el personal?
SI
NO
¿Cómo afecta la operación del área el hecho de que los objetivos no se hayan
dado a conocer o que su conocimiento sea parcial?
__________________________________________________________________
3.3 Adecuados
¿Abarcan los objetivos toda la operación del área?
SI
NO
¿Qué aspectos no se cubren?
__________________________________________________________________
¿Los objetivos son claros y precisos?
SI
NO
¿Son realistas?
SI
NO
¿Se pueden alcanzar?
SI
NO
¿Por qué?
__________________________________________________________________
¿Están de acuerdo con las funciones del área?
SI
NO
¿Señalan cuales son las realizaciones esperadas?
SI
NO
¿Son congruentes con los objetivos institucionales?
SI
NO
¿Sirven de guía al personal?
SI
NO
¿Sirven para motivar al personal?
SI
NO
¿Se han establecido para el corto, mediano y largo plazo? SI
NO
¿Qué adecuaciones puede sugerir para los objetivos actuales?
__________________________________________________________________
3.4 Cumplimiento
¿En qué grado se cumplen los objetivos?
__________________________________________________________________
¿Existen mecanismos para conocer el grado de cumplimiento de los objetivos?
SI
NO
Sí, ¿cuáles?
__________________________________________________________________
71
No, ¿de qué manera se establece el grado de cumplimiento?
__________________________________________________________________
¿Se elabora algún reporte sobre el grado de avance en el cumplimiento de los
objetivos?
SI
NO
¿Para quién y con qué frecuencia (recabar)
__________________________________________________________________
¿Quién elabora este reporte?
__________________________________________________________________
¿Qué se hace en caso de desviación en el cumplimiento de los objetivos?
__________________________________________________________________
¿Qué sugerencia puede hacer para lograr el cumplimiento total de los objetivos?
__________________________________________________________________
3.5 Actualización
¿Se revisan los objetivos?
SI
NO
¿Por sistema?
SI
NO
¿Quién revisa los objetivos?
__________________________________________________________________
¿De qué manera se lleva a cabo la revisión?
__________________________________________________________________
¿Participa el área en la actualización de los objetivos?
SI
NO
¿Cuándo se hizo la última revisión de los objetivos?
__________________________________________________________________
¿De qué manera se incorporan las modificaciones derivadas de las revisiones?
__________________________________________________________________
¿Por qué no se revisan los objetivos?
__________________________________________________________________
¿Que sugerencias tiene para que la actualización de los objetivos sea más eficaz?
__________________________________________________________________
4. Análisis de organizaciones
Dentro de la estructura organizacional de la dirección de informática no
existe una evaluación concreta y aceptada de las funciones de informática. Las
funciones que en una organización son consideradas como de programadores en
otra pueden ser de analista o de analista programador, y en algunas
organizaciones se han dividido ciertas funciones con diferentes niveles; por
ejemplo, programador A, programador B, programador C.
Esto ha dado por resultado, que al no existir una definición clara de los
niveles, funciones y conocimientos se haya tomado para que las personas se
72
designen con el título que ellos consideren pertinente; por ejemplo, ingeniero en
sistemas (sin haber obtenido el grado), analista de sistemas o bien que en algunos
países existan escuelas que confieran grados académicos que no son reconocidos
oficialmente. Al analizar las organizaciones debemos tener muy en cuenta si están
definidas las funciones y la forma de evaluar a las personas que ingresan a los
diferentes niveles de la organización.
Si no existe un organigrama en la organización, el auditor debe elaborar
uno que muestre el actual plan de organización, ya que facilita el estudio y da una
imagen general de la organización.
Criterios para analizar organigramas:
a) Agrupar funciones similares y relacionarlas entre sí.
b) Agrupar funciones que sean compatibles.
c) Localizar la actividad cerca de la función a la que sirva.
d) Localizar la actividad cerca o dentro de la función mejor preparada
para realizarla.
e) No asignar la misma función a dos personas o entidades diferentes.
f) Separar las funciones de control y aquellas que serán objeto del
mismo.
g) Ningún puesto debe tener dos o más líneas de dependencia
jerárquica.
h) El tramo de control no debe ser exagerado, ni muy numerosos los
niveles jerárquicos.
Cuando se estudia la estructura orgánica es importante hacer algunas
anotaciones sobre las tareas asignadas a cada puesto y responder las siguientes
preguntas:
¿Existen líneas de autoridad justificadas? ¿Hay una extralimitación de
funciones? ¿Hay demasiada supervisión de funcionarios? ¿Es excesiva la
supervisión en general? ¿Hay agrupamientos ilógicos en las unidades? ¿Hay
uniformidad en las asignaciones?
6.3 Evaluación de los recursos humanos
Se deberá obtener información sobre la situación del personal del área,
para lo cual se puede utilizar la tabla de recursos humanos y la tabla de
proyección de recursos humanos.
Se presenta un ejemplo de cuestionario para obtener información sobre los
siguientes aspectos:
- Desempeño y comportamiento
- Condiciones de trabajo
- Ambiente
- Organización en el trabajo
- Desarrollo y motivación
- Capacitación
- Supervisión
73
Cuestionario para evaluar los recursos humanos
1. Desempeño y cumplimiento
¿Es suficiente el número de personal para el desarrollo de las funciones del área?
SI
NO
¿Se deja de realizar alguna actividad por falta de personal?
SI
NO
¿Está capacitado el personal para realizar con eficacia sus funciones?
SI
NO
¿Porqué no?
__________________________________________________________________
¿Es eficaz en el cumplimiento de sus funciones?
SI
NO
¿Por qué no?
__________________________________________________________________
¿Es adecuada la calidad del trabajo del personal?
SI
NO
¿Porqué no?
__________________________________________________________________
¿Es frecuente la repetición de los trabajos encomendados?
SI
NO
¿El personal es discreto en el manejo de información confidencial?
SI
NO
NO, repercusiones
__________________________________________________________________
En general, ¿acata el personal las políticas, sistemas y procedimientos
establecidos?
SI
NO
¿Por qué no?
__________________________________________________________________
¿Alguna de las situaciones anteriores provoca un desequilibrio de las cargas de
trabajo?
SI
NO
Si, ¿que se hace al respecto?
__________________________________________________________________
¿Respeta el personal la autoridad establecida?
SI
NO
¿Por qué no?
__________________________________________________________________
74
¿Existe cooperación por parte del personal para la realización del trabajo?
SI
NO
¿Por qué no?
__________________________________________________________________
¿El personal tiene afán de superación?
SI
NO
¿Presenta el personal sugerencias para mejorar el desempeño actual?
SI
NO
¿Cómo considera las sugerencias?
__________________________________________________________________
¿Qué tratamiento se les da?
__________________________________________________________________
¿Se toman en cuenta las sugerencias de los empleados?
SI
NO
¿En qué forma?
__________________________________________________________________
¿Cómo se les da respuesta a las sugerencias?
__________________________________________________________________
2. Capacitación (uno de los puntos que se deben evaluar con más detalle dentro
del área de informática es la capacitación; esto se debe al proceso cambiante y al
desarrollo de nuevas tecnologías en el área).
Los programas de capacitación incluyen al personal de:
Dirección
( )
Análisis
( )
Programación
( )
Operación
( )
Administración
( )
Captura
( )
Otros (especifique) ( )
¿Se han identificado las necesidades actuales y futuras de capacitación del
personal del área?
SI
NO
¿Por qué no?
__________________________________________________________________
¿Se desarrollan programas de capacitación para el personal del área?
SI
NO
¿Por qué?
__________________________________________________________________
¿Apoya la superioridad la realización de estos programas?
SI
NO
¿Se evalúan los resultados de los programas de capacitación?
SI
NO
No, ¿por qué?
__________________________________________________________________
Solicite el plan de capacitación para el presente año.
75
3. Supervisión
¿Cómo se lleva a cabo la supervisión del personal?
__________________________________________________________________
¿Porqué no se realiza?
__________________________________________________________________
¿Cómo se controlan el ausentismo y los retardos del personal?
__________________________________________________________________
¿Por qué no se llevan controles?
__________________________________________________________________
¿Cómo se evalúa el desempeño del personal?
__________________________________________________________________
¿Por qué no se evalúa?
__________________________________________________________________
¿Cuál es la finalidad de la evaluación del personal?
__________________________________________________________________
4. Limitantes
¿Cuáles son los principales factores internos que limitan el desempeño del
personal?
__________________________________________________________________
¿Cuáles son los principales factores externos que limitan el desempeño del
personal del área?
__________________________________________________________________
¿Cuál es el índice de rotación de personal en:
- Análisis
- Operación
- Administración
- Captura
- Programación
- Dirección
- Técnicos
- Otros (especifique)
En términos generales, ¿se adapta el personal al mejoramiento administrativo
(resistencia al cambio)?
SI
NO
¿Cuál es el grado de disciplina del personal?
__________________________________________________________________
¿Cuál es el grado de asistencia y puntualidad del personal?
__________________________________________________________________
76
¿Existe una política uniforme y consistente para sancionar la indisciplina del
personal?
SI
NO
¿Se lleva a efecto esta política?
SI
NO
¿Puede el personal presentar quejas y/o problemas?
SI
NO
Sí, ¿cómo se soluciona?
__________________________________________________________________
¿Otras áreas externas presentan quejas sobre la capacidad y/o atención del
personal del área?
SI
NO
¿Qué tratamiento se les da?
__________________________________________________________________
¿Cómo se otorgan los ascensos, promociones y aumentos salariales?
__________________________________________________________________
¿Cómo se controla las faltas y ausentismos?
__________________________________________________________________
¿Cuáles son las principales causas de faltas y ausentismo?
__________________________________________________________________
5. Condiciones de trabajo (para poder trabajar se requiere que se tenga una
adecuada área de trabajo, con mayor razón en un área donde se debe hacer un
trabajo de investigación e intelectual).
¿Conoce el reglamento interior de trabajo el personal del área?
SI
NO
¿Se apoyan en él para solucionar los conflictos laborales?
SI
NO
No, ¿por qué?
__________________________________________________________________
¿Cómo son las relaciones laborales del área con el sindicato?
__________________________________________________________________
¿Se presentan problemas con frecuencia?
SI
NO
Si ¿en qué aspectos?
__________________________________________________________________
¿Cómo se resuelven?
__________________________________________________________________
6. Remuneraciones (normalmente las personas están inconformes con su
remuneración; es importante evaluar que tan cierta es esta inconformidad o si
está dada por otros malestares pero son señalados como inconformidad en las
remuneraciones, o bien puede deberse a que se desconoce cómo se evalúa a
la persona para poder darle una mejor remuneración).
77
¿Está el personal adecuadamente remunerado con respecto a:
Trabajo desempeñado?
SI
NO
Puestos similares en otras organizaciones?
SI
NO
Puestos similares en otras áreas?
SI
NO
Si, ¿cómo repercute?
__________________________________________________________________
No, ¿cómo repercute?
__________________________________________________________________
Conseguir información sobre los sueldos de los mismos niveles en otras
organizaciones.
Ambiente (el ambiente en el área de informática principalmente en programación
es muy importante para lograr un adecuado desarrollo).
¿El personal está integrado como grupo de trabajo?
SI
NO
No, ¿por qué?
__________________________________________________________________
¿Cuál es el grado de convivencia del personal?
__________________________________________________________________
¿Cómo se aprovecha esto para mejorar el ambiente de trabajo?
__________________________________________________________________
¿Son adecuadas las condiciones ambientales con respecto a:
Espacio del área?
SI
NO
Iluminación?
SI
NO
Ventilación?
SI
NO
Equipo de oficina?
SI
NO
Mobiliario?
SI
NO
Ruido?
SI
NO
Limpieza y/o aseo?
SI
NO
Instalaciones sanitarias?
SI
NO
Instalaciones de comunicación?
SI
NO
7. Organización del trabajo
¿Participa en la selección del personal?
SI
NO
No, ¿Por qué?
__________________________________________________________________
¿Qué repercusiones tiene?
__________________________________________________________________
¿Se prevén las necesidades?
__________________________________________________________________
78
¿En cantidad?
SI
NO
¿En calidad?
SI
NO
No, ¿por qué?
__________________________________________________________________
¿Está prevista la sustitución del personal clave?
__________________________________________________________________
No, ¿Por qué?
__________________________________________________________________
8. Desarrollo y motivación
¿Cómo se lleva a cabo la introducción y el desarrollo del personal del área?
__________________________________________________________________
¿Por qué no se realiza?
__________________________________________________________________
¿Cómo se realiza la motivación del personal del área?
__________________________________________________________________
¿Cómo se estimula y se recompensa al personal del área?
__________________________________________________________________
¿Existe oportunidad de ascensos y promociones?
__________________________________________________________________
¿Qué política hay al respecto?
__________________________________________________________________
6.4 Entrevistas con el personal de informática
Se deberán efectuar entrevistas con el personal de procesamiento de
datos, para lo cual pueden entrevistarse a un grupo de personas elegidas y
señalará además que quienes deseen externar sus opiniones lo podrán hacer en
determinado lugar y hora (en algunos casos es conveniente señalar un número
telefónico para poder hacer la reunión fuera de la dirección de informática y hay
que solicitar que las opiniones sean debidamente fundamentadas).
Ello nos servirá para determinar:
1. Grado de cumplimiento de la estructura organizacional administrativa.
2. Grado de cumplimiento de las políticas y los procedimientos
administrativos.
3. Satisfacción e insatisfacción.
4. Capacitación.
5. Observaciones generales.
79
Guía de entrevista
1. Nombre del puesto
2. Puesto del jefe inmediato
3. Puestos a que reporta
4. Puestos de las personas que reportan al entrevistado
5. Número de personas que reportan al entrevistado
6. Describa brevemente las actividades diarias de su puesto
7. Actividades periódicas
8. Actividades eventuales
9. ¿Con qué manuales cuenta para el desempeño de su puesto?
10. ¿Cuáles políticas se tienen establecidas para el puesto?
11. Señale las lagunas que considere que existen en la organización
12. En caso de que el entrevistado mencione cargas de trabajo, ¿cómo las
establece?
13. ¿Cómo las controla?
14. ¿Cómo se deciden las políticas que han de implantarse?
15. ¿Cómo recibe las instrucciones de los trabajos encomendados?
16. ¿Con qué frecuencia recibe capacitación y de qué tipo?
17. ¿Sobre qué tema le gustaría recibir capacitación?
18. Mencione la capacitación obtenida y dada a su personal durante el último
año
19. Observaciones
NOTA: En caso de que sea una entrevista solicitada por el personal de
informática, tiene que ser confidencial y no podrán solicitarse las preguntas
iniciales. El entrevistado deber hablar abiertamente fundamentando sus opiniones
y comentarios.
6.5 Situación presupuestal y financiera
6.5.1. Presupuestos.
Obtención y análisis de la situación presupuestal del departamento.
Se obtendrá información presupuestal y financiera del departamento, así
como número de equipos y características para hacer un análisis de su situación
desde un punto de vista económico.
1. Costos del departamento, desglosado por áreas y controles.
2. Presupuesto del departamento, desglosado por áreas.
3. Características de los equipos, número de ellos y contratos.
NOTA: Se deberán pedir los costos, presupuestos y características de los
equipos señalados en los puntos 1, 2 y 3 además de contestar el cuestionario.
80
Cuestionarlo para la situación presupuestal
1. Cuál es el gasto total anual aproximado del área de informática incluyendo
venta del equipo y administración del centro de cómputo (gastos directos o
indirectos).
2. ¿Existe un sistema de contabilidad de costos por:
Usuario?
( )
Por aplicación?
( )
3. ¿Conocen los usuarios los costos de sus aplicaciones?
Si( )
NO( )
4. ¿Los reportes de costo permiten la comparación de lo gastado en la dirección
de informática contra lo presupuestado?
SI( )
NO( )
5. Cite a los principales proveedores de su dirección en materia de:
Proveedor
Volumen
Anual
Mobiliario en general
Papelería
Cintas, discos
6. ¿Cuáles cargos adicionales se manejan por separado fuera del contrato?
Utilización del equipo
Servicio de mantenimiento
Capacitación del personal
Asesoría en sistemas de cómputo
Gastos de instalación del equipo
impuestos federales, estatales, municipales y especiales
Seguros de transporte y compra de equipo
Otros especifíquelos
7. ¿Cuál es la situación jurídica del equipo?
1). Compra del equipo
( )
2). Renta del equipo
( )
3). Renta con opción a compra
( )
4). Renta de tiempo máquina
( )
5). Maquila
( )
6). Otro, ¿cuál?
( )
Formulación
¿Quién interviene en la formulación del presupuesto del área?
¿Se respetan los planteamientos presupuéstales del área?
SI
NO
No, ¿en qué partidas no se ha respetado y en qué monto?
81
Adecuación
¿Los recursos financieros con que cuenta el área son suficientes para alcanzar los
objetivos y metas establecidos?
SI
NO
No, ¿qué efectos se han tenido en el área al no contar con suficientes recursos
financieros?
Recursos materiales
Programación
¿Existe un programa sobre los requerimientos del área?
SI
NO
¿Qué personas del área intervienen en su elaboración?
¿Se respetan los planteamientos del área?
SI
NO
No, ¿en qué aspectos no se respetan?
Adecuación
¿Los recursos materiales se le proporcionan al área, son suficientes para cumplir
con las funciones encomendadas?
SI
NO
No, ¿en qué no son suficientes?
¿Los recursos materiales se proporcionan oportunamente?
SI
NO
¿Cuáles son las principales limitaciones que tiene el área en cuanto a los recursos
materiales?
¿Qué sugerencias haría para superar las limitaciones actuales?
Servicios generales
¿Existe un programa sobre los servicios generales que requiere el área?
SI
NO
Los servicios generales que se proporcionan al área, ¿los considera:
Adecuados?
SI
NO
Suficientes?
SI
NO
Oportunos?
SI
NO
En caso de que alguna de las respuestas sea negativa especifique cuál es la
deficiencia
¿Qué sugerencias haría para superar las limitaciones actuales?
Mobiliario y equipo
¿Se cuenta con el equipo y mobiliario adecuados y en cantidad suficiente para
82
desarrollar su trabajo?
SI
NO
¿Por qué?
¿Están adecuadamente distribuidos en el área de trabajo?
¿Actualmente se están dejando de realizar actividades por falta de material y
equipo?
SI
NO
¿Qué se hace para solucionar este problema?
¿Conoce esta situación el jefe de la unidad?
¿Qué medidas se han tomado?
¿Existe el servicio de mantenimiento del equipo?
¿Existen medidas de seguridad?
SI
NO
¿Cuáles?
¿Por qué?
¿Qué se hace con el equipo en desuso?
¿Sobre quién recae la responsabilidad del equipo?
¿Con qué frecuencia se renuevan el equipo y mobiliario?
¿Se recogen opiniones y sugerencias que nos permitan establecer las medidas
correctivas con las cuales lograr un mejor funcionamiento de estos recursos?
83
7
__________________________________________________________________
Evaluación de los sistemas [1; pág. 52-74]
7.1 Evaluación de sistemas
La elaboración de sistemas debe ser evaluada con mucho detalle, para lo
cual se debe revisar si existen realmente sistemas entrelazados como un todo o
bien si existen programas aislados. Otro de los factores a evaluar es si existe un
plan estratégico para la elaboración de los sistemas o si se están elaborando sin el
adecuado señalamiento de prioridades y de objetivos.
El plan estratégico deberá establecer los servicios que se prestarán en un
futuro contestando preguntas como las siguientes:
a) ¿Cuáles servicios se implementarán?
b) ¿Cuándo se pondrán a disposición de los usuarios?
c) ¿Qué características tendrán?
d) ¿Cuántos recursos se requerirán?
La estrategia de desarrollo deberá establecer las nuevas aplicaciones y
recursos que proporcionará la dirección de informática y la arquitectura en que
estarán fundamentados.
- ¿Qué aplicaciones serán desarrolladas y cuándo?
- ¿Qué tipo de archivos se desarrollarán y cuándo?
- ¿Qué bases de datos serán desarrolladas y cuándo?
- ¿Qué lenguajes se utilizarán y en qué software?
- ¿Qué tecnología será utilizada y cuándo se implementará?
- ¿Cuántos recursos se requerirán aproximadamente?
- ¿Cuál es aproximadamente el monto de la inversión en hardware y
software?
En lo referente a la consulta a los usuarios, el plan estratégico debe definir
los requerimientos de información de la organización.
- ¿Qué estudios van a ser realizados al respecto?
- ¿Qué metodología se utilizará para dichos estudios?
- ¿Quién administrará y realizará estos estudios?
84
En el área de auditoria interna debe evaluarse cuál ha sido la participación
del auditor y los controles establecidos.
Por último, el plan estratégico determina la planeación de los recursos.
- ¿Contempla el plan estratégico las ventajas de la nueva tecnología?
- ¿Cuáles serán los conocimientos requeridos por los recursos humanos
planeados?
- ¿Se contemplan en la estructura organizacional los nuevos niveles
jerárquicos requeridos por el plan estratégico?
- ¿Cuál es la inversión requerida en servicios, desarrollo y consulta a los
usuarios?
El proceso de planeación de sistemas deberá asegurarse de que todos los
recursos requeridos estén claramente identificados en el plan de desarrollo de
aplicaciones y datos. Estos recursos (hardware, software y comunicaciones)
deberán ser compatibles con la estrategia de la arquitectura de la tecnología, con
que se cuenta actualmente.
Para identificar los problemas de los sistemas primero debemos detectar
los síntomas, los cuales son un reflejo del área problemática; y después de
analizar los síntomas podremos definir y detectar las causas, parte medular de la
auditoría.
Debemos aprender a reunir todos los síntomas y a distinguirlos antes de
señalar las causas, evitando tomar los síntomas como causas y dejando fuera
todo lo que es rumores sin fundamento.
Los sistemas debemos evaluarlos de acuerdo con el ciclo de vida que
normalmente siguen:
1) requerimientos del usuario,
2) estudio de factibilidad,
3) diseño general,
4) análisis,
5) diseño lógico,
6) desarrollo físico,
7) pruebas,
8) implementación,
9) evaluación,
10) modificaciones,
11) instalación,
12) mejoras.
Y se vuelve nuevamente al ciclo inicial, el cual a su vez debe comenzar con
el de factibilidad.
La primera etapa a evaluar del sistema es el estudio de factibilidad, el cual
debe analizar si el sistema es susceptible de realizarse, cuál es su relación
costo/beneficio y si es conductualmente favorable.
Se deberá solicitar el estudio de factibilidad de los diferentes sistemas que
se encuentren en operación, así como los que estén en la fase de análisis para
evaluar si se considera la disponibilidad y características del equipo, los sistemas
operativos y lenguajes disponibles, las necesidades de los usuarios, las formas de
utilización de los sistemas, el costo y los beneficios que reportará el sistema, el
85
efecto que producirá en quienes lo usarán y el efecto que éstos tendrán sobre el
sistema, y la congruencia de los diferentes sistemas.
En el caso de sistemas que estén funcionando, se deberá comprobar si
existe el estudio de factibilidad con los puntos señalados, y comparará con la
realidad lo especificado en el estudio de factibilidad.
Por ejemplo, en un sistema que el estudio de factibilidad señaló
determinado costo y una serie de beneficios de acuerdo con las necesidades del
usuario, debemos comparar cuál fue su costo real y evaluar si se satisficieron las
necesidades indicadas como beneficios del sistema.
Para investigar el costo de un sistema se debe considerar, con una
exactitud razonable, el costo de los programas, el uso de los equipos
(compilaciones, programas, pruebas, paralelos), tiempo, personal y operación,
cosa que en la práctica son costos directos, indirectos y de operación.
Los beneficios que justifiquen el desarrollo de un sistema pueden ser el
ahorro en los costos de operación, la reducción del tiempo de proceso de un
sistema, mayor exactitud, mejor servicio, una mejoría en los procedimientos de
control, mayor confiabilidad y seguridad.
Entre los problemas mas comunes en los sistemas están los siguientes
1. Falta de estándares en el desarrollo, en el análisis y la programación.
2. Falta de participación y de revisión por parte de la alta gerencia.
3. Falta de participación de los usuarios.
4. Inadecuada especificación del sistema al momento de hacer el diseño
detallado.
5. Deficiente análisis costo/beneficio.
6. Nueva tecnología no usada o usada incorrectamente.
7. Inexperiencia por parte del personal de análisis y del de programación.
8. Diseño deficiente.
9. Proyección pobre de la forma en que se realizará el sistema.
10. Control débil o falta de control sobre las fases de elaboración del
sistema y sobre el sistema en sí.
11. Problemas de auditoría.
12. Inadecuados procedimientos de seguridad, de recuperación y de
archivos.
13. Falta de integración de los sistemas (elaboración de sistemas aislados
programas que no están unidos como sistemas).
14. Documentación inadecuada o inexistente.
15. Dificultad de dar mantenimiento al sistema, principalmente por falta de
documentación o excesivos cambios y modificaciones hechos al sistema.
16. Problemas en la conversión e implementación.
17. Procedimientos incorrectos o no autorizados.
7.2 Evaluación del análisis
En esta etapa se evaluarán las políticas, procedimientos y normas que se
86
tienen para llevar a cabo el análisis
Se deberá evaluar la planeación de las aplicaciones que pueden provenir
de tres fuentes principales.
1. La planeación estratégica: agrupadas las aplicaciones en conjuntos
relacionados entre si y no como programas aislados. Las aplicaciones
deben comprender todos los sistemas que puedan ser desarrollados en
la organización, independientemente de los recursos que impliquen su
desarrollo y justificación en el momento de la planeación.
2. Los requerimientos de los usuarios.
3. El inventario de sistemas en proceso al recopilar la información de los
cambios que han sido solicitados, sin importar si se efectuaron o se
registraron.
La situación de una aplicación en dicho inventario puede ser alguna de las
siguientes
a) Planeada para ser desarrollada en el futuro.
b) En desarrollo.
c) En proceso, pero con modificaciones en desarrollo.
d) En proceso con problemas detectados.
e) En proceso sin problemas.
f) En proceso esporádicamente.
NOTA: Se deberá documentar detalladamente la fuente que generó la
necesidad de la aplicación. La primera parte será evaluar la forma en que se
encuentran especificadas las políticas, los procedimientos y los estándares de
análisis, si es que se cumplen y si son los adecuados para la organización.
Es importante revisar la situación en que se encuentran los manuales de
análisis y si están acordes con las necesidades de la organización. En algunas
ocasiones se tiene una microcomputadora, con sistemas sumamente sencillos y
se solicita que se lleve a cabo una serie de análisis que después hay que plasmar
en documentos señalados en los estándares, lo cual hace que esta fase sea muy
compleja y costosa. Los sistemas y su documentación deben estar acordes con
las características y necesidades de una organización específica.
Se debe evaluar la obtención de datos sobre la operación, flujo, nivel,
jerarquía de la información que se tendrá a través del sistema, así como sus
límites e interfases con otros sistemas. Se han de comparar los objetivos de los
sistemas desarrollados con las operaciones actuales, para ver si el estudio de la
ejecución deseada corresponde al actual.
La auditoría en informática debe evaluar los documentos y registros usados
en la elaboración del sistema, así como todas las salidas y reportes, la descripción
de las actividades de flujo de la información y de procedimientos, los archivos
almacenados, su uso y su relación con otros archivos y sistemas, su frecuencia de
acceso, su conservación, su seguridad y control, la documentación propuesta, las
entradas y salidas del sistema y los documentos fuentes a usarse.
87
Con la información obtenida podremos contestar a las siguientes preguntas:
1. ¿Se está ejecutando en forma correcta y eficiente el proceso de información?
2. ¿Puede ser simplificado para mejorar su aprovechamiento?
3. ¿Se debe tener una mayor interacción con otros sistemas?
4. ¿Se tiene propuesto un adecuado control y seguridad sobre el sistema?
5. ¿Está en el análisis la documentación adecuada?
7.3 Evaluación del diseño lógico del sistema
En esta etapa se deberán analizar las especificaciones del sistema.
¿Qué deberá hacer?, ¿Cómo lo deberá hacer?, secuencia y ocurrencia de
los datos, el proceso y la salida de reportes
Una vez que hemos analizado estas partes, se deberá estudiar la
participación que tuvo el usuario en la identificación del nuevo sistema, la
participación de auditoría interna en el diseño de los controles y la determinación
de los procedimientos de operación y decisión.
Al tener el análisis del diseño lógico del sistema debemos compararlo con lo
que realmente se está obteniendo: como en el caso de la administración en la cual
debemos evaluar lo planeado, cómo fue planeado y lo que realmente se está
obteniendo.
Los puntos a evaluar son:
a) Entradas
b) Salidas
c) Procesos
d) Especificaciones de datos
e) Especificaciones de proceso
f) Métodos de acceso
g) Operaciones
h) Manipulación de datos (antes y después del proceso electrónico de
datos)
i) Proceso lógico necesario para producir informes identificación de
archivos, tamaño de los campos y registros Proceso en línea o lote y su
justificación
j) Frecuencia y volúmenes de operación
k) Sistemas de seguridad
I) Sistemas de control
m) Responsables
n) Número de usuarios
Dentro del estudio de los sistemas en uso se deberá solicitar:
1) Manual del usuario
2) Descripción de flujo de información
3) Descripción y distribución de información
88
4) Manual deformas
5) Manual de reportes
6) Lista de archivos y especificación
Lo que debemos determinar en el sistema:
• En el procedimiento:
¿Quién hace, cuándo y cómo?
¿Qué formas se utilizan en el sistema?
¿Son necesarias, se usan, están duplicadas?
¿El número de copias es el adecuado?
¿Existen puntos de control o faltan?
• En la gráfica de flujo de información:
¿Es fácil de usar?
¿Es lógica?
¿Se encontraron lagunas?
¿Hay faltas de control?
• En las formas de diseño:
¿Cómo está usada la forma en el sistema?
¿Qué tan bien se ajusta la forma al procedimiento?
¿Cuál es el propósito, por qué se usa?
¿Se usa y es necesaria?
¿El número de copias es el adecuado?
¿Quién lo usa?
Lo que debemos revisar en las formas de diseño:
Numeración.
¿Está numerada la forma?
¿Es necesaria su numeración?
¿Está situada en un solo lugar fácil de encontrar?
¿Cómo se controlan las hojas numeradas y su utilización?
Título.
¿Da el título de la forma una idea clara sobre su función básica?
Espacio.
Si la forma está mecanografiada:
¿hay suficiente espacio para escribir con máquina rápidamente, con
exactitud y eficiencia?
Si la forma se llena a mano:
¿hay el espacio adecuado para que se escriba en forma legible?
Tabulación.
Si la forma está mecanografiada:
¿permite su tabulación llenarla uniformemente?
¿Es la tabulación la mínima posible?
89
Una excesiva tabulación disminuye la velocidad y eficiencia para llenarla.
Además le da una apariencia desigual y confusa.
Zonas.
¿Están juntos los datos relacionados entre sí?
Si los datos similares están agrupados por zonas, todas las personas que
usan la forma ahorran tiempo. La información similar reunida por zonas, hace más
fácil su referencia, se mecanografía más eficientemente y se revisa con más
rapidez. Posteriormente se debe verificar que las zonas de las formas que sean
utilizadas para captura estén situadas de manera congruente con el diseño de las
pantallas de captura.
Rayado.
¿Da la forma una apariencia desordenada y difícil de entender por el uso
confuso y excesivo de líneas delgadas, gruesas o de doble raya?
Instrucciones.
¿Le dice la forma al usuario cómo debe llenarla?
Formas autoinstructivas o que suministran la información de cómo llenarlas
permiten que el personal nuevo y los otros trabajen con supervisión y errores
mínimos. De no ser así existe un manual de llenado de formas, se debe revisar si
las instrucciones son claras, si son congruentes con la forma y si son excesivas,
ya que un diseño excesivo de instrucciones pueda provocar confusión y hacer que
sea poco clara.
Firmas.
¿Existe suficiente espacio para una firma legible?
¿Está el espacio debidamente identificado respecto a la firma que necesita?
¿La firma se utiliza como un mero tramite o realmente controla la persona
que firma lo que se está firmando?
Nombres.
¿Usa la forma los nombres de los puestos, en lugar del nombre del
individuo?
No es conveniente imprimir nombres de personas debido a la rotación de
personal.
Encabezados ambiguos.
¿Se indica con exactitud qué fechas, qué números, o qué firmas se
requieren? Se deben evitar encabezados dudosos o ambiguos.
Rótulos.
¿Son demasiados llamativos?
¿Son demasiado discretos?
¿Existe un adecuado contraste entre los rótulos y los textos respecto a su
tamaño, color y ubicación para que los datos solicitados sean identificados
fácilmente?
Ubicación de los rótulos.
¿Están los rótulos o encabezados debajo de la línea en donde se debe
mecanografiar?
Esto causa pérdida de tiempo, porque la mecanógrafa tiene que mover el
carro para ver el rótulo y acomodarlo nuevamente para escribir la información
deseada.
90
Casilleros.
¿Se usan pequeños espacios enmarcados ( ) para con una sola indicación
reducir escritos largos o repetitivos?,
¿Los espacios son suficientes o excesivos?
Tipo de papel.
¿Son el peso y calidad del papel apropiado para esa forma?
Use papel más pesado y de mejor calidad para aquellas formas que
requieren un manejo excesivo. Use papel de menor peso con formas que se usen
poco, para reducir costo y espacio en los archivos.
Tamaños estándar.
¿Tiene la forma un tamaño estándar?
El tamaño estándar se ajusta a sobres y archivos estándar. Además reduce
existencias de papel, manejo y tiempo y costo de impresión. Se debe considerar
que el costo del papel que no es de tamaño estándar es considerablemente mayor
que el de tamaño estándar.
Color.
¿Permite el contraste del color del papel una lectura eficiente?
Las formas en colores como el anaranjado, el verde, el azul, el gris, etc., en
tonos obscuros, son difíciles de leer porque no ofrecen suficiente contraste entre la
impresión (NEGRO) y el papel. Ciertos colores brillantes cansan la vista. Se debe
tener cuidado tanto en el color del papel como en el color de la tinta. Las copias
deben estar identificadas de acuerdo con el color.
Análisis de informes
Una vez que se ha estudiado los formatos de entrada debemos analizar los
informes para posteriormente evaluarlos con la información proporcionada por la
encuesta a los usuarios. Después de describir el contenido de los informes se
debe tener el análisis de datos e información.
Ruido, redundancia, Entropía
En la auditoría de sistemas hay que estudiar la redundancia, el ruido y la
entropía que tiene cada uno de los sistemas.
En primer lugar, debemos considerar como comunicación "La transferencia
de información del emisor al receptor de manera que éste la comprenda",
Koontz/O'Donnell/ Weihrich; Administración, Mc Graw Hill.
El ruido es todo aquello que interfiere en una adecuada comunicación; no
solamente los sonidos sino todo aquello que impida la adecuada comunicación, y
Koontz/O'Donnell/WeiHrich definen el ruido como "Cualquier cosa (sea en el
emisor, en la transmisión o en el receptor) que obstaculiza la comunicación"; así,
por ejemplo; si una persona se encuentra jugando, sin hacer necesariamente
algún sonido, en el momento que otra esté hablando, se considera como tipo de
ruido para el sistema.
En el caso de un sistema computarizado el error en la captura, una pantalla
de la terminal demasiado llena de información y poco entendible o un reporte
91
inadecuado se deben considerar como ruido en el sistema, ya que impide una
buena comunicación de la información.
La redundancia es toda aquella duplicidad que tiene el sistema con la
finalidad de que, en caso de que exista ruido, esta redundancia permita que la
información llegue al receptor en forma adecuada.
Podemos enviar un mensaje de la forma siguiente: Llegó por avión el día
martes 31 de octubre de 1988 del presente año, a las 16:00 hrs. de la tarde a la
ciudad de Cancún, Quintana Roo, México.
En el mensaje anterior tenemos excesiva redundancia debido a que el 31
de octubre de 1988 es martes y si estamos en 1988 es del presente año. Las
16:00 hrs. siempre es de la tarde y la ciudad de Cancún está sólo en el estado de
Quintana Roo, México. Y en cambio puede ser incompleta ya que no especifica la
línea aérea ni el vuelo en que llegará.
La redundancia anterior puede ser conveniente en el caso de que se
necesiten cerciorarse de que la información se recibe correctamente y esto estará
en función de lo delicado que sea la información y del riesgo que se corre en caso
de una pérdida total o parcial de la misma.
Un ejemplo de redundancia dentro de las máquinas es el bit de paridad, el
cual permite que en caso de pérdida de un bit, se pueda recuperar la información
que contiene el byte.
La redundancia es una forma de control que permite que, si existe ruido, la
comunicación pueda llevarse a cabo en forma eficiente, y deberá haber mayor
redundancia entre más arriesgada, costosa o peligrosa sea la pérdida de
información; pero a su vez debemos estar conscientes que el exceso de
redundancia puede provocar ruido. Esto se da, por ejemplo, en el caso de que un
profesor desee ser tan claro que se dedique a dar demasiados ejemplos; puede
provocar ruido en el sentido que llegue a confundir o aburrir a sus alumnos y el
número excesivo de ejemplos impida una adecuada comunicación.
En la auditoría se debe considerar que todo sistema ha de ofrecer un
número adecuado de redundancia según su nivel de importancia, de modo que
permita una buena comunicación aun en el caso de que exista ruido, pero sin ser
la redundancia de tal magnitud que a su vez provoque ruido.
También debemos considerar que con un mayor control y redundancia, se
incrementa también el costo de los sistemas. Hay que tener un adecuado nivel de
control y redundancia que no sea de tal magnitud que provoque ruido o bien que
no sea demasiado costoso en relación con el nivel de seguridad que requiere el
sistema.
Entropía
El diccionario la define como: "Cantidad de energía que por su degradación
no puede aprovecharse", Nuevo Diccionario Español Ilustrado SOPENA.
La entropía en un sistema, por ejemplo de un motor, es el calor que genera,
el cual es energía que por sus características no puede aprovecharse. En el caso
del sistema llamado motor se utiliza esta entropía; por ejemplo, en la calefacción
del automóvil o bien para calentar el aire y la gasolina que entra al motor (en el
92
caso de motores turbo).
En un sistema computarizado debemos procurar reducir al máximo esta
entropía, y una de las formas de reducirla es interconectar sistemas, en tal forma
que esa cantidad de energía no usada en un sistema pueda ser utilizada en otro
sistema. Por ejemplo, al capturar el catálogo de clientes para el sistema de
cobranzas, con un poco de información adicional lo podemos utilizar en
contabilidad.
Matriz de recepción y distribución de documentos
Una forma objetiva de evaluar la información que se encuentra en un
sistema es emplear la matriz de recepción y distribución de documentos, en la cual
se define de modo gráfico la distribución de documentos y los resultados
obtenidos en un proceso.
Matriz de entrada/salida
Otra forma de analizar la información es recurrir al impacto de los datos en
entrada/salida, la cual puede ser establecida por medio de la matriz de
entrada/salida en que se ve en forma objetiva cómo la información está dentro del
sistema y puede detectar la redundancia, analizar información faltante y optimizar
los reportes que se obtienen.
La matriz de entrada/salida puede, por ejemplo darnos la imagen de los
reportes que con pequeñas diferencias son iguales (redundantes), de la
información que puede pedir el usuario pero que no es posible proporcionar
debido a que no se capturó, de los datos que son capturados pero que no se
utilizan, así como los posibles reportes adicionales que se pueden obtener si el
usuario llegase a solicitarlos.
Esta matriz es muy importante en el caso de que tengamos un programa
generadores de reportes en el que los usuarios elaboran directamente sus
reportes, ya que se pueden hacer reportes en forma indiscriminada provocando
duplicidad y "reportitis" (tendencia a generar reportes sin tener una adecuada
justificación) o bien informes que deben ser obtenidos por medio de pantallas para
no utilizar papel y para una forma más adecuada de utilización.
7.4 Evaluación del desarrollo del sistema
En esta etapa del sistema se deberán auditar los programas, su diseño, el
lenguaje utilizado, interconexión entre los programas y características del
hardware empleado (total o parcial) para el desarrollo del sistema.
Como se analizó en la auditoria de los programas, es conveniente hacer la
evaluación cuando el sistema ya se implementó y se encuentra trabajando
correctamente.
Al evaluar un sistema de información se tendrá presente que todo sistema
debe proporcionar información para planear, organizar y controlar de manera
93
eficaz y oportuna, para reducir la duplicidad de datos y de reportes y obtener una
mayor seguridad en la forma más económica posible. De ese modo contará con
los mejores elementos para una adecuada toma de decisiones.
Al tener un proceso distribuido, es preciso considerar la seguridad del
movimiento de la información entre nodos. El proceso de planeación de sistemas
debe definir la red óptima de comunicaciones, recordando que el plan de
aplicaciones proporciona información de la ubicación planeada de las terminales,
los tipos de mensajes requeridos, el tráfico esperado en las líneas de
comunicación y otros factores que afectan el diseño.
Es importante considerar las variables que afectan a un sistema: ubicación
en los niveles de la organización, el tamaño y los recursos que utiliza. Las
características que deben evaluarse en los sistemas son:
• Dinámicos (susceptibles de mortificarse).
• Estructurados (las interacciones de sus componentes o subsistemas
deben actuar como un todo).
• Integrados (un sólo objetivo). En él habrá sistemas que puedan ser
interrelacionados y no programas aislados.
• Accesibles (que estén disponibles).
• Necesarios (que se pruebe su utilización).
• Comprensibles (que contengan todos los atributos).
• Oportunos (que esté la información en el momento que se requiere).
• Funcionales (que proporcionen la información adecuada a cada nivel).
• Estándar (que la información tenga la misma interpretación en los distintos
niveles).
• Modulares (facilidad para ser expandidos o reducidos).
• Jerárquicos (por niveles funcionales).
• Seguros (que sólo las personas autorizadas tengan acceso).
• Únicos (que no duplique información).
7.5 Control de proyectos
Debido a las características propias del análisis y la programación, es muy
frecuente que la implantación de los sistemas se retrase y se llegue a suceder que
una persona lleva trabajando varios años dentro de un sistema o bien que se
presenten irregularidades en las que los programadores se ponen a realizar
actividades ajenas a la dirección de informática. Para poder controlar el avance de
los sistemas, ya que ésta es una actividad intelectual de difícil evaluación, se
recomienda que se utilice la técnica de administración por proyectos para su
adecuado control.
¿Qué significa que un sistema sea liberado en el plazo establecido y dentro
del presupuesto? Pues sencillamente que el grado de control en el desarrollo del
mismo es el adecuado o tal vez el óptimo. Pero esto no se consigue gratuitamente
o porque la experiencia o calidad del personal de desarrollo sea alta, sino porque
existe un grado de control durante su desarrollo que le permite obtener esta
cualidad. Cabe preguntar aquí: ¿quién es el elemento adecuado para proporcionar
94
este grado de control?
Para poder tener una buena administración por proyectos se requiere que
el analista o el programador y su jefe inmediato elaboren un plan de trabajo en el
cual se especifiquen actividades, metas, personal participante y tiempos. Este plan
debe ser revisado periódicamente (semanal, mensual o bimestralmente) para
evaluar el avance respecto a lo programado.
La estructura estándar de la planeación de proyectos deberá incluir la
facilidad de asignar fechas predefinidas de terminación de cada tarea. Dentro de
estas fechas debe estar el calendario de reuniones de revisión, las cuales tendrán
diferentes niveles de detalle. Son necesarias las reuniones a nivel técnico que
requieran la participación del personal especializado de la dirección de informática
para definir la factibilidad de la solución y los resultados planeados. Son muy
importantes las reuniones con los usuarios finales, para verificar la validez de los
resultados esperados y, finalmente, se deben planear.
La evaluación de proyectos y su control puede realizarse de acuerdo con
diferentes autores y a manera de ejemplo presentamos el siguiente.
Cuestionario para la evaluación de proyectos,
¿Existe una lista de proyectos de sistema de procesamiento de información
y fechas programadas de implantación que puedan ser considerados como plan
maestro?
¿Está relacionado el plan maestro con un plan general de desarrollo de la
dependencia?
¿Ofrece el plan maestro la atención de solicitud?
¿Asigna el plan maestro un porcentaje del tiempo total de producción al
reproceso o fallas de equipo?
Poner la lista de proyectos a corto plazo y a largo plazo.
Poner una lista de sistemas en proceso periodicidad y usuarios. ¿Quién
autoriza los proyectos?
¿Cómo se asignan los recursos?
¿Cómo se estiman los tiempos de duración?
¿Quién interviene en la planeación de los proyectos?
¿Cómo se calcula el presupuesto del proyecto?
¿Qué técnicas se usan en el control de los proyectos?
¿Quién asigna las prioridades?
¿Cómo se asignan las prioridades?
¿Cómo se controla el avance del proyecto?
¿Con qué periodicidad se revisa el reporte de avance del proyecto?
¿Cómo se estima el rendimiento del personal?
¿Con que frecuencia se estiman los costos del proyecto para compararlo
con lo presupuestado?
¿Qué acciones correctivas se toman en caso de desviaciones?
¿Qué pasos y técnicas siguen en la planeación y control de los proyectos?
Enumérelos secuencialmente.
( ) Determinación de los objetivos.
( ) Señalamiento de las políticas.
95
(
(
(
(
(
(
(
(
) Designación del funcionario responsable del proyecto.
) Integración del grupo de trabajo.
) Integración de un comité de decisiones.
) Desarrollo de la investigación.
) Documentación de la investigación.
) Factibilidad de los sistemas.
) Análisis y valuación de propuestas.
) Selección de equipos.
¿Se llevan a cabo revisiones periódicas de los sistemas para determinar si
aún cumplen con los objetivos para los cuales fueron diseñados?
De análisis
SI
NO
De programación
SI
NO
Observaciones
Incluir el plazo estimado de acuerdo con los proyectos que se tienen en que
el departamento de informática podría satisfacer las necesidades de la
dependencia, según la situación actual.
Como ejemplo de formato de control de proyectos véase en el anexo 3, del
calendario de actividades véanse los anexos 4 y 5, del reporte de los responsables
del sistema, véase el anexo 6, del control de programadores, véanse los anexos 7
y 8, de planeación de la programación, véanse los anexos 9 y 10, de los informes
de avance de programación, véase el anexo 11, de control de avance de
programación véanse los anexos 12, 13 y 14.
7.6 Control de diseño de sistemas de programación
El objetivo es asegurarse de que el sistema funcione conforme a las
especificaciones funcionales, a fin de que el usuario tenga la suficiente
información para su manejo, operación y aceptación.
Las revisiones se efectúan en forma paralela desde el análisis hasta la
programación y sus objetivos son los siguientes:
En la etapa de análisis. Identificar inexactitudes, ambigüedades y
omisiones en las especificaciones.
En la etapa de diseño. Descubrir errores, debilidades, omisiones
antes de iniciar la codificación.
En la etapa de programación. Buscar la claridad, modularidad y
verificar con base en las especificaciones.
Esta actividad es muy importante ya que el costo de corregir errores es
directamente proporcional al momento que se detectan: si se descubren en el
momento de programación será más alto el costo que si se detectan en la etapa
de análisis.
Las pruebas del sistema tratan de garantizar que se cumplan los requisitos
de las especificaciones funcionales, verificando datos estadísticos, transacciones,
reportes, archivos, anotando las fallas que pudieran ocurrir y realizando los ajustes
necesarios. Los niveles de prueba pueden ser agrupados en módulos, programas
96
y sistema total.
Esta función tiene una gran importancia en el ciclo de evaluación de
aplicaciones de los sistemas de información y busca comprobar que la aplicación
cumple las especificaciones del usuario, que se haya desarrollado dentro de lo
presupuestado, que tenga los controles necesarios y que efectivamente cumpla
con los objetivos y beneficios esperados.
Un cambio hecho a un sistema existente, como la creación de uno nuevo,
presupone necesariamente cambios en la forma de obtener la información y un
costo adicional. Ambos deberán ser evaluados.
Se debe evaluar el cambio (si lo hay) de la forma en que se ejecutan las
operaciones, se comprueba si mejora la exactitud de la información generada, si la
obtención de los reportes efectivamente reduce el tiempo de entrega o si es más
completa. Se determina cuánto afecta las actividades del personal usuario o si
aumenta o disminuye el personal de la organización, as¡ como los cambios entre
las interacciones entre los miembros de la organización. A fin de saber si aumenta
o disminuye el esfuerzo realizado y su relación costo/beneficio para generar la
información destinada a la toma de decisiones, con objeto de estar en condiciones
de determinar la productividad y calidad del sistema.
El analista deberá proporcionar la descripción del funcionamiento del
sistema funcional desde el punto de vista del usuario, indicando todas las
interrelaciones del sistema, la descripción lógica de cada dato, las estructuras que
esto forman, el flujo de información que tiene lugar en el sistema. Lo que el
sistema tomara como entrada, los procesos que será realizados, las salidas que
deberá proporcionar, los controles que se efectuarán para cada variable y los
procedimientos.
Cuestionarios para la evaluación del diseño y prueba de los sistemas
¿Quienes intervienen al diseñar
Usuario.
Analista.
Programadores operadores.
Gerente de departamento.
Auditores internos. Asesores.
Otros.
Los analistas son también programadores?
SI( )
NO( )
¿Qué lenguaje o lenguajes conocen los analistas?
¿Cuántos analistas hay y qué experiencia tienen?
¿Qué lenguaje conocen los programadores?
¿Cómo se controla el trabajo de los analistas?
¿Cómo se controla el trabajo de los programadores?
Indique qué pasos siguen los programadores en el desarrollo de un
programa:
( ) Estudio de la definición
( ) Discusión con el analista
( ) Diagrama de bloques
97
( ) Tabla de decisiones
( ) Prueba de escritorio
( ) Codificación
( ) Compilación
( ) Elaborar datos de prueba
( ) Solicitar datos al analista
( ) Correr programas con datos
( ) Revisión de resultados
( ) Corrección del programa
( ) Documentar el programa
( ) Someter resultados de prueba
( ) Entrega del programa
¿Es enviado a captura o los programadores capturan?
¿Quién los captura?
¿Qué documentación acompaña al programa cuando se entrega?
Es muy frecuente que el programador no libere un sistema, esto es, que
continúe dándole mantenimiento al sistema y sea el único que lo conozca. Ello
puede deberse a amistad con el usuario, falta de documentación, mal análisis
preliminar del sistema, resistencia a cambiar a otro proyecto o bien a una situación
que es muy grave dentro del área de informática: la aplicación de "indispensables"
que son los únicos que tienen la información y, por lo tanto, son inamovibles.
¿Qué sucede respecto al mantenimiento o modificación de un sistema
cuando el sistema no ha sido bien desarrollado (analizado, diseñado, programado,
probado) e instalado? La respuesta es sencilla: necesitará cambios frecuentes por
omisiones o nuevos requerimientos.
En el caso de sistemas, muchas organizaciones están gastando cerca del
80% de sus recursos de cómputo en mantenimiento.
El mantenimiento excesivo es consecuencia de falta de planeación y control
del desarrollo de sistemas; la planeación debe contemplar los recursos disponibles
y técnicas apropiadas de desarrollo.
El control por su parte debe tener como soporte el establecimiento de
normas de desarrollo que han de ser verificadas continuamente en todas las
etapas del desarrollo de un sistema. Estas normas no pueden estar aisladas,
primero, del contexto particular de la dirección de informática (ambiente) y,
segundo, de los lineamientos generales de la organización, para lo cual es
necesario contar con personal en desarrollo que posea suficiente experiencia en el
establecimiento de normas de desarrollo de sistemas. Estas mismas
características deben existir en el personal de auditoría de sistemas.
Es poco improbable que un proyecto llegue a un final feliz cuando se ha
iniciado sin éxito. Difícilmente estaremos controlando realmente el flujo de la
información de un sistema que desde su inicio ha sido mal analizado, mal
diseñado, mal programado e incluso mal documentado.
El excesivo mantenimiento de los sistemas generalmente ocasionado por
un mal desarrollo, se inicia desde que el usuario establece sus requerimientos (en
ocasiones sin saber qué desea) hasta la instalación del mismo, sin que se haya
establecido un plan de prueba del sistema para medir su grado de contabilidad en
98
la operación que efectuará.
Para verificar si existe esta situación, se debe pedir a los analistas y a los
programadores las actividades que están desarrollando en el momento de la
auditoría y evaluar si están efectuando actividades de mantenimiento o de
realización de nuevos proyectos. En ambos casos se deberá evaluar el tiempo que
llevan dentro del mismo sistema, la prioridad que se le asignó y cómo está en el
tiempo real en relación al tiempo estimado en el plan maestro.
El que los analistas, los programadores o unos y otros tengan acceso en
todo momento a los sistemas en operación puede ser un grave problema y
ocasionar fallas de seguridad.
7.7 Instructivos de operación
Debemos evaluar los instructivos de operación de los sistemas para evitar
que los programadores tengan acceso a los sistemas en operación y el contenido
mínimo de los instructivos de operación.
El instructivo de operación deberá comprender:
Diagrama de flujo por cada programa.
- Diagrama particular de entrada-salida
- Mensaje y su explicación
- Parámetros y su explicación
- Diseño de impresión de resultados
- Cifras de control
- Fórmulas de verificación
- Observaciones
- instrucciones en caso de error
- Calendario de proceso y resultados
7.8 Forma de implantación
La finalidad de evaluar los trabajos que se realizan para iniciar la operación
de un sistema, esto es, la prueba integral del sistema, adecuación, aceptación por
parte del usuario, entrenamiento de los responsables del sistema, etc.
Indica cuáles puntos se toman en cuenta para la prueba de un sistema:
Prueba particular de cada programa
Prueba por fase validación, actualización
Prueba integral del paralelo
Prueba en paralelo sistema
Otro (especificar)
(
(
(
(
(
)
)
)
)
)
99
7.9 Equipo y facilidades de programación
La selección de la configuración de un sistema de cómputo incluye la
interacción de numerosas y complejas decisiones de carácter técnico. El impacto
en el rendimiento de un sistema de cómputo debido a cambios trascendentales en
el sistema operativo o en el equipo puede ser determinado por medio de un
paquete de pruebas (benchamark) que haya sido elaborado para este fin en la
dirección de informática. Es conveniente solicitar pruebas y comparaciones entre
equipos (benchamark) para evaluar la situación del equipo y del software en
relación a otros que se encuentran en el mercado.
7.10 Entrevistas a usuarios
La entrevista se deberá llevar a cabo para comparar datos proporcionados
y la situación de la dirección de informática desde el punto de vistas de los
usuarios.
Su objeto es conocer la opinión que tienen los usuarios sobre los servicios
proporcionados, así como la difusión de las aplicaciones de la computadora y de
los sistemas en operación.
Las entrevistas se deberán hacer, en caso de ser posible, a todos los
usuarios o bien en forma aleatoria a algunos de los usuarios, tanto de los más
importantes como de los de menor importancia, en cuanto al uso del equipo.
Desde el punto de vista del usuario los sistemas deben:
1) Cumplir con los requerimientos totales del usuario.
2) Cubrir todos los controles necesarios.
3) No exceder las estimaciones del presupuesto inicial.
4) Serán fácilmente modificables.
Para que un sistema cumpla con los requerimientos del usuario, se necesita
una comunicación completa entre usuario y el responsable del desarrollo del
sistema; en ella se deben definir claramente los elementos con que cuenta el
usuario, las necesidades de proceso de información y los requerimientos de
información de salida, almacenada o impresa.
En esta misma etapa debió haberse definido la calidad de la información
que será procesada por la computadora, estableciéndose los riesgos de la misma
y la forma de minimizarlos. Para ello se debieron definir los controles adecuados,
estableciéndose además los niveles de acceso a la información, es decir, quién
tiene privilegio de consultar, modificar o incluso borrar información.
Esta etapa habrá de ser cuidadosamente verificada por el auditor interno
especialista en sistemas y por el auditor en informática, para comprobar que se
logró una adecuada comprensión de los requerimientos del usuario y un control
satisfactorio de información.
Para verificar si los servicios que se proporcionan a los usuarios son los
100
requeridos y se están proporcionando en forma adecuada, cuando menos será
preciso considerar la siguiente información:
• Descripción de los servicios prestados.
• Criterios de evaluación que utilizan los usuarios para evaluar el nivel del
servicio prestado.
• Reporte periódico del uso y concepto del usuario sobre el servicio.
• Registro de los requerimientos planteados por el usuario.
Con esta información se puede comenzar a realizar la entrevista para
determinar si los servicios proporcionados y planeados por la dirección de
informática cubren las necesidades de información de la organización.
Guía de cuestionario para la entrevista con el usuario
¿Considera que la dirección de informática le da los resultados esperados?
SI ( )
NO ( )
¿Porqué?
¿Cómo considera usted, en general y el servicio proporcionado por la
dirección de informática?
1. Deficiente
2. Aceptable
3. Satisfactorio
4. Excelente
¿Por qué?
¿Cubre sus necesidades de procesamiento?
1. No las cubre
2. Parcialmente
3. La mayor parte
4. Todas
¿Por qué?
¿Cómo considera la calidad del procesamiento que se le proporciona?
1. Deficiente
2. Aceptable
3. Satisfactorio
4. Excelente
¿Por qué?
¿Hay disponibilidad de procesamiento para sus requerimientos?
1. Generalmente no existe
2. Hay ocasionalmente
3. Regularmente
4. Siempre
¿Por qué?
¿Conoce los costos de los servicios proporcionados?
¿Que opina del costo del servicio proporcionado por el departamento de
procesos electrónicos?
1. Excesivo
2. Mínimo
101
3. Regular
4. Adecuado al servicio
5. No lo conoce
¿Por qué?
¿Son entregados con puntualidad los trabajos?
1. Nunca
2. Rara vez
3. Ocasionalmente
4. Generalmente
5. Siempre
¿Por qué?
¿Qué Piensa de la presentación de los trabajos solicitados?
1. Deficiente
2. Aceptable
3. Satisfactoria
4. Excelente
¿Por qué?
¿Qué piensa de la atención brindada por el personal de procesos
electrónicos?
1. Insatisfactoria
2. Satisfactoria
3. Excelente
¿Por qué?
¿Qué piensa de la asesoría que se imparte sobre informática?
1. No se proporciona
2. Es insuficiente
3. Satisfactoria
4. Excelente
¿Por qué?
¿Qué piensa de la seguridad en el manejo de la información proporcionada
para su procesamiento?
1. Nula
2. Riesgosa
3. Satisfactoria
4. Excelente
5. Lo desconoce
¿Por qué?
¿Existen fallas de exactitud en los procesos de información?
¿Cuáles?
¿Cómo utiliza los reportes que se le proporcionan?
¿Cuáles no utiliza?
De aquellos que no utiliza ¿por qué razón los recibe?
¿Qué sugerencias presenta en cuanto a la eliminación de reportes:
modificación, fusión, división de reporte?
¿Se cuenta con un manual del usuario por sistema?
Si ( )
NO( )
102
¿Es claro y objetivo el manual del usuario?
SI ( )
NO( )
¿Qué opinión tiene sobre el manual?
NOTA: Pida el manual del usuario para evaluarlo
¿Quién interviene de su departamento en el diseño de sistemas?
¿En qué sistemas tiene actualmente su servicio de computación?
¿Qué sistemas desearía que se incluyeran?
Observaciones:
103
8
__________________________________________________________________
Evaluación del proceso de datos y
de los equipos de cómputo
[1; pág. 76-99 ]
8.1 Controles
Los datos son uno de los recursos más valiosos de las organizaciones y,
aunque son intangibles, necesitan ser controlados y auditados con el mismo
cuidado que los demás inventarios de la organización, por lo cual se debe tener
presente:
a) La responsabilidad de los datos es compartida conjuntamente por alguna
función determinada de la organización y la dirección de informática.
b) Un problema que se debe considerar es el que se origina por la
duplicidad de los datos y consiste en poder determinar los propietarios o
usuarios posibles (principalmente en el caso de redes y banco de datos)
y la responsabilidad de su actualización y consistencia.
c) Los datos deberán tener una clasificación estándar y un mecanismo de
identificación que permita detectar duplicidad y redundancia dentro de
una aplicación y de todas las aplicaciones en general.
d) Se deben relacionar los elementos de los datos con las bases de datos
donde están almacenados, así como los reportes y grupos de procesos
donde son generados.
8.1.1 Control de los datos fuente y manejo de cifras de control.
La mayoría de los delitos por computadora son cometidos por
modificaciones de datos fuente al:
• Suprimir u omitir datos,
• Adicionar datos,
• Alterar datos
• Duplicar procesos
104
Esto es de suma importancia en caso de equipos de cómputo que cuentan
con sistemas en línea, en los que los usuarios son los responsables de la captura
y modificación de la información al tener un adecuado control con señalamiento de
responsables de los datos (uno de los usuarios debe ser el único responsable de
determinado dato), con claves de acceso de acuerdo a niveles.
El primer nivel es el que puede hacer únicamente consultas. El segundo
nivel es aquel que puede hacer captura, modificaciones y consultas y el tercer
nivel es el que sólo puede hacer todo lo anterior y además puede realizar bajas.
NOTA: Debido a que se denomina de diferentes formas la actividad de
transcribir la información del dato fuente a la computadora, en el presente trabajo
se le denominará captura o captación considerándola como sinónimo de digitalizar
(capturista, digitalizadora).
Lo primero que debemos evaluar es la entrada de la información y que se
tengan las cifras de control necesarias para determinar la veracidad de la
información.
Guía de cuestionario para el control de datos fuente
¿Existen normas que definan el contenido de los instructivos de captación
de datos?
Indique el porcentaje de datos que se reciben en el área de captación y
verifique si contiene su instructivo correspondiente.
Indique el contenido de la orden de trabajo que se recibe en el área de
captación de datos:
Número de folio
( )
Número(s) de formatos)
( )
Fecha y hora de
Nombre, del departamento,
Recepción
( )
Usuario
( )
Nombre del documento
( )
Nombre responsable
( )
Volumen aproximado
Clave de cargo
de registros
( )
(número de cuenta)
( )
Número de registros
( )
Fecha y hora de entrega de
Clave del capturista
( )
documentos y registros captados
( )
Fecha estimada de entrega
( )
Indique cuál(es) control(es) interno(s) existe(n) en el área de captación de datos:
Firmas de autorización
Recepción de trabajos
Control de trabajos atrasados
Revisión del documento
Avance de trabajos
Fuente (legibilidad, verificación de datos completos, etc.)
Verificación
Prioridades de captación
Errores por trabajo
Producción de trabajo
(
(
(
(
(
(
(
(
(
(
)
)
)
)
)
)
)
)
)
)
105
Corrección de errores
( )
Producción de cada operador
( )
Entrega de trabajos
( )
Verificación de cifras de control de entrada con las de salida
( )
Costo mensual por trabajo
( )
¿Existe un programa de trabajo de captación de datos?
a) ¿Se elabora ese programa para cada turno?
SI
NO
( ) Diariamente
( ) Semanalmente
( ) Mensualmente
b) La elaboración del programa de trabajo se hace:
( ) Internamente
( ) Se les señalan a los usuarios las prioridades
( ) Se les señala a los usuarios la posible fecha de entrega
c) ¿El programa de trabajo es congruente con el calendario de producción?
SI
NO
d) Indique el contenido del programa de trabajo de captaciones.
Nombre de usuario
Clave de trabajo
Fecha programada
Recepción
Hora programada de recepción
Volumen estimado de registros por trabajo
Fecha programada de entrega
Hora programada de entrega
e) ¿Qué acción(es) se toma(n) si el trabajo programado no se recibe a tiempo?
Cuando la carga de trabajo supera la capacidad instalada se requiere:
( ) Tiempo extra
( ) Se subcontrata
¿Quién controla las entradas de documentos fuente?
¿En qué forma las controla?
¿Qué cifras de control se obtienen?
Sistema Cifras que se obtienen
observaciones
¿Qué documentos de entrada se tienen?
Sistemas Documentos ** Departamento que proporciona el documento **
Periodicidad ** Observaciones
¿Se anota qué persona recibe la información y su volumen?
SI
NO
¿Se anota a qué capturista se entrega la información, el volumen y la hora?
SI
NO
¿Se verifica la calidad de la información recibida para su captura?
SI
NO
¿Se revisan las cifras de control antes de enviarlas a captura?
SI
NO
¿Para aquellos procesos que no traigan cifras de control se han establecido
106
criterios a fin de asegurar que la información es completa y válida?
SI
NO
¿Existe un procedimiento escrito que indique cómo tratar la información
inválida? (Sin firma, ilegible, no corresponden las cifras de control).
En caso de resguardo de información de entrada en sistemas, ¿se
custodian en un lugar seguro.
Si se queda en el departamento de sistemas, ¿por cuánto tiempo se
guarda?
¿Existe un registro de anomalías en la información debido a mala
codificación?
¿Existe una relación completa de distribución de listados, en la cual se
indiquen personas, secuencia y sistemas a los que pertenecen?
¿Se verifica que las cifras de las validaciones concuerden con los
documentos de entrada?
¿Se hace una relación de cuándo y a quién fueron distribuidos los listados?
¿Se controlan separadamente los documentos confidenciales?
¿Se aprovecha adecuadamente el papel de los listados inservibles?
¿Existe un registro de los documentos que entran a captura?
¿Se hace un reporte diario, semanal o mensual de captura?
¿Se hace un reporte diario, semanal o mensual de anomalías en la
información de entrada?
¿Se lleva un control de la producción por persona?
¿Quién revisa este control?
¿Existen instrucciones escritas para capturar cada aplicación o, en su
defecto existe una relación de programas?
8.1.2 Control de operación
La eficiencia y el costo de la operación de un sistema de cómputo se ven
fuertemente afectados por la calidad e integridad de la documentación requerida
para el proceso en la computadora. Los instructivos de operación proporcionan al
operador información sobre los procedimientos que debe seguir en situaciones
normales y anormales en el procesamiento, y si la documentación es incompleta o
inadecuada lo obliga a improvisar o suspender los procesos mientras investiga lo
conducente, generando probablemente errores, reprocesos, desperdicio de tiempo
de máquina, se incrementan, pues, los costos del procesamiento de datos.
El objetivo del presente ejemplo de cuestionario es señalar los
procedimientos e instructivos formales de operación, analizar su estandarización y
evaluar el cumplimiento de los mismos.
¿Existen procedimientos formales para la operación del sistema de
computo?
SI ( )
NO( )
¿Esos procedimientos describen detalladamente tanto la organización de la
sala de maquinas como la operación del sistema de cómputo?
107
SI ( )
NO( )
¿Están actualizados los procedimientos?
SI ( )
NO ( )
Indique la periodicidad de la actualización de los procedimientos:
( ) Semestral
( ) Anual
( ) Cada vez que haya cambio de equipo
Observe la forma en que está operando la máquina, como se distribuyen
los trabajos en lotes?,¿cuál es el límite de trabajos en lotes y si se tiene un
adecuado orden y control en los procesos por lotes?
SI ( )
NO ( )
Indique el contenido de los instructivos de operación para cada aplicación:
( ) Identificación del sistema
( ) Identificación del programa
( ) Periodicidad y duración de la corrida
( ) Especificación de formas especiales
( ) Especificación de cintas de impresora
( ) Etiquetas de archivos de salida, nombre archivo lógico y fechas de
creación y expiración
( ) Instructivo sobre materiales de entrada y salida
( ) Altos programados y las acciones requeridas
( ) Instructivos específicos a los operadores en caso de falla del equipo
( ) Puntos de reinicio, procedimientos de recuperación para proceso de
gran duración
( ) Identificación de todos los dispositivos de la máquina a ser usados
( ) Especificaciones de resultados (cifras de control, registros de salida por
archivo, etc.)
¿Existen órdenes de proceso para cada corrida en la computadora
(incluyendo pruebas, compilaciones y producción)?
SI ( )
NO( )
¿Son suficientemente claras para los operadores estas órdenes?
SI ( )
NO( )
¿Existe una estandarización de las órdenes de proceso?
Si ( )
NO( )
¿Existe un control que asegure, la justificación de los procesos en el
computador?
(Que los procesos que se están trabajando están autorizados y tengan una
razón de ser procesados).
SI ( )
NO ( )
¿Cómo programan los operadores los trabajos dentro de la sala de
máquinas?
( ) Primero que entra, primero que sale
( ) Se respetan las prioridades
( ) Otra (especifique)
¿Los retrasos o incumplimientos con el programa de operación diaria, se
revisa y analiza?
108
SI ( )
NO( )
¿Quién revisa este reporte en su caso?
¿Cómo controlan los operadores las versiones correctas y cómo se
identifican las que son de prueba?
Analice la eficiencia con que se ejecutan los trabajos dentro de la sala de
máquinas, tomando en cuenta equipo y operador, a través de inspección visual, y
describa sus observaciones:
¿Existen procedimientos escritos para la recuperación del sistema en caso
de las fallas?
¿Cómo se actúa en caso de errores?
¿Existen instrucciones específicas para cada proceso, con las indicaciones
pertinentes?
¿Se tienen procedimientos específicos que indiquen al operador qué hacer
cuando un programa interrumpe su ejecución u otras dificultades en proceso?
¿Puede el operador modificar los datos de entrada?
¿Se prohibe a analistas y programadores la operación de la máquina?
¿Puede el operador de mesa de control operar la máquina?
¿Se prohíbe al operador modificar información de archivos o biblioteca de
programas?
¿El operador realiza funciones de mantenimiento diario en dispositivos que
así lo requieran?
¿Las intervenciones de los operadores:
Son muy numerosas?
SI( )
NO( )
Se limitan los mensajes esenciales
Si( )
NO( )
Otras (especifique)
SI( )
NO( )
¿Se tiene un control adecuado sobre los sistemas y programas que están
en operación?
Si ( )
NO( )
¿Cómo se controlan los trabajos dentro de la sala de máquinas
¿Se rota al personal del control de información con los operadores
procurando un entrenamiento cruzado y evitando la manipulación fundamental de
datos?.
SI( )
NO ( )
¿Cuentan los operadores con una bitácora para mantener registros de
cualquier evento y acción tomada por ellos?.
( ) SI
( ) Por máquina
( ) Escrita manualmente
( ) NO
Verificar que exista un registro de funcionamiento que muestra el tiempo de
paros y mantenimiento o instalaciones de software.
¿Existen procedimientos para evitar las corridas de programas no
autorizados?
SI( )
NO( )
¿Existe un plan definido para el cambio de turno de operación que evite el
descontrol y discontinuidad de la operación?
109
Verificar que sea razonable el plan para coordinar el cambio de turno.
¿Se hacen inspecciones periódicas de muestreo?.
Si( )
NO ( )
Enuncie los procedimientos mencionados en la pregunta anterior:
¿Se permite a los operadores el acceso a los diagramas de flujo,
programas fuente, etc., fuera de la sala de máquinas?.
SI( )
NO ( )
¿Se controla estrictamente acceso a la documentación de programas o de
aplicaciones rutinarias?
SI( )
NO( )
¿Cómo?
Verifique que los privilegios del operador se restrinjan a aquellos que le son
asignados a la clasificación de seguridad de operador.
¿Existen procedimientos formales que se deban observar antes de que
sean aceptados en operación , sistemas nuevos o modificaciones a los mismos?.
SI( )
NO( )
¿Estos procedimientos incluyen corridas en paralelo de los sistemas
modificados con las versiones anteriores?
SI( )
NO( )
¿Durante cuánto tiempo?
¿Qué precauciones se toman durante el periodo de implantación?
¿Quién da la aprobación formal cuando las corridas de prueba de un
sistema modificado o nuevo están acordes con los instructivos de operación? ¿Se
catalogan los programas liberados para producción rutinaria?
SI( )
NO( )
Mencione qué instructivos se proporcionan a las personas que intervienen
en la operación rutinaria de un sistema.
Indique qué tipo de controles tiene sobre los archivos magnéticos de los
archivos de datos, que aseguren la utilización de los datos precisos en los
procesos correspondientes.
¿Existe un lugar para archivar las bitácoras del sistema del equipo de
cómputo?
SI( )
NO( )
Indique cómo está organizado este archivo de bitácora.
( ) Por fecha
( ) Por fecha y hora
( ) Por turno de operación
( ) Otros
¿Cuál es la utilización sistemática de las bitácoras?
¿Además de las mencionadas anteriormente, qué otras funciones o áreas
se encuentran en la sala de máquinas actualmente?
Verifique que se lleve un registro de utilización del equipo diario, sistemas
en línea y batch, de tal manera que se pueda medir la eficiencia del uso de equipo.
¿Se tiene inventario actualizado de los equipos y terminales con su
localización?
SI( )
NO( )
110
¿Cómo se controlan los procesos en línea?
¿Se tienen seguros sobre todos los equipos?
SI( )
NO( )
¿Con qué compañía?
NOTA: Solicitar pólizas de seguros y verificar tipo de seguro y montos.
¿Cómo se controlan las llaves de acceso (password)?
Instructivos de operación
Se debe verificar que el instructivo de operación contenga los siguientes
datos:
Diagrama particular de entrada/salida
Mensajes y su explicación
Parámetros y su explicación
Diseño de impresión de resultados
Cifras de control
Fórmulas de verificación
Observaciones
Instrucciones de caso de error
Calendario de proceso y de entrega
de resultados
(
(
(
(
(
(
(
(
)
)
)
)
)
)
)
)
( )
111
8.1.3 Controles de salida
¿Se tienen copias de los archivos en otros locales?
¿Dónde se encuentran esos locales?
¿Qué seguridad física se tiene en esos locales?
¿Qué confidencialidad se tiene en esos locales?
¿Quién entrega los documentos de salida?
¿En qué forma se entregan?
¿Qué documentos?
Sistema Documentos A quien se Periodicidad Observaciones Comentarios
entrega
¿Qué controles se tienen?
Sistema
Control
Observaciones
Comentarios
¿Se tiene un responsable (usuario) de la información de cada sistema?
¿Cómo se atienden solicitudes de información a otros usuarios del mismo
sistema?
¿Se destruye la información no utilizada, o bien que se hace con ella?
Destruye ( ) Vende ( ) Tira ( ) Otro________________
8.1.4 Control de asignación de trabajo
Esta parte se relaciona con la dirección de las operaciones de la
computadora en términos de la eficiencia y satisfacción del usuario. Esta sección
debe ser comparada con la opinión expresada por el usuario. La función clave del
programador de cargas de máquina está relacionada con el logro eficiente y
112
efectivo que:
- Satisfaga las necesidades de tiempo del usuario.
- Sea compatible con los programas de recepción y transcripción de datos.
- Permiten niveles efectivos de utilización de los equipos y sistemas de
operación.
- Es ágil la utilización de los equipos en línea.
La experiencia muestra que los mejores resultados se logran en
organizaciones que utilizan sistemas formales de programación de actividades, los
cuales intentan balancear los factores y medir resultados.
Se deberán evaluar los procedimientos de programación de cargas
máquina para determinar si se ha considerado atenuar los picos de los procesos,
generados por cierres mensuales, y poder balancear las cargas de trabajo de
batch y línea, dando prioridad a los procesos en línea.
¿Opera la sala de máquinas en base a programas de trabajo?
SI( )
NO( )
Indique los periodos que abarcan los programas de trabajo:
Indique el puesto o departamento responsable de la elaboración de los
programas de trabajo:
¿Se cambian frecuentemente los programas de trabajo?
Si( )
NO( )
¿Cuál es la causa principal?
¿Se comunica oportunamente a los usuarios las modificaciones a los
programas de trabajo?
SI( )
NO( )
Dentro del programa de trabajo de la máquina, ¿se tiene previstas?:
Demandas inesperadas?
( )
Fallas de la máquinas?
( )
Soporte de los usuarios
( )
Manteniendo preventivo
( )
Otras (especifique)
¿Con qué frecuencia se asigna la computadora, en su totalidad, para una
sola aplicación (la de mayor utilización)?
Especifique los elementos que sirven como base para programar las cargas
de máquina.
Se deberá procurar que la distribución física del equipo sea funcional, que
la programación de las cargas de máquina satisfaga en forma eficaz al usuario; se
tendrá cuidado con los controles que se tengan para la utilización de equipo y que
el mantenimiento satisfaga las necesidades del equipo.
8.1.5 Control de medios de almacenamientos masivos
113
Los dispositivos de almacenamiento representan, para cualquier centro de
cómputo, archivos extremadamente importantes cuya pérdida parcial o total podría
tener repercusiones muy serias, no sólo en la unidad de informática, sino len la
dependencia de la cual se presta servicio. Una dirección de informática bien
administrada debe tener perfectamente protegidos estos dispositivos de
almacenamiento, además de mantener registros sistemáticos de la utilización de
estos archivos, de modo que sirvan de base a los programas de limpieza (borrado
de información), principalmente en el caso de las cintas.
Además se deben tener perfectamente identificados los carretes para
reducir la posibilidad de utilización errónea o destrucción de la información.
Un manejo adecuado de estos dispositivos permitirá una operación más
eficiente y segura, mejorando además los tiempos de proceso.
El cuestionario puede ser extensivo a todo tipo de cintas y disquetes.
Control de almacenamiento masivo
Objetivos
El objetivo de este cuestionario es evaluar la forma como se administran los
dispositivos de almacenamiento básico de la dirección.
Los locales asignados a la cintoteca y discoteca tienen:
( ) Aire acondicionado
( ) Protección contra el fuego (señalar que tipo de protección)
( ) Cerradura especial
( ) Otra
¿Tienen la cintoteca y discoteca protección automática contra el fuego?
SI( )
NO( )
(señalar de que tipo)
¿Qué información mínima contiene el inventario de la cintoteca y la
discoteca?
( ) Número de serie o carrete
( ) Nombre o clave del usuario
( ) Nombre del archivo lógico
( ) Nombre del sistema que lo genera
( ) Fecha de generación del archivo
( ) Fecha de expiración del archivo
( ) Número de volumen
( ) Otros
¿Se verifican con frecuencia la validez de los inventarios de los archivos
magnéticos?
Si( )
NO( )
En caso de existir discrepancia entre las cintas o discos y su contenido, ¿se
resuelven y explican satisfactoriamente las discrepancias?
SI( )
NO( )
114
¿Qué tan frecuentes son estas discrepancias? Cuántas veces al mes?
¿Se tienen procedimientos que permitan la reconstrucción de un archivo en
cinta o disco, el cual fue inadvertidamente destruido?
SI( )
NO( )
¿Se tienen identificados los archivos con información confidencial y se
cuenta con claves de acceso?
Si( )
NO( )
¿Cómo?
¿Existe un control estricto de las copias de estos archivos?
SI( )
NO( )
¿Qué medio se utiliza para almacenarlos?
( ) Mueble con cerradura
( ) Bóveda
Otro (especifique)
Este almacén está situado:
( ) En el mismo edificio de la dirección de informática
( ) En otro lugar
¿Cuál?
¿Se borran los archivos de los dispositivos de almacenamiento, cuando se
desechan éstos?
SI( )
NO( )
¿Se certifica la destrucción o baja de los archivos defectuosos?
SI( )
NO( )
¿Se registran como parte del inventario las nuevas cintas que recibe la
biblioteca?
SI( )
NO( )
¿Se tiene un responsable, por turno, de la cintoteca y discoteca?
SI( )
NO( )
¿Se realizan auditorias periódicas a los medios de almacenamiento?
SI( )
NO( )
¿Con qué periodicidad?
¿Qué medidas se toman en caso de extravío de algún dispositivo de
almacenamiento?
¿Se restringe el acceso a los lugares asignados para guardar los
dispositivos de almacenamiento, al personal autorizado?
Si( )
NO( )
¿Se tiene relación del personal autorizado para firmar la salida de archivos
confidenciales?
SI( )
NO( )
¿Existe un procedimiento para registrar los archivos que se prestan y la
fecha en que se devolverán?
SI( )
NO( )
¿Se lleva control sobre los archivos prestados por la instalación?
Si( )
NO( )
En caso de préstamo, ¿con qué información se documentan?
( ) Nombre de la institución a quien se hace el préstamo.
( ) Fecha de recepción
115
( ) Fecha en que se debe devolver
( ) Archivos que contiene
( ) Formatos
( ) Cifras de control
( ) Código de grabación
( ) Nombre del responsable que los prestó
Otros
Indique qué procedimiento se sigue en el reemplazo de las cintas que
contiene los archivos maestros:
¿Se conserva la cinta maestra anterior hasta después de la nueva cinta?
Si( )
NO( )
¿El cintotecario controla la cinta maestra anterior previendo su uso
incorrecto o su eliminación prematura?
Si( )
NO( )
¿La operación de reemplazo es controlada por el cintotecario?
Si( )
NO( )
¿Se utiliza la política de conservación de archivos hijo-padre-abuelo?
SI( )
NO( )
En los procesos que manejan archivos en línea, ¿existen procedimientos
para recuperación de archivos?
Si( )
NO( )
¿Estos procedimientos los conocen los operadores?
SI( )
NO( )
¿Cómo los consigue?
¿Con qué periodicidad se revisan estos procedimientos?
( ) Mensual
( ) Anual
( ) Semestral
( ) Otra
¿Existe un responsable en caso de falla?
Si( ) NO( )
Explique qué políticas se siguen para la obtención de archivos de respaldo:
¿Existe un procedimiento para el manejo de la información de la cintoteca?
Si( )
NO( )
¿Lo conoce y lo sigue el cintotecario?
Si( )
NO( )
¿Se distribuyen en forma periódica entre los jefes de sistemas y
programación informes de archivos para que liberen los dispositivos de
almacenamiento?
SI( )
NO( )
¿Con qué frecuencia?
8.1. 6 Control de mantenimiento
116
Como se sabe existen básicamente tres tipos de contrato de
mantenimiento: El contrato de mantenimiento total que incluye el mantenimiento
correctivo y preventivo, el cual a su vez puede dividirse en aquel que incluye las
partes dentro del contrato y el que no incluye partes. El contrato que incluye
refacciones es propiamente como un seguro, ya que en caso de descompostura el
proveedor debe proporcionar las partes sin costo alguno. Este tipo de contrato es
normalmente el más caro, pero se deja al proveedor la responsabilidad total del
mantenimiento a excepción de daños por negligencia en la utilización de los
equipos. (Este tipo de mantenimiento normalmente se emplea en equipos
grandes.)
El segundo tipo de mantenimiento es "por llamada", en el cual en caso de
descompostura se le llama al proveedor y éste cobra de acuerdo a una tarifa y al
tiempo que se requiera para componerlo (casi todos los proveedores incluyen, en
la cotización de compostura, el tiempo de traslado de su oficina a donde se
encuentre el equipo y viceversa). Este tipo de mantenimiento no incluye
refacciones.
El tercer tipo de mantenimiento es el que se conoce como "en banco", y es
aquel en el cual el cliente lleva a las oficinas del proveedor el equipo, y éste hace
una cotización de acuerdo con el tiempo necesario para su compostura más las
refacciones ( este tipo de mantenimiento puede ser el más adecuado para
computadoras personales).
Al evaluar el mantenimiento debemos primero analizar cuál de los tres tipos
es el que más nos conviene y en segundo lugar pedir los contratos y revisar con
detalles que las cláusulas estén perfectamente definidas en las cuales se elimine
toda la subjetividad y con penalización en caso de incumplimiento, para evitar
contratos que sean parcialmente hacia el proveedor.
Para poder exigirle el cumplimiento del contrato se debe tener un estricto
control sobre las fallas, frecuencia, y el tiempo de reparación
Para evaluar el control que se tiene sobre el mantenimiento y las fallas se
pueden utilizar los siguientes cuestionarios:
Especifique el tipo de contrato de mantenimiento que se tiene (solicitar
copia de contrato).
¿Existe un programa de mantenimiento preventivo para cada dispositivo de
sistema de computo?
SI( )
NO( )
¿Se lleva a cabo tal programa?
SI( )
NO( )
¿Existen tiempos de respuesta y de compostura estipulados en los
contratos?
SI( )
NO( )
Si los tiempos de reparación son superiores a los estipulados en el contrato,
¿qué, acciones correctivas se toman para ajustarlos a lo convenido?
Solicite el plan de mantenimiento preventivo que debe ser proporcionado
por proveedor
117
¿Existe algún tipo de mantenimiento preventivo que pueda dar el operador
autorizado por el proveedor?
SI( )
NO( )
¿Cuál?
¿Cómo se notifican las fallas?
¿Cómo se les da seguimiento?
Control de fallas
¿Se mantienen registros actualizados de las fallas de los dispositivos del
sistema de cómputo y servicios auxiliares (aire acondicionado, sistema de energía
ininterrumpida, etc.)?
SI( )
NO( )
(Solicitar los registros de los últimos seis meses)
¿Es posible identificar por medio de estos registros, los problemas más
recurrentes o fallas mayores que afectan en forma determinante el funcionamiento
de la sala de máquinas?
Si( )
NO( )
¿Cómo se identifican?
Tiempo de respuesta promedio que ha tenido con el contrato de
mantenimiento (tiempo de respuesta es el periodo entre la notificación o aviso de
la existencia de un problema o la llegada del personal técnico que realizó las
reparaciones del equipo).
¿Cuáles son las actitudes de los ingenieros de servicio que mantienen sus
equipos?
¿Cuál considera que es la competencia técnica de los ingenieros de
servicio que dan mantenimiento a sus equipos?
¿Por qué?
¿Cuál es el tiempo promedio que toma el investigar y resolver el problema?
¿Cuál es la disponibilidad de refacciones necesarias para dar
mantenimiento a sus equipos?
¿Cuál es la efectividad del proveedor para resolver sus problemas de
mantenimiento?
¿Cuáles son las medidas de mantenimiento preventivo realizadas al dar
servicio a su equipo?
¿Cuál es en general la calidad de los servicios ofrecidos bajo su
"CONTRATO DE MANTENIMIENTO"?
Evaluación del mantenimiento
Cuando se evalúa la capacidad de los equipos, no se debe olvidar que la
capacidad bruta disponible se deberá disminuir por las actividades de
mantenimiento preventivo, fallas internas y externas no previstas y mantenimiento
118
e instalación de nuevos sistemas.
El enfoque de esta sección se orienta a evaluar, a través de los controles
que se tengan en la dirección, la utilización del sistema de cómputo. Un control
adecuado permitirá sustentar sólidamente cualquier solicitud de expansión de la
configuración presente.
Indique los registros que se llevan de la utilización del sistema de cómputo
(especificando la periodicidad).
( ) Tiempo de uso del procesador central
( ) Tiempo de compilación y prueba de programas
( ) Tiempo dedicado a producción
( ) Tiempo dedicado a mantenimiento correctivo del sistema operativo
( ) Tiempo dedicado a mantenimiento preventivo
( ) Tiempo de operación del sistema de cómputo
( ) Tiempo de falla de los dispositivos del sistema de cómputo
( ) Tiempo de uso de cada unidad de cinta
( ) Tiempo ocioso
( ) Tiempo de uso de terminales (promedio por terminal)
( ) Tiempo de uso de impresora
( ) Tiempo de reproceso
( ) Tiempo de la computadora utilizado en demostraciones
( ) Tiempo de falla por servicios auxiliares
( ) Número de programas corridos por compilador
( ) Número de programas objeto ejecutados
Anote los siguientes datos:
( ) Tiempo promedio dJoperaciones por día Hrs.
( ) Número promedio de compilaciones por día
( ) Número promedio de programas corridos por día
( ) Tiempo promedio de respuesta para compilaciones, horas
( ) Tiempo promedio de respuesta para programas de producción con
cintas Hrs.
( ) Tiempo promedio de respuesta para programas de producción Hrs.
( ) Número promedio al día que se consideran como horas de producción
( ) Número promedio de trabajos en cola de espera de ejecución en horas
pico
( ) Número promedio de trabajos en cola de espera de impresión en horas
pico
( ) Número promedio de trabajos de ejecución en horas pico
Anote los porcentajes de tiempo por turno de operación que se dedica a:
119
turno
1 er.
2°.
3er.
Compilación
Prueba
Producción
Evalúe la relación de uso de impresora con respecto a la mezcla de trabajo.
Estudie la frecuencia de cambio de papel y determine si se debe:
a) Incrementar el número de impresora
b) Restaurar las cargas de trabajo
c) Utilizar salida a microfilm
d) Utilizar impresora de mayor velocidad (láser)
e) ¿Es excesivo el volumen de impresión?
Si( )
NO( )
En caso de contestar si, señale las causas:
( ) Reportes muy largos
( ) Reportes no utilizados
( ) Procesos en lote que deban estar en línea
Otros (especificar cuáles)
f) Especificar si existen procesos que deban cambiarse de batch a línea a
viceversa
Evalúe la utilización del sistema de cómputo a través de las siguientes
relaciones:
Si________________tiempo ocioso excede el 35%
Tiempo disponible
El equipo instalado está sobrado de capacidad para la carga de trabajo
actual:
Si________________ tiempo de prueba de programas en mayor al 30%
Tiempo de uso de procesador central
Se puede concluir que los procedimientos de depuración de programas son
pobres (excepto en instalaciones nuevas):
Si_________________ tiempo de mantenimiento al sistema operativo
sobrepasa el 5%
Tiempo total disponible del sistema de cómputo
Se deberá exigir al proveedor que mejore la calidad de soporte al sistema
operativo:
Si__________________tiempo de falla del sistema de computo es mayor al
5%
Tiempo disponible
Nota: éstos son solamente ejemplos de factores que pueden obtenerse, los
cuales pueden ser ampliados, y los porcentajes dependerán del tipo de equipo y la
experiencia que se tenga.
El servicio de mantenimiento correctivo que proporciona el proveedor es
muy pobre y deberá revisarse las cláusulas del contrato relativas a este renglón.
( ) Número total de trabajos procesados
( ) Número de programas corridos por usuarios y departamentos de la
dirección de informática
120
( ) Detalle de programas con terminación anormal especificado la causa
(por departamento y usuario)
( ) Tiempo de uso de los diversos equipos de captura por equipo y por
usuario
( ) Número de líneas impresas en cada impresora
( ) Otros
Esta sección está orientada a revisar las acciones que realiza la dirección
de informática para evaluar, mantener y auditar los sistemas implantados.
Indique qué tipo de evaluación se realiza a los sistemas implantados:
Ninguna
Económica
De beneficios
Otros (especificar)
(
(
(
(
)
)
)
)
De objetivos
De oportunidad
De operación
( )
( )
( )
Indique qué instructivos se elaboran:
De codificación
( )
De captación
( )
Del usuario
( )
De operación
( )
Otros (especificare
( )
¿Qué porcentaje del personal de programación se dedica a dar
mantenimiento a los sistemas existentes?
¿El responsable del área de producción formula las estadísticas de
utilización de equipos, mostrando la frecuencia de fallas de los mismos y las
estadísticas de producción por aplicación? (detalle cómo se realiza y dé un
ejemplo)
¿En qué porcentaje se cumplen los calendarios de producción?
Indique las estadísticas de elaboración de programas que se llevan en el
área de informática:
Por programador
( )
Por sistemas
( )
Por programa
( )
Por toda el área
( )
Otras (especificar)
( )
De las unidades de entrada/salida instaladas, proporciones los siguientes
datos:
Número
De
Dispositivos
(Inventario)
impresas por
día
Número
de
unidades
Utilización
Velocidad
121
Terminales
Unidades de
cinta
Impresoras
Otras(especificar)
Se deberá controlar el uso que se le da al equipo de computo, evitando;
Tiempo de
Impresora
Utilización
Promedio de
h/día
número de
Páginas impresas por día
- Programadores que utilizan la computadora para conocer sus errores, sin
hacer pruebas de escritorio. En este caso están los programadores que
no saben qué instrucción poner, y en lugar de consultar su manual o
hacer pruebas de escritorio, mandan compilar el programa hasta
encontrar la opción o rutina correcta.
- Utilización del equipo o del tiempo de los programadores para aplicaciones
ajenas a la organización.
- Personal de la dirección de informática que utiliza la computadora para
trabajos personales, trabajos no autorizados o juegos.
- Programas que, por estar mal elaborados (generalmente cuando se usan
grandes archivos), degradan la máquina. Degradación del equipo por
fallas en equipos periféricos. La computadora puede considerarse como
un proceso en línea el cual al fallar alguna de las unidades principales
(memoria, unidad central) no permite la utilización del resto del equipo.
Pero existen unidades secundarias (cintas, impresoras, terminales,
discos) que al fallar provocan que se vea reducida la posibilidad de
utilización del equipo.
Por ejemplo, si tenemos una impresora y se descompone un alto porcentaje
de utilización del equipo se ve disminuida aunque para el proveedor sólo
considere que una unidad secundaria fue la dañada. Lo mismo sucede si se tienen
dos unidades de disco y se descompone una (en caso de tener solo una unidad de
discos la falla es total).
Para controlar este tipo de degradación se puede tener un reporte que
contenga:
1. Dispositivo que integra la configuración del equipo (por ejemplo, cinta,
disco, impresora).
2. Número del dispositivo, si tenemos por ejemplo 2 cintas, se anota 1 y 2
dependiendo de cuál fue la que falló.
3. Tipo de falla. Se anotará una buena descripción del tipo de falla, para lo
cual se puede elaborar un catálogo.
4. Porcentaje de degradación. Este dato deberán anotarlo los responsables
de la dirección de informática basándose en la experiencia y en las
implicaciones que tenga en el sistema total (por ejemplo, si se tienen 2
unidades de disco la degradación es del 50%, si se descomponen las
dos es el 100% y si se tiene solo una, o sea el 100%, en el caso de la
122
impresora si se tiene solo una puede ser el 66.6% etc.)
5. Número de horas en las que duró la falla, desde el momento de la
descompostura hasta el momento en que la entrega reparada el
proveedor.
123
8.2 Orden en el centro de cómputo
Una dirección de informática bien administrada debe tener y observar
reglas relativas al orden y cuidado de la sala de máquinas. Los dispositivos del
sistema de cómputo, los archivos magnéticos, pueden ser dañadas si se manejan
en forma inadecuada y eso puede traducirse en pérdidas irreparables de
información o en costos muy elevados en la reconstrucción de archivos. Se deben
revisar las disposiciones y reglamentos que coadyuven al mantenimiento del orden
dentro de la sala de máquinas.
Indique la periodicidad con que se hace la limpieza de la sala de máquinas
y de la cámara de aire que se encuentra abajo del piso falso y los ductos de aire:
( ) Semanalmente
( ) Mensualmente
( ) No hay programa
( ) Quincenalmente
( ) Bimestralmente
( ) Otro (especifique)
¿Existe un lugar asignado a las cintas y discos magnéticos?
¿Se tiene asignado un lugar específico para papelería y utensilios de
trabajo?
SI( )
NO( )
¿Son funcionales los muebles asignados para la cintoteca y discoteca?
Si( )
NO( )
¿Se tienen disposiciones para que se acomoden en su lugar
correspondiente, después de su uso, las cintas, los discos magnéticos, la
papelería, etc?
SI( )
NO( )
Indique la periodicidad con que se limpian las unidades de cinta:
Al cambio de turno
( )
Cada semana
( )
Cada día
( )
Otra (especificar) ( )
¿Existen prohibiciones para fumar, tomar alimentos y refrescos en la sala
de máquinas?
SI( )
NO( )
¿Se cuentan con carteles en lugares visibles que recuerdan dicha
prohibición?
SI( )
NO( )
Mencione los casos en que personal ajeno al departamento de operación
opera el sistema de cómputo:
124
8.3 Evaluación de la configuración del sistema de cómputo
Los objetivos son evaluar la configuración actual tomando en consideración
las aplicaciones y el nivel de uso del sistema, evaluar el grado de eficiencia con el
cual el sistema operativo satisface las necesidades de la instalación y revisar las
políticas seguidas por la unidad de informática en la conservación de su
programoteca.
Esta sección está orientada a:
a) Evaluar posibles cambios en el hardware a fin de nivelar el sistema de
cómputo con la carga de trabajo actual o de comparar la capacidad
instalada con los planes de desarrollo a mediano y largo plazo.
b) Evaluar las posibilidades de modificar el equipo para reducir el costo o
bien el tiempo de proceso
c) Evaluar la utilización de los diferentes dispositivos periféricos.
De acuerdo con los tiempos de utilización de cada dispositivo del sistema
de computo, ¿existe equipo:
Con poco uso?
SI( )
NO( )
Ocioso?
SI( )
NO( )
Con capacidad superior a la necesaria?
SI( )
NO( )
Describa cuál es:
¿El equipo mencionado en la pregunta anterior puede reemplazarse por
otro más lento y de menor costo?
SI( )
NO( )
Si la respuesta a la pregunta anterior es negativa, ¿el equipo puede ser
cancelado?
SI( )
NO( )
De ser negativa la respuesta a la pregunta anterior, explique las causas por
las que no puede ser cancelado o cambiado.
¿El sistema de cómputo tiene capacidad de teleproceso?
SI( )
NO( )
¿Se utiliza la capacidad de teleproceso?
SI( )
NO( )
En caso negativo, exponga los motivos por los cuales no utiliza el
teleproceso.
125
¿Se ha investigado si ese tiempo de respuesta satisface a los usuarios?
SI( )
NO( )
Indique si existen políticas, para aplicaciones soportadas
para fijar:
El tamaño máximo de programas
SI( )
Número de archivos
SI( )
Tamaño máximo para cada archivo
SI( )
Nivel de acceso
SI( )
por teleproceso,
NO(
NO(
NO(
NO(
)
)
)
)
¿La capacidad de memoria y de almacenamiento máximo del sistema de
cómputo es suficiente para atender el proceso por lotes y el proceso remoto?
Si( )
NO( )
8.4 Productividad
El objetivo es evaluar la eficiencia con que opera el área de captación y
producción.
Verifique que se cuente con una descripción completa de los trabajos que
se corren y la descripción de las características de carga.
Verifique la existencia de un pronóstico de cargas o trabajos que se
efectuarán durante el año, con el objeto de que se prevean los picos en las cargas
de trabajo y se pueda distribuir adecuadamente estas cargas.
¿Se tiene un programa de trabajo diario? ¿semanal? ¿en el año?
En caso de que no se tenga la programación diaria, ¿cómo se realiza la
producción?
Verifique que se contemplen dentro de los planes de producción periodos
de mantenimiento preventivo.
Verifique que se disponga de espacio y tiempo para realizar corridas
especiales, corridas de prueba de sistemas en desarrollo y corridas que deben
repetirse.
Verifique que se tengan definidos el espacio y tiempo para el respaldo de la
información.
¿Se tiene una programación del mantenimiento previo?
¿Se tiene un plan definido de respaldo de la información?
¿Se contempla dentro del plan tiempo para realizar corridas de pruebas?
¿Se revisa el cumplimiento de los programas de producción establecidas?
Verifique que se tenga conocimiento de los próximos sistemas que estarán
en producción, con el objeto de que se les programe su incorporación.
¿Quién revisa estos planes?
¿Se cumplen generalmente estos planes? Si no, explique por qué
¿Se repiten con frecuencia corridas por anomalías?
126
Indique los estándares de producción que se tienen en la dirección de
informática.
Por tipo de equipo
Por formato de captación
Por formato y equipo de captación
( )
( )
( )
¿Existen índices de error aceptables para cada tipo de trabajo?
¿Cuándo fue la última revisión de esos estándares?
¿El personal de captación conoce esos estándares?
Indique los medios utilizados para medir la eficiencia de los operadores de
captación:
( ) Estadísticas mensuales de producción por trabajo y por operador
( ) Estadísticas mensuales de error por trabajo y por operador
( ) Estadísticas mensuales de producción por trabajo
( ) Estadísticas mensuales de error por trabajo
( ) Estadísticas de producción por trabajo y operador por hora
( ) Otros(especificar)
Indique qué medida(s) se toma(n) cuando el rendimiento para un trabajo
está abajo del estándar:
( ) Se analiza el documento fuente con objeto de rediseñarlo
( ) Se consulta a los operadores sobre los problemas observados en el
trabajo
( ) Se revisan los instructivos de capacitación
( ) Se capacitan a los operadores sobre el manejo del equipo
( ) Se imparten pláticas sobre el trabajo
( ) Otros
¿Se tienen incentivos para el personal que tenga un rendimiento superior al
estándar?
¿Cada cuándo se imparten cursos de capacitación sobre la operación del
equipo?
Observe los niveles de iluminación y ruido y corrija cuando estén fuera del
rango estipulado en los estándares.
Analice si el área de trabajo es adecuada para efectuar la captación. ¿Se
registran los tiempos de respuesta a las solicitudes?
Si( )
NO( )
¿Cuál es el tiempo de respuesta promedio?
Hrs.
127
9
__________________________________________________________________
Evaluación de la seguridad [1; pág.102-126]
9.1 Seguridad lógica y confidencialidad
Las computadoras son un instrumento que estructura gran cantidad de
información, la cual puede ser confidencial para individuos, empresas o
instituciones, y puede ser mal utilizado o divulgada a personas que hagan mal uso
de esta. También pueden ocurrir robos, fraudes o sabotajes que provoquen la
destrucción total o parcial de la actividad computacional.
Esta información puede ser de suma importancia, y el no tenerla en el
momento preciso puede provocar retrasos sumamente costosos. Ante esta
situación, en el transcurso del siglo XX, el mundo ha sido testigo de la
transformación de algunos aspectos de seguridad y de derecho.
Imagínese que, por una u otra razón, el centro de computo a las librerías
sean destruidos o usados inapropiadamente, ¿cuánto tiempo pasaría para que
esta organización estuviese nuevamente en operación? El centro de cómputo
puede ser el activo más valioso y al mismo tiempo el más vulnerable.
En la situación actual de criminología, los delitos de "cuello blanco" han
incluido la modalidad de los delitos hechos mediante la computadora o los
sistemas de información de los cuales el 95% de los detectados han sido
descubiertos por accidentes y la gran mayoría no han sido divulgados para evitar
dar ideas a personas mal intencionadas. Es así como la computadora ha
modificado las circunstancias tradicionales del crimen; muestra de ello son los
fraudes, falsificaciones y venta de información hechos a las computadoras o por
medio de computadoras.
Durante mucho tiempo se consideró que los procedimientos de auditoría y
seguridad eran responsabilidad de la persona que elabora los sistemas sin
considerar que son responsabilidad del usuario y del departamento de auditoría
interna.
128
Entre los crímenes más conocidos (muchos de ellos no son identificados o
divulgados para evitar repercusiones) están el del Banco Wells Fargo Co. ($21.3
millones de dólares), en el cual se evidenció que la protección de los archivos es
todavía inadecuada, y la publicada el 17 de septiembre de 1987 en la que dos
alemanes entraron a los archivos confidenciales de la NASA. Otro de los delitos
que se han cometido en los bancos están en insertar mensajes fraudulentos o bien
transferir dinero de una cuenta, otra, con la consecuente ganancia de los
intereses.
Existe también el caso de un muchacho de 15 años que entró a la
computadora de la Universidad de Berkeley en California y destruyó los archivos, y
el estudiante de la escuela Dalton en Manhattan que entró a la red canadiense,
identificándose como un usuario de alta prioridad y tomó el control de los sistemas
de una embotelladora de Canadá. Ejemplos como éstos existen muchos y la
mayoría de ellos no se dan a conocer para no dar ideas a personas que puedan
cometer delitos o bien para evitar problemas de publicidad negativa.
En la actualidad, y principalmente en las computadoras personales, se ha
dado otro factor que hay que considerar: el llamado "virus" de las computadoras,
el cual, aunque tiene diferentes intenciones, se encuentra principalmente para
paquetes que son copiados sin autorización ("piratas") y borra toda la información
que se tiene en un disco.
Se trata de pequeñas subrutinas escondidas en los programas que se
activan cuando se cumple alguna condición; por ejemplo, haber obtenido una
copia en forma ilegal, y puede ejecutarse en una fecha o situación
predeterminada. El virus normalmente los ponen los diseñadores de algún tipo de
programa (software) para "castigar" a quienes lo roban o copian sin autorización o
bien por alguna actitud de venganza en contra de la organización. (En la
actualidad existen varios productos para detectar los virus.)
Existen varios tipos de virus pero casi todos actúan como "caballos de
Troya", es decir, se encuentran dentro de un programa y actúan a determinada
indicación.
Un ejemplo es la destrucción de la información de la compañía USPA & IRA
de Forth Worth; cuando despidieron a un programador en 1985, éste dejó una
subrutina que destruía mensualmente la información de las ventas. Este incidente
provocó el primer juicio en Estados Unidos contra una persona por sabotaje a la
computadora.
Existe otro caso conocido como el virus de Navidad, en el cual el empleado
de una compañía multinacional elaboró un programa que automáticamente
entraba al correo electrónico internacional y dejaba un mensaje de felicidades. Al
momento en que la persona que recibía el mensaje entraba a su correo
electrónico (para lo que debía teclear su llave de seguridad) encontraba un
mensaje de felicitación por la Navidad. Automáticamente el programa tomaba el
129
directorio del usuario, enviaba mensajes idénticos a todas las personas que se
encontraban en el directorio. Esto, que aparentemente tuvo buenas intenciones,
generó mensajes en forma exponencial bloqueando toda la red internacional de la
compañía.
Otro virus es el conocido como Pakistaní, debido a que fue elaborado por
estudiantes pakistaníes de 19 a 26 años. Este virus fue introducido en un paquete
de computadoras personales y fue copiado para todo turista que comprara el
paquete en Pakistán como una forma de "escarmiento" para los que adquirían esa
copia pirata.
Durante una convención de Makintosh en Montreal, un estudiante introdujo
un virus para probar sus conocimientos. En este caso aparecía un mensaje y
destruía la información. Debido a un descuido este virus fue distribuido
mundialmente.
Éstos son solamente algunos ejemplos de virus que existen, los cuales
también pueden ser activados como si fueran "bomba de tiempo", en una fecha
determinada y pueden causar la destrucción de la información, el que suene la
bocina de la computadora en forma constante o que aparezca un carácter en la
pantalla que se mueve por todo el video.
Al auditar los sistemas, se debe tener cuidado que no se tengan copias
"piratas" o bien que, al conectarnos en red con otras computadoras, no exista la
posibilidad de transmisión del virus.
El crecimiento de los fraudes por computadora ha hecho patente que la
potencialidad de los crímenes crece en forma más rápida que en los sistemas de
seguridad (se considera que en los Estados Unidos se cometieron anualmente
crímenes, denunciados o no, por más de tres mil millones de dólares).
Los motivos de los delitos por computadora normalmente son por:
• Beneficio personal
• Beneficios para la organización
• Síndrome de Robin Hood (por beneficiar a otras personas)
• Jugando a jugar
• Fácil desfalcar
• El departamento es deshonesto
• Odio a la organización (revancha)
• El individuo tiene problemas financieros
• La computadora no tiene sentimientos ni delata
• Equivocación de ego (deseo de sobresalir en alguna forma)
• Mentalidad turbada
130
Se considera que hay en cuatro factores que han permitido el incremento
en los crímenes por computadora. Estos factores son:
1. El aumento del número de personas que se encuentran estudiando
computación.
2. El aumento del número de empleados que tienen acceso a los equipos.
3. La facilidad en el uso de los equipos de cómputo.
4. El incremento en la concentración del número de aplicaciones y,
consecuentemente, de la información.
Estos cuatro factores, aunque son objetivos de todo centro de cómputo,
también constituyen una posibilidad de uso con fines delictivos.
El uso inadecuado de la computadora comienza desde la utilización de
tiempo de máquina para usos ajenos al de la organización, la copia de programas
para fines de comercialización sin reportar los derechos de autor hasta el acceso
por vía telefónica a bases de datos a fin de modificar la información con propósitos
fraudulentos. Estos delitos pueden ser cometidos por personas que no desean
causar un mal, por ejemplo, un muchacho de 15 años que desde la computadora
se conectó al banco de datos de la Universidad de Berkeley California y destruyó
archivos de investigación muy valiosa que se estaba procesando.
Otro ejemplo publicado en 1980 fue el caso de un estudiante de Dalton
School que, usando la computadora de su clase, entró a la red canadiense de
comunicación de datos (Canadian Data Comunication Network), y destruyó
archivos de los clientes. El estudiante utilizó una rutina muy simple para entrar a la
red y obtener una prioridad muy alta; ésta rutina era tan simple que los expertos se
quedaron sorprendidos.
En el caso de compañías que tienen altos gastos de envío de publicidad por
correo, ¿cuánto podría costarles que la competencia adquiera su lista de clientes?,
¿o bien que la información sea cambiada o dañada?. Cabe mencionar aquí una
compañía que vende enciclopedias en los Estados Unidos; uno de sus empleados
vendió a la competencia una cinta con la lista de clientes; la pérdida se estimó en
3 millones de dólares.
En la actualidad las compañías cuentan con grandes dispositivos para
seguridad física de las computadoras y se tiene la idea que los sistemas no
pueden ser violados si no se entra al centro de cómputo, olvidándose del uso de
terminales y de sistemas remotos de teleproceso. Se piensa, como en el caso de
la seguridad de incendio o robo, que "eso no me puede suceder a mí o es poco
probable que suceda aquí".
Algunos gerentes creen que las computadoras y sus programas son tan
complejos que nadie fuera de su organización los va a entender y no les van a
servir; pero en la actualidad existe un gran número de personas que pueden
captar y usar la información que contiene un sistema y considerar hacer esto como
un segundo ingreso.
131
En forma paralela al aumento de los fraudes hechos a los sistemas
computarizados, se han perfeccionado los sistemas de seguridad tanto física
como lógica; pero la gran desventaja del aumento en la seguridad lógica es que se
requiere consumir un número mayor de recursos de cómputo para lograr tener una
adecuada seguridad, lo ideal es encontrar un sistema de acceso adecuado al nivel
de seguridad requerido por el sistema con el menor costo posible. En los desfalcos
por computadora (desde un punto de vista técnico), hay que tener cuidado con los
"caballos de troya" que son programas a los que se les encajan rutinas que serán
activadas con una señal específica.
El tipo de seguridad puede comenzar desde la simple llave de acceso
(contraseña o password) hasta, sistemas más complicados, pero se debe evaluar
que, cuando más complicados sean los dispositivos de seguridad, resultan más
costosos. Por lo tanto, se debe mantener una adecuada relación de seguridadcosto en los sistemas de información.
Los sistemas de seguridad normalmente no consideran la posibilidad de
fraude cometida por los empleados en el desarrollo de sus funciones. La
introducción de información confidencial a la computadora puede provocar que
este concentrada en las manos de unas cuantas personas y una alta dependencia
en caso de pérdida de los registros. El más común de estos delitos está dado en el
momento de programación, en el cual por medio de ciertos algoritmos se manda
borrar un archivo. Por ejemplo, en un sistema de nómina al momento de
programarlo se puede incluir una rutina que verifique si se tiene dentro del archivo
de empleados el registro federal de causantes del programador. En caso de
existir, continúa el proceso normalmente, si no existe significa que el programador
que elaboró el sistema renunció o fue despedido y en ese momento borra todos
los archivos. Esta rutina, aunque es fácil de detectar puede provocar muchos
problemas en caso de que no se tenga los programas fuente o bien no se
encuentre debidamente documentado. También en el caso de programadores
honestos, en ocasiones en forma no intencional, pueden tener fallas o negligencia
en los sistemas. La dependencia con ciertos individuos clave, algunos de los
cuales tienen un alto nivel técnico, comúnmente pone la organización en manos
de unas cuantas personas, las cuales suelen ser las únicas que conocen los
sistemas debido a que no los documentan.
Un método eficaz para proteger sistemas de computación es el software de
control de acceso. Dicho simplemente, los paquetes de control de acceso
protegen contra el acceso no autorizado, pues piden del usuario una contraseña
antes de permitirle el acceso a información confidencial. Dichos paquetes han sido
populares desde hace muchos años en el mundo de las computadoras grandes, y
los principales proveedores ponen a disposición de clientes algunos de estos
paquetes. Sin embargo, los paquetes de control de acceso basados en
contraseñas pueden ser eludidos por delincuentes sofisticados en computación y
no podría dependerse de esos paquetes por sí solos para brindar seguridad
adecuada.
132
El sistema integral de seguridad debe comprender:
Elementos administrativos
Definición de una política de seguridad
Organización y división de responsabilidades
Seguridad física y contra catástrofes (incendio, terremoto etc.)
Prácticas de seguridad del personal
Pólizas de seguros
Elementos técnicos y procedimientos de seguridad (de equipos y de
sistemas, incluyendo todos los elementos, tanto redes como
terminales)
Aplicación de sistemas de seguridad, incluyendo datos y archivos
El papel de los auditores, tanto internos como externos
Planeación de programas de desastre y su prueba
Uno de los puntos que se debe auditar con más detalle es el de tener las
cifras de control y el medio adecuado que nos permita conocer en el momento que
se produce un cambio o un fraude en el sistema. Otro ejemplo es en el caso de la
contabilidad en forma manual. Se tienen una serie de indicadores (volumen de
operaciones, cantidades, etc.) que nos permiten auditar en forma rápida y eficiente
al sistema; este tipo de indicadores deben ser incluidos dentro del sistema
computarizado, logrando en lo posible que el mismo sistema y la computadora
"actúe" como su propio auditor.
Los accidentes pueden surgir por un mal manejo de la administración, por
negligencia o bien por ataques deliberados hechos por ladrones, fraudes
sabotajes o bien por situaciones propias de la organización (huelgas). El poder
trabajar con la posibilidad de que ocurra un desastre debe ser algo común, aunque
se debe evitar en lo más posible y planear de antemano las medidas en caso de
que esto ocurra.
Algunas instalaciones y sus aplicaciones tienen un alto grado de riesgo, con
un gran impacto en la organización o en la comunidad, si es que el servicio se
interrumpe cierto periodo; otras pueden fácilmente continuar sin afectar
grandemente a la organización por medio de utilización de métodos manuales.
Se debe evaluar el nivel de riesgo que puede tener la información para
poder hacer un adecuado estudio costo/beneficio entre el costo por pérdida de
información y el costo de un sistema de seguridad, para lo cual se debe considerar
lo siguiente:
Clasificar la instalación en términos de riesgo (alto, mediano, pequeño)
identificar aquellas aplicaciones que tengan un alto riesgo.
Cuantificar el impacto en el caso de suspensión del servicio en aquellas
aplicaciones con un alto riesgo
133
Formular las medidas de seguridad necesarias dependiendo del nivel de
seguridad que se requiera.
La justificación del costo de implantar las medidas de seguridad
Para poder clasificar el riesgo e identificar las aplicaciones de alto riesgo
debemos preguntarnos lo siguiente:
¿Qué sucedería si no se puede usar el sistema?
Si la contestación es que no se podría seguir trabajando, esto nos sitúa en
un sistema de alto riesgo.
Por ejemplo, si vemos el sistema de reservaciones de boletos de avión,
éste es un sistema de alto riesgo, de menor riesgo podría ser la nómina y por
último la contabilidad (en periodos normales, no en periodos de entrega de
información contable).
La siguiente pregunta es: ¿Qué implicaciones tiene el que no se tenga el
sistema, y cuánto tiempo podríamos estar sin utilizarlo?
En el caso de reservaciones no se pueden trabajar si no se tiene el sistema
y no podemos estar sin él más que unos minutos. En el caso de la nómina
depende de cuándo se debe entregar (semanal, quincenal, mensualmente), lo
mismo que la contabilidad.
¿Existe un procedimiento alterno y qué problemas nos ocasionaría? En las
reservaciones, el procedimiento alterno de utilizar otro sistema ajeno a la
compañía no es posible debido a las redes y a los bancos de datos, y el
procedimiento alterno consistiría en que sólo se reciban reservaciones en una
oficina o bien que se estén comunicando por teléfono para que una oficina
concentre las reservaciones. Ello provocaría una gran ineficiencia y un pésimo
servicio. Al terminar la emergencia se deben dar de alta al sistema las
reservaciones captadas manualmente.
En la nómina se puede hacer manual (lo cual puede ser muy complicado) o
bien pagar lo mismo que la nómina anterior, lo que provocaría reclamos por parte
del personal al que se le pague menos, y después de la emergencia procesar la
nómina nueva y sacar un programa de diferencias que permita pagar la diferencia
de más o de menos y ajustar los impuestos. En caso de contar con respaldos se
puede tener como procedimiento alterno procesarlo en otro sistema.
En la contabilidad puede obtenerse en forma manual o bien, en caso de
tener respaldo, procesarse en otro sistema.
¿Qué se ha hecho para un caso de emergencia? En el caso de sistemas
134
como el de reservaciones, de bancos o casas de bolsa, el único procedimiento
para evitarlos es tener sistemas simultáneos (tándem o en paralelo) que permitan
pasar de un equipo a otro en forma instantánea, disponer de sistemas duplicados
en áreas críticas (aires acondicionados, discos, etc.) y tener sistemas de energía
no interrumpible (no break), ya que debido a su alto riesgo son los que deben
tener mayor seguridad.
En la nómina existe un riesgo intermedio ya que, aunque se puede pagar
con la nómina anterior, quizás surjan grandes problemas con el personal, y
utilizando otro sistema se debe tener mucho cuidado con los respaldos, su
actualización y probar constantemente los sistemas alternos para estar seguros de
que pueden utilizarse.
En el caso de contabilidad, el riesgo es menor pero también se debe tener
cuidado de hacer los respaldos y la posibilidad de utilización de otros equipos.
Una vez que hemos definido el grado de riesgo, hay que elaborar una lista
de los sistemas con las medidas preventivas que se deben tomar, así como las
correctivas en caso de desastre señalándole a cada uno su prioridad.
En caso de desastre se procurará trabajar los sistemas de acuerdo con sus
prioridades, ya que no se podrán trabajar los sistemas en otra instalación, en la
misma forma que se venían trabajando en la instalación original.
Hay que tener mucho cuidado con la información que sale de la oficina, su
utilización y que sea borrada al momento de dejar la instalación que está dando
respaldo.
Según una de las 8 grandes firmas estadounidenses de contadores
públicos, los planes de seguridad deben asegurar la integridad y exactitud de los
datos; permitir identificar la información que sea confidencial, de uso exclusivo o
delicada en alguna otra forma; proteger y conservar los activos de desastres
provocados por la mano del hombre y de actos abiertamente hostiles; asegurar la
capacidad de la organización para sobrevivir accidentes; proteger a los empleados
contra tentaciones o sospechas innecesarias y la administración contra cargos por
imprudencia.
Para clasificar la instalación en términos de riesgo se debe:
a) Clasificar los datos, información y programas que contiene información
confidencial que tenga un alto valor dentro del mercado de
competencia, organización, e información que sea de difícil
recuperación.
b) Identificar aquella información que tenga un gran costo financiero en
caso de pérdida o bien que pueda provocar un gran impacto en la toma
de decisiones.
135
c) Determinar la información que tenga una pérdida en la organización y,
consecuentemente, puedan provocar hasta la posibilidad de que no
pueda sobrevivir sin esa información.
Un ejemplo de alto riesgo puede ser la información confidencial de tipo
nacional o bien la información sobre el mercado y la publicidad de una compañía.
Un ejemplo de riesgo medio es la nómina, la cual puede ser hecha a mano, utilizar
procedimientos alternos o bien un adecuado sistema de respaldos. Un ejemplo de
bajo riesgo pueden ser los balances, los cuales pueden ser reestructurados con
cierta facilidad, salvo el caso de los días de presentación con fines fiscales.
Para cuantificar el riesgo es necesario que se efectúen entrevistas con los
altos niveles administrativos que sean directamente afectados por la suspensión
en el procesamiento y que cuantifiquen el impacto que les puede causar este tipo
de situaciones.
Para evaluar las medidas de seguridad se debe:
• Especificar la aplicación, los programas y archivos
• Las medidas en caso de desastre, pérdida total, abuso y los planes
necesarios
• La prioridades que se deben tomar en cuanto a las acciones a corto
y largo plazo.
En cuanto a la división del trabajo se debe evaluar que se tomen las
siguientes precauciones, las cuales dependerán del riesgo que tenga la
información y del tipo y tamaño de la organización.
a) El personal que prepara la información no debe tener acceso a la
operación.
b) Los analistas y programadores no deben tener acceso al área de
operación y viceversa.
c) Los operadores no deben tener acceso irrestringido a las librerías ni
a los lugares donde se tengan los archivos almacenados; es
importante separar las funciones de librería y de operación.
d) Los operadores no deben ser los únicos que tengan el control sobre
los trabajos procesados y no deben hacer las correcciones a los
errores detectados.
e) Al implantar sistemas de seguridad, puede reducirse la flexibilidad
en el trabajo, pero no debe reducir la eficiencia.
f) Otro de los puntos que hay que evaluar y revisar en forma visual es
el orden y limpieza, no tan sólo en la sala de cómputo, lo cual es
esencial, sino también en las oficinas ya que una inadecuada
limpieza en el trabajo refleja problemas de disciplina y crea
posibilidades de fallas en la seguridad, además de que perjudica el
desarrollo normal del trabajo.
136
9.2 Seguridad en el personal
Un buen centro de cómputo depende, en gran medida, de la integridad,
estabilidad y lealtad de personal, por lo que al momento de reclutarlo es
conveniente hacerle exámenes psicológicos, médicos y tener muy en cuenta sus
antecedentes de trabajo.
Se deben considerar los valores sociales y, en general, su estabilidad ya
que normalmente son personas que trabajan bajo presión y con mucho estrés, por
lo que importan mucho su actitud y comportamiento.
En los equipos de cómputo es normal que se trabajen horas extras, con
gran presión y que no haya una adecuada política de vacaciones debido a la
dependencia que se tiene con algunas personas, lo cual va haciendo que se crean
"indispensables", que son muy difíciles de sustituir y que ponen en gran riesgo la
organización. Se debe verificar que existan adecuadas políticas de vacaciones (lo
cual nos permite evaluar la dependencia con algunas personas, y evitar esta
dependencia) y de reemplazo. La adecuada política de reemplazo en caso de
renuncia de alguna persona permitirá que, en caso necesario, se pueda cambiar a
una persona sin arriesgar el funcionamiento de la organización.
También se deben tener políticas de rotación de personal que disminuyan
la posibilidad de fraude, ya que un empleado puede estar haciendo otra actividad
en un mes y sería muy arriesgado cometer un fraude, sabiendo que la nueva
persona que esté en su lugar puede detectarlo fácilmente. Esto se debe hacer
principalmente en funciones de alto nivel de confianza, aunque impliquen un alto
costo. Este procedimiento de rotación de personal nos permita además, detectar
los indispensables y eliminarlos.
Se deberá también evaluar la motivación del personal, ya que un empleado
motivado normalmente tiene un alto grado de lealtad y disminuirá la posibilidad de
ataques intencionados a la organización.
El programador honesto en ocasiones elabora programas que ponen en
peligro la seguridad de la empresa, ya que no se consideran procedimiento de
auditoría dentro de los programas tales que excluyan las posibilidades de fraude.
9.3 Seguridad física
El objetivo es establecer políticas, procedimientos y prácticas para evitar las
interrupciones prolongadas del servicio de procesamiento de datos, información
debido a contingencias como incendio, inundación, huelgas, disturbios, sabotaje,
137
etc. y continuar en un medio de emergencia hasta que sea restaurado el servicio
completo.
En el pasado se acostumbraba poner los equipos de cómputo en un lugar
visible, con grandes ventanales, y constituían el orgullo de la organización, por lo
que se consideraba necesario que estuviese a la vista del público y con una gran
cantidad de invitados a visitarlos. Esto ha cambiado de modo radical,
principalmente por el riesgo de terrorismo o sabotaje. Pensemos que una persona
que desea perjudicar a la organización querrá dañar su cerebro o centro de
información, por lo que en la actualidad se considera extremadamente peligroso
tener el centro de computo en las áreas de alto tráfico de personas o bien en la
calle en un alto numero de invitados.
Otras de las precauciones referentes al material y construcción del edificio
del centro de computo es que existen materiales que son altamente inflamables,
que despiden humo sumamente tóxicos o bien paredes que no queda
perfectamente selladas y despiden polvos (ejemplo, el tiro) planchado).
También en lo posible se debe tomar precauciones en cuanto a la
orientación del centro de computo (por ejemplo, centro de computo sumamente
caluroso a los que todo el día le esta dando el sol) y se deben evitar en lo posible
las grandes ventanas, los cuales además permite la entrada del sol pueden ser
arriesgados para la seguridad del centro de computo.
Entre las precauciones que se deben revisar están:
- Los ductos del aire acondicionado deben estar limpios, ya que son una
de las principales causas de polvo y se habrá de contar con detectores
de humo que indiquen la posible presencia de fuego.
- En las instalaciones de alto riesgo se debe tener equipos de fuente no
interrumpible, tanto en la computadora corno en la red y los equipos de
teleproceso.
- En cuanto a los extintores, se debe revisar en número de éstos, su
capacidad, fácil acceso, peso y tipo de producto que utilizan. Es muy
frecuente que se tengan los extintores, pero puede suceder que no se
encuentren recargados o bien que sean de difícil acceso de un peso tal
que sea difícil el utilizarlos.
- Estos es común en lugares en donde se encuentran trabajando hombre
y mujeres y los extintores están a tal altura o con un peso tan grande
que una mujer no pueda utilizarlo.
- Otro de los problemas es la utilización de extintores inadecuados que
pueden provocar mayor perjuicio a las máquinas (extintores líquidos) o
que producen gases tóxicos.
- También debe ver si el personal sabe usar los equipos contra incendio y
si ha habido prácticas en cuanto a su uso.
- Se debe verificar que existan suficientes salidas de emergencia y que
estén debidamente controladas Para evitar robos por medio de estas
salidas.
138
-
Los materiales más peligro son las cintas magnéticas que, al quemarse
producen gases tóxicos y el papel carbón es altamente inflamable.
Cuestionario para la evaluación física
¿Se han adoptado medidas d seguridad en la dirección de informática?
SI( )
NO ( )
¿Existe una persona responsable de la seguridad?
SI( )
NO ( )
¿Se ha dividido la responsabilidad para tener un mejor control de la
seguridad ?
SI( )
NO ( )
¿Existe personal de vigilancia en la institución de seguridad?
SI( )
NO ( )
¿La vigilancia se contrata:
a) Directamente?
b) Por medio de empresas que venden ese servicio?
¿Existe una clara definición de funciones entre los puestos clave?
SI( )
NO( )
¿Se investiga a los vigilantes cuando son contratados directamente?
SI( )
NO( )
¿Se controla el trabajo fuera de horario?
SI( )
NO( )
¿Se registran las acciones de los operadores para evitar que realicen
alguna que pueda dañar el sistema?
SI( )
NO( )
¿Existe vigilancia en el cuarto de máquinas las 24 horas?
SI( )
NO( )
¿A la entrada del cuarto de máquinas existe
a) Vigilante?
b) Recepcionista?
c) Tarjeta de control de acceso?
d) Nadie?
¿Se permite el acceso a los archivos y programas a los programadores,
analistas y operadores?
SI( )
NO ( )
¿Se ha instruido a estas personas sobre qué medidas tomar en caso de
que alguien pretenda entrar sin autorización?
SI( )
NO( )
139
¿El edificio donde se encuentra la computadora está situado a salvo de:
a) Inundación?
b)Terremoto?
c) Fuego?
d) Sabotaje?
¿El centro de cómputo da al exterior?
SI( )
NO( )
Describa brevemente la construcción del centro de cómputo, de preferencia
proporcionando planos y material con que fue construido y equipo (muebles, sillas,
etc.) dentro del centro.
¿Tiene el cuarto de máquinas una instalación de escaparate y, si es así,
pueden ser rotos los vidrios con facilidad?
SI( )
NO( )
¿Existe control en el acceso a este cuarto
a) Por identificación personal?
b) Por tarjeta magnética?
c) Por claves verbales?
d) Otras?
¿Son controladas las visitas y demostraciones en el centro de cómputo?
SI( )
NO( )
¿Cómo son controladas?
¿ Se registra el acceso al cuarto de personas ajenas a la dirección de
informática?
SI( )
NO( )
¿Existe alarma para
a) Detectar fuego (calor o humo) en forma automática?
b) Avisar en forma manual la presencia del fuego?
c) Detectar una fuga de agua?
d) Detectar magnetos?
e) No existe
¿Estas alarmas están
a) En el cuarto de máquinas?
b) En la cintoteca y discoteca?
¿Existe alarma para detectar condiciones anormales del ambiente?
a) En el cuarto de máquinas
b) En la cintoteca y discoteca
c) En otros lados
¿Cuáles?
140
¿La alarma es perfectamente audible?
SI( )
NO( )
¿Esta alarma también está conectada
a) Al puesto de guardias?
b) A la estación de bomberos?
c) A ningún otro lado?
d) Otro
¿Existen extintores de fuego
a) Manuales?
b) Automáticos?
c) No existen
¿Se ha adiestrado el personal en el manejo de los extintores?
SI( )
NO( )
¿Los extintores, manuales o automáticos, funcionan a base de
TIPO
SI
NO
a) Agua?
b) Gas?
c) Otros
¿Se revisa de acuerdo con el proveedor el funcionamiento de los
extintores?
SI( )
NO( )
NOTA: verifique el número de extintores y su estado.
Si es que existen extintores automáticos, ¿son activados por los detectores
automáticos de fuego?
SI( )
NO( )
Si los extintores automáticos son a base de agua, ¿se han tomado medidas
para evitar que el agua cause más daño que el fuego?
SI( )
NO( )
Si los extintores automáticos son a base de gas, ¿se han tomado medidas
para evitar que el gas cause más daño que el fuego?
SI( )
NO
¿Existe un lapso de tiempo suficiente, antes de que funcionen los extintores
automáticos, para que el personal
a) Corte la acción de los extintores por tratarse de falsas alarmas?
b) Pueda cortar la energía eléctrica?
c) Pueda abandonar el local sin peligro de intoxicación?
d) Es inmediata su acción?
¿Los interruptores de energía están debidamente protegidos, etiquetados y
sin obstáculos para alcanzarlos?
SI( )
NO ( )
141
¿Saben qué hacer los operadores del cuarto de máquinas en caso de que
ocurra una emergencia ocasionada por fuego?
SI( )
NO( )
¿El personal ajeno a operación sabe qué hacer en el caso de una
emergencia (incendio)'
SI( )
NO
¿Existe salida de emergencia?
SI( )
NO( )
¿Esta puerta sólo es posible abrirla:
a) Desde el interior?
b) Desde el exterior?
c) Ambos lados
¿Se revisa frecuentemente que no este abierta o descompuesta la
cerradura de esta puerta y las ventanas, si es que existen
SI( )
NO( )
¿Se ha adiestrado a todo el personal en la forma en que se deben desalojar
las instalaciones en caso de emergencia?
SI( )
NO( )
¿Se han tornado medidas para minimizar la posibilidad de fuego:
a) Evitando artículos inflamables en el cuarto de máquinas?
b) Prohibiendo fumar a los operadores en el interior?
c) Vigilando y manteniendo el sistema eléctrico?
d) No se ha previsto
¿Se ha prohibido a los operadores el consumo de alimentos y bebidas en el
interior del cuarto de máquinas para evitar daños al equipo?
SI( )
NO( )
¿Se limpia con frecuencia el polvo acumulado debajo del piso falso?
SI( )
NO( )
¿Se controla el acceso y préstamo en la:
a) Discoteca?
b) Cintoteca?
c) Programoteca?
Explique la forma como se ha clasificado la información vital, esencial , no
esencial etc.
¿Se cuenta con copias de los archivos en lugares distintos a la de la
computadora
SI ( )
NO( )
Explique la forma en que están protegidas físicamente estas copias
(bóveda, caja de seguridad, etc. que garantice su integridad en caso de incendio,
inundación, terremoto etc.)
142
¿Se tienen establecidos procedimientos de actualización a estas copias?
SI( )
NO( )
Indique el número de copias que se mantienen de acuerdo con la forma en
que se clasifique la información.
0
2
1
3
¿Existe departamento de auditoría interna conoce todos los aspectos de los
sistemas?.
SI( )
NO( )
¿Este departamento de auditoria interna conoce todos los aspectos de los
sistemas?.
SI( )
NO( )
¿Qué tipos de controles ha propuesto?
¿Se cumplen?
SI( )
NO( )
¿Se auditan los sistemas en operación?
SI( )
NO( )
¿Con qué frecuencia?
a) Cada seis meses
b) Cada año
c) Otra (especifique)
¿Cuándo se efectúan modificaciones a los programas, a iniciativa de quién
es?
a) Usuario
b) Director de informática
c) Jefe de análisis y programación
d) Programador
e) Otras (especifique)
¿La solicitud de modificaciones a los programas se hacen en forma:
a) Oral?
b) Escrita?
En caso de ser escrita solicite formatos.
Una vez efectuadas las modificaciones, ¿se presentan las pruebas a los
interesados?
SI( )
NO( )
¿Existe control estricto en las modificaciones?
SI( )
NO( )
¿Se revisa que tengan la fecha de las modificaciones cuando se hayan
efectuado?
SI( )
NO( )
Si se tienen terminales conectadas, ¿se han establecido procedimientos de
143
operación?
SI( )
NO( )
Se verifica identificación:
a) De la terminal
b) Del usuario
c) No se pide identificación
¿Se ha establecido qué información puede ser accesada y por qué
persona?
SI( )
NO( )
¿Se ha establecido un número máximo de violaciones en sucesión para
que la computadora cierre esa terminal y se de aviso al responsable de ella?
SI( )
NO( )
¿Se registra cada violación a los procedimientos con el fin de llevar
estadísticas y frenar las tendencias mayores?
SI( )
NO( )
¿Existen controles y medidas de seguridad sobre las siguientes
operaciones?, ¿Cuáles son?
( ) Recepción de documentos
( ) Información confidencial
( ) Captación de documentos
( ) Cómputo electrónico
( ) Programas
( ) Discotecas y cintotecas
( ) Documentos de salida
( ) Archivos magnéticos
( ) Operación del equipo de computación
En cuanto al acceso de personal
( ) Identificación del personal
( ) Policía
( ) Seguros
( ) Cajas de seguridad
( ) Otras lesoecifiauel
9.4 Seguros
Los seguros de los equipo en algunas ocasiones se dejan en segundo
termino aunque son de gran importancia. Existe un gran problema en la obtención
de seguros ya que a veces el agente de seguros es una persona que conoce
mucho de seguros, riesgos comerciales, riesgos de vida, etc. Pero muy poco
sobre computadoras, y el personal de informática conoce mucho sobre
computación y muy poco sobre seguros.
144
Se tiene poco conocimiento de los riesgos que entraña la computación, ya
que muchas veces el riesgo no es claro para los vendedores de seguros, debido a
lo nuevo de la herramienta y la poca experiencia existe sobre desastres.
Como ejemplo de lo anterior tenemos las pólizas de seguro contra
desastres, ya que algunos conceptos son cubiertos por el proveedor del servicio
de mantenimiento, lo cual hace, que se duplique el seguro o bien sobreviene
desastres que no son normales en cualquier otro tipo de ambiente.
Se debe verificar las fechas de vencimiento de las pólizas, puede suceder
que se tenga la póliza adecuada pero vencida, y que se encuentre actualizada con
los nuevos equipos.
El seguro debe cubrir todo el equipo y su instalación, por lo que es probable
que una sola póliza no pueda cubrir todo el equipo con las diferentes
características (existe equipo que pueda ser unidades de disco duro) por lo que tal
vez convenga tener dos o más pólizas por separado, cada una con las
especificaciones necesarias.
Debemos tomar en cuenta que existen riesgos que son difíciles de evaluar
y de asegurar como el caso de negligencia.
El costo de los equipos puede variar, principalmente en aquellos países que
tienen grandes tasas de inflación o de devaluación, por lo que los seguros deben
estar a precio de compra (valor de adquisición de nuevo equipo con iguales
características) y no a precio al momento de contratación del seguro.
El seguro debe cubrir tanto daños causados por factores externos
(terremoto, inundación, etc.) como por factores internos (daños ocasionados por
negligencia de los operadores, daños debidos al aire acondicionado, etc.)
También se debe asegurar la pérdida de los programas (software), de la
información, de los equipos y el costo de recuperación de lo anterior.
En el caso de los programas se tendrá en cuenta en el momento de
asegurarlos el costo de elaborarlos en determinado equipo, el costo de crearlos
nuevamente y su valor comercial. En el caso del personal, se pueden tener fianzas
contra robo, negligencia, daños causados por el personal, sabotaje, acciones
deshonestas, etc.
Es importante que la dirección de informática esté preparada para evitar en
lo posible el daño físico al personal, oficinas, equipo de cómputo, así como al
sistema de operación. Además deberá tener cuidado de que existan normas y
prácticas eficaces.
145
9.5 Seguridad en la utilización del equipo
En la actualidad los programas y los equipos son altamente sofisticados y
sólo algunas personas dentro del centro de cómputo conocen al detalle el diseño,
lo que puede provocar que puedan producir algún deterioro a los sistemas si no se
toman las siguientes medidas:
1) Se debe restringir el acceso a los programas y a los archivos.
2) Los operadores deben trabajar con poca supervisión y sin la
participación de los programadores, y no deben modificar los
programas ni los archivos.
3) Se debe asegurar en todo momento que los datos y archivos
usados sean los adecuados, procurando no usar respaldos
inadecuados. Como ejemplo de los problemas ocasionados por un
mal uso de los respaldos está el de una instalación en que al mismo
tiempo que estaba capturando la información para el archivo
maestro, el programador hacía pruebas y cambios a los programas.
El capturista capturaba el 15 de enero y en ese momento el
programador deseaba que pusieran en el mismo usuario que el
capturista la información del 13 de enero. El capturista continuaba
capturando pero ya no en los archivos del 15 sino del día 13, y
cuando volvían nuevamente a poner la información del día 15
descubría que había información que había capturado pero no la
encontraba.
4) No debe permitirse la entrada a la red a personas no autorizadas, ni
a usar las terminales.
5) En los casos de información confidencial debe usarse, de ser
posible, en forma codificada o criptografiada.
6) Se debe realizar periódicamente una verificación física del uso de
terminales y de los reportes obtenidos.
7) Se debe monitorear periódicamente el uso que se les está dando a
las terminales.
8) Se deben hacer auditorías periódicas sobre el área de operación y
la utilización de las terminales.
9) El usuario debe ser responsable de los datos, por lo que debe
asegurarse que los datos recolectados sean procesados
completamente. Esto sólo se logrará por medio de los controles
adecuados, los cuales deben ser definidos desde el momento del
diseño general del sistema.
10) Debe existir una perfecta división de responsabilidades entre los
capturistas de datos y los operadores de computadora, y entre los
operadores y las personas responsables de las librerías.
11) Deben existir registros que reflejen la transferencia de información
entre las diferentes funciones de un sistema.
146
12) Debe controlarse la distribución de las salidas (reportes, cintas,
etc.).
13) Se deben guardar copias de los archivos y programas en lugares
ajenos al centro de cómputo y en las instalaciones de alta
seguridad; por ejemplo: los bancos.
14) Se debe tener un estricto control sobre el transporte de discos y
cintas de la sala de cómputo al local de almacenaje distante.
15) Se deben identificar y controlar perfectamente los archivos.
16) Se debe tener estricto control sobre el acceso físico a los archivos.
17) En el caso de programas, se debe asignar a cada uno de ellos, una
clave que identifique el sistema, subsistema, programa y versión.
Esto nos servirá para identificar el número de veces que se ha
compilado o corrido un programa, y nos permitirá costear en el
momento que se encuentre un sistema en producción.
También evitará que el programador ponga nombres que no signifiquen
nada y que sean difíciles de identificar, lo que evitará que el programador utilice la
computadora para trabajos personales.
Otro de los puntos en los que hay que tener seguridad es en el manejo de
información; por ejemplo, existe un gran robo de información confidencial por
medio de fotocopiado, se da el caso de compañías en que sus competidores han
conocido los planes confidenciales por medio del desperdicio de papel o bien el
caso de una compañía que elaboró una serie de políticas de personal sumamente
confidenciales y en que los operadores y, consecuentemente, toda la compañía
conoció la información al momento de obtener los listados por medio de la
computadora. Lo más drástico en este caso es que los listados que se obtuvieron
eran planes, que servirán como alternativas de solución, pero que no habían sido
autorizados. Para controlar este tipo de información se debe:
1. Cuidar que no se obtengan fotocopias de información confidencial
sin la debida autorización.
2. Sólo el personal autorizado debe tener acceso a la información
confidencial.
3. Controlar los listados tanto de los procesos correctos como aquellos
procesos con terminación incorrecta.
4. Controlar el número de copias, y la destrucción de la información y
del papel carbón de los reportes muy confidenciales.
El factor más importante de la eliminación de riesgos en la programación es
que, todos los programas y archivos estén debidamente documentados, por lo
cual se debe considerar la necesidad de tener un alto grado de seguridad desde el
momento de hacer el diseño preliminar del sistema, siguiendo uno de los pasos
del diseño detallado y de la programación.
147
El siguiente factor en importancia es contar con los respaldos, y duplicados
de los sistemas, programas, archivos y documentación necesarios para que pueda
funcionar el plan de emergencia.
En los sistemas de cómputo en que se tiene sistemas en tiempo real, bases
de datos y red de computadoras se deben tomar medidas de alta seguridad en
cuanto a:
-
Equipo, programas y archivos
Control de aplicaciones por terminar (definir qué aplicaciones se pueden
correr en una terminal específica)
Definir una estrategia de seguridad de la red y de respaldos
Requerimientos físicos
Estándar de aplicaciones y de control
Estándar de archivos
Auditoría interna en el momento del diseño del sistema, su implantación
y puntos de verificación y control
Seguridad al restaurar el equipo
En un mundo que depende cada día más de los servicios proporcionados
por las computadoras, es vital definir procedimientos en caso de una posible falla
o siniestro. Cuando ocurra una contingencia, es esencial que se conozca al detalle
el motivo que la originó y el daño causado, lo que permitirá recuperar en el menor
tiempo posible el proceso perdido. También se debe analizar el impacto futuro en
el funcionamiento de la organización y prevenir cualquier implicación negativa.
En todas las actividades relacionadas con las ciencias de la computación,
existe un riesgo aceptable; y es necesario analizar y entender estos factores para
establecer los procedimientos que permitan eliminarlos al máximo y, en caso que
ocurran, poder reparar el daño y reanudar la operación lo más rápidamente
posible.
En una situación ideal, se deberían elaborar planes para manejar cualquier
contingencia que se presente.
Analizando cada aplicación se deben definir planes de recuperación y
reanudación, para asegurarse que los usuarios se vean afectados lo menos
posible en caso de falla o siniestro. Las acciones de recuperación disponibles a
nivel operativo pueden ser algunas de las siguientes:
-
En algunos casos es conveniente no realizar ninguna acción y reanudar
el proceso.
Mediante copias periódicas de los archivos se puede reanudar un
proceso a partir de una fecha determinada.
El procesamiento anterior complementado con un registro de las
148
-
transacciones que afectaron los archivos permitirá retroceder en los
movimientos realizados a un archivo al punto de tener la seguridad del
contenido del mismo y a partir de él reanudar el proceso.
Analizar el flujo de datos y procedimientos y cambiar el proceso normal
por un proceso alterno de emergencia.
Reconfigurar los recursos disponibles, tanto de equipo y sistemas como
de comunicaciones.
Cualquier procedimiento que se determine que es el adecuado para un
caso de emergencia deberá ser planeado y probado previamente.
Este grupo de emergencia deberá tener un conocimiento de los posibles
procedimientos que pueda utilizar, además de un conocimiento de las
características de las aplicaciones, tanto desde el punto técnico como de su
prioridad, el nivel de servicio planeado y su influjo en la operación de la
organización.
Además de los procedimientos de recuperación y reinicio de la información,
se deben contemplar los procedimientos operativos de los recursos físicos como
hardware y comunicaciones planeando la utilización de equipos que permitan
seguir operando en caso de falla de la corriente eléctrica, caminos alternos de
comunicación y utilización de instalaciones de cómputo similares. Estas y otras
medidas de recuperación y reinicio deberán ser planeadas y probadas
previamente como en el caso de la información.
Con frecuencia un problema en algún programa, un error en los datos, un
error de operación o una falla del equipo hacen que una corrida en la máquina
aborte antes de terminar el proceso. Generalmente cuando esto sucede, no se
puede iniciar el trabajo donde se produjo la interrupción.
El objetivo del siguiente cuestionario es evaluar los procedimientos de
restauración y repetición de procesos en el sistema de cómputo:
¿Existen procedimientos relativos a la restauración y repetición de procesos
en el sistema de cómputo?
SI( )
NO( )
Enuncie los procedimientos mencionados en la pregunta anterior
¿Cuentan los operadores con alguna documentación en donde se guarden
las instrucciones actualizadas para el manejo de restauraciones?
SI( )
NO( )
En el momento en que se hacen cambios o correcciones a los programas
y/o archivos se deben tener las siguientes precauciones:
1. Las correcciones de programas deben ser debidamente autorizadas
y probadas. Con esto se busca evitar que se cambien por nueva
versión que antes no ha sido perfectamente probada y actualizada.
149
2. Los nuevos sistemas deben estar adecuadamente documentados y
probados.
3. Los errores corregidos deben estar adecuadamente documentados
y las correcciones autorizadas y verificadas.
Los archivos de nuevos registros o correcciones ya existentes deben estar
documentados y verificados antes de obtener reportes.
Los datos de entrada deben estar debidamente probados y verificados
contra la entrada de datos durante el procesamiento. Uno de los fraudes más
comunes se comete durante el periodo en el cual ya se obtuvieron las cifras de
control pero no se han emitido los reportes definitivos; por ejemplo, la obtención de
cheques. Esto se puede hacer si es que se permite que se metan datos en el
periodo previo a la obtención de los reportes definitivos, y si no se tiene control
sobre estos datos introducidos posteriormente a las cifras de control.
9.6 Procedimiento de respaldo en caso de desastre
Se debe establecer en cada dirección de informática un plan de
emergencia, el cual ha de ser aprobado por la dirección de informática y contener
tanto procedimiento como información para ayudar a la recuperación de
interrupciones en la operación del sistema de cómputo.
Algunas compañías se resisten a tener un plan para casos de desastre o
emergencia, considerando que esto es imposible. Eso puede ser cierto en los
sistemas en línea o en tiempo real, ya que un sistema en línea difícilmente puede
ser usado en otro equipo y lo único que queda es tener una alta seguridad en los
equipos o bien computadoras en forma de "tándem".
El sistema debe ser probado y utilizado en condiciones anormales, para
que en caso de usarse en situaciones de emergencia se tenga la seguridad que
funcionará.
La prueba del plan de emergencia debe hacerse sobre la base de que la
emergencia existe y se han de utilizar respaldos (posiblemente en otras
instituciones). Hay que cambiar la configuración y, posiblemente se tengan que
usar algunos métodos manuales, no sólo simulando un ambiente ficticio cercano a
la realidad sino considerando que la emergencia existe.
Se deben evitar suposiciones que, en un momento de emergencia, hagan
inoperante el respaldo; en efecto, aunque el equipo de cómputo sea
aparentemente el mismo, puede haber diferencias en la configuración, el sistema
operativo, en discos, etc.
150
Las revisiones al plan se deben realizar cuando se haya efectuado algún
cambio en la configuración del equipo o bien en periodos semestrales. Una de las
principales objeciones al plan de emergencia es su costo; pero como en el caso de
un seguro contra incendio, sólo podemos evaluar sus ventajas si
desafortunadamente el desastre ocurre.
El plan de emergencia, una vez aprobado, se distribuye entre personal
responsable de su operación, por precaución es conveniente tener una copia fuera
de la dirección de informática.
En virtud de la información que contiene el plan de emergencia, se
considerará como confidencial o de acceso restringido.
La elaboración del plan y de los componentes puede hacerse en forma
independiente de acuerdo con los requerimientos de emergencia. La estructura del
plan debe ser tal que facilite su actualización.
Algunas emergencias pueden no afectar a toda la instalación, sino a
algunas partes tales como la discoteca y la cintoteca.
Para la preparación del plan se seleccionará el personal que realice las
actividades claves del plan. El grupo de recuperación en caso de emergencia debe
estar integrado por personal de administración de la dirección de informática (por
ejemplo, el jefe de operación, el jefe de análisis y programación y de auditoría
interna). Cada uno de ellos debe tener tareas específicas como la operación del
equipo de respaldo, la interfaz administrativa, de logística; por ejemplo, el
proporcionar los archivos necesarios para el funcionamiento adecuado. Cada
miembro del grupo debe tener asignada su tarea con una persona de respaldo
para cada uno de ellos. Se deberá elaborar un directorio que contenga los
nombres, direcciones y números telefónicos.
Los desastres que pueden suceder podemos clasificarlos así:
a) Completa destrucción del centro de cómputo
b) Destrucción parcial del centro de cómputo
c) Destrucción o mal funcionamiento de los equipos auxiliares del
centro de cómputo (electricidad, aire acondicionado, etc.)
d) Destrucción parcial o total de los equipos descentralizados
e) Pérdida total o parcial de información, manuales o documentación
j) Pérdida del personal clave
g) Huelga o problemas laborales
El plan en caso de desastre debe incluir:
-
La documentación de programación y de operación
151
Los equipos.
-
El equipo completo
El ambiente de los equipos
Datos y archivos
Papelería y equipo accesorio
Sistemas (sistemas operativos, bases de datos, programas de
utilería, programas)
El plan en caso de desastre debe considerar todos los puntos por separado
y en forma integral como sistema. La documentación estará en todo momento tan
actualizada como sea posible, ya que en muchas ocasiones no se tienen
actualizadas las últimas modificaciones y eso provoca que el plan de emergencia
no pueda ser utilizado.
Cuando el plan sea requerido debido a una emergencia, el grupo deberá:
-
Asegurar que todos los miembros sean notificados
Informar al director de informática
Cuantificar el daño o pérdida del equipo, archivos y documentos para
definir qué parte del plan debe ser activada
Determinar el estado de todos los sistemas en proceso
Notificar a los proveedores del equipo cuál fue el daño
Establecer la estrategia para llevar a cabo las operaciones de
emergencia tomando en cuenta:
-
Elaboración de una lista con los métodos disponibles para
realizar la recuperación
Señalamiento de la posibilidad de alternar los procedimientos de
operación (por ejemplo, cambios en los dispositivos, sustitución
de procesos en línea por procesos en lote)
Señalamiento de las necesidades para armar y transportar al
lugar de respaldo todos los archivos, programas, etc., que se
requieren
Estimación de las necesidades de tiempo de las computadoras
para un periodo largo
Cuando ocurra la emergencia, se deberá reducir la carga de procesos,
analizando alternativas como:
- Posponer las aplicaciones de prioridad más baja
- Cambiar la frecuencia del proceso de trabajos
- Suspender las aplicaciones en desarrollo
152
Por otro lado, se debe establecer una coordinación estrecha con el personal
de seguridad a fin de proteger la información.
Respecto a la configuración del equipo hay que tener toda la información
correspondiente al hardware y software del equipo propio y del respaldo.
Deberán tenerse todas las especificaciones de los servicios auxiliares tales
como energía eléctrica, aire acondicionado, etc., a fin de contar con servicios de
respaldo adecuados y reducir al mínimo las restricciones de proceso, se deberán
tomar en cuenta las siguientes consideraciones:
- Mínimo de memoria principal requerida y el equipo periférico que
permita procesar las aplicaciones esenciales
- Se debe tener documentados los cambios de software
- En caso de respaldo en otras instituciones, previamente se deberá
conocer el tiempo de computadora disponible
Es conveniente incluir en el acuerdo de soporte recíproco los siguientes
puntos:
- Configuración de equipos
- Configuración de equipo de captación de datos
- Sistemas operativos
- Configuración de equipos periféricos
Finalmente se deberá estudiar que se tenga una lista de los requerimientos
mínimos que deben tener para un efectivo plan de recuperación en caso de
desastre.
Lo más importante es identificar el número y tipo de componentes
esenciales que puedan ser críticos en caso de emergencia o de desastre.
I
Equipo principal (equipo, canales de comunicación, memoria, etc.)
Equipo
fabricado
Proyecto en
el equipo
¿Es esencial
para procesar?
II
Unidades de disco (incluyendo controladores, número de unidades,
paquetes de discos, número de discos por paquete).
Fabricante
Número de
unidades
Capacidad
Proyectos en
que se usa
¿Es
esencial
para
procesar?
153
III Unidades de cinta.
IV Unidades de almacenamiento (en línea o fuera de línea)
V Equipo periférico (lectoras, impresoras., etc.)
VI Unidades de comunicación, controladores.
Equipo
Número de Proyecto en ¿Es
equipo
el que se esencial
conectado
usa
para
procesar?
VII Sistemas operativos
VIII Terminales.
Equipo
Unidad/
modelo
Localización
Proyecto en el ¿Es esencial
que se usa
para procesar?
IX Equipo adicional
- Electricidad KVA
- Aire acondicionado BTU
- Temperatura requerida
- Humedad requerida
Red de comunicación
1. Descripción de la red de comunicación.
1.1 En caso de emergencia, ¿es esencial el uso de la red de
comunicación?.
Describa el porqué de su respuesta.
2. Programas necesarios para la comunicación.
Identificación
Fabricante
de los circuitos
Ejemplo
A++
Tipo/
Vaduz
Condición
Velocidad
C-1
9600
Protocolo
Asíncrono
Punto final
154
Servicio
dedicado
Multipunto
Computadora
Timeplex mux
Interfase
Dispositivo
Bell z/2
Tipo
Localización
ADM. II
Coyoacán
Méx. D.F.
Se debe contar con:
a) Copia de programas de producción
b) Copia de archivos maestros de las aplicaciones clave y sistemas
operativos
c) Copia de la documentación de los sistemas e instructivos de
operación
d) Copia de los archivos necesarios para procesar las transacciones
e) Inventario de formas especiales utilizadas en la operación normal
(se deben incluir también papelería normal, cintas magnéticas,
cintas de impresión)
j) Un local con las instalaciones necesarias (energía, aire
acondicionado, piso adecuado, etc.)
k) Convenios para el uso de computadoras compatibles
9.7 condiciones, procedimientos y controles para otorgar soporte a
otras instituciones
Una práctica conveniente, que desde hace tiempo se ha venido observando
en los centros de procesamiento es establecer arreglos con otros centros para
utilizar su equipo.
En caso de fallas mayores o en caso de desastre, como fuego,
inundaciones, explosiones, etc., a fin de evitar interrupciones de los servicios de
procesamiento por un largo periodo. Es muy conveniente que este tipo de arreglo
se llevan acabo de una manera formal, interviniendo en ellos los niveles
jerárquicos más adecuados para asegurar la seriedad del compromiso.
A.
B.
C.
D.
A quiénes se les otorga
Condiciones y controles
Procedimientos
Tiempo, periodicidad y costo
NOTA: Es muy importante que señales si nos proporcionan servicio o si
nosotros proporcionamos el respaldo o si se tiene.
155
10
__________________________________________________________________
Informe final
10.1 Técnicas para la interpretación de la información.
Para interpretar la información podemos utilizar desde técnicas muy
sencillas hasta técnicas complejas de auditoría.
10.1.1 Análisis crítico de los hechos
Una de las primeras técnicas es el análisis crítico de los hechos. Esta
técnica sirve para discriminar y evaluar la información; es una herramienta muy
valiosa para la evaluación y se basa en la aplicación de las siguientes preguntas.
PREGUNTA
Qué
Dónde
Cuándo
Quién
Cómo
Cuándo
FINALIDAD
el propósito
el lugar
el orden y el momento, sucesión
la persona responsable
los medios
la cantidad
La pregunta más importante es "qué", pues la respuesta permitirá saber si
puede ser:
Eliminada
Modificada o cambiada
Simplificada
Las respuestas que se obtengan deben ser sometidas a una nueva
pregunta "Por qué", la cual planteará un nuevo examen que habrá de justificar la
información obtenida. Cada interrogante se debe descomponer de la siguiente
manera:
156
1. Propósito
a) qué se hace
b) por qué se hace
c) qué otra cosa podría hacerse
d) qué debería hacerse
2. Lugar
a) dónde se hace
b) por qué se hace ahí
c) en qué otro lugar podría hacerse
d) dónde debería de hacerse
3. Sucesión
a) cuándo se hace
b) por qué se hace entonces
c) cuándo podría hacerse
d) cuándo deberá hacerse
4. Persona
a) quién lo hace
b) por qué lo hace esa persona
c) qué otra persona podría hacerlo
d) quién debería hacerlo
5. Medios
a) cómo se hace
b) por qué se hace de ese modo
c) de qué otro modo podría hacerse
d) cómo debería hacerse
6. Cantidad
a) cuánto se hace
b) por qué se hace esa cantidad (volumen)
c) cuánto podría hacerse
d) cuánto debería hacerse
10.1.2 Metodología para obtener el grado de madurez del sistema
Para poder interpretar la información de los sistemas debemos evaluar el
grado de madurez de los mismos.
- Verificar si el sistema está definido
- Verificar si el sistema está estructurado
- Verificar si el sistema es relativamente estable
- Verificar si los resultados son utilizados o no
157
CARACTERÍSTICAS
DEFINIDO
ESTRUCTURADO
ESTABLE
RESULTADOS
MADURO
COMPLETAMENTE
ALTO
NO CAMBIA
UTILIZADOS
INMADURO
INCOMPLETO
BAJA
MUCHOS CAMBIOS
NO UTILIZADOS
Dependiendo del grado de madurez y su grado de estructuración, se
determina si debe estar automatizado y la posible madurez que repercutirá en una
mejor utilización y en disminución de cambios.
Si el sistema está estructurado y maduro, se debió usar la técnica de
sistema de información; si está estructurado pero no está maduro se debió seguir
haciéndolo manualmente; si está semiestructurado y maduro se podrá usar la
técnica de soporte en la toma de decisiones (DSS= Decisión system support).
Si el sistema está semiestructurado pero no está maduro, debió seguirse
haciendo en forma manual; si no está estructurado y maduro es un sistema guiado
por la intuición y deberá seguirse haciendo en forma manual. Si no está
estructurado ni maduro el sistema no tiene razón de existir.
NIVEL DE MADUREZ
MADURO
INMADURO
NIVEL ESTRUCTURA
ESTRUCTURADO
SISTEMA
DE
INFORMACIÓN
GENERAL
SEMIESTRUCTURADO SISTEMA
SOPORTE
DE MANUAL
DE
DECISIONES
NO ESTRUCTURADO
INTUITIVO
SIN
RAZÓN
10.1.3 Uso de diagramas
Otra forma de analizar los hechos es seguir la ruta de información desde su
origen hasta su destino y disponer de este camino en una secuencia cronológica,
con el fin de clarificar dónde aparece, cómo avanza a lo largo del sistema y cómo
llega a su destino. Esta técnica ayuda a hacer un estudio objetivo de todos los
paros por los cuales deberá de pasar la información.
158
10.2 Evaluación de los sistemas
Se debe evaluar el desarrollo que ha tenido el sistema por medio de
analizar los pasos que comprendieron el desarrollo del sistema y comparar lo que
se planeó contra lo que realmente se esta obteniendo.
ANÁLISIS
Se debe evaluar la información obtenida en los sistemas para poder:
Determinar el objeto y compararlo con lo obtenido
Buscar la interrelación con otros sistemas
Evaluar la secuencia y flujo de las interacciones
ETAPAS DEL ANÁLISIS
1.
Análisis conceptual
- Evaluar el sistema funcional
- Evaluar la modularidad del sistema
- Evaluar la segmentación del sistema
- Evaluar la fragmentación del sistema
- Evaluar la madurez del sistema
- Evaluar los objetivos particulares del sistema
- Evaluar el flujo actual de información
- Definir el contenido de los reportes y compararlo con el objetivo
2.
-
Detalle de análisis actuales y esperados
Evaluar los modelos de los reportes
Evaluar los controles de operación
Cuantificar el volumen de información
Evaluar la presentación y ajustes
Se debe conocer en términos generales el nivel del sistema funcional para
obtener los elementos suficientes que permitan evaluar el nivel de interacción, su
grado de estructuración y la madurez del sistema con el fin de determinar si se
justifica su automatización.
1. EVALÚE EL OBJETIVO
Evalúe que el objetivo general y el alcance del sistema funcional estén en
forma clara y precisa. Esta actividad se encarga de delimitar el sistema
obteniendo todo lo relacionado con él, mediante las entrevistas a los
usuarios involucrados con el fin de evaluar si se cumplió con el objetivo. Las
versiones que ofrezcan los usuarios deberán ser confrontadas para verificar
su compatibilidad
159
2. EVALÚE LA INTERACCIÓN CON OTRO SISTEMAS
Se debió analizar la información del sistema con el propósito de localizar
sus interacciones y sus contactos con otros sistemas a fin de determinar si
existe un sistema integral de información, sistemas aislados o simplemente
programas o si existe redundancia y ruido y cuáles son los controles con
que cuenta el sistema. Para evaluar todas las entradas y salidas que tienen
lugar en el sistema, esta parte de la auditoría determina el flujo de
operación y también todas las entradas y salidas que ocurren internamente.
La manera de desarrollar esta actividad es usar aquellos documentos de
información que maneja el sistema rastreando las fuentes y destinos
elaborando o reservando la matriz de recepción/distribución de los
documentos y la matriz de entradas/salidas.
3. EVALÚE SI SE OBTIENE LA SECUENCIA Y EL FLUJO DE LAS
INTERACCIONES
Para llevar a cabo esta actividad es necesario establecer el flujo de
información a través del sistema, tomando la matriz de entradas/salidas y
agregándole el orden de ocurrencia así como la periodicidad. Grafíquela en
un plano horizontal para tratar de encontrar duplicidad de información. Este
plano debe hacerse de tal manera que refleje un período de tiempo así
como el orden de ocurrencia.
4. EVALÚE EL SISTEMA FUNCIONAL
Dado que ya se evaluó el objetivo, las interacciones y su flujo, lo que se
hace es analizarlo para tener una idea más clara de su función. Tomando
como base los elementos de los primeros tres pasos, se debe verificar si es
congruente con su objetivo, es decir, si la descripción define sus propósitos.
En esta etapa se evalúa "qué hace" el sistema.
5. EVALÚE LA MODULARIDAD DEL SISTEMA
Esta actividad subdivide el sistema en partes que puedan ser procesadas
en forma independiente, pero cuyo objetivo particular es buscar el objetivo
general del sistema funcional, correspondiendo a cada módulo una función
general del sistema.
Así mismo una función general del sistema consiste en identificar
aquellas partes de él donde ocurre una entrada, un proceso y se obtiene un
resultado parcial.
6. EVALÚE LA SEGMENTACIÓN DEL SISTEMA
Este paso tiene por objeto subdividir los módulos en funciones
particulares, de tal manera que el conjunto de funciones defina al módulo
en cuestión. En esta parte deben evaluarse aquellas funciones que son
realizadas para distintos módulos (interconexión modular); cada función
extraída del módulo debió ser consistente y validada con el usuario.
160
7. EVALÚE LA FRAGMENTACIÓN DEL SISTEMA
Se subdivide el segmento en funciones específicas o procedimientos,
pues cada función particular o segmento puede contener uno o más
procedimientos. As su vez cada procedimiento puede estar formado por
distintos niveles (Jerarquía de procedimientos); dependiendo de su
complejidad en esta parte se debe evaluar haciendo énfasis en "qué hace"
y no el cómo lo hace ya que esto se evalúa en el análisis detallado.
8. EVALÚE EL FLUJO FUNCIONAL DE INFORMACIÓN DEL SISTEMA
Identifique en cada documento su origen y su seguimiento a través de las
diferentes entidades o departamentos por donde transita; a la vez vaya
identificando sus adiciones y supresiones de información. Por último
identifique cómo y dónde llega a su destino. Se recomienda el uso de 1
diagrama de flujo de información.
9. EVALÚE LOS DOCUMENTOS DE ENTRADA Y EL CONTENIDO DE
LOS REPORTES
Se deben evaluar las formas de entrada, su contenido, claridad,
controles, copias solicitadas y autorizaciones, verificar que los reportes o
pantallas de salida contengan todos los datos necesarios sin importar de
dónde provienen. El uso que se le da, quién los prepara y a quién van
dirigidos.
10. EVALUÉ LOS CONTROLES DE OPERACIÓN DEL SISTEMA
Se debe evaluar claramente en qué parte del proceso operacional si se
llevan a cabo controles, analizando sobre qué variables se ejerce y cómo s
ejerce (procedimiento) y las acciones a tomar en cada situación dada, es
decir, se evalúan su razón de ser, su método y su grado de sensibilidad.
11. CUANTIFIQUE EL VOLUMEN DE INFORMACIÓN QUE SE
MANEJARÁ
La importancia de este paso es tener una idea en la aproximación de los
recursos que se necesitan se están siendo usados correctamente la
situación del equipo y la posibilidad de incremento de equipo.
Se obtiene sumando los caracteres involucrados en los reportes y
documentos utilizados, especificando el número de veces que ocurre cada
rubro y la longitud de ellos.
El sistema deberá tener las siguientes características:
GENERALIDAD. Que busca objetivos amplios pensando en que las
aplicaciones pueden ser ampliadas.
FLEXIBLE. Que puede ser susceptible de ser implantado en diferentes
ambientes y equipos.
CONFIABILIDAD. Esto es, que sea capaz de detectar posibles errores para
que éstos no se procesen.
161
SEGURIDAD. Que el sistema cuente con dispositivos para que sólo la
gente autorizada pueda tener acceso a la información.
Fácil de usarse y operable, o sea que tenga la capacidad para
recuperarse de una falla del equipo.
CONFIDENCIALIDAD. Accesible sólo a aquellas personas autorizadas
para su manejo, consulta y explotación.
MODIFICABLE. Que se traduce en la capacidad del sistema para
adiciones, sustituciones o eliminación de elementos con el fin de efectuar
nuevas funciones o deje de efectuar otras, sin alterarse las que no se
deseen.
12. EVALUACIÓN DE LOS ARCHIVOS.
Analice al detalle los archivos de información involucrados en el sistema
señalando sus atributos y propiedades, su estructura, clasificación,
organización, factor de bloque, frecuencia de uso, campos, códigos,
tamaño. Se recomienda hacer referencia a los programas que lo usan.
13. EVALUACIÓN DE REPORTES.
Se evaluarán las formas de salida de los reportes, o sea la infraestructura
de lo mismo, mediante el diseño de la forma y la distribución de su
contenido, validándola con el usuario.
Programa que lo genera
Archivos usados
Frecuencia
Usuario
Contenido
PRUEBAS Y REVISIONES.
El objetivo es asegurarse que el sistema funcione de acuerdo a las
especificaciones funcionales a fin de que el usuario tenga la suficiente información
para su manejo, operación y aceptación. (Es recomendable utilizar la información
obtenida en las opiniones de los usuarios).
Esta actividad es muy importante ya que el costo de corregir errores es
directamente proporcional al momento en que se detecta.
Las pruebas del sistema buscan asegurar que se cumplan los requisitos de
las especificaciones funcionales, verificando datos estadísticos, transacciones,
reportes, archivos anotando las fallas que pudieran ocurrir y realizando los ajustes
necesarios. Los niveles de prueba pueden ser agrupados en módulos, programas
y en el sistema total.
162
10.3 Evaluación de los sistemas de información
Esta función tiene gran importancia en el ciclo de evaluación de las
aplicaciones de sistemas de información por computadora. Busca comprobar que
la aplicación cumpla las especificaciones requeridas por el usuario, que haya
desarrollado dentro de lo presupuestado y que efectivamente cumpla con los
objetivos y beneficios esperados.
Un cambio a un sistema existente, como la creación de un nuevo, introduce
necesariamente cambios en la forma de obtener la información y un costo
adicional. Ambos deberán ser evaluados antes y después del desarrollo.
Se debe evaluar el cambio (si lo hay) de la forma en que las operaciones
son ejecutadas, comprobar si mejora la exactitud de la información generada, si la
obtención de los reportes efectivamente reduce el tiempo de entrega, si es más
completa, en que tanto afecta las actividades del personal usuario, si aumenta o
disminuye el personal de la organización, los cambios de las interacciones entre
los miembros de la organización. De ese modo se sabrá si aumenta o disminuye el
esfuerzo por generar la información para la toma de decisiones, con el objeto de
estar en condiciones de determinar la productividad y calidad del sistema.
El análisis deberá proporcionar: la descripción del funcionamiento del
sistema desde el punto de vista del usuario, indicando todas la interacciones del
sistema, la descripción lógica de cada dato, las estructuras que forman éstos, el
flujo de información que tiene lugar en el sistema. Lo que el sistema tomará como
entradas, los procesos que serán realizados, así como las salidas que deberá
proporcionar, los controles que se afectarán para cada variable y los
procedimientos.
De este modo se agruparán en cuatro grandes temas.
EVALUACIÓN EN LA EJECUCIÓN
EVALUACIÓN EN EL IMPACTO
EVALUACIÓN ECONÓMICA
EVALUACIÓN SUBJETIVA
1. EVALUACIÓN EN LA EJECUCIÓN
Se refiere al uso de cuestionarios para recabar datos acerca de la actuación
de la aplicación en la computadora, con objeto de conocer qué tan bien o qué tan
mal está siendo usada y opera eficientemente.
Los cuestionarios son medios para recopilar datos acerca de los recursos
de informática y pueden ser cuestionarios manuales, encuestas de opiniones,
evaluación de documentación, obtención de información electrónica integrada al
equipo (hardware) y de programas ejecutándose (software), obteniéndose en
ambas las estadísticas acerca de su uso.
163
Existen dos tipos de estadística:
1. Estadística de software
Son un juego de instrucciones ejecutables, conectadas al sistema
operativo con el fin de colectar datos acerca de la operación del
sistema ya„cerca de los programas de aplicación; éste requiere
memoria y proceso adicional, decrementando la rapidez del
microprocesador. Esta estadística ayuda a detectar qué recursos
adicionales se necesitan o qué recursos existentes deben ser
ejecutados para lograr más eficiencia, ayuda a identificar cuáles
son los lenguajes más usados, qué tipo de proceso es más
común, etc.
2. Estadística de hardware
Puede ser utilizada para medir la cantidad de tiempo de la unidad
de procesamiento central, pero también podrá ser concentrada a
los canales de comunicación y dispositivos de almacenamiento
secundario para determinar la frecuencia y la cantidad utilizada.
Estos dos tipos de estadística normalmente son proporcionados por el
fabricante de computadoras, pero algunos pueden ser desarrollados por la propia
organización.
2. EVALUACIÓN EN EL IMPACTO
Es la evaluación que se hace sobre la manera en que afecta a la gente que
interviene en la aplicación (usuarios) con el objeto de determinar como la
implantación y el uso del sistema de información que afecta a la organización,
distinguiendo qué factores son directamente atribuibles al sistema. Las principales
áreas que nos deben interesar son las que intervienen en la toma de decisiones y
en las actividades de operación.
Esta evaluación se hace con el fin de detectar a la gente involucrada , las
actividades que son necesarias realizar, la calidad de la información y el costo de
operación resultante.
Algunas expectativas deben ser elaboradas y jerarquizadas antes de
empezar a diseñar el sistema con el fin de que, cuando se instale, se compruebe
si los resultados satisfacen plenamente lo planeado.
Asimismo se debe evaluar el efecto que se tiene sobre el ambiente del
sistema (personas, leyes, etc.). Para ello contamos con varias técnicas que nos
ayudan en este propósito, las cuales son:
a) Bitácora de eventos
b) Registro de actitudes
c) Contribución y peso
d) Análisis de sistemas
164
PRESUPUESTO
3. EVALUACIÓN ECONÓMICA
Aquí se obtiene el costo de una aplicación y cuantifican los beneficios
esperados con el objeto de justificar o no su desarrollo, o comprobar que la
aplicación se desarrolló según lo presupuestado.
Es importante para la organización obtener la evaluación económica que le
permitirá justificar su desarrollo e implantación.
Cuando la aplicación ha sido realizada, se busca obtener el costo real
contra el beneficio real para comprobar o determinar el porqué de la diferencia de
los presupuestado y/o la calidad de la aplicación.
Se debe evitar crear sistemas que perjudiquen la organización y minen su
economía. Hay que tratar de obtener el mayor beneficio con el equipo disponible e
invertir en equipos adicionales sólo cuando esté plenamente justificada la
inversión por los beneficios que se obtendrán.
4. EVALUACIÓN SUBJETIVA
Partiendo de la premisa de que los usuarios son los principales afectados
directamente por el sistema, sus puntos de vista y necesidades deberán ser
considerados para la evaluación.
Los que procesan los datos, el personal de sistemas y personal de alta
dirección deberán también participar en la determinación de los beneficios
económicos de la actividad particular a ser desarrollada.
La justificación de la evaluación subjetiva se centra en que la opinión del
grupo usuario proporciona un punto de vista más completo de la aplicación,
ayudando a obtener aquellos factores que se hubieran pasado por alto.
Los métodos de la evaluación subjetiva pueden ser:
a) Uso de cuestionarios
b) Desarrollo de una metodología que midiera el valor de la
información generada por la aplicación y por la ganancia de su
uso.
10.4 Controles
Un punto muy importante a considerar dentro de la auditoría en informática
son los controles, los cuales se dividen en generales, operativos (dependiendo del
sistema) y técnicos (equipos y sistemas).
165
Los controles generales normalmente se aplican a todo procesamiento de
la información y son independientes de las aplicaciones, estos controles incluyen:
- Planeación
- Organización
- Políticas y procedimientos
- Estándares
- Administración de recursos
- Seguridad
- Confidencialidad
Los controles operativos comprenden cada uno de los sistemas en forma
individual y constan de:
- Control de flujo de la información y tabla de decisiones
- Control de proyectos
- Organización del proyecto
- Reporte de avance
- Revisiones del diseño del sistema
- Control de cambios a programa
- Requisición del cambio
- Bitácora de cambios
- Mantenimiento y documentación
- Producción
- Controles de documentación
- Documentación (sistema, programa)
- Mantenimiento y acceso a la documentación
- Control de sistemas y programas
- Sistemas en lote
- Control de programas
- Etiquetado de archivos
- Sistemas en línea
- Controles de salida
- Control de programa
- Controles de salida
Los controles técnicos que se deben de evaluar son:
- Controles de operación y uso de la computadora
- Supervisor
- Capturistas
- Bibliotecario
- Operadores
- Mesa de control
166
- Controles de entrada y salida
- Reporte de fallas y mantenimiento preventivo
- Controles sobre archivos
- Recuperación de desastres
- Controles de usuarios De origen de datos
- Controles de entrada de datos
- Controles de salida de datos
- Controles técnicos
- Aplicaciones Sistemas
- Equipos
- Controles lógicos del sistema
- Sistemas operativos
- Sistemas de utilería
- Sistemas de bibliotecas
- Sistemas de mantenimiento de archivo
- Sistemas de seguridad
- Control de acceso al sistema
- Control de cambios al sistema
- Redundancia en la información
- Inconsistencia de datos
- Seguridad
- Controles de seguridad, respaldo y confidencialidad
10.5 Confección y redacción del Informe Final
La función de la auditoría se materializa exclusivamente por escrito. Por lo
tanto la elaboración final es el exponente de su calidad.
Resulta evidente la necesidad de redactar borradores e informes parciales
previos al informe final, los que son elementos de contraste entre opinión entre
auditor y auditado y que pueden descubrir fallos de apreciación en el auditor.
167
Estructura del informe final:
•
•
•
•
El informe comienza con la fecha de comienzo de la auditoría y la fecha de
redacción del mismo. Se incluyen los nombres del equipo auditor y los
nombres de todas las personas entrevistadas, con indicación de la jefatura,
responsabilidad y puesto de trabajo que ostente.
Definición de objetivos y alcance de la auditoría.
Enumeración de temas considerados: antes de tratarlos con profundidad, se
enumerarán lo más exhaustivamente posible todos los temas objeto de la
auditoría.
Cuerpo expositivo: Para cada tema, se seguirá el siguiente orden a saber:
a. Situación actual. Cuando se trate de una revisión periódica, en la que se
analiza no solamente una situación sino además su evolución en el tiempo,
se expondrá la situación prevista y la situación real.
b. Tendencias. Se tratarán de hallar parámetros que permitan establecer
tendencias futuras.
c. Puntos débiles y amenazas.
d. Recomendaciones y planes de acción. Constituyen junto con la exposición
de puntos débiles, el verdadero objetivo de la auditoría informática.
e. Redacción posterior de la Carta de Introducción o Presentación.
Modelo conceptual de la exposición del informe final
-
El informe debe incluir solamente hechos importantes. La inclusión de
hechos poco relevantes o accesorios desvía la atención del lector.
El Informe debe consolidar los hechos que se describen en el mismo. El
término de "hechos consolidados" adquiere un especial significado de
verificación objetiva y de estar documentalmente probados y soportados.
La consolidación de los hechos debe satisfacer, al menos los siguientes
criterios:
1. El hecho debe poder ser sometido a cambios.
2. Las ventajas del cambio deben superar los inconvenientes
derivados de mantener la situación.
3. No deben existir alternativas viables que superen al cambio
propuesto.
4. La recomendación del auditor sobre el hecho debe mantener o
mejorar las normas y estándares existentes en la instalación.
La aparición de un hecho en un informe de auditoría
necesariamente la existencia de una debilidad que ha de ser corregida.
implica
168
Flujo del hecho o debilidad:
1. Hecho encontrado.
- Ha de ser relevante para el auditor y para el cliente.
- Ha de ser exacto, y además convincente.
- No deben existir hechos repetidos.
2. Consecuencias del hecho
- Las consecuencias deben redactarse de modo que sean
directamente deducibles del hecho.
3. Repercusión del hecho
- Se redactará las influencias directas que el hecho pueda tener
sobre otros aspectos informáticos u otros ámbitos de la empresa.
4. Conclusión del hecho
- No deben redactarse conclusiones más que en los casos en que
la exposición haya sido muy extensa o compleja.
5. Recomendación del auditor informático
- Deberá entenderse por sí sola, por simple lectura.
- Deberá estar suficientemente soportada en el propio texto.
- Deberá ser concreta y exacta en el tiempo, para que pueda ser
verificada su implementación.
- La recomendación se redactará de forma que vaya dirigida
expresamente a la persona o personas que puedan
implementarla.
- Carta de introducción o presentación del informe final:
La carta de introducción tiene especial importancia porque en ella ha de
resumirse la auditoría realizada. Se destina exclusivamente al responsable
máximo de la empresa, o a la persona concreta que encargo o contrato la
auditoría.
Así como pueden existir tantas copias del informe Final como solicite el
cliente, la auditoría no hará copias de la citada carta de introducción.
La carta de introducción poseerá los siguientes atributos:
• Tendrá como máximo 4 folios.
• Incluirá fecha, naturaleza, objetivos y alcance.
• Cuantificará la importancia de las áreas analizadas.
• Proporcionará una conclusión general, concretando las áreas de
gran debilidad.
• Presentará las debilidades en orden de importancia y gravedad.
• En la carta de introducción no se escribirán nunca
recomendaciones.
169
11
__________________________________________________________________
Diferentes
auditoría
enfoques
de
la
11.1 Introducción
Existen estudios en relación con la función informática que hacen la
siguiente aseveración " La función informática no está ni ha estado bien
administrada", esto quiere decir que generalmente a la problemática que se
presenta se le da un seguimiento por excepción y no por función ya que en las
empresas no están establecidos los controles preventivos, correctivos o detectivos
necesarios para administrarla de manera adecuada y que toda la problemática se
resuelve después de haber aparecido de manera momentánea sin establecer un
control definitivo, teniendo como consecuencia un despilfarro en los recursos
informáticos y en recursos económicos, por lo que se hace cada vez mas evidente
la necesidad de establecer una evaluación periódica y permanente de las áreas
involucradas en esta función para lograr una operatividad eficiente de acuerdo con
las normas establecidas, que es lo que se conoce como auditoría en informática.
Esta se puede llevar a cabo teniendo dentro de la organización esta función o
contratando asesores externos.
Las auditorias en informática pueden ser realizadas con diferentes
metodologías, en donde cada una de ellas es elaborada por para obtener el
mismo producto final, que es el llamado: "informe final" que es donde se plasman
todas las recomendaciones del grupo de auditores con el objetivo de que la
función de informática trabaje de la manera más eficiente y eficaz y disminuir la
170
incertidumbre de la interrupción de la misma. Es necesario que los auditores
tomen en cuenta las siguientes tres normas:
•
•
•
Normas personales
Normas de ejecución del trabajo
Normas de información
Normas personales
1. La evaluación debe de ser realizada por una persona o personas que
tengan el entrenamiento técnico y la capacidad profesional adecuada
para realizarla.
2. En todos los asuntos relacionados con el trabajo, el auditor o los
auditores deben mantener imparcialidad mental.
3. Tener el debido cuidado y diligencia profesional en el desarrollo de la
evaluación y en la preparación del informe.
Normas de ejecución del trabajo.
1. El trabajo se debe planear adecuadamente y los colaboradores, si es el
caso, deben ser supervisados en forma adecuada.
2. Se debe efectuar un estudio y evaluación del control interno existente
como base de la confianza que se va a depositar en él, y como
fundamento de la extensión de las pruebas a que deberán sujetarse los
procedimientos de auditoría.
3. Se debe obtener la evidencia suficiente y competente a través de
inspecciones en el área de trabajo, observaciones, investigaciones y
confirmaciones que permitan establecer la base razonable sobre la que
se apoya el dictamen a los sujetos a la revisión.
Normas de información
1. El informe deberá expresar una opinión relacionada a cada una de las
áreas evaluadas, haciendo referencia al cumplimiento o no de la
normatividad establecida en cada una de ellas, en caso de que no se
pueda dar una recomendación adecuada, deberá de establecer las
razones que lo llevan a ello.
171
Primer enfoque
Enrique Hernández Hernández autor del Libro "Auditoría en Informática" en
su segunda Edición, escribe lo siguiente:
Que es necesario la implantación en la empresa una estructura
organizacional que permita tener dentro de ella la función de auditoría en
informática, basada en las siguientes estrategias y cursos de acción
Estrategias:
1) Formalizar la auditoría en informática en la organización a través de:
a) Cursos de acción que justifiquen el desarrollo de la función de
auditoria informática en el negocio.
b) Presentar a la alta dirección el documento de justificación.
c) Aprobación del proceso por la alta dirección.
d) Difusión de la auditoría en informática en las áreas relacionadas
directa e indirectamente con la informática.
e) Desarrollo del proceso de auditoría en informática en el negocio.
2) Proporcionar a la empresa o institución un proceso de auditoría en
informática permanente con objetivo de garantizar a la alta dirección:
a) Que la seguridad, políticas y procedimientos que se orientan hacia
los recursos de informática y a la información que éstos manejan
sean eficientes y confiables.
b) Apoyo a los objetivos del negocio al tomar decisiones con base a
información que cumpla con los requisitos mínimos exigidos por
auditoría, como exactitud, totalidad, autorización, actualización, etc.
Asimismo, se cumplirán los requerimientos exigidos de calidad y
oportunidad.
c) La verificación del uso de tecnología que requiere y justifica cada
área y nivel organizacional dentro del negocio.
d) La existencia de un proceso de evaluación y justificación de cada
proyecto de inversión relacionado con la función informática.
e) La elaboración y desarrollo formal de un proceso de planeación en
informática que se oriente al plan del negocio.
172
f)
El uso formal de metodologías, técnicas y herramientas por el
personal de informática para el desempeño eficiente de sus tareas y
generador de productos de calidad.
g) Promover que el personal de informática se desarrolle en un
ambiente de profesionalismo y de alta productividad tomando como
base habilidades, conocimientos y perfiles requeridos por la
organización.
Cursos de acción:
1. Lograr que la alta dirección, las áreas o departamentos usuarios y el
personal, de informática tomen conciencia de la necesidad de contar
con una función de auditoría en informática que asegure y oriente el uso
eficiente de los recursos involucrados con la misma.
2. Formalizar un procedimiento que contemple la difusión, asimilación de
los planes, objetivos, beneficios y áreas de oportunidad que representa
la auditoría en informática para la organización.
3. Una vez aprobada la creación o contratación de externos para el
proceso de auditoría en informática, se produce a la planeación y
desarrollo formal del mismo.
4. El proceso de planeación de la auditoría en informática ha de reflejar
proyectos que contemplen prioridades para la alta dirección, áreas de
oportunidad para el negocio y evaluaciones que la función de auditoría
en informática considere fundamentales para el aseguramiento de la
calidad y uso eficiente de los recursos de informática y de la información
manejada por dichos recursos.
5. Coordinar formalmente las visitas y reuniones necesarias con el
personal usuario y de la informática involucrado en cada proyecto.
6. Ejecutar de manera formal y oportuna cada proyecto de acuerdo con lo
planeado.
7. Entregar a la alta dirección informes ejecutivos y detallados de cada
proyecto aprobado por el comité de trabajo. Dicho comité puede estar
integrado por la dirección general, gerentes usuarios, gerentes de
sistemas, gerentes de auditoría interna y auditores externos.
8. Lograr que las áreas y los niveles involucrados en los proyectos de
auditoría en informática que reconozcan la importancia que representa
el apoyo formal y oportuno que requiere este tipo de proyectos para la
implantación de las soluciones emanadas del proceso.
9. Investigar, analizar y formalizar la metodología de auditoría en
informática utilizado por el personal de la función con el objeto de
orientar los requerimientos actuales y futuros de la organización,
tomando en cuenta las políticas, procedimientos y estándares
recomendados a nivel nacional e internacional por las asociaciones y
entidades profesionales especializadas en el campo.
173
10. Elaborar un programa de actualización de personal de auditoría en
informática, que mida su desempeño con base en los objetivos logrados
contra los objetivos planeados.
11. Orientar los esfuerzos de la función de auditoría en informática hacia la
búsqueda y logro de soluciones que apoyen los objetivos del negocio.
Después de organizar el área busca la ubicación jerárquica de la función de
auditoría informática, tratando de que los auditores cuenten con:
•
•
•
•
•
Independencia funcional.
Libertad de acción.
Facultad para la toma de decisiones.
Negociación con los niveles gerenciales.
Involucramiento en proyectos de alto impacto para el negocio.
Y esta puede estar de dos formas:
1. A nivel estratégico
2. A nivel táctico
174
1. Nivel estratégico (Equipo de apoyo a la dirección)
Características
Independencia funcional
Beneficios
Comunicación formal y
permanente entre la alta
dirección
y
los
responsables de auditoría
en informática
El proceso de auditoría Apoyo
y
soporte
opera estratégicamente
constante de la alta
dirección a la función
Por lo general se haya en Objetivo
en
el
instituciones financieras, desempeño de la función
de crédito
Posibles limitaciones
El
seguimiento
del
desempeño de la función
por parte de la alta
dirección
En gran parte de las
empresas no se acepta la
auditoría en informática
No
existen
muchos
profesionales
con
experiencia, técnicas y
habilidades
requeridas
para ejercer la función de
auditoría informática a un
nivel estratégico.
Existe un compromiso
permanente con la alta
dirección
Personal de auditoría con
visión del negocio
175
2. Nivel táctico (gerencias, jefaturas)
Características
No hay independencia
funcional respecto a otras
direcciones o gerencias
Beneficios
La alta dirección la
considera una función
indispensable
para
observar el cumplimiento
de
políticas
y
procedimientos
de
informática en el negocio
La
función
tienen
contacto
con
los
responsables para la
toma de decisiones
Se encuentra en los
diversos sectores de la
comunidad,
con
frecuencia en ciertas
instituciones de crédito,
gubernamentales y en
grado menor en el sector
industrial y educativo.
Se limita mucho al estilo Existen
asociaciones,
de trabajo del nivel consultores y escuelas
superior al que reporta
profesionales
que
impulsan diariamente la
formalización
de
la
función, al menos a un
nivel táctico.
Posibles limitaciones
Se debilita el compromiso
y soporte de la alta
dirección hacia la función
El
porcentaje
de
empresas que considera
importante contar con
una función a este nivel
es mínimo.
No
existen
muchos
profesionales
con
experiencia, técnicas y
habilidades
requeridas
para ejercer la función de
auditoría informática a un
nivel táctico.
Después de analizar que tipo de estructura tendrá la función de informática,
se analiza de quien dependerá, y para ello se plantean cuatro posibles escenarios:
176
1. Dependiendo de la dirección o gerencia de auditoría.
Consideraciones clave de la
función en el entorno del
negocio
Independiente de la función de
informática y de las otras
áreas de la empresa donde se
dará la auditoría en informática
Integración de los controles y
políticas de informática a los
establecidos para las otras
áreas del negocio.
Ventajas/áreas
oportunidad
de
Integración de los controles y
políticas de informática a los
establecidos para las otras
áreas del negocio
Hay
una
planeación
y
desarrollo
conjunto
de
proyectos con las otras áreas
de auditoría
Se
asegura
control
y
seguimiento sobre todos los
recursos y proyectos de
informática.
Desventajas/restricciones
Las áreas del negocio no
aceptan con facilidad ser
evaluadas por personal de la
misma empresa.
2. Dependiendo de la dirección o gerencia de informática
negocio
Hay dependencia de tipo
funcional hacia el director o
gerente de informática
El director o gerente de
informática
debe
ser
negociador y facilitador para
impulsar
el
proceso
de
auditoría en informática en
todo el negocio, no sólo en su
área
Ventajas/áreas
oportunidad
de
Se facilita en alto grado de
nivel de apoyo de informática
Conocimiento
formal
y
oportuno de los proyectos e
inversiones de informática
Incertidumbre acerca de qué
anomalías,
carencias
e
incumplimiento de la función
informática se hagan del
conocimiento de la alta
dirección de manera formal y
oportuna.
El enfoque de la auditoría en
informática es limitarse a ser
una entidad que “sugiere, no
que controla o asegura”
Se agiliza el proceso de
concientización en el personal
de
informática
en
el
cumplimiento de políticas y
controles
177
3. Como personal de apoyo de la dirección general
negocio
La función se ubica como una
entidad estratégica dentro del
negocio
El responsable de la función
debe tener una visión de
negocio
Hay un compromiso de dar
resultados que generen valor
agregado.
Ventajas/áreas
oportunidad
de
Apoyo permanente de la alta
dirección en la difusión e
implantación
de
políticas,
controles y procedimientos
Las áreas del negocio se
comprometen a cumplir las
políticas y controles inherentes
a informática de una manera
formal.
Se justifica el perfil de
ejecutivo del auditor en
informática.
La alta dirección debe dar
seguimiento al desempeño de
informática con conocimiento
de causa
Se reduce el margen de error
en cada uno de los proyectos
de auditoría en informática al
ser evaluados por la alta
dirección.
Se orientan los proyectos de
informática.
4. Como función de auditoría en informática ejercida por externos
negocio
Los
proyectos
con
los
asesores externos deben ser
coordinados por la dirección o
gerencia de auditoría o
informática.
Se da cuando se carece de la
función de información, o si
ésta existe se busca asegurar
o validar información relevante
para la alta dirección.
El personal externo ha de
contar con amplia experiencia
en este ramo y ser reconocido
por su trayectoria en el
mercado regional o nacional al
menos.
Debe evaluarse su desempeño
una vez terminado su trabajo.
Ventajas/áreas
oportunidad
de
Los despachos o asesores
externos por lo general se
apoyan en métodos, técnicas y
estándares de auditoría en
informática
comúnmente
aceptados a nivel nacional e
internacional.
Son personal de n nivel
profesional
más
que
aceptable,
debido
a
su
experiencia
y
constante
actualización.
Existe un compromiso moral y
profesional del auditor en
informática para ejercer la
asesoría de manera ética e
independiente.
Pueden darse
información.
fugas
de
Se
exigen
resultados
y
beneficios desde el inicio de
los proyectos.
En ocasiones las soluciones y
recomendaciones no son las
adecuadas para el negocio.
Si es contratado por el
responsable de la informática
puede estar influido en el
momento de elaborar y
entregar el informe final del
trabajo.
Se requiere compromiso y
participación formal de todos
los involucrados.
Costos altos y difíciles de
controlar.
El tiempo de asimilación de lo
que e el negocio puede
prolongarse.
178
Una vez que es ubicada la función de auditoría en informática en
alguna de las cuatro estructuras jerárquicas anteriores, es necesario para
hacer rentable la función, establecer las funciones que debe realizar, entra
las que se encuentran como mínimas las siguientes:
a) Evaluación y verificación de los controles y procedimientos
relacionados con la función de informática dentro de la
organización.
b) La validación de los controles y procedimientos utilizados para el
aseguramiento estable del uso eficiente de los recursos
informáticos dentro de la organización.
c) Evaluación, verificación e implantación oportuna de los controles
y procedimientos que se requieren para el aseguramiento del
buen uso y aprovechamiento de la función de informática.
d) Aseguramiento permanente de la existencia y cumplimiento de
los controles y procedimientos que regulan las actividades y
utilización de los recursos de informática de acuerdo con las
políticas de la organización.
e) Desarrollar la auditoría informática conforme normas y políticas
estandarizadas a nivel nacional e internacional.
f) Evaluar las áreas de riesgo de la función de informática y
justificar su evaluación con la alta dirección del negocio.
g) Elaborar un plan de auditoría en informática en los plazos
determinados por el responsable de la función.
h) Obtener la aprobación formal de los proyectos del plan y
difundirlos entre los involucrados con el mismo.
i) Administrar o ejecutar de manera eficiente los proyectos
contemplados en el plan de auditoría en informática.
Habla de la necesidad de administrar la función de auditoría en
informática con la finalidad de verificar que al menos cumplan con los
principios básicos del proceso administrativo, con el objetivo de que esta
función realmente aporte beneficios a la organización, mediante el
desempeño eficiente dentro de la misma, siendo los más importantes:
a) la planeación, es necesaria para establecer de manera conjunta
con los demás auditores de la empresa fechas probables de
revisión de las áreas, unificación de metodologías, capacitación
de personal de auditoría de manera conjunta, seguimiento de
debilidades importantes que se hayan detectado, etc.
179
b) el personal, este es verdaderamente importante en la realización
de una auditoría en informática, debido que depende mucho de
los conocimientos los auditores, así como de la experiencia
profesional el éxito de la misma. Por lo que es importante
recalcar que es necesario establecer el perfil necesario de los
auditores que se necesitan dentro de la organización para
tomarlo en cuenta al momento de la contratación de personal, así
como de la participación de personal de la función de informática
para su aprobación.
c) el control, aquí se encuentra la supervisión, que es una parte
importante de la auditoría en informática ya que permite
visualizar mediante un proceso continuo la planeación de la
auditoría finiquitada con la entrega del informe final.
d) el seguimiento del desempeño, es importante para evaluar:
-
Productividad y calidad de los proyectos.
Avances de proyectos
Resultados.
Áreas susceptibles de control y seguimiento.
Seguimiento individual y de grupo.
con el objetivo de que esta función realmente aporte beneficios a la
organización , mediante el desempeño eficiente dentro de la misma.
La metodología para el desarrollo e implantación de la auditoría en
informática es verdaderamente importante para llevarla a cabo, ya que
brinda al grupo de auditores un camino estructurado que les permita llevar a
cabo tareas, actividades, productos terminados, revisiones, funciones,
responsabilidades, etc.; orientándolos a trabajar en equipo para la
obtención de productos terminados de buena calidad.
Es conveniente recalcar que una metodología no augura el éxito de
una auditoría, además se requiere de un buen dominio de:
Técnicas
Herramientas de productividad
Habilidades personales
Conocimientos técnicos y administrativos
Experiencia en los campos de auditoría e informática
Conocimiento de los factores del negocio y del medio externo al
mismo
Actualización permanente
180
Involucramiento y comunicación constante con asociaciones
nacionales e internacionales.
Otras
La metodología de auditoría en informática esta formada por seis etapas.
181
1. Etapa preliminar o diagnóstico del negocio
Es el primer paso práctico del auditor en informática dentro de las empresas
o instituciones al efectuar un proyecto de auditoría en informática. Se busca la
opinión de la alta dirección para estimar el grado de satisfacción y confianza que
tiene en los productos, servicios y recursos de informática del negocio; de la
misma forma es posible detectar las fortalezas, aciertos y apoyo que brinda dicha
función desde la perspectiva de los directivos del negocio.
Tareas
Diagnóstico
negocio
Productos terminados
del Misión y objetivos del negocio
Organización de informática
Grado de apoyo al negocio
Diagnóstico
informática
de Misión y objetivos de la función
de informática
Organización de informática
Control (formalidad)
Productos y servicios
Detectar área
oportunidad
de Área de oportunidad
mejoras inmediatas
para
Responsables Involucrados
LP/RAI
AD
LP/RAI
AS
LP/RAI
AD/PU
LP/RAI
RI
LP/RAI
LP/RAI
LP/RAI
RI
RI/PI
RI
LP/RAI
AD/PU/RI
Nomenclatura : AD = Alta Dirección; PU = Personal Usuario; RI = Responsable
del área de informática; PI = Personal de informática; RAI = Responsable del área de
Auditoría Informática; LP = Líder del Proyecto de Auditoría Informática; AI = Auditor en
Informática.
En esta etapa del proceso metodológico se estiman las áreas de
informática que deben de auditarse y se bosquejan tiempos, costos y recursos
inherentes a dicha revisión. Esto se hace una vez que el auditor conoció:
1)
Del negocio:
•
•
•
•
•
•
•
Giro de la empresa.
Áreas organizacionales y procesos básicos que componen la
empresa.
Planes o proyectos del negocio que involucren a informática.
Cultura organizacional.
Imagen del desempeño del departamento o área de informática
ante la alta dirección.
Apoyo de la dirección a informática.
Fortalezas y debilidades de informática, según la alta dirección.
182
2)
Del área de informática
• Estructura.
• Puestos y funciones globales, servicios relevantes, planes o
proyectos del área cultural de trabajo.
• Consideraciones del responsable de informática relativas al
apoyo que recibe de la alta dirección de la empresa.
• Fortalezas y debilidades del área, según el responsable de
informática.
2. Etapa de justificación.
Una vez finalizada satisfactoriamente la etapa preliminar, el auditor en
informática debe iniciar la siguiente etapa de la metodología que corresponde a la
justificación; cabe mencionar que en esta etapa el auditor puede llevara a cabo
actividades en paralelo lo que es válido y justificado si éste cuenta con los
recursos y la experiencia necesarios en este tipo de proyectos.
Tareas
Reductos
terminados
Realizar matriz de Matriz de riesgos
riesgo
Responsables
Justificar la auditoría Justificación de la
por cada área de matriz de riesgos
revisión
Hacer
un
plan Plan general
general de auditoría informática
en informática
Aprobación del plan
de
Plan aprobado
Involucrados
LP/AI
RAI
LP/AID
RAI
LP
RAI/AI
LP
RAI/RI
Informática.
En esta etapa se obtienen tres productos terminados importantes que son:
1. Matriz de riesgos, que define las áreas que van a ser auditadas, en
dónde su formato es el siguiente:
__________________________________________________________________
Empresa:
Gerencia:
Representante usuario: Representante de informática:
Fecha de elaboración:
Líder del proyecto
Áreas susceptibles Aspectos o componentes Riesgo por Clasificación del riesgo Área por auditar
de auditar
por evaluar del área
componente por áreas (Total)
Según clasificación
183
Las consideraciones que se deben de tomar en cuenta al elaborar la matriz
de riesgos son:
• Es una tarea relevante y necesaria para el auditor en informática.
• Los parámetros para medir el nivel de riesgos pueden cariar de acuerdo
con factores como la experiencia y conocimiento en la auditoría, así
como las áreas que conforman informática o el grado de profundidad y
análisis que desee darle el auditor en informática.
• Algunos hechos pueden indicar directamente al auditor en informática la
existencia de riesgos relevantes.
• Revisar la matriz de riesgos con el responsable de auditoría en
informática.
• Asegurarse de contar con el soporte que requieran las debilidades o
anomalías detectadas (entrevistas, cuestionarios analizados revisados y
documentados) para ser validadas oportunamente.
2. Plan general de auditoría en informática, que consiste en plantear las
tareas más importantes que se ejecutarán durante cierto período al
efectuar la auditoría en informática.
__________________________________________________________________
Empresa:
Gerencia:
Representante usuario:
Representante de informática:
Áreas por auditor según
Clasificación y
Prioridades
Aspectos o componentes
del área por auditor
Fecha de elaboración:
Líder del proyecto:
Prioridad
asignada
Clasificación del riesgo Fecha de inicio/
por área (total)
Fecha de
terminación
(estimadas)
Este se elabora después de haber terminado la matriz de riesgos y los
principales aspectos que debe contemplarse en su elaboración, son:
•
•
•
El plan general de auditoría en informática se deriva de los siguientes
elementos:
- Áreas de oportunidad.
- Matriz de riesgos.
- Prioridades de la alta dirección, de auditoría, de informática o de la
misma función de auditoría en informática.
En esta etapa se elabora sólo el plan de auditoría general ya que sólo
se busca la aprobación y análisis por parte de la alta dirección.
Es importante la retroalimentación constante entre el líder del proyecto
u los demás involucrados.
184
Y dentro de las principales actividades del auditor para elaborar el plan
general de auditoría en informática, son:
•
•
•
•
•
•
•
•
Estimar el tiempo necesario para auditar cada área determinada en la
matriz de riesgos y en las tareas de apoyo con el fin de alcanzar las
áreas de oportunidad planteadas.
Analizar y definir los aspectos y componentes más relevantes que se
evaluarán, tomando en cuenta las características propias del negocio,
Si es necesario verificará la importancia y validez de los puntos
anteriores con los involucrados sin consumir mucho tiempo ni aplicar
tecnicismos en las entrevistas que pueden ser por vía telefónica, por fax
o personales.
Asignar prioridades a cada área por evaluar o revisarlas con los
principales involucrados en el proyecto.
Definir fechas estimadas de inicio y terminación por área de revisión, no
por componente.
Establecer fechas de revisión formales (firmas, aprobaciones) e
informales (avances).
Definir responsables e involucrados directos por etapas del proyecto.
Otras de interés para el auditor en informática según las características
del proyecto y del negocio.
3. Compromiso ejecutivo, aquí se otorga el visto bueno al líder del proyecto para
continuar con las siguientes etapas de la metodología.
En esta etapa, es necesario presentar para lograr el compromiso del
ejecutivo, los siguientes aspectos:
•
Presentación del plan con la información de soporte requerida bien
documentada y validada con los principales involucrados:
Resumen del diagnóstico actual.
Áreas de oportunidad.
Matriz de riesgos.
Prioridades.
Otros comentarios que sirvan de apoyo.
Ser objetivo y claro al exponer el plan general.
Justificar cada una de las áreas a auditar con datos concretos y
bien documentados.
185
Lograr que la alta dirección tome conciencia del compromiso
requerido para la culminación exitosa del proyecto.
Recibir la aprobación formal del plan general (firma)
El líder del proyecto debe indicar las fechas de inicio y
terminación estimadas.
Para la elaboración del plan general de auditoría en informática, el auditor
en informática o líder del proyecto deberá tomar en cuenta lo siguiente:
•
•
•
•
•
•
•
•
•
•
•
•
Revisión del plan general
Considerar fecha posible de reunión con los involucrados en esta
tarea.
Documentar y resumir el diagnóstico actual.
Verificar y documentar áreas de oportunidad y matriz de riesgos.
Justificar cada área de revisión con los datos obtenidos
anteriormente.
Recomendar o negociar fecha de revisión y aprobación del plan con
los involucrados.
Efectuar reunión.
Exponer y justificar el plan de auditoría en informática.
Obtener aprobación formal del plan general.
Establecer fechas de inicio del proyecto.
Obtener el compromiso del ejecutivo en el transcurso del proyecto.
Otros que el auditor en informática considere pertinentes.
3. Etapa de adecuación
El objetivo principal de esta etapa, es la de adaptar el proyecto de auditoría
a las características del negocio, sin olvidar la referencia de estándares, políticas y
procedimientos de auditoría en informática comúnmente aceptados y
recomendados por las asociaciones relacionadas con el proceso, así como las
formuladas y aprobadas de manera particular en los negocios para informática.
Una vez concluida esta etapa, el auditor en informática contará con un
proyecto bien especificado y clasificado adaptado a las necesidades de la
empresa en particular a través de un conjunto de tareas estructuradas, definiendo
con certeza los objetivos y requerimientos particulares para concluir positivamente
la revisión de las área mencionadas en el plan de auditoría informática.
En está etapa se obtiene como producto terminado, el plan detallado de
auditoría en informática, además por área de revisión deberá definir:
186
•
•
•
Técnicas y herramientas.
Estándares, políticas y procedimientos.
Cuestionarios.
Tareas
Definir los objetivos Objetivos y alcances
del proyecto
proyecto
del
Responsables
LP
Involucrados
RAI
Definir etapas del Etapas y sus tareas
proyecto y su detalle Plan actualizado
Responsables e involucrados
Revisiones (formal e informal)
AI
AI
AI
AI
AI
LP
LP
LP
LP
LP
Definir
los Aspectos o elementos por
elementos por áreas evaluar por cada área de
de revisión
revisión
Técnicas
Software
Equipo de cómputo
Otros de interés para el auditor
AI
LP
AI
AI
AI
AI
LP
LP
LP
LP
Definición
o Políticas y procedimientos por
actualización
de verificar de cuerdo con cada
políticas por área
área que será auditada
Políticas complementarias
AI
LP
AI
LP
Elaboración
actualización
cuestionarios
área
o Cuestionarios por cada área
de que será auditada
por
AI
LP
Cuestionarios adicionales
RAI
LP
Informática.
Conforme avanza el proyecto de auditoría en informática es probable que
surjan actualizaciones en prioridades, involucrados, requerimientos, etc., que
obligan a actualizar el plan de auditoría en informática que en la etapa anterior se
estableció el compromiso con el ejecutivo; por lo que es necesario:
1.
2.
Primero justificar la actualización,
Llevar una bitácora de cambios, en donde se registre:
• El cambio.
• Motivo del cambio.
187
•
•
•
•
•
•
•
Responsable de solicitar el cambio.
Tareas o fechas que afecta.
Área(s) por evaluar afectadas por el cambio.
Responsable de aprobar el cambio.
Fecha del cambio.
Plan actualizado.
Otros que el auditor en informática considere necesarios para la
culminación exitosa del proyecto.
3. Evitar caer en 4 el ciclo de actualización-terminación-actualizaciónterminación.
Es importante mencionar que en esta etapa es recomendable que se
realicen dos planes detallados con orientación diferente y objetivo común: el llevar
a cabo la administración del proyecto:
1. Un plan interno, que su propósito principal poder verificar el
cumplimiento del proceso metodológico por parte de los auditores en
informática. Este plan puede hacerse antes de la etapa preliminar o de
diagnóstico.
Tareas
Productos
Involucrados
Responsables
Revisiones
Duración
Preliminar
Justificación
Adecuación
Formalización
Desarrollo
Implantación
2. Plan detallado de auditoria informática, el cual contiene datos que
pretenden ser guía del proyecto de auditoría en informática ya que
describen tareas, productos terminados, responsables, involucrados,
fechas de revisión, etc.
Tareas
Actividades
Productos
Responsable
Terminados
Involucrados
Fechas inicio/
fecha término
Fecha
de revisión
4. Etapa de formalización.
Esta etapa puede llevarse a cabo al mismo tiempo que la etapa de
adecuación si existen los recursos y los involucrados se encuentran disponibles.
Aquí una vez detectadas las debilidades, fortalezas más importantes, de
haber definido las áreas que serán auditadas, y tener todo documentado se busca
la aprobación formal de la alta dirección la cual no debe de prolongarse
demasiado ya que en ya se obtuvo en la elaboración del plan detallado en
informática en la etapa de adecuación el visto bueno de los usuarios clave y del
personal de informática.
188
Las tareas, productos terminados, responsables e involucrados son:
Tareas
Verificar prioridades Prioridades clasificadas
y cursos de acción
Área por auditar verificadas
Verificar
plan
actividades
Responsables
LP
AI/LP
y Etapas y sus tareas
Plan detallado final
Presentación formal Proyecto
del proyecto
auditoría
revisado
de
la
Aprobación formal Aprobación del proyecto
del proyecto de Compromiso ejecutivo
auditoría
en Inicio formal del proyecto
informática
Presentación
proyecto
a
usuarios
informática
del Entendimiento del proyecto
los Aceptación del proyecto
de Compromiso para cada una
de las áreas involucradas
Definir las áreas por
visitar y concertar
citas con el personal
que se entrevistará
Fechas de entrevistas
Fechas de visitas
Fechas para la aplicación de
cuestionarios.
Involucrados
RAI
RAI
AI
AI
LP
LP
RAI
AD/PU/RI
AD/PU/PI
AD
LP
RAI/LP
RAI/RI/PU
AD/PU/PI
RI
PI/PU
PI/PU
LP/AI
LP/AI
LP/AI
LP
LP
LP
PI/PU
PI/PU
PI/PU
Nomenclatura : AD = Alta Dirección; PU = Personal Usuario; RI = Responsable del área
de informática; PI = Personal de informática; RAI = Responsable del área de Auditoría
Informática; LP = Líder del Proyecto de Auditoría Informática; AI = Auditor en Informática.
En esta etapa es importante señalar cuales son las prioridades,
entendiéndose por prioridad como las acciones que se deben llevar a cabo antes
que las demás sugeridas para el proyecto. Esto se debe de justificar por:
•
•
•
•
Urgencia de mejorar algún hecho que perjudica en alto grado el
negocio.
Un requerimiento específico de la alta dirección.
Implantación de algún proceso previamente justificado.
Otros.
Además tomar en cuenta las restricciones, que son los hechos o
circunstancias identificables que pueden ocurren o que pueden ocurrir durante el
transcurso de la auditoría que afecten directa o indirectamente el proyecto. Estas
limitaciones o carencias por lo general que no se pueden resolver de inmediato o a
lo largo del proyecto. Aquí en esta misma etapa es necesario determinar el
189
alcance del proyecto de tal forma que se defina la cobertura específica que tendrá
el proyecto, además de aclarar qué se realizará que vendrían a ser las tareas y
etapas y los resultados que serían los productos terminados que se obtienen de
cada una de las etapas de la metodología.
La presentación formal•del plan de auditoría en informática en una de las
tareas más importante para el líder del proyecto en informática ya que esto le
permitirá obtener la aprobación formal del proyecto por parte de la alta dirección
de la empresa y dar paso a la siguiente etapa de la metodología, por lo que es
importante tomar en cuenta algunas actividades primordiales para su aprobación,
como son:
•
•
•
•
•
Asegurarse de contar con toda la información en un formato de
presentación resumida e inteligible, ya que su principal audiencia será la
alta dirección, los usuarios clave y el responsable de informática.
Revisarla y verificarla con este último.
Concertar la cita en fecha y lugar apropiados.
Ser fluido, claro y contundente en la presentación de la información.
Asegurar el entendimiento de la audiencia de los datos presentados.
Para esto se debe tomar en cuenta consideraciones clave como:
•
•
•
•
•
•
Contar con el soporte documentado de los que se presentará.
No concertar la cita para la reunión si tiene sin aclarar dudas o
pendientes de tareas anteriores.
Hacer del conocimiento a la alta dirección de la importancia de su apoyo
para el éxito del proyecto conciencia
Tratar que los presentes comprendan que forman un equipo de trabajo.
En caso de ser necesario buscar el apoyo de los usuarios clave y/o del
responsable de informática.
Presentar un resumen de la matriz de riesgos, áreas de oportunidad,
plan detallado de auditoría
5. Etapa de desarrollo.
Está es la etapa más importante del auditor en informática, ya que aquí es
donde va a ejercer su función práctica de acuerdo con los estándares, normas y
procedimientos recomendados por las asociaciones profesionales como la AMAI
(Asociación Mexicana de Auditoría en Informática) o el IMCP (Instituto Mexicano
de Contadores Públicos).
190
Es importante la aplicación de los conocimientos y la experiencia de los
auditores para adecuada evaluación que salvaguarde la integridad y rentabilidad
de la información, además de otros recursos de informática en la empresa.
El auditor en informática siempre debe trabajar con profesionalismo,
entusiasmo y sensibilidad, ética personal, tener una metodología de trabajo, en la
revisión de las áreas seleccionadas, de tal forma que logre combatir la resistencia
hacia el proceso de revisión que permita el trabajo en equipo, para lograr
establecer la se realicen revisiones por parte de la función de auditoría en
informática de periódica y programada.
En esta etapa el auditor debe de realizar las siguientes tareas:
Tareas
Concretar citas
Fechas
aprobadas
actualizadas
Responsables
AI
Involucrados
PI/PU
Verificar
tareas,
involucrados, etc.
Tareas, involucrados, etc.,
revisado
AI
PI/PU
Clasificar
técnicas,
cuestionarios
y
herramientas por usar
Técnicas clasificadas
Cuestionarios clasificados
Herramientas clasificadas
AI
AI
AI
LP
LP
LP
Efectuar entrevistas
Entrevistas realizadas
Entrevistas documentadas
Entrevistas analizadas
AI
AI
LP/AI
PI/PU
AI
RAI
Aplicar cuestionarios
Cuestionarios aplicados
Cuestionarios documentados
Análisis de cuestionarios
AI
AI
LP/AI
PI/PU
AI
RAI
Visitas realizadas
Comentarios documentados
Análisis de comentarios
AI
AI
LP/AI
RI/PI/PU
AI
RAI
AI
LP
AI
AI
LP
LP
AI
LP
AI
LP
AI
LP
AI
LP
Efectuar
visitas
verificación
de
o
Observaciones (acerca de
debilidades o carencia de
controles)
Áreas de oportunidad
Alternativas por cada área de
oportunidad detectada
Recomendaciones (acciones
específicas) por alternativa
Responsables de ejecutar
cada acción
Plazos de ejecución por
acción
Áreas auditadas clasificadas
191
Informe
documentado,
almacenado y clasificado
AI
LP
Revisar el informe por
área
Borrados de auditoría en
informática revisado
LP
RAI/AI
Autorizar el borrador por
área
Informe preliminar revisado
Informe preliminar corregido
Informe preliminar entregado
Informe preliminar autorizado
LP
AI
LP
AD/PI/PU
PI/PU/AI
LP
LP
AD/PI/PU
Efectuar
entrevista,
cuestionarios y visitas
complementarias
Entrevistas, cuestionarios y
vistas pendientes realizados
Informe
actualizado
con
observación de las áreas
auditadas
LP/AI
PI/PU
AI
LP
Elaborar informe final
Informe final revisado con
información de las áreas
auditadas
Informe con visto bueno del
responsable de la función de
Informe
almacenado
en
medios
magnéticos
(respaldo)
Documentación del informe
para la alta dirección
Documentación del informe
para responsables de los
usuarios de informática y
para responsables del área
de informática
AI
LP
RAI
LP/AI
AI
AI
LP/AI
RAI
AI
LP
LP/AI
RAI
LP/AI
RAI
Elaborar un plan general
de acciones sugeridas
Acciones clasificadas por
plazos sugeridos
Costo / beneficio del plan
Aprobar el informe y plan
de implantación
Informe de auditoría en
informática y plan aprobados
AD/RI/PU
RAI/LP
Presentación del plan de
auditoría en informática y
plan de implantación
Informe final presentado a la
alta dirección RAI
Informe
presentado
a
personal usuario y de
informática
RAI
AD/RI/LP
LP/AI
PI/PU
Aprobar informe final
Revisión del informe de
Aprobación del informe de
Compromiso ejecutivo
AD/RI/PU
RAAI/LP/PI
AD/RI
RAI/LP/PU
AD/RI
RAI/PU
192
Nomenclatura : AD = Alta Dirección; PU = Personal Usuario; RI = Responsable del área de
informática; PI = Personal de informática; RAI = Responsable del área de Auditoría Informática; LP =
Líder del Proyecto de Auditoría Informática; AI = Auditor en Informática.
Es importante que para obtener un producto final de calidad y beneficios
tangibles para el negocio al final de la etapa de desarrollo, que el auditor en
informática, al revisar las áreas requeridas realice las siguientes acciones:
• Basarse en el plan de auditoría en informática elaborado y aprobado
en las etapas anteriores para la secuencia y duración de su trabajo
en esta etapa.
• No interrumpir la continuidad de las operaciones de la empresa.
• Utilizar técnicas y herramientas según lo demande cada tarea del
área actual.
• Apoyar su trabajo con políticas y estándares comúnmente
aceptados.
• Involucrar a los usuarios y personal de informática según lo amerite
cada tarea.
• Utilizar los cuestionarios para cada área auditada.
• Aplicar entrevistas de manera profesional y adecuarlas al perfil de
cada entrevistado.
• Respetar las políticas que imperan en el ' medio cuando se realicen
visitas a las áreas de informática.
Es conveniente que el auditor realice informes preliminares con la siguiente
información:
•
•
•
•
•
•
•
•
Áreas de oportunidad para mejorar de inmediato los procesos de
negocio apoyados en informática.
Observaciones (debilidades) de los aspectos de informática
auditados.
Recomendaciones preliminares para cada una de las observaciones
recomendadas.
Responsables de ejecutar las recomendaciones.
Actualización del plan de auditoría informática
Revisión detallada de los aspectos que tengan un impacto
considerable en la operación del negocio o que soporten alguna
estrategia del negocio.
Comunicación abierta con, los usuarios y el personal de informática
involucrados.
Presentar un plan de implantación de auditoría en informática
factible y realista que contemple los siguientes elementos:
Debilidades o carencias de control, su problemática y
causas que lo originan.
Acciones inmediatas de corto y mediano plazo.
193
Responsable e involucrados en la implantación de
estándares, políticas y procedimientos en cada componente
de informática que así lo requiera.
Análisis costo / beneficio del proyecto de implantación.
Aprobación formal de los directivos, usuarios y del
responsable de informática.
6. Etapa de implantación.
En esta etapa es la más importante para el personal involucrado en la
auditoría en informática ya que termina el trabajo del auditor y a ellos les
corresponde llevar a cabo las recomendaciones hechas en el informe final de
auditoría. La labor del auditor estriba en dar seguimiento y apoyo.
Es conveniente hacer mención que aunque la labor del auditor se menciono
que es de seguimiento y apoyo no debe de desatenderse en esta etapa ya que
una recomendación puede no llevarse a cabo por distintas razones de la manera
que se indicó y provocar que estas no resuelvan las situaciones (debilidades)
encontradas en las áreas auditadas.
En esta etapa se obtienen los siguientes productos terminados:
Tareas
Productos terminado
Responsables
Involucrados
Definir
requerimiento Recursos
humanos,
para el éxito del plan de tecnológicos y financieros
implantación
requeridos para el éxito de la
implantación sugerida por
Recursos aprobados
Personal de trabajo para la
implantación
Equipo de trabajo aprobado
Funciones
y
responsabilidades
Fechas de revisión
Resultados esperados
Análisis costo / beneficio
revisado
Análisis costo / beneficio
revisado
Inicio de la implantación
RI/PU
LP
AD
RI/PU
RI/PU/LP
LP
AD
RI/PU
RI/PU/LP
LP
RI/PU
RI/PU
RI/PU
LP
LP
LP
AD
RI/PU/LP
RI/PU
LP
Desarrollar el plan de Plan
de
implantación
implantación detallado
revisado
según
los
resultados de la primera
tarea.
Plan
de
implantación
corregido y actualizado
Documentar plan final
RI/PU
LP/AI
PI
AI/PU
RI
AI/PU
194
Plan final aprobado
Efectuar la implantación Inicio de los proyectos
sugerida por auditoría Tareas terminadas
en informática
Presentación de implantación
Implantación aprobada
Seguimiento
a
la
implantación del plan
recomendado por la
auditoría
Acciones de seguimiento
seleccionadas
Seguimiento
de
la
implantación
Revisiones informales
Revisiones formales
Aseguramiento de calidad
Implantación exitosa final
Implantación aprobada
AD
PI/PU/LP
PI/PU
PI/PU
RI
AD/PI/PU
RI
RI
AD/RAI/LP
RI/RAI/LP
LP
RAI/AI
LP
AI
LP
LP
LP
LP
RAI
AI
AI
RAI
RAI
RAI
Nomenclatura : AD = Alta Dirección; PU = Personal Usuario; RI = Responsable del área
de informática; PI = Personal de informática; RAI = Responsable del área de Auditoría
Informática; LP = Líder del Proyecto de Auditoría Informática; AI = Auditor en Informática.
En esta etapa es necesario y conveniente que el auditor en informática,
realice revisiones posteriores a la implantación que le den la certidumbre de que la
empresa va por buen camino, realizando:
• Visitas rápidas a las áreas más importantes de la función de informática
que se evaluaron con el objetivo de tomar las medidas necesarias que
aseguren la correcta implantación de estándares, políticas o
procedimientos relativos a informática.
Fortalezas y debilidades de la metodología.
Fortalezas.
1. Tener un camino estructurado para llevar a cabo acciones de auditoría
en informática.
2. Esta orientada en gran parte a buscar la implementación de la función
de auditoría en informática dentro de la empresa buscando la estructura
organizacional más adecuada.
3. Busca mediante la participación de directivos, usuarios clave y personal
de informática desarrollar conciencia de la importancia de auditoría en
informática como práctica permanente.
4. Obtener un informe final que permita detectar las debilidades de la
empresa con formalidad y oportunidad para que puedan ser resueltas
satisfactoriamente.
5. El personal participante (alta dirección, usuarios clave y personal de
informática) se desarrolla como un equipo de trabajo, para lograr el
éxito del proyecto.
195
6. Recomienda el respeto a los estándares, políticas y procedimientos
establecidos en la empresa.
7. Se tiene identificado plenamente los productos terminados por cada una
de las etapas de la metodología, de tal manera que sabemos
perfectamente para que se están realizando cada una de las tareas.
8. Permite establecer tiempos de duración de la auditoría.
9. Establece prioridades.
Debilidades.
1. Define que es auditoría en informática, pero no define todas las demás
auditorias que tienen relación con la informática como:
•
•
•
•
Auditoría de sistemas.
Auditoría administrativa
Auditoría financiera / contable
Etc.
2. Para poder dar inicio al Desarrollo de la auditoría en informática, es
necesario antes llevar a cabo la etapa de: diagnóstico, justificación,
adecuación y formalización; en las cuales existe una inversión
considerable de tiempo.
3. No menciona la forma de interpretar la información de los datos
obtenidos en el desarrollo de la auditoría en informática a través de
cuestionarios, entrevistas, visitas físicas a las áreas a evaluar, etc.
4. Si la auditoría se llevara a cabo por personal externo el
desconocimiento de la empresa conlleva a una gran inversión de
tiempo.
5. No se habla de llevar a cabo auditorias de cumplimiento.
6. No existe una recomendación de tiempo para llevar a cabo las
auditorias entre una y otra.
7. Manejo de conceptos muy básicos.
196
Segundo enfoque
El autor José Antonio Echenique en su libro titulado Auditoría en
Informática, hace mención del desarrollo que han presentado las empresas a
través del tiempo mediante la utilización de la tecnología informática para el
procesamiento de datos para la generación de información, que es usada para la
toma de decisiones y la cual para que realmente pueda ser útil debe de ser:
confiable, veraz y oportuna.
Las estructuras organizacionales en las empresas también ha venido
cambiando de tal forma que existe una descentralización de equipos aunada a una
centralización de información provoca una gran diversidad de problemas para la
toma de decisiones y organización de las áreas de informática. Por lo que unos de
los problemas más frecuentes dentro de las áreas de informática es la falta de
organización que les permita realizar su trabajo de una forma eficiente y eficaz que
les permita avanzar al ritmo de las exigencias de la organización.
No resulta extraño que existan áreas de informática en donde no se
conozca el uso adecuado de las técnicas y herramientas por parte del personal
originado una serie de problemas que provocan el incumplimiento o interrupción
de la función informática; por lo que es necesario establecer los controles
preventivos, correctivos y detectivos a través de un seguimiento por función para
lograr establecerlos de manera permanente y disminuir la incertidumbre de fallas
imprevistos que originan pérdida de recursos humanos, materiales y económicos.
Por lo anterior expuesto, es necesario tomar conciencia de la importancia
de la auditoría en informática dentro de las empresas llevada a cabo por personal
de la empresa o por asesores externos.
En este estudio el autor divide su revisión en tres partes:
1. Evaluación de la función informática.
2. Evaluación de los sistemas.
3. Evaluación del proceso de datos y de los equipos de cómputo,
incluyendo la evaluación de la seguridad.
La auditoría en informática inicia con una planeación de la auditoría en
informática que debe señalar en forma detallada el alcance y dirección esperados
y debe comprender un plan de trabajo para que, en caso de que existan cambios o
condiciones inesperadas que ocasiones modificaciones al plan general, sean
justificadas por escrito. La planeación de la auditoría en informática, se hace de
acuerdo a tres puntos de vista:
197
1. Evaluación administrativa del área de procesos electrónicos,
2. Evaluación de los sistemas y procedimientos,
3. Evaluación de los equipos de cómputo,
y da inicio con una investigación preliminar en donde se debe conocer la
información sobre:
a) Administración, qué permita tener una visión general del área de
informática por medio de observaciones, entrevistas preliminares y
solicitudes de documentos para poder definir alcances y objetivos del
mismo. Para lo cual se debe de solicitar:
• Información a nivel organizacional.
• Información a nivel del área de informática.
• Recursos materiales y técnicos.
• Información de los sistemas.
Una vez terminada la planeación se debe de analizar cuál será el personal
participante en donde se recomienda que el grupo de trabajo sea multidisciplinario,
cuente con las características necesarias para llevar a cabo la auditoría en
informática; pero también se debe de pensar en el personal asignado por la
empresa para asesorar en la auditoría así como el apoyo de la alta dirección para
logra el éxito del mismo.
Una vez que se tiene la planeación de la auditoría en informática y el
personal participante es necesario formalizar el trabajo mediante una carta
compromiso del auditor dirigida a la empresa para la confirmación del mismo.
Es importante llevar un control de avance de la auditoría que permita
cumplir con los procedimientos de control y que permita asegurar que el trabajo se
lleva a cabo de acuerdo con el programa de auditoría, con los recursos estimados
y en el tiempo señalado en la planeación.
En la evaluación de la función informática se debe de:
1. Recopilar la información organizacional, para determinar si:
a. Las responsabilidades en la organización están definidas
adecuadamente.
b. La estructura organizacional está adecuada a las necesidades.
c. El control organizacional es el adecuado.
d. Se tienen los objetivos y políticas adecuadas, se encuentran
vigentes y están bien definidas.
e. Existe la documentación de las actividades, funciones y
responsabilidades.
f. Los puestos se encuentran definidos y señaladas sus
responsabilidades.
198
g. El análisis y descripción de puestos está de acuerdo con el
personal que los ocupa.
h. Se cumplen los lineamientos organizacionales.
i. El nivel de salarios comparado con el mercado de trabajo
j. Los planes de trabajo concuerdan con los objetivos de la
empresa.
k. Se cuenta con los recursos humanos necesarios que garanticen
la continuidad de la operación o se cuenta con "indispensables".
I. Se evalúan los planes y se determinan desviaciones.
2. Evaluar la estructura orgánica.
3. Evaluar los recursos humanos.
4. Entrevistar al personal de informática, que sirve para determinar:
a. Grado de cumplimiento de la estructura organizacional
administrativa.
b. Grado de cumplimiento de las políticas y los procedimientos
administrativos.
c. Satisfacción e insatisfacción.
d. Capacitación.
e. Observaciones generales.
5. Conocer la situación presupuestal y financiera, para conocer:
a. Los costos del departamento de informática, desglosado por
áreas y controles.
b. Presupuesto del departamento de informática, desglosado por
áreas.
c. Características de los equipos, número de ellos y contratos.
En la evaluación de los sistemas realiza:
1. Evaluación de sistemas.
2. Evaluación de análisis.
3. evaluación del diseño lógico del sistema.
4. evaluación del desarrollo del sistema.
5. Control de proyectos.
6. control y diseño de sistemas y programación.
7. Instructivos de operación.
8. Forma de implantación.
9. Equipo y facilidades de programación.
10. entrevistas a usuarios.
199
En
revisan:
1.
2.
3.
4.
la evaluación del proceso de datos y de los equipos de cómputo se
Controles.
Orden en el centro de cómputo.
Evaluación de la configuración del sistema de cómputo.
Productividad.
En la evaluación de la seguridad de revisa:
1. Seguridad lógica y confidencial ¡dad.
2. Seguridad en el personal.
3. Seguridad física.
4. Seguros.
5. Seguridad en la utilización del equipo.
6. Procedimientos de respaldo en caso de desastre.
7. Condiciones, procedimientos y controles para otorgar soporte a otras
instituciones.
Una vez realizadas las evaluaciones se procede a la interpretación de la
información que permite realizar las conclusiones de la auditoría y presentarla de
la siguiente forma:
1. Dando una breve descripción de la situación actual en la cual se reflejen
los puntos más importantes.
2. Una descripción detallada que comprenda: a. Los problemas
detectados.
b. Posibles causas, problemas y fallas que originaron la situación
presentada.
c. Repercusiones que puedan tener los problemas detectados.
d. Alternativas de solución.
e. Comentarios y observaciones de la dirección de informática y de
los usuarios sobre las soluciones propuestas.
f. Si se opta por alguna alternativa de solución, cuáles son sus
repercusiones, ventajas y desventajas y el tiempo estimado para
efectuar el cambio.
3. Se debe de hacer hincapié en cómo se corregirá el problema o se
mejorará una determinada situación, se obtendrán los beneficios, en
cuánto tiempo y cuáles son los puntos débiles.
4. Se debe romper la resistencia a la lectura que tienen algunos ejecutivos
por medio de conclusiones concretas que sean sencillas (procurando
que se entiendan los términos técnicos y, si es posible, usar técnicas
audiovisuales).
200
Fortalezas y debilidades de la metodología.
Fortalezas.
1. Por ser más práctica y conocer el negocio de una manera más rápida la
inversión de recursos es menos.
2. La clasificación de los recursos para realizar la auditoría en informática,
permite que se pueda realizar por partes.
3. Puede ser realizada por personal de la empresa o por personal externo,
ya que no pretende establecer la función de auditoría en informática.
4. Existe una definición de las auditorias, así como la relación existente
con las auditorias en informática, lo que permite determinar cual de ellas
se va a llevar a cabo en cada una de las partes.
5. Proporciona elementos de control de proyectos.
6. Establece un procedimiento para ayudar a la interpretación de la
información recolectada durante la evaluación.
7. Proporciona elementos para la evaluación de las áreas.
Debilidades.
1. No se habla de llevar a cabo auditorias de cumplimiento.
2. No se establecen los productos terminados ni los involucrados por área.
201
12
__________________________________________________________________
Conclusiones
La globalización de la economía y el aumento de volúmenes de información
en las organizaciones tanto a nivel nacional como mundial hace necesario la
implementación e implantación de tecnologías modernas, que originan algunas
ventajas y desventajas, como:
a) una acentuada dependencia hacia los sistemas de información
que la genera,
b) creación de áreas de oportunidad,
c) aumento considerable a la comisión de delitos informáticos por
personal externo o interno a la organización,
d) generación de información de forma más eficiente, e) altos
costos por compra o desarrollo de software, f) altos costos de
inversión inicial...
lo que hace necesario la búsqueda de un ámbito adecuado para evitar al máximo
las pérdidas por las debilidades o amenazas que presenta la organización; y es
aquí donde la auditoría en informática cobra importancia, ya que con su
desarrollo se logra el aseguramiento continuo de que los recursos de informática
operen en un ambiente de seguridad y control eficientes; para lograr proporcionar
a los altos directivos de las organizaciones información para la toma de decisiones
que cumpla con los conceptos básicos de integridad, totalidad, exactitud,
confiabilidad, etc., ya que su ámbito de acción se centra, en revisar y evaluar: los
procesos de planificación, inversión en tecnología, organización, los controles
generales y de aplicación en proyectos de automatización de procesos críticos, el
soporte de las aplicaciones, aprovechamiento de las tecnologías, sus controles
específicos; los riesgos inherentes a la tecnología, tales como, la seguridad de sus
recursos, redes, aplicaciones, comunicaciones, instalaciones y otras.
202
Los cambios en el campo de la tecnología como en la metodología para
realizar auditorias informáticas, hacen necesario bibliografía y personal cada vez
más actualizado, en el desarrollo de esta investigación se podrá consultar sobre
dos metodologías para la realización de las auditorias en informática en donde
cada una tiene sus respectivas fortalezas y debilidades. Es necesario tomar en
cuenta que independientemente de la metodología que se este llevando a cabo en
la realización de la auditoría en informática, se debe de obtener la autorización y el
apoyo de los altos directivos que es uno de los pasos que nos llevará a la
culminación de la misma con éxito.
Es importante conocer cual es el tipo de seguimiento que se le va a dar a
los problemas que se presentan en el área de informática para su solución. El
seguimiento puede ser:
1. Seguimiento por excepción.
Es el que va dirigido meramente a la corrección momentánea y no al
establecimiento de controles en función de las causas. Un esquema de esto, es
como se muestra a continuación:
Errores en el tiempo
Como se puede apreciar, con un seguimiento por excepción la cantidad de
errores es frecuente y su impacto es elevado. Prácticamente, al no analizar las
causas y no establecer los controles, la probabilidad de que un mismo tipo de error
se presente de nuevo es alta; y sumada la frecuencia el impacto se vuelve crítico.
2. Seguimiento por función.
Aquí el error se analiza, se corrige y se deja establecido un control, tenderá
necesariamente a su eliminación, o cuando menos, a su aparición en espacios de
tiempo más aislados. La aparición repetida en este caso puede obedecer a la
misma dinámica de los sistemas. Al cambiar éstos, pueden hacer que un
procedimiento establecido ya no sea adecuado. El impacto tiende a minimizarse.
Gráficamente puede visualizarse así:
203
Las debilidades dentro de una organización que pueden ser síntomas de la
necesidad de llevar a cabo una auditoría en informática pueden ser:
1.
2.
3.
Descoordinación y desorganización
Debilidades económico-financiero
Inseguridad (lógica, física, confidencialidad)
Estas conllevan a la necesidad de planear periodicidad de realización de
auditorias (cada 6 meses o mínimo una al año); y a buscar la forma más adecuada
para realizarla, tomando en cuenta lo siguiente:
1.
2.
3.
Estableciendo la función de auditoría en informática dentro de la
estructura organizacional de la empresa buscando que la ubicación sea
la más adecuada para que no existan nexos que puedan quitarle
credibilidad a la función.
Si la empresa no tiene los suficientes recursos económicos o de
infraestructura para implementar la función de auditoría en informática
dentro de su estructura organizacional, puede recurrir a la realización
de auditoría por personal externo a la empresa.
Sin tener definida la función de auditoría en informática dentro de la
empresa esta puede llevarse a cabo por personal de la empresa,
buscando para su éxito el apoyo de los altos directivos de la empresa.
La primera y la tercera se llevan a cabo generalmente en las empresas
grandes, y la segunda aún teniendo un grupo de auditores dentro de las
organizaciones, en ocasiones es conveniente utilizar los servicios de asesores
externos:
•
para contrastar los resultados de los auditores internos con los de los
externos,
204
•
•
para auditar una materia de gran especialización, tener una visión
desde fuera de la empresa,
otros.
En conclusión, hoy en día la empresa pública o privada que tiene
implantado sistemas de información, no está conciente de la importancia de
establecer revisiones de manera preventiva que permitan que existan pérdidas
que pueden repercutir en un descontrol organizacional y minar su economía, por lo
que deben de considerar necesario el someterse a un control estricto de medición
de eficiencia y eficacia con el objetivo de que éstos sistemas de información
generen información confiable veraz y oportuna que realmente pueda ser útil en la
toma de decisiones. Para esto es necesario establecer la calidad en el software
que el American Heritage Dictionary lo define como una característica o atributo.
Como atributo de un artículo, la calidad se refiere a características mensurables,
que en el software pueden encontrar dos tipos de calidad: calidad del diseño, que
se refiere a las características que especifican los ingenieros de software para el
artículo y calidad de concordancia que es el grado de cumplimiento de las
especificaciones de diseño durante su realización y es centrado principalmente en
la implementación. Se debe tener claro que en la actualidad para ser competitivos
es necesario hacer uso de la tecnología e implantar sistemas de información en
las empresas; pero esto no es lo que asegura el éxito, ya que si su función de
informática es lenta, propensa a errores, inestable y vulnerable no lo va a lograr,
por lo que el cumplimiento de estándares de calidad como el ISO 9001 que es el
estándar de garantía de calidad que se aplica a la ingeniería de software,
contempla 20 requisitos que son: Responsabilidad de la gestión, sistema de
calidad, revisión de contrato, control de diseño, control de datos y documentos,
compras, control del producto suministrado por el cliente, identificación y
posibilidad de seguimiento del producto, control del proceso, inspección y prueba,
control de inspección, medición y equipo de pruebas, inspección y estado de
prueba, control de producto no aceptado, acción correctora y preventiva,
tratamiento, almacenamiento, empaquetamiento, preservación y entrega, control
de registros de calidad, auditorias internas de calidad, formación, servicios y
técnicas estadísticas y implementación e implantación de la auditoria informática
en las empresas deben formar parte de las actividades planeadas y programadas
de manera continua que logren que la función de informática de la empresa sea lo
más eficiente y eficaz posible.
205
BIBLIOGRAFÍA
[1] Hernández Hernández, Enrique; Auditoría en informática; Editorial CECSA,
2ª edición
[2] Echenique, José Antonio; Auditoría en informática; Editorial Mc Graw Hill,
primea edición.
[3] http://www.monografas.com/trabajos3/concepaudit/concepaudit.shtml;
[4] http://www.monografias.com/trabajos/auditoinfo/auditoinfo.shtml;
[5] http://www.monografas.com/trabajos/maudisist/maudisist.shtml;
Portales, Diego; Centro de formación técnica, Chile.
[6] http://www.lafacu.com/apuntes/informaticalaudit inforldefault.htm;
[email protected]
[7] http://dmi.uib.es/-bbuades/auditorialsid003.htm; Gabrial Buades
206
ANEXOS
207
Anexo 1
PROGRAMA DE AUDITORIA EN INFORMÁTICA
ORGANISMO_____________________________ HOJA N°___________DE______
FECHA DE FORMULACIÓN______________
FASE
DESCRIPCIÓN
ACTIVIDAD
NÚM.
DEL PERSONAL
PARTICIPANTE
PERIODO
ESTIMADO
INICIO TÉRMINO
DÍAS
HAB.
EST.
DÍAS
HOM.
EST.
Anexo 2
AVANCE DEL CUMPLIMIENTO DEL PROGRAMA
DE AUDITORIA EN INFORMÁTICA
ORGANISMO______________________HOJA N°___________DE_________
FECHA DE FORMULACIÓN____________
FASE
SITUACIÓN DE LA AUDITORIA
PERIODO REAL
AUDITORIA
NO
INICIADA
INICIADA
EN
PROCESO
TERMINADA
DE
LA
TERMINADA
DIAS
REALES
UTILIZADOS
GRADO
DE
AVANCE
DIAS
HOMBRE
EST.
EXPLICACIÓN
DE
LA
VARIACIONES
EN RELACIÓN
CON
LO
PROGRAMADO
Anexo 3
CONTROL DE PROYECTOS
NOMBRE DEL PROYECTO______________________________________________________________PROYECTO N°_________
COORDINADOR________________________________________________________________________FECHA________________
(anotar en la primera línea las fechas estimadas y en la segunda las reales)
N°
ACTIVIDADES
RESPONSABLE
ENE
FEB
MAR
ABR
MAY
JUN
JUL
AGO
SEP
OCT
NOV
DIC
Anexo 4
CALENDARIO DE ACTIVIDADES
ANÁLISIS Y PROGRAMACIÓN
RESPONSABLE
APLICACIÓN
FECHA
HOJA_________DE
NÚM
DE
ACT.
DESCRIPCIÓN
% DE AVANCE
0 1 2 3 4 5 6 7 8 9 1 MES:
0 0 0 0 0 0 0 0 0 0 SEMANA 1 SEMANA 2
0
E
R
E
R
E
R
E
R
E
R
E
R
E
R
E
R
E
R
E
R
E
R
E
R
E
R
E
R
E
R
E
R
E = ESTIMADO
R= REAL
SEMANA 3
SEMANA 4
SEMANA 5
Anexo 5
FECHA_____________
CONTROL DE ACTIVIDADES DEL PROGRAMADOR
SISTEMA__________________________________________________________
PROGRAMA________________________IDENTIF.________________________
PROGRAMADOR___________________________________________________
ACTIVIDAD
PLANEADO
INICIO TERMIN.DIF.
REAL
INICIO TERMIN. DIF.
DIF.
1. ANÁLISIS
2. DIAGRAMA LÓGICO
3. CREC. DE PRUEBAS
4. PRUEBA ESCRITORIO
5. CODIFICACIÓN
6. CAPTURA
7. COMPILACIÓN
8. GENER. PRUEBAS
9. DEPURACIÓN
10. PRUEBAS
11. VERIF. PRUEBAS
12. CORRECCIONES
13. DOCUMENTACIÓN
FINAL
ESPECIFICAR EL NÚMERO DE
COMPILACIONES REALIZADAS______________________________________
PRUEBAS REALIZADAS____________________________________________
OBSERVACIONES
Anexo 6
FECHA________________
REPORTE SEMANAL DE LOS RESPONSABLES DE SISTEMA
SISTEMAS
METAS FIJADAS
METAS ALCANZADAS
COMENTARIOS
RECURSOS
SISTEMAS
MOV. EJECUTIVOS
HRS. PROGRAM.
HRS. ANÁLISIS
HRS. PRUEBA
Anexo 7
CONTROL DE PROGRAMADORES
PROGRAMA
A
REALIZAR
NOMBRE
DEL
RESPONSABLE
DIAGRAMA DE
FLUJO
FECHA FECHA
INIC.
FINAL
CODIFICACIÓN
FECHA
INIC.
FECHA
FINAL
CAPTURA
FECHA
INIC.
FECHA
FINAL
PRUEBAS
FECHA
INIC.
FECHA
FINAL
IMPLANTACIÓN
FECHA
INIC.
FECHA
FINAL
OPERACIÓN
FECHA FECHA
IMC.
FINAL
Anexo 8
CONTROL DE PROGRAMACIÓN
NOMBRE
COD. FECHA TIEMPO DE
DEL
DEL DE
PROGRAMACIÓN
PROGRAMA PROG. ENTR.
EST.
REAL
GRADO
DIFICULTAD
DE
P R C A 0
LECTURA DIAG. REVIS. PRUEBA CODIFI- CAPTURA COMPI- REVIS. DATOS
FLUJO ANALIZ. ESCRITA CACIÓN
LACIÓN SUPER. PRUEB.
REVIS. DOCUPRUEBA MENTO
Anexo 9
FECHA____________
PLANEACIÓN DE PROGRAMACIÓN
SISTEMA_____________________________________________________
PROGRAMADOR_______________________________________
FASE___________________________________________
PROGRAMA_____________________________________
NÚM
DESCRIPCIÓN PRODUCTO A OBTENER
PRIOR.
DURAC.
EN
DÍAS
FECHA DE ENTREGA
ORIGI.
'ACTUAL
REAL
Anexo 10
HOJA DE PLANEACIÓN DE ACTIVIDADES
SISTEMA:
FECHA
USUARIO:
CLAVE
ACTIVIDAD
ACTIVIDADES
FECHAS REALES
INIC.
TERM.
NÚM.
PROD.
HOJA
FECHA DE ENTREGA
ORIG.
ACTU.
REAL
DE
Anexo 11
INFORME DE AVANCE DE PROGRAMACIÓN
FECHA:
SISTEMA:
HOJA
DE
RESPONSABLE:
PROGRAMAS TERMINADOS A LA FECHA
NÚM. FASE
NÚM.
FECHA
PROG.
ENTREGA
NÚM.
FASE
NÚM.
PROG.
PROA. CON DESVIACIÓN O CANCELACIÓN
NÚM. FASE
NÚM.
FECHA
PROG.
NUEVA
NUEVOS PROGRAMAS A INCLUIR EN EL PLAN
DESCRIPCIÓN
DURACIÓN DÍAS
FECHA DE ENTREGA
DEL PROGRAMA
Anexo 12
CONTROL DE AVANCE DE PROGRAMACIÓN
SISTEMA_______________________________________FECHA_____________
PROGRAMADOR___________________________________________________
FECHA REAL
DÍAS
INICIO TERMIN
CÓDIGO DE ACTIVIDADES
NÚM.
DE
PROG
AVANCE DURANTE EL MES EN DÍAS
NUM
DE
COMP
OBSERVACIONES
A INTERPRETACIÓN
B DIAGRAMACIÓN LÓGICA
C CREACIÓN DE PRUEBAS
D PRUEBAS DE ESCRITORIO
E CODIFICACIÓN
F CAPTURA
G COMPILACIÓN
H CREACIÓN DE PARALELO
1 DEPURACIÓN
J PRUEBAS EN PARALELO
K VERIFIC. DE PRUEBAS
L CORRECCIONES
M DOCUMENTACIÓN
HOJA
DE
NUM
DE
PRUE
Anexo 13
FECHA_______________
AVANCE DE PROGRAMA
SISTEMA__________________________________________________________
FECHA DE INICIO__/__/__
PROGRAMA
NÚM
NOMBRE
FECHA DE TERMINACIÓN___/___/___
GDO.
A B C D E F G H I J K L M DIF.
FECHA
TERMIN.
PERSONA
ASIGNADA
SIGNIFICADO DE LAS CLAVES
A
B
C
D
E
F
G
INTERPRETACIÓN
DIAGRAMACIÓN LÓGICA
CREACIÓN DE PRUEBAS
PRUEBAS DE ESCRITORIO
CODIFICACIÓN
CAPTURA
COMPILACIÓN
H
I
J
K
L
M
GENERACIÓN DE PRUEBAS
DEPURACIÓN
PRUEBAS
VERIFICACIÓN DE PRUEBAS
CORRECCIONES
CORRECCIONES
Anexo 14
HOJA DE PLANEACIÓN DE ACTIVIDADES Y CONTROL DE AVANCE
SISTEMA:
CLIENTE:
PROGRAMADOR___________________________________________________
PROGRAMA__________________________ FASE______________________
CLAVE
ACTIVIDAD
ACTIVIDADES
FECHA
FECHA REALES
INICIA TERMINA
HOJA
NÚM
PROD.
FECHAS DE ENTREGA
ORIGI. ACTU.
REAL
DE

Tesis - Dirección General de Servicios Telemáticos

Transcription

Similar documents

Presentación de la reunión de trabajo de inicio del semestre Agosto

Revista UES ECP V.indd - Facultad de Ciencias Económicas

Dossier de Prensa - Plataforma Auditoria Ciudadana de la Deuda

Sistema de Gestión Integral con g PAS 99, ISO

facultad de ciencias de la administración escuela de contabilidad

Descargar Presentación

Documento de trabajo - GPSA Knowledge Platform

Guía para la Transparencia en los Documentos Presupuestarios del

MANUAL DEL PROCESO AUDITOR EN LA AUDITORÍA GENERAL DE LA REPÚBLICA

VILLANUEVA, ZAC. 2010 - Ayuntamiento de Villanueva

2da AUDITORÍA DE CALIDAD DE LA CADENA CÁRNICA VACUNA

Tesis - Christian Ochoa - Prog. 23

AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE

auditoría financiera a los estados financieros al 31 de diciembre de

Christian Walter Deus

1 RESUMEN El trabajo textil, artífice del adelanto de nuestra región

Informe Anual - negocios.com

EVALUACION FINANCIERA-ECONÓMICA Y PROPUESTA DE

auditoría de ge - UCE - Universidad Central del Ecuador

Archivo Adjunto

anexo n° 1 - Repositorio UTC - Universidad Técnica de Cotopaxi

formulación de un plan estratégico de mantenimiento