VICERRECTORADO ACADMICO AREA DE INGENIERIA CARRERA INGENIERIA DE SISTEMAS
DISEO DE UN MODELO DE AUDITORA DE SISTEMAS PARA LA UNIDAD DE APOYO INFORMTICA DE ALCAVI.
Rafael A. Figuera Cuman, 2007.
iii UNIVERSIDAD NACIONAL ABIERTA VICERRECTORADO ACADMICO AREA DE INGENIERIA CARRERA INGENIERIA DE SISTEMAS
DISEO DE UN MODELO DE AUDITORA DE SISTEMAS PARA LA UNIDAD DE APOYO INFORMTICA DE ALCAVI.
Trabajo de Grado presentado ante la Universidad Nacional Abierta por el Br. Rafael A. Figuera del Centro Local Sucre para optar al ttulo de Ingeniero de Sistemas. Cuman, enero, 2007
iv
236 Ingeniera de Sistemas. Gaceta Universitaria N 020 Extraordinaria - 21/02/2005.
Objetivo de la Carrera.
Formar profesionales capacitados en el anlisis, diseo, construccin y mantenimiento de los procesos manuales e informticos; aplicando la ciencia de la computacin, teora de sistemas, investigacin de operaciones y estrategias gerenciales, que apoyen las acciones de la organizacin a travs del desarrollo de soluciones integrales en sus diferentes reas funcionales, mediante la utilizacin de tecnologas de la informacin y la comunicacin.
v I N D I C E G E N E R A L.
CONTENIDO PAGINA
Portada i Identificacin ii Presentacin iii Objetivo de la Carrera iv
Lista de Figuras y Tablas viii Resumen ix
INTRODUCCIN 10
CAPITULO 1: El Problema 14 1.1. Ttulo 15 1.2. Planteamiento del problema 15 1.3. Objetivos del trabajo 18 1.3.1. Objetivo general 18 1.3.2. Objetivos especficos 18 1.4. Alcance 19 1.5. Importancia 19 1.6. Limitaciones 20
CAPITULO 2: Marco Terico Referencial 21 2.1. Antecedentes del problema 22 2.2. Bases tericas 24 2.2.1. Auditoria de sistemas 24 2.2.2. Resea metodolgica 31 2.3. Definicin de trminos bsicos 38
vi
CAPITULO 3: Diseo de la Investigacin 45 3.1. Tipo de investigacin 46 3.2. Nivel de investigacin 46 3.3. Poblacin y muestra 46 3.4. Fuentes de informacin 46 3.4.1. Fuente de informacin primaria 46 3.4.2. Fuente de informacin secundaria 47 3.5. Tcnicas de investigacin 47 3.6. Metodologa empleada 47
CAPITULO 4: Visin Amplia de la Fundacin Municipal de la Vivienda 49 4.1. Resea histrica de ALCAVI 50 4.2. Orientacin estratgica de ALCAVI 51 4.3. Descripcin de ALCAVI 52 4.4. Aspectos generales de la Unidad de Apoyo Informtica 57 4.5. Aspectos crticos 59
CAPITULO 5: Diseo de un Modelo Conceptual 61 5.1. Diseo de sistemas pertinentes a la Unidad de Apoyo Informtica de ALCAVI. 62 5.1.1. Definiciones races 62 5.1.2. Seleccin de la definicin raz 65 5.2. Diseo de un sistema de la actividad humana 66 5.2.1. Actividades mnimas que contempla el modelo 68 5.2.2. Requerimientos de cada actividad 70
CAPITULO 6: Diseo de Algunos Cambios 88 6.1. Comparacin entre el modelo conceptual y el sistema actual 89 6.2. Definicin de cambios 92
vii CAPTULO 7. Preparacin de un Programa de Auditora de Sistemas 95 7.1. Resea del plan 96
7.2. Procedimientos para la elaboracin del plan 96 7.2.1. Fase de identificacin 98 7.2.2. Fase de planeacin 100 7.2.3. Fase de programacin 107
CONCLUSIONES Y RECOMENDACIONES 134 Conclusiones 135 Recomendaciones 137
BIBLIOGRAFA 140
ANEXOS 144 ANEXO 1: Cuestionario Aplicado a los Funcionarios de ALCAVI 145 ANEXO 2: Manual de Sistemas y Procedimientos 157 ANEXO 3: Hojas de Anlisis 161 ANEXO 3.1: Hojas de Anlisis para Apreciacin de Tareas 162 ANEXO 3.2: Hoja de Anlisis para Registrar Informacin 170
ANEXO 4: Cuestionarios de Auditora de Sistemas 175 ANEXO 4.1: Control de Cuestionarios 176 ANEXO 4.2: Organizacin 178 ANEXO 4.3: Sistemas 183 ANEXO 4.4: Proceso de Datos y Equipos 192 ANEXO 4.5: Seguridad 204 ANEXO 5: Formatos para la Descripcin de los Informes 215 ANEXO 6: Matriz de Recepcin y Distribucin de Documentos 217
viii
LISTA DE FIGURAS
FIGURA N PAGINA
2.1 Fases de la Metodologa de Checkland 33 4.1 Organigrama de ALCAVI 53 4.2 Efectos Producidos por la Carencia de Programas de Auditora de Sistemas 60 5.1 Definicin raz nmero cinco 64 5.2 Modelo Conceptual 67 7.1 Procedimientos para la Planeacin de un Estudio de Auditora de Sistemas 97 LISTA DE TABLAS
TABLA N PAGINA
6.1 Comparacin entre el Sistema actual y el Sistema Propuesto 90 7.1 Escala de Apreciacin de las Hojas de Anlisis 105 7.2 Diagrama de Gantt Correspondiente a la Planeacin de la Auditora de Sistemas 108 7.3 Simbologa Estndar de Auditora de Sistemas 111
ix UNIVERSIDAD NACIONAL ABIERTA VICERRECTORADO ACADEMICO AREA DE INGENIERIA CARRERA INGENIERIA DE SISTEMAS.
Diseo de un Modelo de Auditora de Sistemas para la Unidad de Apoyo Informtica de ALCAVI.
Autor: Rafael A. Figuera Tutor Acadmico: Ing. Endira Fermn Asesor Empresarial: Lic. J ulin Andrade Fecha: Enero, 2007.
RESUMEN
En el informe de Trabajo de Grado se Dise un Modelo de Auditoria de Sistemas para ser aplicado en la Unidad de Apoyo Informtica de la Fundacin Municipal de la Vivienda (ALCAVI), ubicada en la ciudad de Cuman Estado Sucre. Una Auditoria es un examen crtico que se realiza con el fin de Evaluar la eficacia, la eficiencia y la seguridad de un sistema. La estrategia metodolgica de investigacin que se us es la de Peter Checkland, la cual contempla cuatro fases: 1) Visin Amplia del Sistema; 2) Diseo de Sistemas Pertinentes; 3) Diseo de Algunos Cambios y 4) Implantacin de Cambios.
Se espera que con el Modelo Diseado, ALCAVI cuente con un instrumento, que al ser aplicado en la Unidad de Apoyo Informtica, sta se haga ms eficiente y segura, de tal manera que redunde en mejora del servicio que presta la Institucin, aumente la motivacin del personal y el compromiso con la misin de la Institucin, mejore las relaciones laborales, ayude a formar equipos competentes, mejore el clima laboral y las relaciones humanas, etc.
PALABRAS CLAVES: Auditoria de Sistemas, Sistema de Informacin, Diseo, Modelo, Eficiencia, Seguridad, ALCAVI.
10
I N T R O D U C C I N ____________________________
11 Introduccin.
La auditora como profesin nace en Inglaterra durante el ao 1862 y tena como propsitos: a) La deteccin y prevencin del fraude; b) La deteccin y prevencin de errores.
Con la invencin de las computadoras y su utilizacin en las empresas o instituciones, aparece la Auditora Informtica o la Auditora de Sistemas cuyos objetivos principales son: a) El control de la funcin informtica; b) El anlisis de la eficiencia de los sistemas informticos que comporta; c) La verificacin del cumplimiento de la normativa general de la institucin en este mbito; d) La revisin de la eficaz gestin de los recursos materiales y humanos informticos.
El desarrollo constante de sistemas de informacin basados en computadoras ha convertido al procesador en una herramienta indispensable de las organizaciones de hoy en da, proporcionndoles los medios para un control ms efectivo sobre sus recursos y operaciones. Estos mtodos proveen un acceso inmediato a la informacin donde y cuando es requerida, dando apoyo a las diferentes operaciones vitales de la rutina diaria de una organizacin.
Irnicamente, estos mismos sistemas tienen un nmero creciente de personas preocupadas debido a que el control computarizado de los activos, el fcil acceso a la informacin y la creciente dependencia en el computador, han convertido a las organizaciones en entes ms vulnerables que nunca, cuestionndose en este sentido, la idea de saber, en qu medida sus sistemas de informacin estn adecuadamente controlados.
De lo anterior, se pudo investigar que en los ltimos aos se ha hecho mucha publicidad acerca de la necesidad de auditar las empresas o instituciones (ver CNE: Auditora pblica el 4D [Bofia, A.; 2005]) con la finalidad de evitar fraudes, falsificacin, venta de informacin, virus informticos, etc.
12 Por esto, es necesario evaluar peridicamente las organizaciones, y especficamente, su rea de informtica para hacerlas ms eficientes y seguras.
En esta oportunidad se pretende disear un Modelo de Auditora de Sistemas para la Unidad de Apoyo Informtica de la Fundacin Municipal de la Vivienda (ALCAVI).
Como objetivo general de esta investigacin tenemos: Disear un Modelo de Auditora de Sistemas para la Unidad de Apoyo Informtica de ALCAVI, utilizando la metodologa de Peter Checland, con el fin de mejorar los procesos efectuados en dicho Departamento.
A fin de darle un enfoque de sistema al presente trabajo, se utiliz la metodologa mostrada en el libro Pensamiento de Sistemas: Prctica de Sistemas [Checkland, P.; 1993], la cual contempla cuatro fases: 1) Visin Amplia del Sistema; 2) Diseo de Sistemas Pertinentes; 3) Diseo de Algunos Cambios y 4) Implantacin de Cambios.
Por limitaciones propias del presente trabajo, no se cubri la fase 4 de la Metodologa de Peter Checkland, y slo se lleg hasta la fase 3, es decir, se Dise un Modelo de Auditora de Sistemas para la Unidad de Apoyo Informtica de la Fundacin Municipal de la Vivienda.
Este informe est estructurado de la siguiente manera: presentacin, ndice, introduccin, siete captulos, conclusiones y recomendaciones, bibliografa y anexos. En el captulo 1 se presenta el ttulo del informe, el planteamiento del problema, los objetivos del trabajo, el alcance, la importancia y las limitaciones. En el apartado 2 se exponen los antecedentes del problema, las bases tericas y los conceptos bsicos. En el ttulo 3 se muestra el tipo de investigacin, el nivel de la investigacin, la poblacin y muestra, las fuentes de informacin, las tcnicas de investigacin y la metodologa empleada. En la parte 4 se presenta una resea histrica de ALCAVI, la orientacin estratgica de la Fundacin, una descripcin de la Institucin, los aspectos generales de la Unidad de Apoyo Informtica y los aspectos crticos de la misma. En la seccin 5 se muestra el diseo de un modelo conceptual. En el captulo 6 se compara el modelo conceptual con el modelo actual
13 y se definen los cambios. En el apartado 7 se hace una resea del plan y se establecen los procedimientos para la elaboracin del plan de Auditora de Sistemas.
Este trabajo est organizado y estructurado de acuerdo a la metodologa expuesta por Tulio Ramrez en su libro Cmo Hacer un Proyecto de Investigacin [Ramrez, T.; 1999]. Tambin se tom en cuenta el Manual para la Elaboracin de Anteproyectos y Trabajos de Grado de la Carrera Ingeniera de Sistemas [UNA; 1999].
14
C A P T U L O 1 ______________________
E L P R O B L E M A
15 1.1. Ttulo
Diseo de un Modelo de Auditora de Sistemas para la Unidad de Apoyo Informtica de ALCAVI, ubicada en la ciudad de Cuman Estado Sucre.
1.2. Planteamiento del Problema
La Auditora Informtica o de Sistemas es el conjunto de Tcnicas y procedimientos destinados a la evaluacin y control de los Sistemas Informticos, entendidos stos en su ms amplia rea de accin. Con el desarrollo tecnolgico y la complejidad de los diferentes ambientes de informacin y tecnologa, las organizaciones hoy en da necesitan administrar y mitigar los riesgos inherentes a sus negocios, para capitalizar las oportunidades disponibles en el mercado.
En tal sentido las organizaciones requieren mejorar, proteger y controlar los sistemas de informacin utilizados, adems de evaluar los productos novedosos en pro de la actualizacin continua.
Es ah donde la Auditora de Sistemas de Informacin juega un rol clave y comprende un servicio de apoyo a las organizaciones que requieren de controles apropiados para asegurar la confiabilidad, integridad de los datos y disponibilidad de su informacin, adems de adaptar los cambios a las estrategias y estructuras bajo un ambiente dinmico y flexible.
La Auditora Informtica est reglamentada por leyes en otros pases. Por ejemplo, en Espaa existe la Ley Orgnica de Proteccin de Datos de Carcter Personal (LOPD) de la cual se deriva el Reglamento de Medidas de Seguridad que establece en su artculo 17 Los sistemas de informacin e instalaciones de tratamiento de datos se sometern a una auditora interna o externa, que verifique el cumplimiento del presente Reglamento, de los procedimientos e instrucciones vigentes en materia de seguridad de datos, al menos, cada dos aos [Einnova; 2006].
16 En Venezuela no existen leyes que reglamenten los procesos de Auditoras que se llevan a cabo en los sistemas de informacin de las diferentes empresas o instituciones del pas.
La auditoria puede ser externa, interna o mixta, coincidiendo con los tipos de observacin de participantes, no participantes y semi-participantes. Cada uno de estos tipos de auditoria tiene sus ventajas o inconveniencias.
Existen algunas metodologas de Auditoras de Sistemas y todas dependen de lo que se pretenda revisar o analizar, pero como estndar se presenta las cuatro fases bsicas de un proceso de Auditora de Sistemas: 1) Estudio preliminar; 2) Revisin y evaluacin de controles y seguridades; 3) Examen detallado de reas criticas; y 4) Comunicacin de resultados.
La Fundacin Municipal de la Vivienda (ALCAVI), como toda institucin, requiere del establecimiento de un control interno o externo que minimice el riesgo de errores, omisiones o fraudes en la ejecucin de las distintas actividades, dirigido no slo a optimizar las operaciones que se realizan, sino tambin permitir que dichas operaciones contribuyan al logro de los objetivos y metas establecidas por la fundacin. El control interno comprende las polticas, normas y procedimientos; la organizacin y los sistemas de informacin. La auditora de sistemas permite verificar a posteriori y de forma aleatoria el cumplimiento de polticas, normas y procedimientos relacionados con el procesamiento de la informacin, de manera de evaluar la forma como se est operando, y as proponer cursos de accin que permitan corregir los errores, o mejorar la forma de actuar.
ALCAVI, consciente de la necesidad de establecer un control interno eficiente, requiere de la planificacin de los proyectos de Auditora de Sistemas, para revisar y evaluar los Sistemas de Informacin, incluyendo los equipos de cmputo como herramienta para obtener la informacin adecuada y la organizacin que har posible el uso de los equipos, en este caso la Unidad de Apoyo Informtica.
17 Informtica es el rea que atiende todos los requerimientos de sistemas computarizados, tanto de la Gerencia General, as como de la Gerencia de Asistencia Tcnica, las siete Unidades de Apoyo y los ocho Programas de Servicios (ver organigrama en la figura 4.1); por lo que representa un rea de vital importancia para la institucin, al permitir la optimizacin de los procesos automatizados de todas sus operaciones. Dicha Unidad de Apoyo est presentando ciertas irregularidades en relacin con la revisin y evaluacin de controles, sistemas, procedimientos de informtica, entre otros. No existen las Polticas y Normas establecidas para los sistemas de informacin; no existe un Departamento de Auditora de Sistemas; no se realiza Auditora Informtica (ver anexo 1); no se lleva a cabo una verdadera supervisin por parte de la Contralora del Municipio Sucre del Estado Sucre, como lo establece el artculo 15 de la Ordenanza de la Fundacin de ALCAVI; y adems, en la actualidad, no hay un responsable de la Unidad de Apoyo Informtica.
Planificar y disear un modelo de Auditora de Sistemas para la Unidad de Apoyo Informtica de ALCAVI, permitir cumplir cabalmente con los procesos y veracidad de cada operacin, por lo que se hace necesario un estudio que permita dimensionar el tamao y caractersticas del rea que amerita la aplicacin de los proyectos de auditora, de tal forma de realizar una planeacin adecuada del proceso de auditora.
Para solventar esta situacin se requiere de la aplicacin del Enfoque Sistmico, especficamente de la Metodologa de Peter Checkland, mediante la cual se pretende conocer el funcionamiento de la Unidad de Apoyo Informtica, sus componentes, medio ambiente e interrelaciones, lo que va a permitir discernir las diferentes posibilidades de accin que conlleven a mejorar su funcionamiento, especialmente en todo lo relacionado al control de sus actividades. Una de las razones para utilizar esta metodologa, es que permite desplegar los fenmenos como totalidad, por lo que pueden evaluarse los problemas dentro del sistema al que pertenecen, realizndose una interpretacin ms realista de los hechos. Debido a que los problemas que se nos presentan son cada vez ms ilimitados y difciles de estructurar, se ha comenzado a dar ms importancia a esta nueva forma de ver el mundo, ya que proporciona un medio para organizar la discusin sobre la mejor manera de describir el
18 sistema, con el fin de lograr un aprendizaje que conlleve a tomar ciertas acciones, que puedan conducir a una nueva condicin, la cual necesariamente no es la ms ptima.
El establecimiento de un control interno de las actividades relacionadas con el procesamiento electrnico de la informacin, permitir la planificacin, organizacin y coordinacin de los proyectos de auditoras aplicables a la Unidad de Apoyo Informtica de ALCAVI; adems proporciona un medio para la elaboracin de los planes de prevencin, control de accesos y situaciones de emergencia, garantizndose as no solo la seguridad de los equipos, sino tambin de los sistemas de informacin existentes en la fundacin; para lo cual se pretende lograr la concientizacin en materia de seguridad y control de las personas involucradas en el rea, contribuyendo al mximo en el momento de llevar a cabo los proyectos de Auditora de Sistemas.
Por otra parte, se puede afirmar, que el modelo propuesto podra ser una gua para llevar a cabo Auditora de Sistemas y alcanzara a ser aplicado en cualquier departamento de informtica de cualquier institucin, hacindole los ajustes necesarios.
1.3. Objetivos del Trabajo.
1.3.1. Objetivo General.
Disear un Modelo de Auditora de Sistemas para la Unidad de Apoyo Informtica de la Fundacin Municipal de la Vivienda.
1.3.2. Objetivos Especficos.
1- Estudiar el sistema actual para obtener una visin amplia del mismo. 2- Analizar la situacin problemtica, partiendo del sistema en estudio. 3- Aplicar la metodologa de Peter Checkland a fin de establecer los aspectos crticos del modelo actual bajo el enfoque de sistemas.
19 4- Disear un modelo conceptual pertinente a la Unidad de Apoyo Informtica de ALCAVI. 5- Comparar el modelo conceptual con el sistema real en estudio para sugerir los cambios factibles a realizar. 6- Proponer un Modelo de Auditora de Sistemas para mejorar el sistema actual.
1.4. Alcance.
La investigacin se centrar en el sistema de informacin de la Unidad de Apoyo Informtica de la Fundacin Municipal de la Vivienda (ALCAVI), ubicada en la ciudad de Cuman, Estado Sucre, Venezuela.
1.5. Importancia.
La importancia de este trabajo radica en el hecho de que, una vez terminado el informe final, se propondr un Modelo de Auditora de Sistemas para la Unidad de Apoyo Informtica de ALCAVI, que de ser desarrollado en un futuro, podra ser una herramienta de mucha utilidad, que a su vez entre otras cosas, mejorara notablemente la eficiencia en el procesamiento de los datos, as como tambin la seguridad de la informacin manejada en dicha institucin.
Con la elaboracin de este informe se pretende Disear un Modelo de Auditora de Sistemas para ser propuesto a la Unidad de Apoyo Informtica de la Fundacin Municipal de la Vivienda, ubicada en la ciudad de Cumana Estado Sucre.
Por otra parte, este estudio aportar conocimiento novedoso y de inters en el campo de la Ingeniera de Sistemas, especialmente en el rea de Auditora de Sistemas o Auditora Informtica. En caso de que ALCAVI instale un Departamento de Auditora, los auditores de sistemas contarn con una gua o manual para llevar a cabo sus actividades, ya que en la actualidad existe poco material, que se pueda utilizar en la prctica, sobre Auditora Informtica, por ser sta una disciplina relativamente nueva.
20 1.6. Limitaciones.
Durante la ejecucin de este proyecto se presentaron ciertas restricciones que limitaron en buena parte el desarrollo normal del trabajo. La naturaleza de dichas restricciones es variable, sin embargo fueron muy frecuentes las dificultades en cuanto a tiempo, disponibilidad de informacin y dificultad para obtener informacin de la Institucin. Tambin, hay que tomar en cuenta los errores humanos que estn presentes en cualquier proceso de investigacin. Por ltimo, diremos que la Institucin no cuenta con estadsticas reales o especificaciones iniciales de los equipos que posee; no existe un responsable de la Unidad de Apoyo Informtica; la Unidad no posee los manuales de normas y procedimientos; y no existe un Departamento de Auditora.
21
C A P T U L O 2 ______________________
MARCO TERICO REFERENCIAL
22 2.1. Antecedentes del Problema.
La Fundacin Municipal de la Vivienda (ALCAVI) fue creada el 14 de noviembre de 1996 por el Concejo del Municipio Sucre del Estado Sucre que funcionaba en Cuman. Esta fundacin, actualmente se encuentra ubicada en la Avenida Arismendi No. 179 de la ciudad Primognita y depende de la Alcalda del Municipio Sucre.
ALCAVI tiene como misin la de contribuir a la solucin del problema habitacional del Municipio Sucre del Estado Sucre.
En la actualidad, ALCAVI est formada por una Gerencia General, una Gerencia de Asistencia Tcnica, siete Unidades de Apoyo y ocho programas que dependen de la Gerencia de Asistencia Tcnica.
Una de las siete Unidades de Apoyo es Informtica, la cual est encargada del tratamiento automtico y racional de toda la informacin que se maneja en la institucin. Este departamento fue creado en el ao 1997, cuando ALCAVI inicia sus operaciones en la ciudad de Cuman.
En el ao 1998 se procedi a instalar una Red de computadoras (LAN) para optimizar el flujo de informacin entre las diferentes dependencias de la Institucin, a travs de la interconexin de diversos equipos, permitiendo el acceso comn a recursos compartidos como documentos, correo electrnico e Internet.
En entrevistas realizadas a algunas de las personas que laboran en la Unidad de Apoyo Informtica, se pudo constatar que no se aplican las normas de seguridad en materia de informacin; tambin, la Unidad de Apoyo es poco eficiente en el procesamiento de los datos que se generan en la institucin (ver anexo 1).
Por otra parte, en ALCAVI no se realiza auditora interna ni externa de tal manera que no se sabe, hasta qu punto se estn cumpliendo con las metas de la institucin.
23 Al referirnos a las investigaciones realizadas de la problemtica existente, podra acotarse que la institucin no posee estudios sobre el rea de Informtica que definan de manera formal los procedimientos necesarios para establecer mecanismos de control, en este caso programas de Auditora de Sistemas.
Ante tal situacin se plante la necesidad de disear un modelo de Auditora de Sistemas para la Unidad de Apoyo Informtica de la Fundacin Municipal de la Vivienda, que en caso de ser aplicado, mejorara los procesos efectuados en dicha unidad.
Relacionado con el tema de estudio se encontraron las siguientes bibliografas: Un informe de Pasanta titulado Auditora de la Red LAN Instalada en la Fundacin Municipal de la Vivienda (ALCAVI), del Municipio Sucre del Estado Sucre [Figuera, R.; 2004], donde se recoge la documentacin de la Red de ALCAVI y se plantea la forma de hacer ms efectiva, eficaz y segura la LAN de Computadoras. Un artculo aparecido en el diario ltimas Noticias titulado CNE: Auditora pblica el 4D [Bota, A.; 2005], donde se plantea la necesidad de revisar y controlar el sistema de votacin durante la entrada, procesamiento y salida de los datos. Visitando algunas pginas Web se localiz varias monografas o informes sobre el tema en cuestin, de las cuales citamos algunas: Evaluacin de la Seguridad de un Sistema de Informacin [J imnez, J .; 2003], trata sobre algunos procedimientos que debemos implementar en los sistemas de informacin para evitar fraudes, falsificacin, venta de informacin, virus informticos, etc. Auditoria Informtica [Canaves.; 2003], describe los objetivos y alcance de la Auditora Informtica. El fraude Informtico: Cmo Prevenirlo, Detectarlo y Controlarlo [Chavez, M.; 1996], este trabajo plantea aspectos importantes relacionados con la auditora de sistemas y los mecanismos apropiados que deben ser utilizados para enfrentar los riesgos asociados con el procesamiento de datos, as como la manera de minimizar cualquier accin fraudulenta que ponga en peligro la integridad de la informacin.
24 2.2. Bases Tericas.
2.2.1. Auditora de Sistemas
El estudio realizado tiene por finalidad la elaboracin de una planeacin de los proyectos de auditora de sistemas para la Unidad de Apoyo Informtica de la Fundacin Municipal de la Vivienda (ALCAVI), es por esto que se hace necesario aclarar los conceptos bsicos relacionados con esta materia, y cualquier otro aspecto de importancia.
En primer lugar, es conveniente conocer una definicin amplia de lo que es auditora. Con frecuencia, la palabra auditora se ha empleado incorrectamente y se le ha considerado como una evaluacin cuyo nico fin es detectar errores y sealar fallas; sin embargo, su aplicacin va mucho ms all, porque contribuye a la verificacin de la eficiencia y eficacia con la que se est operando para que, por medio del sealamiento de cursos alternativos de accin, se tomen decisiones que permitan corregir los errores, en caso de que existan, o bien mejorar la forma de actuacin [Echenique, J .;1993].
La auditora debe entenderse como un estndar metodolgico, para evaluar distintos objetos o realidades, con mentalidad crtica, analtica e investigativa, sobre una base objetiva e independiente y tica, tendiente a emitir un informe como producto final.
Existen diversos tipos de auditoras, las cuales mantienen relacin con la auditora de sistemas o en informtica, como tambin suele denominarse. Entre estos tipos de auditoras tenemos:
Por la procedencia del Auditor.
Auditora interna y auditora contable/financiera.
Un grupo especializado de la asesora tcnica de la propia empresa lleva a cabo la auditora interna. Esta auditora proviene de la auditora financiera y proporciona un medio
25 de control interno, el cual comprende el plan de organizacin y todos los mtodos y procedimientos que en forma coordinada se adoptan en un negocio para salvaguardar sus activos, verificar la razonabilidad y confiabilidad de su informacin financiera, promover la eficiencia operacional y provocar la adherencia a las polticas previstas por la administracin. El rea de informtica puede interactuar de dos maneras en el control interno. La primera es servir de herramienta para llevar a cabo un adecuado control interno y la segunda es tener un control interno del rea y del departamento de informtica.
La diferencia de los objetivos de control interno desde un punto de vista contable financiero es que mientras stos estn enfocados a la evaluacin de una organizacin mediante la revisin contable financiera y de otras operaciones, los objetivos del control interno informtico estn orientados a todos los sistemas en general, al equipo de cmputo y al departamento de informtica.
Auditora Externa.
Es una actividad profesional, desarrollada por personas jurdicas o naturales, independientes del ente auditado, cuyo objetivo es emitir una opinin sobre la razonabilidad financiera de las organizaciones, expresada en los estados financieros. Si la auditora realizada al rea de sistemas computarizados es confiable, los auditores externos y los revisores fiscales pueden apoyarse en ella, disminuyendo el alcance y el detalle de sus pruebas.
Por los objetos auditables.
Auditora Administrativa.
La auditora administrativa es el examen global y constructivo de la estructura de una empresa con relacin a sus planes y objetivos, sus mtodos y controles, su forma de operacin y sus facilidades humanas y fsicas, a fin de establecer un nivel de eficiencia,
26 efectividad y economicidad alcanzado en el ente auditado, y proponer la implementacin requerida, en los casos que sea necesario.
Dentro de los planes de la auditora en informtica debe considerarse principios de la auditora administrativa para evaluar el departamento en funcin de: - Su objetivo. - Metas, planes, polticas y procedimientos. - Organizacin. - Estructura orgnica. - Funciones. - Niveles de autoridad y responsabilidad.
Auditora de operaciones.
Se define como una tcnica para evaluar sistemticamente la efectividad de una funcin o una unidad de referencia a normas de la empresa, utilizando personal no especializado en el rea de estudio, con el objeto de asegurar a la administracin que sus objetivos se cumplan, y determinar qu condiciones pueden mejorarse [Ramrez, O.; 1999].
El propsito de una auditora de operaciones es revisar y apreciar operaciones y procedimientos, para calibrar la efectividad de las operaciones y descubrir oportunidades para mejorarlas, en beneficio de la economa o del mejor control.
Al momento de evaluar la estructura organizativa del centro de cmputo puede trabajarse con el auxilio de la auditora de operaciones.
27 Auditora con Informtica.
La informtica es una nueva y poderosa tecnologa para el tratamiento de la informacin, por lo que la auditora se sirve de la computadora como herramienta para ampliar la cobertura del examen, reduciendo el tiempo/costo de las pruebas y procedimientos de muestreo, que de otra manera tendran que efectuarse manualmente.
La computadora puede ser empleada por el auditor en: - Verificacin de cifras totales y clculos para comprobar la exactitud de los reportes de salida producidos por el departamento de informtica. - Pruebas de los registros de los archivos para verificar la consistencia lgica, la validacin de condiciones y la razonabilidad de los montos de las operaciones. - Clasificacin de datos y anlisis de la ejecucin de procedimientos. - Seleccin e impresin de datos mediante tcnicas de muestreo y confirmaciones. - Llevar a cabo en forma independiente una simulacin del proceso de transacciones para verificar la conexin y consistencia de los programas de computadora.
Auditora de Programas.
La auditora de programas es la evaluacin de la eficiencia tcnica, del uso de diversos recursos y del tiempo que utilizan los programas, su seguridad y confiabilidad con el objeto de optimizarlos y evaluar el riesgo que tienen para la organizacin. Para poder llevar a cabo una adecuada auditora de programas es necesario que los sistemas estn trabajando correctamente y se obtengan los resultados requeridos, ya que al cambiar el proceso del sistema en general se cambiaran posiblemente los programas.
28 Auditora de Sistemas o en Informtica.
La auditora de sistemas es la revisin y evaluacin de los controles, sistemas, procedimientos de informtica; de los equipos de cmputo, su utilizacin, eficiencia y seguridad, de la organizacin que participan en el procesamiento de la informacin, a fin de que por medio del sealamiento de cursos alternativos se logre una utilizacin ms eficiente y segura de la informacin que servir para una adecuada toma de decisiones [Chiavenato, I.; 1991].
La auditora de sistemas debe evaluar el todo (informtica, organizacin del departamento, computadoras y programas) con auxilio de los principios de auditora administrativa, auditora interna, auditora contable/financiera y, a su vez, puede proporcionar informacin a esos tipos de auditora, siendo la computadora una herramienta para su realizacin.
La auditora del sistema informtico debe comprender:
- Seguridad de los activos. Los activos de una instalacin informtica, se hallan integrados por una pluralidad de activos o elementos: hardware, software, personal tcnico, archivadores, sistemas de documentos y suministros de diversa naturaleza, los cuales deben ser protegidos por el sistema de control interno de la empresa en general, y del centro de procesos de datos.
- Razonabilidad de los datos. La razonabilidad de los datos significa que stos sean fidedignos, completos y coherentes.
- Eficacia del sistema. Un sistema informtico es eficaz cuando permite dar respuesta a los objetivos perseguidos, esto es, cuando facilita informacin con el tratamiento adecuado para que sus usuarios puedan tomar decisiones.
29 - Eficiencia del sistema. Un sistema informtico es eficiente cuando permite dar respuesta a las necesidades de informacin que se le requieran con un sacrificio de recursos o coste mnimo.
Por los objetos auditables, la Auditora toma infinidad de denominaciones; todo depende del rea, actividad u objeto que se audite. Otras modalidades son: Tributaria, Integral, de funcionamiento y social.
2.2.1.1. Planeacin de los procedimientos de Auditora de Sistemas.
Para la efectiva ejecucin y terminacin de una auditora de sistemas, por pequea que esta sea, se requiere del planeamiento y preparacin de un programa de trabajo. Planear la auditora es decidir previamente cules son los procedimientos que se van a emplear, cul es la extensin que va a darse a las pruebas, en qu oportunidad se van a aplicar y cules son los papeles de trabajo en que van a registrarse los resultados [Rodrguez, J .; 1985].
Todo esto permitir dimensionar el tamao y caractersticas del rea dentro del organismo a auditar, sus sistemas, organizacin y equipo; con ello se podr determinar el nmero y caractersticas del personal de auditora, las herramientas necesarias, el tiempo y costo.
Una inadecuada planeacin repercutir en una serie de problemas, que pueden provocar que no se cumpla con la auditora o bien que no se efecte con el profesionalismo que debe tener.
La planeacin de la auditora en el rea de informtica, debe hacerse desde tres puntos de vista: - Evaluacin administrativa del rea de procesos electrnicos. - Evaluacin de los sistemas y procedimientos. - Evaluacin de los equipos de cmputo.
30 Para lograr una adecuada planeacin, lo primero que se requiere es obtener informacin general sobre la organizacin y sobre la funcin de informtica a evaluar. Para ello es preciso hacer una investigacin preliminar y algunas entrevistas previas, y con base a esto planear el programa de trabajo, el cual deber incluir tiempo, costo, personal necesario y documentos auxiliares a solicitar o formular durante el desarrollo de la misma.
La planeacin de la auditora debe sealar en forma detallada el alcance y direccin esperados y debe comprender un plan de trabajo para que, en caso de que existan cambios o condiciones inesperadas que ocasionen modificaciones al plan general, sean justificadas por escrito.
El resultado de la planeacin se condensa en el programa de auditora.
2.2.1.2. Papel del Auditor Informtico.
El papel del auditor informtico va a ser variable. A todos los auditores informticos les preocupar bsicamente el control interno, el control y la fiabilidad financieros y la seguridad de los activos de la empresa. Muchos auditores tendrn una gama de responsabilidad mucho ms amplia, en la que se incluyan los anlisis de los sistemas y los estudios empresariales. Algunos se interesarn en la eficacia, eficiencia, y continuidad de los sistemas. Otros auditores analizaran si el equipo informtico y los sistemas de software son tcnicamente adecuados y eficientes.
Para que el anlisis sea eficaz y til, el auditor deber tener los conocimientos tcnicos necesarios para comprender el tema que vaya a examinar. La falta de conocimientos limita el alcance del trabajo de anlisis; por lo que los auditores informticos debern conocer perfectamente las posibilidades de los equipos y sistemas que utilice la empresa que se est auditando y estar familiarizado con los estndares en vigor. Es importante conocer el hardware y el software, en la medida en que se necesite para realizar el trabajo que se vaya a acometer. Tambin resultar de gran valor para el auditor el conocimiento del lenguaje de control de tareas, sistemas operativos, anlisis y programacin para que haga unos anlisis
31 ms detallados, resuelva los problemas que surjan con mayor independencia, mejore el nivel de comunicacin con el staff del departamento de informtica y consiga el respeto y la colaboracin del personal de proceso de datos.
2.2.2. Resea Metodolgica.
El concepto de totalidad ha alcanzado en los ltimos aos una gran resonancia y notoriedad. Es as como la bsqueda del sentido holstico se ha constituido como una nueva forma de pensar y de actuar. El holismo surge de la confluencia de diversas disciplinas humanas y est orientado hacia la bsqueda de un marco referencial o contexto trascendental en el que un fenmeno pueda desplegarse como totalidad [Lpez, H.; 1998]. Esto es lo que el enfoque o pensamiento de sistema persigue, por lo que resulta de gran utilidad para aquellos problemas en los que los lmites se expanden, dificultndose su estructuracin.
En la medida en que se adquieran mayores conocimientos de la totalidad de los componentes o aspectos bajo estudio, as como de sus interrelaciones, en esa misma medida se podr asegurar la interpretacin realista y la evaluacin de los problemas dentro del sistema al que pertenece, obtenindose la certeza de la permanencia y efectividad de las soluciones recomendadas.
El enfoque de sistemas trabaja simultneamente con mtodos cuantitativos y cualitativos, deductivos e inductivos, simblicos y conceptuales; escogindose aquel que se adapte al fenmeno en cuestin y a los objetivos de la investigacin. Es por esto que el enfoque de sistemas ha podido penetrar en muchas reas del conocimiento, enlazar disciplinas aisladas y lograr una apreciacin interdisciplinaria de los fenmenos, transformando de esa manera, los grupos multidisciplinarios, los cuales son ms adecuados para enfrentar y resolver los problemas propios de nuestros tiempos, transformndose as en una transdisciplina.
32 Dentro de las metodologas que utilizan el enfoque de sistemas se encuentra, la Metodologa de Peter Checkland, la cual resulta de gran utilidad para el estudio de sistemas de la actividad humana, especialmente en el campo organizacional.
2.2.2.1. Metodologa de Checkland.
Los problemas del mundo real se caracterizan porque no pueden ser descritos segn un patrn o modelo definido. Dentro de esta categora se encuentran los sistemas blandos, en los cuales resulta difcil definir objetivos, la toma de decisiones es incierta, y las medidas de sus actividades son a lo mximo cualitativas [Checkland, P.; 1993]. La metodologa de Checkland surge por la necesidad de enfrentarse a este tipo de problemas no estructurados, en donde el resultado nunca es una solucin ptima a un problema, es ms bien un aprendizaje que conduce a una decisin referente a tomar ciertas acciones.
La metodologa est constituida por dos tipos de actividades: Del mundo real, la cual necesariamente involucra gente en la situacin problema, constituida por los estadios 1, 2, 5, 6 y 7. Del pensamiento de sistemas, que puede o no segn las circunstancias del estudio involucrar a los actores del sistema, y est representada por los estadios 3 y 4.
Fases de la Metodologa de Checkland.
La metodologa de Checkland no exige una secuencia lgica de pasos, lo ms importante es mantener una relacin entre los estadios y tener presente que un cambio en cualquiera de ellos afecta a todos los dems; sin embargo es necesario presentar sus fases en una forma cronolgica para su mejor entendimiento. Las cuatro fases son mostradas en la figura 2.1, y se describen a continuacin:
Fase I Fase II Visin Amplia del Sistema Diseo de Sistemas Pertinentes
Fase IV Fase III
Implantacin de Diseo de algunos Cambios Cambios
Pensamiento de Sistemas
Mundo Real 2 Aspectos Crticos 1 Aspectos Generales
Figura 2.1. Fases de la Metodologa de Checkland. 3 Definiciones Races 7 Acciones para mejorar la situacin problema 5 Comparacin del modelo conceptual y el sistema actual 4 Modelos Conceptuales 6 Definicin de los cambios
34 Fase I: Visin Amplia del Sistema.
En esta fase se incluye los estadios 1 y 2, los cuales constituyen un primer intento por conocer la situacin en la cual se percibe que hay un problema. Esta primera fase es normalmente la que ms tiempo consume, pues incluye la toma de todo tipo de datos y presupone entrar en contacto directo con los distintos grupos que participan en el sistema [Pinilla, J .; 1994].
Las actividades incluidas en esta fase son:
Estadio 1: Descripcin de los Aspectos Generales.
Mediante este estadio se pretende reunir todas las percepciones posibles de la situacin problema, obtenindose as un cmulo de informacin pertinente al sistema y a su entorno.
Estadio 2: Definicin de Aspectos Crticos.
Permite resaltar los elementos o factores de mayor incidencia de la situacin planteada, lo que amerita la opinin de todos los entes involucrado.
Fase II: Diseo de Sistemas Pertinentes.
Seguidamente se describen los estadios 3 y 4 de la metodologa que constituyen esta fase:
Estadio 3: Definiciones Races del Sistema Pertinente.
Una vez estructurada la situacin problemtica se procede a la preparacin de algunas definiciones que pudieran ser pertinentes al problema en estudio, y que describen en forma concisa al sistema de la actividad humana seleccionado. Una definicin raz ser una descripcin significativa del sistema en cuestin de acuerdo a una visin particular del
35 mundo o Weltanschauung. Sin embargo, habr otros Weltanschauung viables, debido a que los seres humanos siempre pueden aunar significados diferentes a los mismos actos sociales [Checkland, P.; 1993].
Idealmente una definicin raz debe estar constituida por seis elementos o factores. Estos factores son agrupados bajo el neumnico CATWOE, proveniente de sus iniciales en el idioma ingls y se describen a continuacin: - Consumidores (C): Son aquellos individuos o entidades que se ven beneficiadas o perjudicadas por el funcionamiento del sistema. - Actores (A): Son los agentes que hacen posible el proceso de transformacin que se lleva a cabo en el sistema. - Transformacin (T): Es el proceso realizado por el sistema, que consiste en sintetizar un conjunto de salidas a partir de un conjunto de entradas - Weltanschauung (W): Es la perspectiva que da origen a la definicin raz, sta puede provenir de cualquier fuente, pero es recomendable que provenga de los consumidores, los actores o el dueo del sistema. - Dueo (O): Es aquel individuo, entidad o macrosistema que en algn momento puede decidir por la destruccin (o salida de funcionamiento) del sistema. - Restricciones del ambiente (E): Son aquellas limitaciones al funcionamiento del sistema que son impuestas por agentes externos a l y que conforma su ambiente.
Estadio 4: Confeccin y verificacin de modelos conceptuales.
La escogencia de la definicin raz apropiada debe realizarse conjuntamente con la persona o grupo responsable del sistema, tomando en cuenta que cada una de ellas conduce a cambios diferentes y que deben ser factibles a corto plazo. Es en este momento cuando se est en capacidad de construir un modelo sistema de actividad necesario para lograr la transformacin deseada.
36 El Modelo Conceptual establece lo que debe hacerse, para lo cual se toman los verbos que aparecen explicita o implcitamente en la definicin raz seleccionada, para luego estructurarlos en una secuencia lgica.
Una vez construido el Modelo Conceptual es recomendable poder establecer su valides, para lo cual se hace uso de un modelo general de cualquier sistema de actividad humana, designado como sistema formal, porque es una combinacin de componentes que deben estar presentes para que un grupo de actividades cumplan un propsito determinado. Debe destacarse, que este sistema formal no puede asegurar que los modelos conceptuales sean validos, pero puede establecer pautas para descubrir si estn construidos en forma adecuada.
Fase III: Disear algunos cambios.
Culminada la construccin del Modelo Conceptual y establecidas interrelaciones entre las actividades fundamentales, se procede a detallar cada una de ellas por separado, para lo cual debe incluirse: tipo de decisiones a tomar, informacin requerida y medios para obtenerla, elementos estructurales que participan en la actividad, recursos que requiere, etc. Esta etapa amerita la iteracin con los actores del sistema y esta comprendida por los estadios 5 y 6, los cuales se describen seguidamente:
Estadio 5: Comparacin entre el Modelo Conceptual y el Sistema Actual.
En esta etapa se compara la problemtica analizada en el estadio 2 con el sistema creado por el encargado del estudio, sin olvidar que el debate con los participantes del sistema es de vital importancia para establecer los posibles cambios que se podran introducir para solventar la situacin planteada.
La comparacin es el punto en el cual las percepciones intuitivas del problema se confrontan con las construcciones de sistema que el pensador de sistemas asegura que
37 proporcionan una descripcin de la realidad mas general y epistemolgicamente ms profunda; debajo de las apariencias superficiales [Checkland, P.; 1993].
La accin de cotejar cada una de las actividades del sistema formal con las actividades del mundo real, permite determinar las decisiones y recursos necesarios para llevar a cabo los cambios que implica cada actividad, y en el caso de que estn presentes, establecer los mecanismos para verificar que tan bien se llevan a cabo.
Estadio 6: Definicin de los cambios.
La comparacin realizada en el paso anterior permite que los cambios surjan de una manera natural y adems revela las deficiencias existentes en el sistema actual. Los cambios a introducirse en el sistema pueden ser de diversos tipos, permitindose la combinacin de ellos segn la situacin particular; pero lo ms importante es que estos cambios sean viables dadas las circunstancias actuales y, que los actores que viven la situacin problemtica estn involucrados con las decisiones tomadas.
Dentro de los tipos de cambios existentes se encuentran los estructurales, los de procedimiento y de actitudes. Los dos primeros son los ms fciles de especificar y de llevar a cabo; entendindose por cambio de estructuras aquellos que se refieren a los aspectos de mayor permanencia en un sistema, y que constituyen bsicamente su estructura; mientras que los de procedimiento estn ms relacionados con las operaciones que se llevan a cabo en el mismo. Los cambios de actitudes por estar relacionados con el ser humano como tal, son ms difciles de habilitar, ya que no solo deben modificarse las actitudes propias del comportamiento tanto individual como colectivo, sino tambin amerita cambios en influencia, en los criterios de evaluacin y de comportamiento adecuado segn el rol desempeado
Por ltimo debe destacarse que el Modelo Conceptual debe tomarse como una gua para la definicin de cambios, y no como una representacin ideal al cual deba tender el sistema actual.
38 Fase IV: Implantacin de Cambios.
Estadio 7: Acciones para mejorar la situacin problemtica.
Esta constituido por todas aquellas acciones necesaria para solventar la problemtica, y representa uno de los pasos que debe tomarse muy en cuenta desde el inicio del estudio, ya que de no ser as los cambios sugeridos no se adaptarn a los requerimientos de los sectores involucrados y los esfuerzos por mejorar la situacin planteada habrn sido en vano.
2.3. Definicin de Trminos Bsicos.
A fin de dar un significado exacto, que permita la comprensin de las ideas expuestas se definen a continuacin los trminos de mayor utilizacin:
Aplicacin: Es aquella parte del sistema de informacin que resuelve un determinado problema de gestin en el contexto de la informacin.
Archivo: Tipo abstracto de datos definido e implantado por el sistema operativo, que consiste en una secuencia de registros lgicos, los cuales pueden ser un byte, una lnea o un elemento de datos ms complejo.
Archivo Fuente: Es un archivo de cdigo de programacin que est compilado en lenguaje de mquina.
Archivo Lgico: Es una descripcin de cmo deben presentarse los datos, o recibirse, de un programa.
Bitcora: Registro de las operaciones del equipo de procesamiento de la informacin para cada trabajo u operaciones, tambin se listan el tiempo requerido, las actividades del operador y otros datos pertinentes.
39 Cintoteca: Se denomina Cintoteca al almacn de los medios magnticos (cinta magntica, disquete, cassetes, cartuchos, discos removibles, CD's, flash driver, etc.) y de la informacin que estos contienen.
Comunicacin de Datos: Envo y recepcin de datos entre sistemas y/o dispositivos remotos de acuerdo a los protocolos seleccionados.
Configuracin: Es la disposicin fsica y lgica de dispositivos y programas que ejecutan un sistema de proceso de datos.
Configuracin de Comunicaciones: Ubicacin fsica de los controladores de comunicaciones, conexin de las lneas de comunicaciones, etc; y descripciones de configuracin que describen la configuracin fsica al sistema y cmo el sistema utilizar la configuracin.
Cnsola: Es la parte del computador usado para la comunicacin entre los operadores o ingenieros de funcionamiento y el computador, generalmente por medio de seales y de controles manuales.
Contingencia: Es toda falla, siniestro o situacin irregular que afecte el funcionamiento normal del centro de cmputo, o bien que provoque interrupciones del servicio de procesamiento de datos.
Contrasea: Serie nica de caracteres que un usuario de un sistema debe introducir para identificarse a s mismo, en caso de que los recursos de ste estn agrupados.
Control: Son marcos de referencia para evaluar y medir el funcionamiento de reas importantes.
Control de Entrada: Es el conjunto de controles procesales necesarios para manejar los datos fuera del rea de computacin.
40 Controles de Salida: Son los controles que aseguran que los resultados obtenidos sean confiables.
Controles Programados: Son los controles que se incluyen como parte de las instrucciones internas de la mquina.
Cuadros Ocupacionales: Es una tcnica para efectuar la revisin de las actividades del personal. Consiste en hacer una descripcin general de un puesto principal, definiendo autoridad, responsabilidad, atribuciones y relaciones.
Definicin Raz: Es una definicin concisa y construida con precisin de un sistema de actividad humana que enuncia lo que el sistema es, y conduce a la mejora del sistema.
Diagrama de Gantt: consiste en una representacin grfica sobre dos ejes; en el eje vertical se disponen las tareas del proyecto y en el eje horizontal se representa el tiempo.
Disco: Medio de almacenamiento de acceso directo (aleatorio) con datos registrados magnticamente.
Discoteca: Ver cintoteca.
Documentacin: Descripcin de documentacin durante la programacin que implica la descripcin del programa y respalda su preparacin, su aprobacin y cualesquiera cambios subsecuentes.
Epistemologa: Teora relativa a los medios por los cuales podemos tener y expresar el conocimiento del mundo.
Estacin de Trabajo: Los microcomputadores en los que trabajan los usuarios, que estn conectados entre s y al servidor de archivos.
41 Etiquetas Externas: Son etiquetas visibles que se aaden a una cinta magntica o a un disco.
Etiquetas Internas: Es la informacin de identificacin que se coloca en el disco o cinta y se pone bajo el control de programa de computadora como primer registro.
Librera: Objeto del sistema que sirve como directorio para otros objetos. Una librera agrupa objetos relacionados y permite al usuario buscar objetos por su nombre.
Lnea: Va fsica en la transmisin de datos.
Lnea de Comunicaciones: Enlace fsico que conecta una o ms estaciones de trabajo a un controlador de comunicaciones, o que conecta un controlador de otro.
Manual de Organizacin: Es un documento que contiene en forma ordenada y sistemtica informacin sobre atribuciones, estructura orgnica, funciones de las unidades administrativas que integran la empresa, niveles jerrquicos, canales de comunicacin y coordinacin, grado de autoridad y responsabilidad.
Manual de Procedimientos: Los procedimientos para la preparacin de la entrada, grupo de control, sistemas, programacin, manejo y procedimientos del usuario descritos en manuales escritos.
Manual de Usuario: Rene la informacin, normas y documentacin necesaria para que el usuario conozca y utilice adecuadamente la aplicacin desarrollada.
Modelar: Es la accin de disear o construir un estndar, arquetipo, referencia o plan, es decir, captar lo ms fielmente posible, lo esencial de un objeto.
42 Modelo Conceptual: Es una descripcin sistmica de un sistema de actividad humana, construida sobre la base de una definicin raz del sistema, generalmente bajo la forma de un grupo estructurado de verbos en el modo imperativo.
Normas de Auditora: Requisitos mnimos de calidad aceptable, de la actividad relacionada con el auditor independiente a lo que se refiere a su personalidad, la ejecucin del trabajo y el informe que suministra como resultado de dicho trabajo.
Perfil: Datos que describen las caractersticas de un usuario, programa, dispositivo o ubicacin remota.
Poltica: Son los principios de operacin que permiten alcanzar las metas de la organizacin.
Problema Suave: Es un problema que no se puede formular como la bsqueda de medios eficientes para lograr un fin definido; ya que los fines, metas y propsitos no se encuentran bien definidos.
Procedimientos: Representan la formulacin y aplicacin de principios y mtodos uniformes, en la realizacin de una actividad.
Procedimientos de Auditora: Es un conjunto de tcnicas de investigacin, aplicables a una partida o un grupo de hechos y circunstancias relacionadas con el objeto del examen del auditor, mediante las cuales obtiene las bases necesarias para fundamentar su opinin.
Procesamiento: Es la accin de realizar operaciones y clculos sobre los datos.
Programa: Es el conjunto de instrucciones escritas en un lenguaje que sea comprensible para la computadora.
43 Rastro para Auditora: Es un medio para identificar los pasos dados al procesar los datos de entrada o al preparar una salida de manera que los datos en un documento puedan ser rastreados hacia un medio de salida, y un medio de salida pueda ser rastreado hacia las partidas de origen de las cuales deriva.
Red: Grupo de productos de proceso de datos conectados mediante lneas de comunicaciones para el intercambio de informacin entre estaciones.
Servidor: Es el microcomputador encargado de supervisar la comparticin de archivos y los niveles de seguridad, y controlar la utilizacin de las impresoras y otros dispositivos perifricos conectados a l.
Sistema: Es un modelo de una entidad vista como un todo.
Sistema de Actividad Humana: Un sistema nocional con propsito que expresa alguna actividad humana que poda en principio encontrarse en el mundo real.
Sistema de Informacin: Es un conjunto de procedimientos utilizados para reunir datos, codificarlos para convertirlos en informacin, almacenarlos y utilizarlos para la toma de decisiones.
Sistema Diseado: Es una entidad hecha por el hombre que un observador elige para tratarla como un todo que tiene propiedades emergentes.
Sistema Pertinente: Es un sistema de actividad humana que un investigador que usa la metodologa de sistemas suaves nombra como candidato a generar discernimiento en estadios posteriores del estudio.
Software: Es el conjunto de programas lgicos y rutinas para operar la computadora.
44 Totales de Control: Es la salida conciliada a los totales de control de la entrada y otras conciliaciones para probar que el procesamiento est completo y es preciso.
Verificacin: Es la verificacin por teclado de los datos de entrada introducidos por este medio.
45
C A P T U L O 3 ______________________
DISEO DE LA INVESTIGACIN
46 3.1. Tipo de Investigacin.
El presente trabajo es una investigacin de campo ya que durante el desarrollo del mismo se analiz, se describi o se interpret un problema real, usando datos recabados siguiendo una metodologa de observacin de la situacin. Este es un estudio de un fenmeno social en su ambiente natural, es decir sobre el terreno.
3.2. Nivel de Investigacin.
El alcance de este estudio es exploratorio y descriptivo, ya que durante su desarrollo se indag acerca de una realidad poco estudiada y se describi con precisin las caractersticas de una determinada institucin y sus Unidades de Apoyo. Se dise un modelo de Auditora de Sistemas para la Unidad de Apoyo Informtica, no de la institucin.
3.3. Poblacin y Muestra.
En la Fundacin Municipal de la Vivienda laboran actualmente unas 28 personas, lo que representa una poblacin finita, que de acuerdo a lo estipulado, era factible considerarla en su totalidad para el desarrollo del proyecto.
Por cuestin de tiempo, esfuerzo y en aras de agilizar la recoleccin de los datos se consider conveniente entrevistar a los gerentes y responsables de las unidades de apoyo para alcanzar una muestra de 11 personas, representando un 39,28% (11/28x100%) de la totalidad de la poblacin, constituyndose as en una muestra representativa vlida.
3.4. Fuentes de Informacin.
3.4.1. Fuente de Informacin Primaria
Durante el lapso que dur el proyecto de grado se entrevist de manera general a 11 personas y se les entreg un cuestionario para que lo llenaran (ver anexo ). De este grupo de
47 personas hay que destacar al Gerente General, al Gerente de Asistencia Tcnica y a las personas que laboran en la Unidad de Apoyo Informtica, a los cuales se les aplic entrevistas no estructuradas para obtener informacin adicional durante este proceso.
3.4.2. Fuente de Informacin Secundaria
Las fuentes de informacin secundaria utilizada durante el desarrollo de este informe fueron: libros, documentos, peridicos, revistas, folletos, pginas web y planos.
3.5. Tcnicas de Investigacin.
Se aplicaron entrevistas no estructuradas al Gerente General, al Gerente de Asistencia Tcnica y a las personas que laboran en la Unidad de Apoyo Informtica. Adems, se us un cuestionario general cuyo formato se muestra en el anexo.
3.6. Metodologa Empleada
A fin de darle un enfoque de sistema al presente trabajo, se utiliz la metodologa mostrada en el libro Pensamiento de Sistemas: Prctica de Sistemas [Checkland, P.; 1993], la cual contempla cuatro fases: 1) Visin Amplia del Sistema; 2) Diseo de Sistemas Pertinentes; 3) Diseo de Algunos Cambios y 4) Implantacin de Cambios.
Para estudiar el sistema actual y analizar la situacin problemtica, se aplic la Fase I de la metodologa de Checkland y la Parte II del libroAnlisis y Diseo de Sistemas [Kendall, A. y Kendall, J .; 1997]. En la Fase I de la Metodologa de Checkland se estudian los aspectos generales y los aspectos crticos de un sistema. La Parte II del libro de Kendall trata sobre la forma de disear y aplicar entrevistas y encuestas.
Para comparar el modelo conceptual con el sistema real en estudio y proponer un modelo que permita mejorar el sistema actual, se usaron las Fases II y III de la metodologa de Checkland.
48 A fin de organizar o estructurar el informe final se emple la metodologa presentada por Tulio Ramrez en su libro Como Hacer un Proyecto de Investigacin, la cual consta de los siguientes puntos: 1) El Problema, 2) Marco Terico Referencial, 3) Diseo de la Investigacin, 4) Aspecto Administrativo, 5) Bibliografa, y 6) Anexos. Tambin tomamos en cuenta, para este punto, el Manual para la Elaboracin de Anteproyectos y Trabajos de Grado del Dr. Luis Mrquez Gordones [UNA.; 1999].
49
C A P T U L O 4 ______________________
VISIN AMPLIA DE LA FUNDACIN MUNICIPAL DE LA VIVIENDA
50 4.1. Resea Histrica de ALCAVI.
Con el transcurrir de la modernizacin del Estado Venezolano, el Municipio tuvo que asumir un mayor nmero de responsabilidades que estn soportadas en nuevas y eficientes estructuras. La modernizacin trajo consigo la descentralizacin y desconcentracin del Estado Venezolano y una de las reas que ha dado el ejemplo es el sector vivienda; no solo por la magnitud del problema planteado, como si por la diversidad de actores y gestores en el sector, adems de la presencia de un buen nmero de instrumentos legales que ayudan mucho al cometido planteado.
Desde el ao 1990, con la creacin de la Ley de Poltica Habitacional, comienza a darse en Venezuela un impulso inusitado a la creacin de estructuras regionales que empezaron a tener funciones nuevas, pero muy especficas, en la elaboracin y ejecucin de polticas de vivienda.
Indudablemente que el factor estimulante fue la promulgacin de la Ley de Poltica Habitacional, ya que sta obliga al Gobierno Nacional y los Gobiernos Regionales y Municipales a disponer de un porcentaje obligatorio de recursos en sus respectivos presupuestos, para que sean utilizados en la elaboracin y ejecucin de polticas de vivienda.
Es as como nacela Fundacin Municipal de la Vivienda (ALCAVI), la cual fue creada el 14 de noviembre de 1996 por el entonces Concejo del Municipio Sucre del Estado Sucre que funcionaba en Cuman (ver Ordenanza Extraordinaria No. 199 del ao 1996). ALCAVI inicia sus actividades en el ao 1997 y actualmente funciona en un edificio de dos plantas que est ubicado en la Avenida Arismendi No. 179 de la Ciudad Primognita (ver anexo); y depende de la Alcalda del Municipio Sucre del Estado Sucre.
51 4.2. Orientacin Estratgica de ALCAVI
Los elementos estratgicos son un conjunto de definiciones orientadas a establecer claramente cual es la razn de ser de la fundacin y hacia donde debera orientarse la gestin global de la institucin.
Dentro de los elementos estratgicos se encuentran la misin, las polticas, las funciones y los objetivos, los cuales se enuncian a continuacin:
Misin: ALCAVI es una institucin que tiene como misin la de contribuir a la solucin del problema habitacional de los habitantes del Municipio Sucre del Estado Sucre, especialmente de aquellos ubicados dentro de los niveles I y II de la Ley de Poltica Habitacional.
Polticas: La existencia de un organismo de vivienda como ALCAVI, permite al Municipio participar ms de cerca en lo que hasta ahora son las polticas fundamentales que se plantean en el sector vivienda, como son la Consolidacin de Barrios, la Construccin de Nuevos Desarrollos y la Asistencia Crediticia Individual.
Funciones: Las funciones fundamentales de la Fundacin Municipal de la Vivienda son: Elaborar y ejecutar polticas municipales de vivienda, gerenciar recursos, elaborar y ejecutar programas y proyectos, etc.
Objetivos: 1) Planificar, elaborar y ejecutar polticas y programas de viviendas. 2) Elaborar y financiar proyectos e investigaciones. 3) Ejecutar y financiar soluciones habitacionales. 4) Adquirir tierras, cumpliendo para ello toda la normativa legal vigente. 5) Administrar o celebrar contratos de administracin de soluciones habitacionales con entes pblicos y privados. 6) Crear una poltica popular de vivienda.
Los factores crticos de xito estn representados por todos aquellos aspectos que exige el entorno donde opera la institucin y cuyo cumplimiento satisfactorio garantiza el xito
52 del servicio. Los factores crticos de xito de la fundacin, estn ntimamente relacionados con los clientes y el grado de satisfaccin de sus necesidades, siendo stos: Solidez: Imagen de solidez financiera; transparencia en la informacin; seguridad y control de riesgo. Empata: Identificacin del cliente con la institucin; confianza; imagen integral (valores); respeto hacia el cliente. Calidad de servicio: Atencin personalizada; capacidad y calidad de respuesta; transmisin de seguridad y confianza; tecnologa de vanguardia; servicio integral. Conocimiento del entorno: Estudio comparativo de calidad de servicios.
4.3. Descripcin de ALCAVI.
La Fundacin Municipal de la Vivienda presenta, en su estructura, una Gerencia General (dependiente de la Alcalda), conformada por una Gerencia de Asistencia Tcnica y por 4 Unidades de Apoyo (Administracin y Finanzas; Recursos Humanos; Captacin, Evaluacin y Seguimiento de la Demanda; Prensa y Publicidad). A su vez, la Gerencia de Asistencia Tcnica, esta constituida por 3 Unidades de Apoyo (Informtica, Sala de Proyecto y Legal) y por 8 programas (Consolidacin de Comunidades Organizadas, Banco de Tierras, Regularizacin de la Tendencia de la Tierra, Financiamiento, Equipo Maquinaria, Consolidacin de Comunidades, Nuevos Desarrollo y Rehabilitaciones de Urbanizaciones Populares) como se puede apreciar en el organigrama estructural que se muestra en la figura 4.1.
ALCAVI ALCAVI
Organigrama Estructural de ALCAVI Fuente: U.A.Informtica 25-11-2006
Figura 4.1 U.A. Informtica
U.A. Sala de Proyecto
U.A. Legal Prog. Consolidacin de Comunid. Organizadas Programa de Banco de Tierra Programa Regul. de la Tenencia de la Tierra Programa Financiamiento Gerencia General U.A. Administracin y Finanzas
U.A. Recursos Humanos
U.A. Capt., Eval. y Seg. De la Demanda
U.A. Prensa y Publicidad Alcalda del Municipio Sucre Gerencia de Asistencia Tcnica Equipo Maquinaria Programa de Consolida- cin de Comunidades Programa Nuevos Desarrollo Programa IV-1 Rehabilitaciones de Urb. Populares
54 Gerencia General.
Planificar, dirigir y coordinar las actividades de la fundacin, delegando responsabilidades a nivel gerencial por rea de especializacin. Sus funciones principales son: - Dirigir la institucin intentando que la misma cumpla sus objetivos y logre excelentes niveles de desarrollo organizacional. - Elaborar la Poltica General de la Fundacin, en concordancia con la poltica establecida por la Alcalda del Municipio Sucre del Estado Sucre. - Aprobar el Proyecto de Presupuesto de la Fundacin Municipal de la Vivienda. El Presupuesto aprobado debe estar en concordancia con la Poltica Presupuestaria que fije el Alcalde del Municipio Sucre del Estado Sucre. - Aceptar o rechazar las contribuciones que le sea hechas a la Fundacin Municipal de la Vivienda (ALCAVI). - Aprobar el Reglamento Interno de la Fundacin Municipal de la Vivienda. El mismo debe ser del conocimiento del Alcalde del Municipio Sucre del Estado Sucre. - Aprobar la Poltica General de Sueldos, Salarios y contrataciones. La misma debe estar en concordancia con las disposiciones legales que se dicten al respecto. - Ejercer representacin Legal de la Fundacin Municipal de la Vivienda (ALCAVI). - Conocer y resolver acerca de los Actos, Operaciones y Negocios que interesen a la Fundacin Municipal de la Vivienda (ALCAVI). - Nombrar Apoderados J udiciales, quienes podrn ejercer las representaciones de la Fundacin en los trminos que seale el respectivo mandato. - Elaborar Proyectos de Presupuestos y presentarlos a la consideracin del Alcalde del Municipio Sucre, del Estado Sucre. - Ejecutar el presupuesto de la Fundacin Municipal de la Vivienda (ALCAVI). - Nombrar y remover al Personal de la Fundacin. - Ejercer la Direccin General de todos los servicios y del Personal de la Fundacin y resolver todos aquellos contratos y operaciones que no estn atribuidas a otra dependencia.
55 - Efectuar los traspasos crditos presupuestarios. entre programas, proyectos y partidas en concordancia con lo que establezcan las disposiciones legales al respecto. - Preparar el informe anual de las Operaciones realizadas por la Fundacin y cualquier otro informe solicitado por el Alcalde del Municipio Sucre del Estado Sucre. - Autorizar las celebraciones de los compromisos financieros de conformidad con lo establecido en la Ley General de Licitaciones y dems normativas vigentes. - Dictar el Reglamento Interno de la Estructura Organizativa de la Fundacin Municipal de la Vivienda (ALCAVI). - Estudiar y Evaluar las Polticas, Programas y Proyectos de la Fundacin Municipal de la Vivienda, estableciendo, as mismo, las normas de concesin de Crditos. - Todas las dems Atribuciones que le sealen la Ordenanza y su Reglamento.
Gerencia de Asistencia Tcnica.
Elaborar los sistemas de seleccin del cliente organizado o no que atiende ALCAVI y generar las respuestas en trminos de proceso y solucin habitacional.
Administracin y Finanzas.
Establecer los soportes administrativos de ALCAVI y responder por la viabilidad administrativas de las polticas de la Fundacin Municipal de la Vivienda.
Recursos Humanos.
Administrar la poltica de personal de ALCAVI. Sus principales funciones son: - Elaborar y administrar los programas de beneficio social para el personal de ALCAVI. - Elaborar y ejecutar instrumentos que sistematicen el seguimiento de las obligaciones y derechos del personal.
56 - Instrumentar los sistemas de medicin de los diferentes niveles de satisfaccin e insatisfaccin del personal. - Crear y ejecutar sistemas de seleccin y adiestramiento del personal. - Administrar el control de nmina de ALCAVI.
Captacin, Evaluacin y Seguimiento de la Demanda.
Crear y administrar un sistema de recepcin, evaluacin y seguimiento de la demanda que expresan los clientes de ALCAVI. Adems; organizar y jefaturar el rea de recepcin de Fundacin Municipal de la Vivienda.
Prensa y Publicidad.
Administrar la imagen y publicidad de ALCAVI. Adems, ejercer la representacin de la Fundacin Municipal de la Vivienda y el montaje de actividades masivas.
Informtica.
Elaborar, administrar y ejecutar la poltica de informtica de la Institucin. Sus funciones principales son: - Elaborar y ejecutar las polticas de mantenimiento de los equipos de ALCAVI. - Elaborar y ejecutar polticas y programas de adiestramiento para el personal de ALCAVI. - Orientar las polticas de adquisicin de programas y equipos de la institucin. - Administrar las instalaciones de programas y equipos de ALCAVI. - Todo aquello que indique su inmediato superior.
57 Unidad Legal.
Asesorar a la institucin a travs de la Gerencia General o a quien este responsabilice para tal fin.
Conjunto de Programas.
Sus principales funciones son: - Crear un banco de diagnstico de tierras para la atencin de demanda individual y colectiva dentro del Municipio Sucre. - Crear un instrumento institucional gestor de recursos dentro y fuera del Estado Sucre. - Crear un instrumento institucional Municipal gestor de la adquisicin de tierras urbanizables tanto para demanda individual como para la colectiva. - Responder a la demanda de Soluciones Habitacionales de las comunidades Organizadas, creando o reforzando los procesos integrales y autogestionarios de consolidacin y Rehabilitacin de Comunidades Urbanas y Rurales.
4.4. Aspectos Generales de la Unidad de Apoyo Informtica.
La Unidad de Apoyo Informtica de la Fundacin Municipal de la Vivienda tiene por objetivo principal, planificar, controlar y ejecutar las acciones referentes al desarrollo de sistemas, procesamiento y distribucin de la informacin, adems del mantenimiento y dotacin de equipos automatizados e instalacin de redes en la institucin.
La Unidad de Apoyo Informtica reporta directamente a la Gerencia General y se encarga de supervisar la Coordinacin de Atencin al usuario, Gerencia de Asistencia Tcnica, las dems Unidades y los Programas.
En el ao 1998 se procedi a instalar una Red de computadoras (LAN Ethernet 802.3 con Topologa en Estrella Extendida) para optimizar el flujo de informacin entre las
58 diferentes dependencias de la Institucin, a travs de la interconexin de diversos equipos, permitiendo el acceso comn a recursos compartidos como documentos, correo electrnico e Internet.
La informacin ms reciente que se posee sobre los equipos, fue hecha por el estudiante Rafael A. Figuera en un informe de Pasanta titulado Auditora de la Red LAN Instalada en la Fundacin Municipal de la Vivienda (ALCAVI), del Municipio Sucre del Estado Sucre en el ao 2004, del cual extraemos un pequeo resumen.
Actualmente, la Red presenta las siguientes especificaciones: Hay cuarenta y un (41) puntos de Red en toda la edificacin (21 en planta alta y 20 en la planta baja). Un servidor Intel Pentium 166 MHz y 26 PC de escritorio. Todas ensambladas con piezas genricas, menos uno que es de marca HP. Un Switch de 10/100 Mbps y un Hub de diecisis (16) puertos de 10/100 Mbps cada uno, ambos de marca 3com. Sistema operativo de Red: Windows Nt server versin 4.0. Protocolo de transmisin TCP/IP. Una base de datos que actualmente contiene doce mil (12.000) registros
La Unidad de Apoyo Informtica, como todo centro de procesamiento de informacin debe contar con mecanismos que permitan la evaluacin y revisin de sus sistemas, equipos y estructura organizativa. Esta funcin es desempeada por el Departamento de Auditora de Sistemas, el cual no ha sido creado en la institucin; sin embargo se puede decir, segn la Ordenanza de Creacin de ALCAVI (artculos 15 y 19), que tanto la Alcalda como la Contralora del Municipio Sucre del Estado Sucre, tienen como funcin, la de controlar, supervisar, orientar y tutelar la Fundacin Municipal de la Vivienda.
59 4.5. Aspectos Crticos.
El objeto de estudio es disear un modelo de auditora de sistemas que debe aplicarse al rea de informtica. Sin embargo una vez establecidos los contactos con cada uno de los entes involucrados, se pudo constatar que por el mismo hecho de no estar realizndose las auditoras, se estn pasando por alto aspectos importantes para el control y revisin de las operaciones relacionadas con el procesamiento de la informacin. El estudio detallado del rea de informtica, servir de gua para la definicin de las actividades que deben tomarse en consideracin para la elaboracin de un plan de evaluacin y control de dicha Unidad.
Un aspecto que no puede descuidarse al momento de conocer la situacin de la Unidad de Apoyo Informtica, es que ste es el centro de procesamiento de todas las operaciones que se realizan en la institucin; adems se encarga de atender todos los requerimientos de los usuarios con relacin al uso y mantenimiento de los equipos computarizados, y de la instalacin de redes de la fundacin. Por esto, todo cambio en sus polticas o plan estratgico a seguir, influye directamente en las actividades que se realizan, especialmente en el nmero de solicitudes de sistemas, o de cambios a los ya existentes.
Con respecto a la carencia de programas de Auditora de Sistemas correspondiente al rea de procesamiento electrnico de datos, se pueden observar que los principales efectos que produce son: La revisin y evaluacin de controles en el rea de informtica son deficientes. Fallas en la documentacin de los sistemas realizados en el rea. Deficiencia en la utilizacin de los sistemas de registros; lo cual se debe principalmente a que existe poca disponibilidad de tiempo para la documentacin de la programacin y la operacin. No existen planes de contingencia en el Centro de Cmputo. Bajo nivel de concientizacin en materia de seguridad y control. No existe una persona responsable de todas las actividades realizadas en la Unidad de Apoyo Informtica.
60 Una vez que se ha estudiado a fondo la situacin existente en la Unidad de Apoyo Informtica de la Fundacin Municipal de la Vivienda, se han podido detectar los focos de dificultades que estn afectando el desarrollo eficiente de sus actividades, logrndose de esta manera estructurar la situacin problemtica, en la cual cada uno de los focos o problemas se interconectan segn lo mostrado en la figura 4.2. De esta manera puede exhibirse la situacin de forma que se puedan revelar un rango de soluciones posibles y pertinentes, que conlleven a la definicin de cambios que mejoren la situacin actual.
Figura 4.2. Efectos producidos por la carencia de programas de Auditora de Sistemas
La revisin y evaluacin de controles en el rea de Informtica es deficiente Carencia de programas de Auditora de Sistemas en el rea de procesamiento electrnico de datos No existen planes de contingencia en el Centro de Cmputo Fallas en la documenta- cin de los sistemas realizados en el rea Deficiencias en la utiliza- cin de los sistemas de re- gistro de fallas y servicios Bajo nivel de concientiza- cin en materia de seguridad y control Poca disponibilidad de tiempo para la documen- tacin de las actividades de programacin y operacin No existe responsable de la U. de A. Informtica
61
C A P T U L O 5 ______________________
DISEO DE UN MODELO CONCEPTUAL
62 5.1. Diseo de Sistemas Pertinentes a la Unidad de Apoyo Informtica de ALCAVI.
Concluida la etapa de observacin del sistema objeto de estudio, es necesario realizar su conceptualizacion, mediante la cual se pretende lograr un aprendizaje que conlleve a la toma de decisiones concernientes a la mejora de la situacin problemtica. Esta conceptualizacion se inicia con el diseo de sistema de actividades pertinentes a la situacin problemtica, y culmina con la construccin de un Modelo Conceptual, que describa las actividades mnimas para su funcionamiento, as como sus correspondientes relaciones con los elementos externos que afectan el sistema.
Las Definiciones Races representan los sistemas de la actividad humana que tratan de expresar nociones sobre el sistema desde distintos puntos de vista, en este caso sobre la Unidad de Apoyo Informtica de ALCAVI, para lo cual se solicit la opinin del personal de las diferentes reas de la institucin. Posteriormente debe seleccionarse la que conlleve a cambios factibles, tendentes a mejorar la situacin actual.
5.1.1. Definiciones Races.
A continuacin se presentan cinco definiciones races, correspondientes a diferentes perspectivas de la Unidad de Apoyo en estudio.
Definicin Raz Nmero Uno.
La Unidad de Apoyo Informtica es un sistema de apoyo gerencial y de control de la Fundacin Municipal de la Vivienda, que suministrando sistemas de informacin a las diversas unidades de la institucin, garantiza la optimizacin de sus operaciones y la obtencin de beneficios mximos, orientada por las polticas de la institucin.
63 Definicin Raz Nmero Dos.
La Unidad de Apoyo Informtica es un sistema de satisfaccin de los requerimientos de informacin de la Gerencia General y las Unidades de Apoyo, de forma que se logre un incremento de la eficiencia en el trabajo y que se opere bajo condiciones ptimas, cumpliendo con las normas de la institucin.
Definicin Raz Nmero Tres.
La Unidad de Apoyo Informtica es un sistema de optimizacin de las operaciones de la institucin, que suministrando los sistema computarizados, garantiza el cumplimiento de sus actividades y la administracin eficiente que conlleve a una adecuada toma de decisiones, verificando los procedimientos de ALCAVI.
Definicin Raz Nmero Cuatro
La Unidad de Apoyo Informtica es un sistema que se encarga de proporcionar los requerimientos de informacin a las distintas unidades de la fundacin, garantizando el suministro de sistemas y equipos computarizados que contribuyan a brindar un mejor servicio a su clientela, cumpliendo con las normas de la Institucin.
Definicin Raz Nmero Cinco.
La Unidad de Apoyo Informtica es un sistema de soporte para el procesamiento de informacin de ALCAVI, que permite la optimizacin de sus operaciones a travs de la planificacin, coordinacin y ejecucin de las acciones inherentes al desarrollo y mantenimiento de sistemas, controlando la utilizacin de los equipos computarizados requeridos por las diversas unidades de la fundacin, contando a su vez con una organizacin adecuada del Centro de Cmputo, y evaluando constantemente que todas las operaciones estn dirigidas al cumplimiento de las polticas, normas y procedimientos establecidas para el rea y para la Institucin en general. (Ver figura 5.1)
64
Requerimientos
Sistemas de Organizacin Proceso ALCAVI Informacin
Sistemas
Unidad de Apoyo Informtica
Figura 5.1. Definicin Raz Nmero Cinco
Apoyo y control Optimizacin de operaciones y beneficios mximos Equipos
65 5.1.2.- Seleccin de la Definicin Raz
Seleccionar la definicin raz ms apropiada, amerita de una decisin que est acorde con las personas involucradas en el sistema, ya que de ellos depende el establecimiento de algunos cambios que puedan resultar factibles y a corto plazo, para la solucin de la problemtica presentada. Es por esta razn que se seleccion la definicin raz nmero cinco, ya que abarca todos los aspectos de las actividades desarrolladas en el rea de informtica, incluyendo adems la evaluacin de dichas actividades; hecho que conlleva a la realizacin de la Auditoria de Sistemas, motivo esencial del estudio.
En cuanto a las otras definiciones races, se puede acotar que no fueron seleccionadas, ya que estn orientadas hacia fines muy particulares, por lo que no ofrecen una perspectiva de lo que realmente representa el rea estudiada, y adems deja a un lado elementos que puedan permitir el desarrollo de actividades relacionadas con la Auditora de Sistemas.
La definicin raz nmero uno est dirigida bsicamente hacia el cumplimiento de los objetivos de la organizacin, considerando a esta rea como un factor que contribuye notablemente a la eficiencia de la fundacin al permitir la optimizacin de las operaciones y la minimizacin de errores o fraudes que puedan afectar la Institucin.
La definicin raz nmero dos ofrece una visin enfocada a nivel de los usuarios que solicitan los servicios de la Unidad de Apoyo Informtica, por lo que slo se espera el incremento de la eficiencia de sus operaciones, pasndose por alto las necesidades internas para solventar las fallas existentes en esta unidad.
La definicin raz nmero tres, de igual forma no garantiza que la Unidad de Apoyo Informtica funcione de una forma eficiente, ya que slo se espera que sta proporcione los requerimientos de informacin para el cumplimiento de las operaciones realizadas en la Institucin.
La definicin raz nmero cuatro coloca el rea de Informtica como un sistema de servicio de la Fundacin para la atencin del publico, tomando a los sistemas de
66 informacin y a los equipos como herramientas que contribuyen a la satisfaccin de estas necesidades.
5.2 Diseo de un Sistema de la Actividad Humana.
Una vez que se ha seleccionado la definicin raz acorde con el sistema en estudio, se prosigue con la conceptualizacion del sistema de actividad humana, segn los verbos que aparecen explicita o implcitamente en dicha definicin. Los verbos que se van a relacionar son los siguientes: PROCESAR, DESARROLLAR Y MANTENER, CONTROLAR, ORGANIZAR Y EVALUAR (ver figura 5.2).
67 Requerimientos: Materiales e insumos, Solicitud de Sistemas equipos, personal, etc. Computarizados
Informacin sobre: Incumplimiento de Polticas, Normas y Procedimientos; utilizacin de equipos, Eficiencia, seguridad, controles, etc.
: Relaciona verbos
Figura 5.2. Modelo Conceptual.
Procesar: Informacin Organizar: Estructura Orgnica Desarrollar y Mantener: Sistemas de Informacin Controlar: Equipos Computarizados Evaluar: Operaciones
68 5.2.1. Actividades Mnimas que Contempla el Modelo.
En esta seccin se describen cada uno de los verbos expuestos en el modelo conceptual y por consiguiente las actividades detalladas para los mismos
PROCESAR:
1.- Realizar el procesamiento electrnico de la informacin.
2.- Controlar y planificar el trabajo del Centro de Cmputo.
3.- Garantizar y controlar la comunicacin entre los terminales y el computador central.
4.- Disponer de mecanismo para el control de fallas de los dispositivos del sistema de cmputo y servicios auxiliares.
5.- Establecer controles para definir la utilizacin de los equipos.
6.- Velar que el proceso de datos sea ptimo y continuo.
DESARROLLAR Y MANTENER.
7.- Cumplir con los estndares establecidos para el anlisis, programacin y documentacin de sistemas.
8.- Desarrollar los mdulos, listados, bases de datos, pantallas que requiera ALCAVI, bien sea en el sistema principal o a nivel de micro.
9.- Actualizar los registros para el control de modificaciones de sistemas.
10.- Disponer de medios para el almacenamiento de los programas y archivos existentes.
69 CONTROLAR:
11.- Brindar apoyo tcnico a las diversas unidades de ALCAVI en relacin con la adquisicin de software y hardware del ambiente de Microcomputacin.
12.- Atender los requerimientos de las diversas unidades de la institucin, en relacin con el uso de software y hardware de Microcomputacin.
13.- Establecer mecanismos para la realizacin del mantenimiento de los equipos.
14.- Formular las medidas necesarias para controlar la seguridad en la utilizacin de los equipos y en el personal.
15.- Supervisar constantemente las actividades de la institucin.
ORGANIZAR.
16.- Establecer niveles jerrquicos y lneas de autoridad acordes con los requerimientos del rea.
17.- Asignar personal calificado en cada una de las reas de de la Unidad de Apoyo Informtica.
18.- Adaptar el personal al crecimiento de la organizacin.
19.- Determinar estrategias de operacin: normas y procedimientos, objetivos y polticas, planes de trabajo, controles, cuadros ocupacionales, etc.
20.- Establecer las reas que proporcionan apoyo para el cumplimiento de sus funciones. 21.- Elaborar programas de capacitacin para el personal del rea.
70 22.- Proporcionar condiciones y ambiente de trabajos acordes con las actividades realizadas.
23.- Motivar al personal.
EVALUAR:
24.- Elaborar un plan que permita la revisin y evaluacin de los controles, sistemas, procedimientos de informtica; de los equipos de cmputo, su utilizacin, eficiencia y seguridad, y de la organizacin que participa en el procesamiento de la informacin.
5.2.2. Requerimientos de Cada Actividad.
Cada una de las actividades pertenecientes al modelo conceptual debe ser detallada por separado, de forma que se pueda especificar toda la informacin necesaria para llevarla a cabo en caso de que as se requiera.
1. Realizar el procesamiento electrnico de la informacin.
Para el procesamiento de informacin de las operaciones; es necesario proporcionar todos los requerimientos que van a permitir su desarrollo: instalaciones fsicas, personal, equipos y sistemas.
En primer lugar se requiere de un Sistema Automtico Central que permita la realizacin eficiente de todas las operaciones. Este sistema informtico debe incluir: El hardware o equipos que constituyen el sistema. El software asociado y los programas de computacin para uso del computador. Sistema que permita la realizacin de las operaciones de la institucin. Elementos de seguridad y documentacin necesaria tanto para la programacin, modificacin, operacin y mantenimiento.
71 Las condiciones operativas del equipo son de gran importancia, por esto debe tomarse muy en cuenta sus consideraciones especficas y ambientales, segn estos requerimientos se debe proveer de un rea especial para la disposicin del sistema central, el cual adems debe estar limitado slo al personal autorizado.
Por ltimo es necesaria la presencia de los operadores que se encargaran del monitoreo de los procesos y de todas las operaciones relacionadas con el manejo y control del equipo.
2. Controlar y planificar el trabajo del Centro de Cmputo.
Los requerimientos necesarios para el cumplimiento de esta actividad son: Determinar los horarios y turnos de los operadores. Establecer un programa de trabajo, tomando en cuenta los siguientes aspectos: - Corridas especiales - Corridas de pruebas de sistemas en desarrollo - Respaldo de informacin. - Incorporacin de nuevos sistemas. - Demanda inesperadas. - Fallas de la maquina. - Otros. Elaborar los procedimientos para la operacin del sistema. Control de todo el sistema de operacin (personal-mquina).
Para lograr que cada uno de estos requerimientos se cumpla, debe contarse con un J efe del Centro de Cmputo o rea de operacin, que coordine todas las actividades relacionadas con este aspecto.
3. Garantizar y controlar la comunicacin entre los terminales y el computador central.
La organizacin estudiada se caracteriza por poseer la administracin principal centralizada en una oficina, la cual se encuentra en el mismo edificio que las dems
72 oficinas. Es por esto que se requiere de un sistema de comunicacin efectivo para garantizar el cumplimiento de todas las operaciones efectuadas. Para el establecimiento de esta comunicacin es necesario: Establecer las caractersticas de la red de comunicacin, especificando los equipos y tecnologas utilizadas. Disponer de una plataforma institucional adaptada a las necesidades existentes, y darle el mantenimiento adecuado. Establecer gestiones para los derechos de acceso. Entrenar a los usuarios con relacin a la forma adecuada de conexin y a la proteccin de sus claves de acceso. Mantener registro de los usuarios, de forma tal de poder eliminar o modificar las claves de usuarios oportunamente. Monitorizar el funcionamiento general del sistema de comunicaciones.
4. Disponer de mecanismos para el control de fallas de los dispositivos del sistema de cmputo y servicios auxiliares.
Es necesario mantener registros actualizados (en forma manual o automatizado) de las fallas de los dispositivos del sistema y servicios auxiliares, ya que esto permite la identificacin a futuro de los problemas ms recurrentes o fallas mayores que afectan al funcionamiento de la sala de mquinas.
Generalmente a este tipo de registro se le denomina Bitcora, en el cual no solo se registran las fallas, sino que adems permite almacenar las corridas de procesamientos regulares, y elaborar un informe por turnos de todas las excepciones de operacin.
La informacin que debe registrarse en el momento de la falla es: Fecha y hora de presentacin de la falla. Hora de reanudacin. Procedimiento de reanudacin. Operador de turno.
73 Se debe contar con un personal que se encargue de monitorear y ofrecer soluciones oportunas a las fallas presentadas.
5. Establecer controles para definir la utilizacin de los equipos.
El porcentaje de utilizacin del sistema de cmputo es una variable primordial para evaluar el rendimiento real con el programado, adems que proporciona medios para sustentar cualquier solicitud de expansin de la configuracin actual.
Para determinar adecuadamente la utilizacin del sistema de cmputo es necesario mantener registros con la siguiente informacin: Tiempo de uso del procesador central. Tiempo de compilacin y prueba de fallas. Tiempo dedicado a produccin. Tiempo dedicado a mantenimiento correctivo y preventivo. Tiempo de operacin. Tiempo de fallas de los dispositivos. Tiempo de uso de cada unidad de disco. Tiempo ocioso. Tiempo de uso de terminales. Tiempo de uso de impresoras. Tiempo de reproceso. Tiempo de computadora utilizado en demostraciones. Tiempo de falla por servicios auxiliares. Nmero de programas corridos por computador. Nmero de programas objeto ejecutados.
La informacin obtenida a travs de estos registros, permite la formulacin de estadsticas referentes a la utilizacin de los equipos, incluyendo adems la frecuencia de falla de los mismos y las estadsticas de produccin por aplicacin.
74 Por otro lado se hace necesario el establecimiento de controles para definir el uso que se le da al equipo, para evitar: Utilizacin de la computadora por parte de los programadores para conocer sus errores, sin hacer pruebas de escritorios. Utilizacin del equipo para aplicaciones ajenas a la organizacin. Personal de la direccin de informtica que utiliza la computadora para trabajos personales, o trabajos no autorizados Programas que por estar mal elaborados, degradan la mquina. Degradacin del equipo por fallas en equipos perifricos.
6. Velar que el proceso de datos sea ptimo y continuo.
Mantener la continuidad en el proceso de datos es imprescindible para la eficiente realizacin de las operaciones institucionales, por esto se requiere de lo siguiente: Procedimientos formales para la operacin del sistema de cmputo, los cuales deben mantenerse actualizados, que indiquen las instrucciones especificas para cada proceso. Instrucciones de operacin que mantengan al operador informado sobre los procedimientos a seguir en los casos de cada parcial o total del sistema. Este tipo de instructivo suele denominarse Manual de Contingencias, el cual en este caso debe ser considerado como de tipo puntual, ya que slo abarcar aspectos relacionados con el mantenimiento de la operatividad para circunstancias irregulares durante el proceso. La informacin que debe mantenerse en este sentido es: - Problemas de ocurrencia continua y los procedimientos a seguir para corregir las dificultades. - Lista de personas a quienes notificar en caso de que se requiera mantenimiento inmediato. - Procedimientos de recuperacin de procesos de gran duracin. Instruir a los operadores sobre funciones rutinarias de mantenimiento de dispositivos que as lo requieran. Mantener programas de diagnstico y supervisin para detectar y aislar las condiciones de error, que permitan la accin correctiva oportuna y adecuada.
75 Establecer controles que permitan la revisin de los datos introducidos, a fin de verificar que se procesen en forma exacta todas las transacciones.
7. Cumplir con los estndares establecidos para el anlisis, programacin y documentacin de sistemas.
Esta actividad requiere de la utilizacin del Manual de Sistemas y Procedimientos, especficamente del tpico relativo a los convencionalismos y procedimientos estndar de programacin; el cual tiene como objetivo, establecer los procedimientos de estndares para el vocabulario, los convencionalismos de programacin, los procedimientos de depuracin y mtodos de documentacin. Los aspectos que deben ser considerados son: Convencionalismos para diagramas de flujo. Convencionalismos para cuadros de decisiones. Convencionalismos de decisin. Glosario estndar y abreviatura estndar. Tcnicas estndar de programacin. Procedimientos a seguir en la depuracin de fallas. Estndares de documentacin. Procedimientos para la realizacin de cambios en los programas.
Es necesario que los analistas y programadores tomen muy en cuenta los procedimientos de operacin para el desarrollo de sistemas, ya que de esta manera puede realizarse un mantenimiento ms efectivo del mismo, en el caso que as se requiera.
8. Desarrollar los mdulos, listados, base de datos, pantallas que requiera ALCAVI, bien sea en el sistema principal o a nivel de micro.
Una de las actividades principales realizadas en todo Centro Informtico, es el desarrollo de los sistemas requeridos por los usuarios de la organizacin para la automatizacin de sus operaciones. Este proceso se ve favorecido, si se utilizan prioridades a la hora de asignar los proyectos y se realiza una planificacin adecuada en relacin con el plazo para su culminacin. La informacin que debe mantenerse en este sentido es:
76 Inventario de sistemas en proceso, el cual debe incluir la descripcin de su situacin: - Planeada para ser desarrollada en el futuro. - En desarrollo. - En proceso, pero con modificaciones en desarrollo. - En proceso con problemas detectados. Calendario de actividades para el anlisis y programacin, y su control. Control del programador.
Para cumplir satisfactoriamente con esta actividad es necesario que exista una persona que supervise directamente el cumplimiento de cada una de las etapas en el desarrollo de sistemas, destinndose un cargo especial para ello.
9. Actualizar los registros para el control de modificaciones de sistemas.
Esta actividad es de vital importancia ya que permite el mantenimiento de la informacin concerniente a los sistemas desarrollados y sus modificaciones, logrndose as un mayor control de los mismos. Este control de modificaciones resultara ms efectivo si se realiza en forma automatizada, conteniendo la siguiente informacin: El Sistema Principal, luego el Mdulo que requiere modificacin, y por ltimo el Programa especifico desarrollado. Analista encargado del proyecto. Usuario solicitante. Fecha de solicitud. Fecha de prueba. Fecha de entrega. Fecha de pase a produccin.
Para cumplir satisfactoriamente con esta actividad, los analistas deben mantener al da la informacin sobre los proyectos asignados.
77 10. Disponer de medios para el almacenamiento de los programas y archivos existentes.
Los dispositivos de almacenamiento, son parte importante en todo centro de cmputo, ya que permiten que se mantengan los respaldos de todos los archivos.
Para cumplir con esta actividad se requiere del establecimiento de una Biblioteca de Procesamiento de Datos, en el cual se almacenan las cintas y disquetes disponibles. El local asignado para este fin debe poseer lo siguiente: Aire acondicionado. Proteccin contra el fuego. Cerradura especial. Controles de temperatura y humedad.
La informacin mnima para el mantenimiento del inventario es: Identificacin de los discos removibles (Nmero de serie). Nombre o clave del usuario. Nombre del archivo lgico. Nombre del sistema que lo genera. Fecha de generacin del archivo. Fecha de expiracin del archivo. Nmero de volumen.
Para el correcto funcionamiento de la cintoteca y discoteca es necesario que exista un responsable de controlar su contenido y funcionamiento, por lo que debe asignarse un biblioteclogo para que realice todas las operaciones inherentes a su manejo, las cuales deben estar especificadas en el manual de procedimientos de la Unidad de Apoyo. Adems se debe asegurar que exista un sistema computarizado para el control de archivos (discos removibles).
78 11. Brindar apoyo tcnico a las diversas unidades de ALCAVI en relacin con la adquisicin de software y hardware del ambiente de Microcomputacin.
La finalidad de esta actividad es que el rea de informtica contribuya con el departamento de compras en la adquisicin de software y hardware de la institucin, proporcionando la especificacin adecuada segn los requerimientos existentes.
Para cumplir con este fin es necesario contar con personal capacitado en el ambiente de Microcomputacin, de forma que pueda establecer con precisin el equipo que se adapte a las necesidades de los usuarios. Para ello es imprescindible el establecimiento de parmetros de seleccin que permitan convertir los requerimientos de operacin establecidos por las especificaciones funcionales y/o tcnicas de los sistemas y equipos, en variable que dimensionen los productos a evaluar y seleccionar.
De esta forma puede ofrecerse al ente encargado de la adquisicin del software y hardware lo siguiente: Requisitos exactos y aspecto funcional del hardware y el software a ser seleccionado, lo cual servir para informar a los vendedores. Una gua para evaluar las ofertas. Obtener de los oferentes la informacin precisa sobre las especificaciones de software y hardware para de este modo poder evaluar los parmetros seleccionados.
12. Atender los requerimientos de las diversas unidades de la institucin, en relacin al uso de software y hardware de Microcomputacin.
Esta actividad es primordial para garantizar la operatividad de las unidades, ya que se requiere de un personal a cargo de todas las actividades relacionadas con la instalacin, programacin, modificacin y mantenimiento de Microcomputadoras, a fin de garantizar el buen funcionamiento de los sistemas.
Para atender eficientemente estos requerimientos se hace necesario:
79 Mantener un inventario completo de todo el equipo fsico, incluyendo computadoras, impresoras, mdem y dems. Esto involucra la utilizacin de registros para el control del traslado de los equipos, en los cuales se especifique: - Fecha. - Unidad que proporciona el equipo - Unidad que lo recibe. - Caractersticas del equipo. Contar con los implementos necesarios para realizar labores de mantenimiento rutinarios. Realizar registros de todas las actividades relacionadas con los equipos, con la siguiente informacin: - Fecha. - Unidad solicitante (Gerencia, Unidad, Programa). - Informtica del usuario (Nombre, Cdigo, Telfono). - Problema presentado y solucin propuesta.
Esta actividad puede verse favorecida, si se gua e instruye adecuadamente a los usuarios sobre el manejo del equipo fsico, los programas del sistema, los programas de aplicacin, la seguridad y el respaldo.
13. Establecer mecanismos para la realizacin del mantenimiento de los equipos.
Esta actividad requiere de la siguiente informacin: Tipo de mantenimiento requerido por cada equipo. Nmero de fallas, frecuencia y tiempo de reparacin. Personal autorizado para mantenimientos eventuales. Empresas de mantenimiento, y tipo de servicio que prestan.
80 14. Formular las medidas necesarias para controlar la seguridad en la utilizacin de los equipos y en el personal.
Los controles de seguridad son un medio para preservar los datos esenciales, y una proteccin contra los errores de computacin que no pueden ser detectados de otra manera. Estos controles deben estar estandarizados para las operaciones diarias. Para lograr que esta seguridad se cumpla es necesario mantener la siguiente informacin: Claves de acceso del personal autorizado, especificando la forma en que pueden acceder a los archivos del sistema. Indicadores dentro del sistema de computacin para detectar el momento en que se produce un cambio o fraude en el mismo. Grado de riesgo que poseen los sistemas de computacin (alto, mediano, pequeo), y medidas a tomar dependiendo del nivel de seguridad que se requiera. Personal indispensable para la organizacin, representado por aquellos empleados que son muy difciles de sustituir; lo cual pone en riesgo el funcionamiento de la organizacin. Para detectar el personal indispensable deben establecerse polticas adecuadas de rotacin del personal. Estadsticas sobre violaciones a los procedimientos en el uso de la computadora.
15. Supervisar constantemente las actividades de la institucin.
Esta actividad es primordial para garantizar el funcionamiento de la organizacin, ya que se requiere de un personal para vigilar que se alcancen los objetivos y se cumplan con las polticas de la fundacin.
Para atender eficientemente este requerimiento es necesario: La observacin directa y continua de las actividades de cada una de las unidades de ALCAVI. Controlar las actividades del personal. Que el personal realice las actividades establecidas de acuerdo con los objetivos definidos por la institucin. Que los equipos de cmputo se le d un uso adecuado.
81 Que el personal que labora en la institucin cumpla con el horario establecido.
16. Establecer niveles jerrquicos y lneas de autoridad acordes con los requerimientos del rea.
La estructura organizativa de la Unidad debe estar acorde con los objetivos fijados para el rea, y debe permitir que se lleve a cabo con eficiencia lo siguiente: Atribuciones encomendadas. Funciones establecidas. Distribucin del trabajo. Control interno.
Para cumplir con este propsito es necesario que se establezcan controles en el rea de Informtica para Evaluar la estructura organizativa de la Unidad, a fin de detectar deficiencias en este sentido. Dichas deficiencias deben ser notificadas al ente encargado del establecimiento de los niveles jerrquicos y lneas de autoridad de la Institucin, de forma que se tomen las medidas adecuadas.
Los aspectos que se deben tomar en cuenta para esta evaluacin son: Desarrollo adecuado de la operacin y supervisin. Agilidad en la comunicacin ascendente y descendente. Toma de decisiones. Interrelacin adecuada de los organigramas totales con el organigrama de la Unidad.
A travs de los organigramas se puede dar una imagen general de la estructura de la Unidad de Apoyo Informtica, indicando los niveles mximos de autoridad en la parte superior, unidos por lneas hasta los niveles inferiores, que representan la comunicacin de autoridad y responsabilidad a cada nivel.
82 17. Asignar personal calificado en cada una de las reas de la Unidad.
La Unidad de Apoyo Informtica debe participar directamente con Recursos Humanos en la seleccin de personal de sus empleados, ya que es necesario que informe en forma clara y precisa sobre los requisitos que deben incluirse para desempear cada cargo. Este proceso puede verse favorecido si se toman en cuenta los siguientes aspectos: Las funciones del rea deben estar acordes con las atribuciones legales. Evitar la duplicidad en el cumplimiento de las funciones, hecho que ocurre cuando no se dan a conocer claramente a nivel general. Adaptar las funciones a las cargas de trabajo. Las actividades realizadas deben corresponder con las funciones asignadas. La competencia y la capacitacin son factores primordiales, pero no debe pasarse por alto la deontologa profesional.
18. Adaptar el personal al crecimiento de la organizacin.
Dentro de toda organizacin, el recurso humano es de vital importancia para el cumplimiento de las actividades, es por esto que debe ir creciendo al mismo ritmo de sta.
Para lograr este propsito se requiere: Realizacin de Comits de planeacin, que se dedique a la elaboracin de mtodos de planeacin de personal como parte integral de los planes a largo plazo de la entidad, para predecir las necesidades futuras de personal. Tomar medidas dentro del rea de Informtica para realizar revisiones peridicas de sus empleados, de forma tal de evaluar que el trabajo efectuado est acorde con los planes a corto y mediano plazo de la organizacin, y resaltar as los requerimientos existentes. Mantener en vigencia planes de entrenamiento para sustitutos de personal, que permitan proteger las posiciones claves, en caso de requerir la ampliacin en determinadas reas. Esto contribuye al mantenimiento de la continuidad de las operaciones, y da paso al personal que cubrir las vacantes o nuevas posiciones. Establecer los controles adecuados para que los planes del personal satisfagan las necesidades desde el corto hasta el largo plazo.
83 Garantizar que las tasa de sueldos y salarios, incluyendo los beneficios marginales, se comparen favorablemente con el rea en el que se ubica la fundacin.
El rea de Informtica debe mantenerse en constante comunicacin con los entes encargados de todo lo referente al personal de la organizacin. Por esta razn se amerita de su intervencin en el Comit de Planeacin de Personal.
19. Determinar estrategias de operacin: normas y procedimientos, objetivos y polticas, planes de trabajo, controles, cuadros ocupacionales, etc.
Determinar las estrategias de operacin en el rea de informtica, constituye parte importante de la planeacin, al permitir el establecimiento formal de las estrategias a seguir para el cumplimiento de las metas propuestas.
Esta actividad amerita de la elaboracin por escrito de lo siguiente: Normas y procedimientos a seguir durante: - El anlisis y diseo del sistema. - Programacin e implantacin. - Preparacin y controles de la entrada/salida. - Instrucciones y procedimientos para las Unidades y usuarios. Objetivos del rea, los cuales deben ser congruentes con las otras Unidades de la Institucin. Polticas que contribuyan al desarrollo de sus actividades. Controles, los cuales abarcan aspectos relacionados con la gestin, la operacin, los procedimientos, el rendimiento y los datos. Cuadros ocupacionales, los cuales describen en forma general cada puesto, definiendo autoridad, responsabilidad, atribuciones y relaciones.
Cada uno de estos aspectos deben ser comunicados claramente al todo el personal, para que de esta manera contribuyan a su cumplimiento.
84 20. Establecer las reas que proporcionan apoyo para el cumplimiento de sus funciones.
El rea de informtica participa activamente en el cumplimiento de los objetivos de la organizacin, al incrementar la eficiencia en el trabajo, por lo que constituye un gran apoyo para todas las reas de la Institucin. Sin embargo, sta tambin requiere que otras reas proporcionen apoyo para el desarrollo de sus actividades. Por esta razn debe mantenerse informacin sobre: reas que proporcionen apoyo. Tipo de apoyo brindado. Frecuencia. Cmo resolver la falta de apoyo.
21. Elaborar programas de capacitacin para el personal del rea.
Se considera necesaria la formulacin de un programa formal de entrenamiento que permita el desarrollo de las cualidades innatas que cada persona tiene, para obtener su mxima realizacin posible.
Para esto se requiere de lo siguiente: La realizacin de un anlisis de los puestos para poder determinar las bases para el establecimiento de los programas de entrenamiento. Identificar las necesidades actuales y futuras del rea para as poder determinar el grado de capacitacin requerido.
22. Proporcionar condiciones y ambiente de trabajo acordes con las actividades realizadas.
El ambiente de trabajo en el rea de informtica debe poseer condiciones apropiadas que permitan lograr un adecuado desarrollo de las actividades que all se realizan, especialmente para la programacin. Por esta razn es recomendable preparar un plan
85 general para la distribucin del espacio de trabajo, en el cual se tomen en cuenta los siguientes aspectos: Espacio del rea. Iluminacin. Ventilacin. Equipo de oficina. Mobiliario. Ruido. Limpieza y/o aseo. Instalacin de comunicacin.
Por otro lado, es imprescindible lograr un clima organizacional que contribuya al reconocimiento de cada individuo segn sus propias necesidades.
Este aspecto amerita de lo siguiente: Integracin del personal como grupo de trabajo, de forma tal de mejorar su grado de convivencia. Estos grupos de trabajo deben desarrollarse bajo la direccin y control de lderes de grupo, que contribuyan a la utilizacin de las habilidades y talentos al mximo, tomando en cuenta una estructura informal de trabajo que contribuyan al fomento de una manera natural de las necesidades de las personas en el ambiente en el cual ellas se encuentran. Realizacin de Programas de Ampliacin del Trabajo, lo cual se logra aadiendo nuevas obligaciones al personal para hacer el trabajo mas interesente y evitar la excesiva especializacin. Realizacin de Programas de Enriquecimiento del Trabajo, que permita la participacin ms directa del personal en la determinacin de los mtodos y secuencias a seguir en la realizacin de sus actividades. Esto contribuye al incremento de la responsabilidad en el cumplimiento de las tareas asignadas. Estimular la adhesin del personal al cumplimiento de las polticas de la organizacin.
86 23. Motivar al personal.
Esta actividad es de vital importancia para el desarrollo del personal del rea, ya que va a servir de impulso hacia el xito. Para ello es necesario adaptar e implementar planes de evaluacin y recompensas que contribuyan a la satisfaccin de expectativas de los empleados, a fin de obtener un mayor rendimiento en la ejecucin de sus operaciones.
Los medios a utilizar para lograr la motivacin son: Conducir de manera apropiada al personal, de forma que estos se tracen objetivos claros sobre sus actividades, para que de esta manera se incremente la motivacin al crecer el deseo por cubrir las expectativas. Establecer sistemas de recompensas que permitan relacionar la productividad con el logro de objetivos individuales. Proponer actividades desafiantes y de significado para el trabajador. Elaborar programas formales sobre evaluacin del desempeo, que contribuyan al auto- perfeccionamiento del empleado.
Los beneficios esperados con esta actividad son: Disminuir la alta rotacin de personal. Satisfacer las necesidades de los empleados. Comprometer al empleado con la Institucin. Mantener la fuerza de trabajo.
24. Elaborar un plan que permita la revisin y evaluacin de los controles, sistemas, procedimientos de informtica, de los equipos de cmputo, su utilizacin, eficiencia y seguridad, y de la organizacin que participa en el procesamiento de la informacin.
Esta actividad esta relacionada con la aplicacin de programas de Auditora de Sistemas lo cual amerita de una cuidadosa planeacin de cada una de sus etapas. Dicha planeacin implica lo siguiente: Prever cuales son los procedimientos de auditoria que han de utilizarse.
87 Definir la extensin y oportunidad en que han de emplearse. Seleccionar el personal que ha de intervenir en el trabajo.
La frecuencia con la cual se deben aplicar los Programas de Auditoria de Sistemas, va a depender de las condiciones de la fundacin. Si esta no varia ao tras ao, puede aplicarse el programa durante un periodo bsico, sin que haya necesidad de rehacerlo (por ejemplo, cada tres ao se prepara un programa nuevo, y en los aos intermedios se corrigen las variaciones). Por el contrario, si las condiciones son cambiantes, debe realizarse cada ao un nuevo programa, tomando aspectos del anterior, si este se adapta a las necesidades surgidas.
Los beneficios de un Programa de Auditoria de Sistemas son: Evita la omisin de alguna de sus fases. Todas las pruebas exigidas son examinadas. El trabajo se lleva a cabo dentro del tiempo estipulado. Suministra un plan de trabajo. Ayuda a la distribucin del trabajo entre el personal seleccionado. Permite revisar la auditora que se est ejecutando. Provee de un registro de las fases de auditora que se van cumpliendo. Una mayor revisin y actualizacin de los manuales del sistema.
88
C A P T U L O 6 ______________________
DISEO DE ALGUNOS CAMBIOS
89 6.1. Comparacin Entre el Modelo Conceptual y el Sistema Actual.
Una vez establecidas las actividades necesarias para definir un nuevo Modelo Conceptual que conlleve a la mejora de la situacin problemtica, se procede a la comparacin de dicho modelo con el sistema actual, para que as los cambios puedan surgir de una manera natural, al verificar cuales actividades no se estn desarrollando, o en caso contrario, detectar las deficiencias en relacin a la toma de decisiones que sta implica y en cuanto a la utilizacin de informacin y de recurso para su cumplimiento.
Cada una de las actividades es mostrada en la tabla 6.1, en la cual se especifica la situacin actual del sistema en estudio y los cambios sugeridos del sistema propuesto.
90 Tabla 6.1. Comparacin entre el sistema actual y el sistema propuesto. Actividad Propuesta.
Situacin Actual Cambio Sugerido 1. Realizar el procesamiento electrnico de la informacin La informacin se procesa mediante una red de computadoras Se requiere de un Sistema Automtico Central 2. Controlar y planificar el trabajo del centro de cmputo. No hay jefe en el Centro de Cmputo
Contratar a un jefe que coordine todas las actividades relacionadas con este aspecto 3. Garantizar y controlar la comunicacin entre los terminales y el computador central No exista personal exclusivo para el rea de Informtica. Disponer de personal especializado en el rea de comunicaciones, que se encargue de monitorear el funcionamiento general del sistema de comunicaciones. 4. Disponer de mecanismos para el control de fallas de los dispositivos del sistema de cmputo y servicios auxiliares. No hay registros actualizados de las fallas de los dispositivos Contar con personal dedicado al registro de las fallas, as como tambin debe velar porque se tomen las medidas adecuadas para dar soluciones a las situaciones presentadas. 5. Establecer controles para definir la utilizacin de los equipos. No hay porcentaje de utilizacin del sistema de cmputo. - Registrar los tiempos de utilizacin de las mquinas e impresoras. - Implementar controles para la utilizacin de las computadoras 6. Velar que el proceso de datos sea ptimo y continuo. No se dispone de un Manual de Contingencias para el centro de cmputo - Actualizar los procedimientos constantemente. - Elaborar un Manual de Contingencias especial para el Centro de Cmputo. 7.Cumplir con los estndares establecidos para el anlisis, programacin y documentacin de sistemas No existe Manual de Sistemas y Procedimientos Utilizar convencionalismos y procedimientos estndar de programacin segn el Manual de Sistemas y Procedimientos. 8. Desarrollar los mdulos, listados, base de datos, pantallas que requiera ALCAVI, bien sea en el sistema principal o a nivel de micro. No se desarrollan sistemas para los usuarios. Los que existen fueron comprados en el mercado - Planear la programacin segn las necesidades existentes. - Registrar el avance de la programacin en los formatos definidos para este fin. - Supervisar directamente el cumplimiento de cada una de las fases en el desarrollo de los sistemas. 9. Actualizar los registros para el control de modificaciones de sistemas. No hay un mantenimiento de la informacin concerniente a los sistemas desarrollados y sus modificaciones. Se deben actualizar los registros para el control de modificaciones de sistemas. 10. Disponer de medios para el almacenamiento de los programas y archivos existentes. Se cumple a pesar de que no se dispone de un cintoteclogo para controlar el contenido de la Biblioteca de Procesa- miento de Datos. Los usuarios de turnos se encargan de registrar cual- quier modificacin en el sistema del que se dispone y de todo lo referente a su manejo -Establecer una Biblioteca de Procesamiento de Datos, para almacenar los discos removibles disponibles. -Contratar a un cintoteclogo para controlar el contenido de la biblioteca. 11. Brindar apoyo tcnico a las diversas unidades de ALCAVI en relacin con la adquisicin de software y hardware del ambiente de Micro- computacin. No se cumple, ya que no existe personal capacitado en el ambiente de Microcomputacin.
Contratar personal capacitado para brindar apoyo tcnico a las diversas unidades de ALCAVI.
91
Tabla 6.1. Comparacin entre el sistema actual y el sistema propuesto (Continuacin).
Actividad Propuesta
Situacin Actual Cambio Sugerido 12. Atender los requerimientos de las diversas unidades de la institucin, en relacin al uso de software y hardware de Micro computacin. - No se dispone de inventarios actualizados. - No se controla el registro adecuado de las actividades relacionadas con los equipos. - Realizar inventarios constantes de todo el equipo. - Controlar el manejo y cambio de equipos - Instruir a los usuarios sobre el manejo del equipo. 13. Establecer mecanismos para la realizacin del mantenimiento de los equipos. Si la red falla, se contrata a un tcnico para que la repare, o si no, se lleva el dispositivo daado a un taller. Contar con personal dedicado para el mantenimiento de los equipos. 14. Formular las medidas necesarias para controlar la seguridad en la utilizacin de los equipos y en el personal. - No existen medidas para controlar la seguridad de los datos. - No hay proteccin contra los errores de computacin - Establecer medidas para controlar la seguridad de los datos. - Protegerse contra los errores de computacin. - Estandarizar los controles de las operaciones diarias. 15. Supervisar constantemente las actividades de la institucin. Se lleva a cabo de manera informal por parte del Gerente General. - Observacin directa y continua - Controlar las actividades del personal - Que el personal cumpla con el horario de trabajo 16. Establecer niveles jerrquicos y lneas de autoridad acordes con los requerimientos del rea. No se evala la estructura organizativa de la unidad.
La estructura organizativa de la unidad debe estar acorde con los objetivos fijados para el rea. 17. Asignar personal calificado en cada una de las reas de la unidad. No se toma en cuenta a la Unidad de Apoyo Informtica para seleccionar su personal; lo selecciona el Gerente General de la institucin La Unidad de Apoyo Informtica debe participar directamente con Recursos Humanos en la seleccin de su personal. 18. Adaptar el personal al crecimiento de la organizacin. - No del todo. - El personal se va desarrollando en el puesto de trabajo, con la posibilidad de proteger las posiciones claves. - Garantizar un nivel de sueldos y salarios acorde con el mercado de trabajo que permita la captacin de personal capacitado - Realizar comits de planeacin de personal. - Mantener planes para entrenamiento de sustitutos. 19. Determinar estrategias de operacin: normas y procedimientos, objetivos y polticas, planes de trabajo, controles, cuadros ocupacionales, etc. Si se efecta, pero con deficiencias en cuanto a la actualizacin de la docu- mentacin de las Polticas y Normas.
Establecer estrategias de operacin en el rea de informtica para cumplir con las metas propuestas. 20. Establecer las reas que proporcio- nan apoyo para el cumplimiento de sus funciones. Algunas reas prestan apoyo y otras no.
La Unidad de Apoyo Informtica requiere que otras reas proporcionen apoyo para el desarrollo de sus actividades 21. Elaborar programas de capacitacin para el personal del rea. - No del todo. - Se entrena al personal en el rea de trabajo, sin el establecimiento de planes formales. - Realizar anlisis de los puestos - Identificar las necesidades. - Formular un programa formal de entrenamiento. 22. Proporcionar condiciones y ambiente de trabajo acordes con las actividades realizadas. Las condiciones y el ambiente de trabajo son deficientes para desarrollar las actividades. Elaborar planes para la distribucin del espacio de trabajo. 23. Motivar al personal. Se motiva al personal, pero con deficiencias en cuanto a la evaluacin. Aplicar planes de evaluacin y recompensas. 24. Elaborar un plan que permita la revisin y evaluacin de los controles, sistemas, procedimientos de informti- ca; de los equipos de cmputo, su utili- zacin, eficiencia y seguridad. No se aplican Programas de Auditora de Sistemas. Elaborar un plan que permita la aplicacin de Proyectos de Auditoria de Sistemas.
92 6.2. Definicin de Cambios.
Los cambios propuestos para mejorar la situacin problemtica de la Unidad de Apoyo Informtica de ALCAVI., son los siguientes:
Con respecto a las actividades relacionadas con el procesamiento de la informacin.
Se recomienda colocar personal en el rea de seguridad de datos la cual se encargar de mantener y garantizar el resguardo, consistencia e integridad de los datos que estn almacenados en el computador central, y personal en el rea de comunicaciones que apoye en el monitoreo de los procesos relacionados con el sistema de comunicaciones.
Por otra parte el analista de seguridad de datos puede ocuparse de controlar todo lo que se refiere a los requerimientos de los usuarios, el cual se encargar no solo de llevar el registro de fallas, sino que se ocupar de verificar que se atiendan oportunamente a todos los usuarios. Todo esto permitir que se mantengan las estadsticas apropiadas de usuario, por unidad, etc., contndose con documentacin sobre todas las situaciones presentadas, las medidas tomadas para solucionarlas y el tiempo requerido; lo cual puede ser consultada en los casos que se presenten situaciones similares.
En lo referente al Manual de Contingencias del Centro de Computo se considera necesario su realizacin inmediata, ya que es de vital importancia el establecimiento de manera formal del Plan de Emergencia a seguir para evitar las interrupciones del servicio debido a contingencias, y por otro lado se deben mantener actualizados los procedimientos relacionados con la operacin del Centro de Cmputo.
93 Con respecto al desarrollo y mantenimiento de los sistemas computarizados.
Actualmente, en ALCAVI no existe un responsable de la Unidad de Apoyo Informtica, por lo que la supervisin de las actividades relacionadas con el desarrollo y mantenimiento de los sistemas computarizados no se est cumpliendo. Cuando falla la red o se daa una mquina se contrata a un tcnico para que la repare.
En cuanto a las fallas detectadas en relacin a la documentacin de los sistemas, se considera conveniente que exista una persona a cargo de controlar y mantener todo lo referente a la documentacin del anlisis y diseo de sistemas.
Por otro lado, es necesario recalcar la necesidad de utilizar los estndares para la programacin, los cuales no deben ser olvidados por los analistas a la hora de elaborar los sistemas.
Con respecto a los equipos de Micro computacin.
Es necesario hacer nfasis en la necesidad de mantener actualizado el inventario de equipos de Micro computacin, ya que de esta manera pueden controlarse ms eficazmente, hecho que se ve favorecido si se registra adecuadamente cualquier cambio en el equipo o en su ubicacin. Adems puede lograrse una mejor utilizacin de los equipos de cmputo, si se instruye adecuadamente a los usuarios.
Por otro parte, es necesario que se intensifiquen los controles en cuantos a las licencias de software, para lo cual se requiere de la realizacin de un inventario del software de la organizacin a fin de detectar si existen copias no autorizadas; y adems establecer procedimientos para la asignacin de equipos nuevos, garantizando as que slo se instale el software si se tiene la respectiva licencia.
94 Con respecto a la organizacin y al personal.
Es necesario que se establezcan polticas adecuadas para documentar todas las actividades desarrolladas en el rea, lo que permitir cumplir con las Normas y Procedimientos establecidos; aspecto que puede verse favorecido si se logra concientizar al personal sobre la importancia de mantener actualizada la informacin relativa a los manuales.
Adems puede mejorarse el nivel de capacitacin del personal, a travs del establecimiento de planes de entrenamiento, los cuales pueden ser realizados segn el puesto desempeado y segn las necesidades de la organizacin. Dentro de la capacitacin ofrecida se deben incluir planes para cubrir las posiciones vacantes.
Tambin, se puede tomar en consideracin los planes de evaluacin y recompensas como medio para obtener la motivacin del personal, e incrementar as su inters hacia el logro de objetivos.
Con respecto al control de sus actividades.
Se requiere de la puesta en marcha de proyectos de Auditoria de Sistemas aplicables al rea de informtica, para lo cual debe incorporarse personal que se encargue de controlar las actividades que all se realizan, sirviendo esto como medio no solo para detectar deficiencias, sino que adems, permita la determinacin de cursos alternativos de accin que conlleven a una adecuada toma de decisiones.
Para lograr que este control se establezca efectivamente es necesaria la preparacin de un plan detallado de Auditoria de Sistemas, que sirva de base para el desarrollo de las actividades que deben llevarse a cabo.
95
C A P T U L O 7 ______________________
PREPARACIN DE UN PROGRAMA DE AUDITORA DE SISTEMAS
96 7.1. Resea del Plan.
Debido a que la problemtica principal observada en la Unidad de Apoyo Informtica de ALCAVI, es la ausencia de una evaluacin adecuada de sus actividades, se propone la elaboracin de un plan que permita realizar dicha evaluacin.
La auditoria de sistemas permite apoyar a la Unidad de Apoyo Informtica en la implantacin de procedimientos de control que garanticen la seguridad, integridad y confiabilidad de la informacin que se utiliza para el procesamiento, participando adems en evaluaciones correctivas sobre las operaciones realizadas.
De all la importancia de la Unidad de Auditora de Sistemas, como ente encargado de vigilar por la eficacia de los controles. Por esto la auditoria de sistemas, como cualquier otro tipo de auditoria, requiere de la preparacin de un plan detallado de trabajo, en el que se especifiquen los procedimientos que sern aplicados, as como el tiempo estimado que se requerir, de forma tal de no descuidar ningn aspecto de relevancia para la evaluacin.
A medida que cada punto se va cubriendo, el auditor deber llevar un control del tiempo empleado al efecto; resultando el plan no solo como elemento de planeacin, sino tambin como herramienta de control del trabajo de auditoria.
Para la realizacin del programa de auditoria de sistemas, debe tomarse en cuenta los tres objetivos de la evaluacin: Evaluacin administrativa del rea. Evaluacin de los sistemas y procedimientos. Evaluacin de los equipos de cmputo.
7.2 Procedimientos Para la Elaboracin del Plan.
El procedimiento para la elaboracin del Plan de Auditoria de Sistemas se representa en forma diagramtica en la figura 7.1, y se describe a continuacin:
Entrevistas previas Definicin del rea a investigar Determinacin de detalles a investigar
Figura 7.1. Procedimientos para la Planeacin de un Estudio de Auditora de Sistemas Captacin de Necesidades ----------------- Solicitudes Estudio Preliminar Documentos Manuales Identificacin Real del rea estudiada Naturaleza y Objetivo del Estudio Planeacin de la Auditora de Sistemas Recursos Necesarios Alcance y Limitaciones del estudio Informacin Requerida Examen y Evaluacin Funcin de Informtica Sistemas y Procedimientos Programa: Recursos Tiempo Proceso de Datos y Equipos de Cmputo Seguridad Propuesta de otros estudios complementarios
98 Fase de identificacin.
1. Iniciar el trabajo de recoleccin de datos con un contacto previo que proporcione una primera idea global del rea que se va a estudiar. Seleccionar la informacin que se relacione con el rea a auditar. Realizar entrevistas al personal del rea. Definir las reas a investigar. 2. Identificar las reas que ameritan de un anlisis detallado. 3. Definir la naturaleza y el objetivo del estudio.
Fase de planeacin.
1. Establecer los procedimientos de auditoria a utilizarse: Definir el alcance y las limitaciones de la auditoria. Estimar los recursos necesarios. Determinar las tcnicas a utilizar para recabar la informacin requerida.
Fase de Programacin.
1. Realizar la programacin de cada una de las reas a investigar. Estimar el tiempo requerido para la programacin de cada una de las reas. Seleccionar las personas que realizaran tareas especficas. Especificar los programas a utilizar para las reas planteadas.
7.2.1. Fase de Identificacin.
El estudio preliminar esta encaminado a lograr una primera idea global sobre el rea que se va auditar, para conocer la naturaleza y el objetivo del estudio.
El estudio preliminar no esta enfocado para originar recomendaciones o solucionar problemas, excepto aquellos que resulten evidentes en un primer reconocimiento; por el
99 contrario consiste en la revelacin de aquellas reas que ameriten de un anlisis ms detallado segn las circunstancia planteadas.
El trabajo de obtencin de datos se debe iniciar con la revisin de la informacin documental y la informacin sobre el campo de trabajo. Adems es conveniente realizar algunas entrevistas a algunas personas que estn directamente involucradas con el rea de Informtica, las cuales pueden contribuir a que surjan ideas o sugerencias sobre los problemas fundamentales.
Se debe definir cual ser la materia objeto de estudio, para lo cual se dividir el rea total en: Organizacin. Sistemas. Proceso de Datos y Equipos. Seguridad.
Los resultados de esta investigacin preliminar se encuentran plasmados en el Capitulo 4: Visin Amplia de ALCAVI.
Esta fase culmina con la definicin del objetivo de la Auditoria de Sistemas.
7.2.1.1. Objetivos de la Auditoria de Sistemas.
Objetivo General:
Evaluar la eficiencia y seguridad en el manejo de la informacin del rea de Informtica., para que por medio de la identificacin de cualquier deficiencia puedan establecerse los cursos de accin a tomar para corregir las desviaciones detectadas, o bien valorar los esfuerzos por alcanzar la optimizacin de sus operaciones.
100 Objetivos Especficos:
1. Verificar la habilidad administrativa de la Unidad de Apoyo Informtica y el grado mximo en que los resultados se asemejen a los objetivos del rea.
2. Descubrir las deficiencias que limitan el desarrollo ptimo de las actividades.
3. Determinar las reas que requieren de la utilizacin de procedimientos adecuados de control.
4. Ayudar en la determinacin de los recursos de accin a seguir para corregir las desviaciones.
5. Resaltar los mtodos y prcticas utilizadas para lograr la eficiencia en el cumplimiento de las actividades relacionadas con el procesamiento de la informacin.
7.2.2. Fase de Planeacin.
En esta fase es necesario especificar los renglones que se van a examinar y los procedimientos a seguir, tomando en cuenta que dichos renglones deben estar enfocados hacia los principales objetivos propuestos.
7.2.2.1. Alcance.
Se examinar la Unidad de Apoyo Informtica, ya que esta es la encargada de todo lo concerniente al desarrollo organizativo de sistemas y de tecnologa de las dependencias de la fundacin.
Para cumplir con la evaluacin se dividir el entorno auditable en las siguientes reas especficas:
101 Organizacin.
El propsito de evaluar la organizacin implicada en el procesamiento de la informacin es el poder determinar el grado de control gerencial y operacional existente, de forma tal de conocer la eficiencia con la cual el personal cumple con los objetivos establecidos para el rea.
Los mtodos y procedimientos del rea de computacin se evalan bsicamente teniendo en cuenta la estandarizacin y documentacin.
Para determinar el rendimiento de esta rea se debe dividir la misma en las diferentes secciones: Estructura Organizativa: verificar si la estructura organizativa cumple con los principios de una buena organizacin y si est adecuada a las necesidades. Recursos Humanos: Se revisar la situacin del personal del rea con la finalidad de determinar si sta cuenta con los recursos humanos necesarios para garantizar la continuidad de la operacin.
Sistemas.
Para realizar la evaluacin de los sistemas tanto en operacin como en desarrollo, a fin de medir la eficiencia que se tiene en el uso de la informacin, se estructuraron las siguientes secciones: Elaboracin del sistema: se verificar si se cuenta con planes adecuados para la elaboracin de los sistemas, tomando en cuenta las prioridades y objetivos existentes. Anlisis: se revisarn los procedimientos, polticas y normas existentes para llevar acabo el anlisis. Diseo lgico del sistema: se analizarn las especificaciones del sistema para descubrir errores, debilidades y omisiones ocurridas antes de la codificacin. Desarrollo del sistema: se analizarn los programas a fin de evaluar su diseo e interconexin.
102 Control de proyectos: se analizar si la programacin esta avanzando de acuerdo a lo programado. Control de diseo de sistema y programacin: se verificar si los sistemas funcionan conforme a las especificaciones funcionales, de forma tal que se garantice el manejo, la operacin y aceptacin por parte del usuario. Forma de implantacin: se estudiarn los trabajos necesarios para iniciar la operacin de un sistema. Usuarios: se analizarn las opiniones de los usuarios a fin de conocer la calidad de los servicios prestados.
Procesos de datos y equipos.
Para evaluar los controles establecidos para mantener la continuidad de la informacin sobre el procesamiento da datos, y la utilizacin de los equipos, se estructuraron las siguientes secciones: Controles: se evaluarn los controles existentes para resguardar la integridad de la informacin. Orden en el centro de cmputo: se revisar si existen reglas para mantener el orden y el cuidado de la sala de mquina. Productividad: se analizar la eficiencia con que opera el rea de Informtica.
Seguridad.
Debido a que los datos que manejan los sistemas computarizados representan informacin de vital importancia para el cumplimiento de muchas operaciones, esta debe ser resguardada de posibles fraudes o sabotajes que provoquen su destruccin. Por esta razn se consider necesario establecer un rea para estudiar en forma detallada todos los elementos que se requieran para establecer un sistema de seguridad eficiente, la cual se dividi en las siguientes secciones:
103 Seguridad lgica y confidencialidad: se analizarn los controles existentes para el acceso a informacin confidencial a fin de detectar en forma oportuna los fraudes o cambios no autorizados. Seguridad en el personal: se verificar si el personal que participa en el procesamiento de la informacin cumple con las caractersticas adecuadas para garantizar la integridad de la informacin. Seguridad fsica: se revisar si los procedimientos, polticas y prcticas establecidas para la seguridad fsica de los equipos de cmputo, permite que ocurran interrupciones prolongadas del servicio. Seguros: se revisarn las plizas de seguro, a fin de constatar que se encuentre actualizadas y abarquen todo el equipo y su instalacin. Seguridad en la utilizacin del equipo: se verificar la utilizacin del equipo, a fin de detectar si el sistema ha sufrido algn deterioro por la intervencin de personas no autorizadas. Procedimientos de respaldo: se evaluar la capacidad que tiene el centro de cmputo para recuperarse de interrupciones provocadas por contingencias.
7.2.2.2 Limitaciones.
La principal limitacin que existe al desarrollar cualquier proyecto de auditoria de sistemas, es que hasta ahora, no se cuenta con una escala de valores precisa con la cual pueda medirse el grado de eficiencia con que el centro de procesamiento de datos cumple su funcin, por tanto, el resultado de tal revisin adolece de cierta subjetividad, ya que, es el auditor encargado el que determinar el patrn ideal que usar como base para la evaluacin.
Por otra parte debe recordarse que en la institucin no se han ejecutado programas formales de auditoria de sistemas que hayan sido desarrollados por auditores pertenecientes a la organizacin, por lo tanto no existen patrones a seguir, especialmente en lo que concierne a la estimacin de los tiempos de cada una de las etapas.
104 No obstante, estas limitaciones puede corregirse en la medida en que se desarrollen dichos programas, ya que cada uno de ellos ser experiencia valiosa que permitir el establecimiento de convenciones generales sobre los modelos ideales contra los que se deban comparar los resultados.
7.2.2.3. Tcnicas para recabar informacin.
Para elaborar el plan de trabajo es necesario crear los procedimientos asociados al trabajo y recopilar la informacin necesaria para respaldar la opinin del auditor. Al preparar el plan para alcanzar las metas fijadas, es importante determinar previamente las necesidades generales, la relacin entre ellas y precisar si tales necesidades abarcan todos los aspectos indispensables para la finalidad a perseguir. Es necesario definir que factores son indispensables para alcanzar los objetivos propuestos, los mtodos para lograrlos, el personal apropiado para hacerse cargo de la funcin, y cules son los factores limitativos y de control.
Los procedimientos de auditoria incluyen la utilizacin y aplicacin de: revisin de documentacin, observacin directa, cuestionarios por reas, hojas de anlisis, y la entrevista.
Cuestionarios
Los cuestionarios se deben estructurar por reas para buscar respuestas a varias interrogantes de la situacin de cada una de ellas, y estas a su vez se dividen en secciones para tratar slo aspectos especficos. Los cuestionarios se entregarn a los directivos involucrados con cada rea, las cuales poseen sus propias caractersticas, de ah que no pueda estandarizarse su contenido; adems no todas las secciones se analizarn a travs del uso de cuestionarios. Los cuestionarios fueron codificados segn el rea y la seccin a la que pertenecen, y se utilizarn dichos cdigos para reverenciarlos (ver anexo 4). Dichos cdigos se establecieron segn las siguientes consideraciones: Los dos primeros dgitos del cdigo se refieren al rea a la que pertenecen: - O1, corresponde al rea de organizacin
105 - S2, corresponde al rea de sistemas. - P3, corresponde al arrea de Proceso de Datos y Equipos. - S4, corresponde al rea de seguridad. Los ltimos dos dgitos, especifican que se trata de un cuestionario, correspondiendo el primero a una C, y el segundo es un numero secuencial segn el rea. Ejemplo: El Cuestionario O1-C1, corresponde al cuestionario nmero uno (1) del rea de Organizacin.
Debe destacarse que para los cuestionarios una respuesta afirmativa representa que no hay necesidad de aclaracin alguna, ya que el punto investigado esta acorde con los requerimientos; mientras que una respuesta negativa indica que existen fallas o deficiencias, que deben ser aclaradas por escrito.
Hojas de Anlisis.
Las hojas de anlisis servirn para recopilar datos, comentarios, notas y evaluaciones concernientes a la revisin, constituyendo un elemento de prueba sobre la revisin.
Las hojas de anlisis deben incluir la obtencin de datos recogidos en el desarrollo de la auditoria de sistemas, y deben guardarse cuidadosamente para su revisin y posteriormente en el archivo del auditor. Para cada una de las reas estudiadas se utilizar una hoja de anlisis contentiva de los puntos ms importantes cubiertos durante la revisin, en la cual el auditor de sistemas registrar su apreciacin para cada punto, segn la escala de apreciacin de la tabla 7.1: Tabla 7.1. Escala de Apreciacin de las Hojas de Anlisis. Apreciacin Punto Cumplimiento Excelente 5 90 a 100% Buena 4 80 a 89% Regular 3 60 a 79% Deficiente 2 40 a 59% Mala 1 20 a 39%
106 Estas hojas de anlisis se codificaron de igual manera que los cuestionarios, solo que en lugar de una C para el tercer digito se coloc una H.
Al efectuarse la revisin de las hojas de anlisis de acuerdo a las respuestas, se puede calcular el porcentaje de eficiencia de cada rea, para lo cual se procede de la siguiente manera: Se calcula la sumatoria de los puntos correspondientes a cada hoja de anlisis. Seguidamente, se dividir cada una de estos resultados entre el numero de preguntas, multiplicado por cinco (5), que representa la mxima calificacin; y a estos valores se multiplica por cien (100) para calcular el porcentaje de cada rea:
Puntos de las respuestas Porcentaje =------------------------------- x 100 N de preguntas x 5
Luego puede establecerse cual es el grado de cumplimiento de cada rea segn el rango establecido en la tabla 7.1.
Tambin se utilizarn Hojas de Anlisis para registrar cualquier informacin que amerite ser ampliada para su posterior evaluacin. Dichas hojas son formatos en blanco, que se irn numerando en forma secuencial, preferiblemente con lpices de color en el margen superior derecho de cada pgina, donde sea ms visible (ver modelo en el anexo 3.2, Hojas de Anlisis para registrar informacin).
Entrevistas.
Las entrevistas permitirn obtener informacin ms efectiva sobre las reas estudiadas, utilizndose en aquellos casos en que se requiera de una interaccin ms directa con las personas involucradas.
Para cada entrevista fue elaborada una Gua para Entrevistas, la cual ser utilizada en el momento en que sta se realice, sin olvidar que debe comunicarse con anticipacin a las personas que van a ser entrevistadas.
107 De igual manera se codific cada una de estas Guas para entrevistas, solo que el tercer digito corresponde en este caso a una E.
7.2.3. Fase de programacin.
Los programas de auditoria son medios que sirven de gua para que el auditor (en este caso de sistemas), en el que se detallan los diferentes pasos a seguir para asegurar que se cubrirn todos los aspectos. Un programa cuidadosamente trazado y ejecutado, proporciona orden, puntualiza y coordina la realizacin de la auditoria.
7.2.3.1 Estimacin de tiempo para cada programa.
Una etapa importante en la determinacin de los programas por reas, lo constituye la estimacin de los tiempos para cada una de sus etapas. El tiempo total debe ser distribuido mediante la elaboracin de programas de trabajo en los cuales se indique el responsable de realizar cada procedimiento y en cuanto tiempo debe hacerlo.
Para realizar la estimacin de los tiempos se requiere de la utilizacin de diagramas de Gantt, el cual permite describir cada una de las actividades, con su respectivo tiempo de duracin.
Las etapas necesarias para realizar la Planeacin de la Auditoria de Sistemas, son representadas en la tabla 7.2, en la cual se sealan las fases descritas para la planeacin, cubiertas en su totalidad, con su respectivo tiempo de duracin. Debe acotarse que para efectos del estudio desarrollado, la fase de planeacin requiere de un tiempo considerable, ya que el levantamiento de informacin debe realizarse mas profundamente, por lo que se debe trabajar con tiempos reales, es decir no se deben tomar los tiempos estimados, a fin de evaluar el avance de dicha fase. Sin embargo, en un Proyecto de Auditoria de Sistemas bajo condiciones ideales, esta fase de planeacin debera ser realizada en un tiempo mucho menor al aqu sealado.
Tabla 7.2. Diagrama de Gantt correspondiente a la Planeacin de la Auditora de Sistemas.
SEMANAS ACTIVIDAD 3 6 9 12 15 18 21 24 27 30 33 36 39 42 45 Fase de Identificacin
Contacto previo
Identificar reas de anlisis
Definir natu. y objeto del est.
Fase de Planeacin
Procedimientos de auditora
Fase de Programacin
Organizacin
Sistemas
Procesos de Datos y equipos
Seguridad
109 7.2.3.2. Personal Participante.
El personal a seleccionar para la realizacin del plan de auditoria de sistemas, debe tener un alto sentido de moralidad y poseer conocimientos generales sobre: - El equipo de procesamiento electrnico de informacin y sus posibilidades. - Caractersticas de los sistemas basados en computadoras. - Fundamentos sobre programacin. - Operaciones del Centro de Cmputo. - Organizacin y administracin de la funcin de procesamiento de la informacin. - Controles en los sistemas de procesamiento electrnicos de informacin. - Tcnicas de auditoria.
Cabe destacar que los conocimientos y experiencias sealados pueden estar reunidos en varias personas, segn los requerimientos de la institucin. En este sentido se recomienda, que se disponga de los cargos que se describen a continuacin:
Auditor de Sistemas Principal.
Objetivos.
Velar por el cumplimiento de las polticas, normas y procedimientos establecidos para los sistemas de informacin que funcionan en la institucin, con el propsito de garantizar las aplicaciones de un control interno.
Principales Funciones.
- Planificar, organizar, coordinar y controlar los proyectos de auditoria de sistemas. - Elaborar, aprobar y publicar a las Gerencias y Unidades involucradas, los informes de gestin al concluir cada proyecto. - Elaborar planes de prevencin, controles de acceso y situaciones de emergencia, que involucren la seguridad de los equipos de computacin y sistemas de informacin. - Concientizar a las diversas reas, en materia de seguridad y control.
110 - Supervisar y orientar a su personal, en las diversas etapas de cada proyecto. - Informar a la Gerencia, las observaciones pertinentes, para mejoramiento en la seguridad y control de los sistemas de informacin. - Velar por el cumplimiento de los procedimientos de control establecidos.
Asistente de Auditoria de Sistemas.
Objetivo.
Realizar bajo supervisin directa, trabajos de dificultad considerable en las fases de levantamiento, clasificacin y anlisis de la informacin necesaria en cada proyecto asignado.
Principales Funciones.
- Participar con el auditor de sistemas, en el levantamiento, clasificacin de anlisis de la informacin requerida en cada proyecto de Auditoria de Sistemas. - Recopilar, clasificar y ordenar los papeles de trabajo obtenidos en cada proyecto. - Elaborar conjuntamente con el auditor I, los borradores de informes de auditoria, en los cuales haya participado. - Elaborar las minutas necesarias en cada proyecto. - Cualquier otra funcin inherente al cargo que sea asignado por el auditor de sistemas.
Por otro lado se requiere de la colaboracin de personal perteneciente al rea a auditar, ya que de ellos depende que la informacin sea suministrada en el momento oportuno. De igual manera debe contarse con personas asignadas por los usuarios, las cuales estn presentes cuando se solicite informacin o cuando se realice alguna entrevista para conocer su punto de vista en relacin con los servicios prestados.
111 7.2.3.3. Programas por reas.
Los programas se concretan a sealar slo orientaciones sobre la forma en que habr de plantearse la revisin y una serie de procedimientos de los cuales se seleccionarn los que se estimen convenientes para la obtencin de datos segn las circunstancia del rea auditada, en l se registran posteriormente los pasos cubiertos por el auditor.
Habr que llevar un registro de tareas, supervisado por el auditor respectivo, en el cual se especificarn cada uno de los procedimientos a cumplir por el personal participante en la auditoria. En el programa se anotarn los datos siguientes: Tiempo esperado y tiempo real para la ejecucin de la actividad, el cual se expresar segn la siguiente nomenclatura: _ m, mes _ s, semana. _ d, da. _ h, hora. Descripcin de los procedimientos, que corresponde a los pasos necesarios para llevar acabo la revisin. Responsable de cada actividad, que corresponde a la firma o iniciales del auditor que lleva acabo el procedimiento. Columna de observaciones, para hacer referencia a los papeles de trabajo en donde se ha registrado el procedimiento o tambin puede ser utilizado para especificar las marcas que hacen constar que la revisin ha sido efectuada. Estas marcas de revisin deben ser hechas preferiblemente con lpiz de color rojo, con la mayor uniformidad posible, de un tamao pequeo, aunque claramente visible, con el propsito de no perjudicar la legibilidad y la buena apariencia del programa de trabajo. Los smbolos que se han definido para ser utilizados durante la revisin se muestran en la tabla 7.3. Fecha de revisin.
112 Tabla 7.3. Simbologa Estndar de Auditora de sistemas. Con respecto a la informacin solicitada: Indica que la informacin no existe. I Indica que la informacin esta incompleta. Indica que la informacin no esta actualizada. Indica que la informacin no es la adecuada. @ Indica que la informacin esta completa, es adecuada y esta actualizada. Con respecto al desarrollo de los procedimientos: Indica que se cumple el procedimiento evaluado. Indica que no se est cumpliendo la actividad evaluada. P Indica que se esta cumpliendo parcialmente. ^ Indica un comentario que se ha investigado y aceptado. Nota: Podrn utilizarse ms de una marca o smbolo en un solo lugar.
Resumiendo, el programa de Auditoria debe contener informacin suficiente acerca de las actividades y los procedimientos de auditoria de sistemas a utilizarse.
Para la realizacin de los programas por reas, deben definirse cuales son los recursos que van a permitir el cumplimiento de los procedimientos descritos en dicho plan.
Los recursos necesarios por cada una de las reas, se detallan a continuacin: Para la evaluacin de la Unidad de Apoyo Informtica: - Manual Descriptivo de Cargos que incluya la descripcin de funciones y cargos del rea de sistemas. - Documentacin relacionada con las polticas, normas y procedimientos del rea de informtica. Para la evaluacin de los sistemas: - Asignacin de una clave de acceso al sistema. - Manual Operativo. - Relacin de todas las aplicaciones que se encuentran en ambiente productivo. - Relacin de los proyectos formales de Informtica.
113 - Documentacin de los sistemas en operacin: manuales tcnicos, de usuarios, y de operaciones de las aplicaciones activas y pasivas de la institucin. Para la evaluacin del Proceso de Datos y los Equipos: - Especificaciones de los componentes fsicos y lgicos del computador central y red de microcomputadores. - Estudios de viabilidad y caractersticas de los equipos actuales, proyectos sobre ampliacin de equipos. - Contratos de Compra y Mantenimiento de Equipos y Sistemas. - Instructivo de Reportes de Fallas Tcnicas y Comunicacin. - Manual de Normas y Procedimientos para la Solicitud e Instalacin de Software. Para la evaluacin de la Seguridad: - Plizas de seguros de hardware y software a nivel del computador central. - Manual de Contingencia del Centro de Cmputo. - Contratos de mantenimiento de equipos de prevencin de desastre (extintores, gas haln, detectores de humo, humedad, entre otros). - Instructivo para el Control de Acceso a la Sala de Mquinas. - Instructivo para el control de Cintoteca. - Instructivo para el respaldo de las Libreras.
Los programas de Auditoria de Sistemas, para cada una de las reas ya sealadas se muestran a continuacin:
114
E t a p a
Procedimiento de Auditoria T i e m p o
E s p e r a d o
T i e m p o
R e a l
R e a l i z a n d o
p o r
O b s e r v a c i o n e s
F e c h a
1 I Investigacin Preliminar
a) Obtener informacin documental sobre: Manuales administrativos, lista de funciones, reglamentos internos, objetivos.
b) Obtener informacin sobre el campo de trabajo: condiciones de trabajo, controles, estndares utilizados, programas de trabajo. 7 d
2 Estructura Orgnica.
a) Estudiar la estructura de la organizacin de la Unidad de Apoyo Informtica a travs de la observacin y discusin. Esto se realiza con la finalidad de determinar si cumple con los principios de una buena organizacin y esta adecuada a las necesidades. 1. Revisar el manual de organizacin de ALCAVI, el cual debe abarcar los siguientes aspectos: Organigrama con jerarquas. Funciones. Objetivos y polticas. Anlisis, descripcin y evaluacin de puestos. 7 d
Manual de normas y procedimientos. Instructivos de trabajo o guas de actividad.
b) Obtener los objetivos, polticas y normas de la Unidad de Apoyo Informtica.
c) Aplicar el cuestionario O1-C1 del anexo 4.2.
3 Recursos humanos.
Evaluar la situacin del personal del rea, para determinar si se cuenta con los recursos humanos necesarios para garantizar la continuidad de la operacin.
a) Obtener informacin sobre el personal a travs de la utilizacin de la tabla de recursos humanos y la tabla de proyeccin de recursos humanos.
b) Entrevistas al personal del procesamiento de datos segn la Gua de Entrevistas S2-E1 del anexo 4.3, con el fin de verificar: Grado de cumplimiento de la estructura organizativa. Grado de cumplimiento de las polticas y los procedimientos administrativos Capacitacin. Observaciones generales. 7 d
116
E t a p a
Procedimiento de auditora
T i e m p o
E s p e r a d o
T i e m p o
R e a l
R e a l i z a d o
p o r
O b s e r v a c i o n e s
F e c h a
1 Investigacin preliminar
Obtener informacin documental sobre: descripcin general de los sistemas instalados y de los que estn por instalarse; manual de formas; manual de procedimientos de los sistemas; diagrama de entrada; archivos y salida; fecha de instalacin de los sistemas; proyectos de instalacin de nuevos sistemas. 2 d
2 Evaluacin de Sistemas.
Evaluar los sistemas y procedimientos para verificar la eficiencia que se tiene en el uso de la informacin.
a) Verificar si se realizan estudios de factibilidad de los sistemas en operacin, y de los que se encuentran en la fase de anlisis. 1. Revisar si se considera los siguientes aspectos: Necesidades de los usuarios. Formas de utilizacin de los sistemas. Efecto que producir en los usuarios. Efectos que los usuarios tendrn sobre el sistema. Congruencia de los diferentes sistemas 2 d
2. Comparar los resultados reales con el estudio de factibilidad. b) Verificar si existe un plan estratgico para la elaboracin de los sistemas.
1. Revisar que el plan estratgico establezca los servicios que se prestaran en un futuro, a fin de constatar que se tome en cuenta lo siguiente: Servicios implementados Momento en que se podrn a disposicin de los usuarios. Caractersticas que tendrn. Recursos requeridos.
2. Revisar la estrategia de desarrollo para verificar lo siguiente: Aplicaciones que sern desarrolladas. Tipo de archivos a desarrollar. Base de datos. Recursos.
3 Anlisis.
Evaluar el anlisis del sistema para identificar inexacti- tudes, ambigedades y omisiones en las especificaciones. 3
d
118 E t a p a
Procedimiento de Auditora
T i e m p o
E s p e r a d o
T i e m p o
R e a l
R e a l i z a d o
p o r
O b s e r v a c i o n e s
F e c h a
a) Revisar si existen polticas, normas y procedimientos para llevar a cabo el anlisis, a fin de verificar si se cumplen, y son los adecuados para la organizacin.
b) Evaluar la planeacin de las aplicaciones para verificar la situacin en la que se encuentran en el inventario: Planeada para ser desarrollada en el futuro. En desarrollo. En proceso, pero con modificaciones en desarrollo. En proceso con problemas detectados. En proceso espordicamente
c) Revisar que se mantenga la documentacin de la fuente que gener la necesidad de la aplicacin.
d) Comparar los objetivos de los sistemas desarrollados con las operaciones actuales, a fin de verificar que el estudio de la ejecucin deseada corresponde al actual.
e) Revisar los documentos y registros usados en la elaboracin del sistema, salida y reportes, descripcin de las actividades de flujo de informacin y de procedimientos, archivos al- macenados, su uso y su relacin con otros archivos y siste- mas, su frecuencia de acceso, su conversacin, su seguridad y control, la documentacin propuesta, las entradas y salidas del sistema y los documentos fuente a usarse.
119 E t a p a
Procedimiento de Auditora
T i e m p o
E s p e r a d o
T i e m p o
R e a l
R e a l i z a d o
p o r
O b s e r v a c i o n e s
F e c h a
1. Verificar si el proceso de informacin se esta ejecutando en forma correcta y eficiente. 2. Comprobar si el proceso de informacin puede ser simplificado para mejorar su aprovechamiento. 3. Constatar si se puede aumentar la interaccin con otros sistemas. 4. Revisar el nivel de control y seguridad, para verificar si son adecuados. 5. Revisar si la documentacin es adecuada.
4 Diseo Lgico del Sistema.
Estudiar el diseo lgico del sistema para descubrir errores, debilidades, omisiones ocurridas antes de iniciar la codificacin.
a) Revisar las especificaciones del sistema a fin de verificar: Lo que deber hacer. Cmo deber hacer. Secuencia y ocurrencia de los datos. El proceso. La salida del reporte.
b) Revisar la participacin del usuario en la identificacin del nuevo sistema.
4
d
120
E t a p a
Procedimiento de Auditora T i e m p o
E s p e r a d o
T i e m p o
R e a l
R e a l i z a d o
p o r
O b s e r v a c i o n e s
F e c h a
c) Evaluar la determinacin de los procedimientos de operacin y decisin.
d) Comparar el diseo lgico del sistema con los resultados obtenidos, a fin de evaluar: Entradas. Salidas. Procesos. Especificaciones de datos. Especificaciones de procesos. Mtodos de acceso. Operaciones. Manipulaciones de datos. Proceso lgico necesario para producir informes. Identificacin de archivos, tamao de los campos de registros. Proceso en lnea o de lote y su justificacin. Frecuencia y volmenes de operaciones. Responsables. Nmero de usuarios
e) Revisar los manuales de usuario, a fin de verificar, quin ejecuta los procedimientos, cundo y cmo.
121 E t a p a
Procedimiento de Auditora T i e m p o
E s p e r a d o
T i e m p o
R e a l
R e a l i z a d o
p o r
O b s e r v a c i o n e s
F e c h a
f) Obtener algunos documentos de salida y llenar los formatos correspondientes a la descripcin de los informes (ver anexo 5) 1. Seleccionar un grupo de usuarios pertenecientes a diferentes niveles de la organizacin. 2. Entrevistar a los usuarios con la ayuda de la Gua para entrevistas S2-E1 (ver anexo 4.3). 3. Comparar la informacin obtenida con los formatos de salida analizados. g) Evaluar la informacin del sistema. 1. Preparar la matriz de recepcin y distribucin de documentos (ver la gua para la estructuracin de la matriz de recepcin y distribucin de documentos en el anexo 6). 2. Establecer cules son los documentos que son producidos por cada Unidad, los informes que producen cada Unidad y qu Unidades lo utilizan.
5
Desarrollo del sistema.
Evaluar los programas a fin de verificar su diseo e interconexin.
a) Revisar la aplicacin seleccionada para verificar: Que posea un solo objetivo. Que est disponible. Que contenga todos los atributos 2
d
122 E t a p a
Procedimiento de Auditora T i e m p o
E s p e r a d o
T i e m p o
R e a l
R e a l i z a d o
p o r
O b s e r v a c i o n e s
F e c h a
Que proporcione la informacin en el momento que se requiere. Que proporcione la informacin adecuada a cada nivel. Que no exista duplicidad de informacin. Que sea modular. Que slo las personas autorizadas tengan acceso.
6 Control de proyectos.
Evaluar el avance de la programacin respecto a lo programado.
a) Aplicar el cuestionario S2-C1 del anexo 4.3. 2
d
7 Control de diseo de sistemas y programacin.
Evaluar el control de diseo de sistemas y programacin para asegurarse que el sistema funcione conforme a las especificaciones funcionales, de manera que garantice el manejo, operacin y aceptacin por parte del usuario.
a) Determinar mediante la observacin y la discusin las personas que intervienen en el diseo de los sistemas.
b) Aplicar el cuestionario S2-C2 del anexo 4.3. 2
d
123 E t a p a
Procedimiento de Auditora T i e m p o
E s p e r a d o
T i e m p o
R e a l
R e a l i z a d o
p o r
O b s e r v a c i o n e s
F e c h a
8 Formas de implantacin.
Evaluar los trabajos que se realizan para iniciar la operacin de un sistema.
a) Sealar si se toman en cuenta los siguientes aspectos en el momento de realizar las pruebas: 1. Prueba particular de cada programa. 2. Prueba por fase, validacin, actualizacin. 3. Prueba integral de paralelo. 4. Prueba en paralelo de sistema. 5. Otros. 2 d
9 Usuarios.
Evaluar a los usuarios con la finalidad de conocer su opinin con respecto a los servicios prestados por la Unidad de Apoyo informtica.
a) Obtener la descripcin de los servicios prestados
b) Revisar los criterios de evaluacin que utilizan los usuarios para evaluar el nivel del servicio prestado
c) Revisar el reporte del uso y concepto del usuario sobre el servicio.
2
d
124 E t a p a
Procedimiento de Auditora T i e m p o
E s p e r a d o
T i e m p o
R e a l
R e a l i z a d o
p o r
O b s e r v a c i o n e s
F e c h a
d) Obtener el registro de los requerimientos planteados por el usuario.
e) Seleccionar un grupo de usuarios pertenecientes a diferente niveles de la organizacin 1. Entrevistas a los usuario con la ayuda de la Gua para entrevista S2-E2 del anexo 4.3.
125
E t a p a
Procedimiento de Auditora
T i e m p o
E s p e r a d o
T i e m p o
R e a l
R e a l i z a d o
p o r
O b s e r v a c i o n e s
F e c h a
1 Investigacin Preliminar.
Obtener informacin documental sobre: estudios de viabilidad y caractersticas de los equipos actuales, proyectos de actualizacin de equipos, contratos de compras y mantenimiento de equipos y sistemas, contratos y convenios de respaldo, contratos de seguros, ubicacin general de los equipos, polticas de operacin y de uso de los equipos. 5
d
2 Controles.
Evaluar el sistema de control que existe para resguardar la integridad de la informacin.
a) Revisar que existan los adecuados para garantizar que se recibieron todas las transacciones de entrada del departamento donde se originaron las mismas. 1. Verificar si el usuario es el responsable de que los datos a procesar sean correctos y exactos.
b) Evaluar los procedimientos de operacin a fin de verificar el cumplimiento de los mismos. 6
c) Evaluar los controles de salida, para verificar que los resultados obtenidos sean confiables y que los datos no han sufrido alteraciones no autorizadas mientras estuvieron bajo el control de la computadora. 1. Determinar por medio de la discusin y la observacin, cuales son los documentos de salida que son entregado a los usuarios, y verificar la siguiente informacin: Sistema al que pertenece. Usuario a quien entrega. Periodicidad. 2. Aplicar el cuestionario P3-C2 del anexo 4.4.
d) Revisar la programacin de actividades de la Unidad de Apoyo Informtica a fin de verificar su eficiencia y efectividad en el logro de sus funciones. 1. Determinar los periodos que abarcan los programas de trabajo. 2. Verificar quienes son los responsables de la elaboracin de los programas de trabajo. 3. Revisar la frecuencia con que cambian los programas y determinar cules son las causas.
127 E t a p a
Procedimiento de Auditora T i e m p o
E s p e r a d o
T i e m p o
R e a l
R e a l i z a d o
p o r
O b s e r v a c i o n e s
F e c h a
4. Enumerar los elementos que se toman en cuenta para elaboracin de los programas de trabajo.
e) Verificar los controles para la proteccin de los dispositivos de almacenamiento. 1. Aplicar el cuestionario P3-C3 del anexo 4.4.
f) Evaluar el mantenimiento y las fallas de los equipos, a fin de verificar la efectividad que se tiene para mantener el equipo fsico en buenas condiciones de funcionamiento. 1. Determinar mediante la discusin e inspeccin de lo contratos de mantenimiento, el tipo de mantenimiento efectuado y las caractersticas del contrato. 2. Aplicar el cuestionario P3-C4 del anexo 4.4.
g) Evaluar la utilizacin del sistema de cmputo, para verificar cul es la capacidad de los equipos. 1. Revisar los registros sobre la utilizacin del sistema de cmputo, a fin de verificar si se mantiene informacin sobre: Tiempo dedicado a produccin. Tiempo de uso del procesador central. Tiempo de compilacin y prueba. Tiempo dedicado a mantenimiento correctivo del sistema operativo.
128 E t a p a
Procedimiento de Auditora T i e m p o
E s p e r a d o
T i e m p o
R e a l
R e a l i z a d o
p o r
O b s e r v a c i o n e s
F e c h a
Tiempo de mantenimiento preventivo. Tiempo de operacin del sistema de cmputo. Tiempo de falla de los dispositivos. Tiempo de uso de cada unidad de disco. Tiempo ocioso. Tiempo de uso de terminales. Tiempo de uso de impresoras. Tiempo de reproceso. Tiempo de computadora utilizado en las demostraciones. Tiempo de falla por servicios auxiliares. Nmero de programas corridos por computador. Nmero de programas objeto ejecutados. 2. Tomar nota sobre los siguientes datos: Tiempo promedio de operaciones por da. Tiempo promedio de compilaciones por da Nmero promedio de programas corridos por da. Tiempo promedio en horas de respuesta para compilaciones. Tiempo promedio en horas de respuesta para programas de produccin con discos. Tiempo promedio de respuesta para programas de produccin.
129
E t a p a
Procedimiento de Auditora T i e m p o
E s p e r a d o
T i e m p o
R e a l
R e a l i z a d o
p o r
O b s e r v a c i o n e s
F e c h a
Nmero promedio al da que se consideran como horas de produccin. Nmero promedio de trabajos en cola de espera de ejecucin en horas pico. Nmero promedio de trabajos en cola de espera de impresin en horas pico. Nmero promedio de trabajos de ejecucin en horas pico. 3. Aplicar el cuestionario P3-C5 del anexo 4.4.
3 Orden en el centro de cmputo.
Evaluar las reglas existentes en el centro de cmputo para mantener el orden y el cuidado de la sala de maquina.
a) Revisar las disposiciones y reglamentos que rigen el mantenimiento del orden en el centro de cmputo
b) Aplicar el cuestionario P3-C6 del anexo 4.4. 5
d
4 Productividad.
Evaluar la eficiencia en la Unidad de Apoyo Informtica.
a) Determinar por medio de la observacin y la discusin si el rea de Informtica toma en consideracin los picos en las cargas de trabajo. 5
d
130 E t a p a
Procedimiento de Auditora T i e m p o
E s p e r a d o
T i e m p o
R e a l
R e a l i z a d o
p o r
O b s e r v a c i o n e s
F e c h a
b) Aplicar el cuestionario P3-C7 del anexo 4.4.
131
E t a p a
Procedimiento de Auditora T i e m p o
E s p e r a d o
T i e m p o
R e a l
R e a l i z a d o
p o r
O b s e r v a c i o n e s
F e c h a
1 Investigacin Preliminar.
Obtener informacin documental sobre: polticas de uso de los controles de acceso, contratos de seguros, personal responsable del procesamiento de datos, etc. 3
d
2 Seguridad Lgica y Confidencialidad.
Evaluar la seguridad lgica y confidencialidad en el uso de la informacin, a fin de verificar si existen controles adecuados para evitar los fraudes o sabotaje que provoquen la paralizacin del procesamiento de datos.
a) Aplicar el cuestionario S4-C1 del anexo 4.5. 3
d
3 Seguridad en el personal.
Verificar que el personal que participa en el procesamiento de la informacin cumpla con los requerimientos necesarios para garantizar la integridad de la informacin.
a) Revisar la poltica establecidas para vacaciones del personal, a fin de constatar la presencia de personal indispensable o difcil de sustituir.
b) Verificar que las polticas de rotacin de personal se cumplan, a fin de disminuir la posibilidad de fraude.
c) Evaluar la motivacin del personal
d) Constatar si son incluidos dentro de los programas, procedimientos de auditora.
4 Seguridad Fsica.
Evaluar los procedimientos establecidos para evitar las interrupciones prolongadas del servicio debido a contingencias.
a) Aplicar el cuestionario S4-C2 del anexo 4.5. 3
d
5 Seguros.
Evaluar las plizas de seguros, a fin de constatar que se encuentren actualizadas y abarquen todo el equipo y su instalacin: 3
d
133 E t a p a
Procedimiento de Auditora T i e m p o
E s p e r a d o
T i e m p o
R e a l
R e a l i z a d o
p o r
O b s e r v a c i o n e s
F e c h a
a) Revisar las coberturas de seguros para establecer: 1. Se cubra el fraude cometido por empleados. 2. Se cubra el fraude cometido por personas ajenas a la institucin. 3. Se cubra la prdida de capacidad para procesar. 4. Se cubra el equipo, el medio y los gastos extras. 5. Todas las plizas estn en plena vigencia y vigor.
6 Seguridad en la utilizacin del equipo.
Evaluar la intervencin de las personas involucradas en el procesamiento de la informacin, a fin de revisar que existan los controles adecuados para mantener la integridad de la informacin.
a) Aplicar el cuestionario S4-C3 del anexo 4.5. 3
d
7 Procedimientos de respaldo en caso de desastre.
Evaluar la capacidad que tiene el centro de cmputo para recuperarse de interrupciones provocadas por contingencias.
a) Determinar mediante la revisin e inspeccin si el plan de emergencia ha sido probado, a fin de verificar su efectividad. b) Revisar que los arreglos para hacer respaldos sean adecuados y viables. c) Aplicar el cuestionario S4-C4 del anexo 4.5. 3
d
134
CONCLUSIONES Y RECOMENDACIONES _________________________________________________
135 Conclusiones.
El motivo esencial del estudio estuvo representado por la necesidad de establecer mtodos adecuados que permitan realizar evaluaciones y revisiones de las actividades relacionadas con el procesamiento electrnico de la informacin de una institucin pblica, es por esto que el radio de accin de la investigacin qued concentrado en la Unidad de Apoyo Informtica de la Fundacin Municipal de la Vivienda.
Se utiliz el Enfoque Sistmico, especficamente la Metodologa de Peter Checkland, con la finalidad de conocer en detalle el rea que requiere de dichas revisiones, destacndose las siguientes conclusiones:
La primera fase de la metodologa (Visin Amplia del Sistema), permiti conocer detalladamente tanto la Organizacin general, como la Unidad de Apoyo Informtica, que constituye el rea que requiere de evaluaciones y revisiones de sus actividades. En este caso esta fase requiri de un tiempo considerable, ya que en la Institucin no se dispona de planes formales de revisin, por lo que el levantamiento de informacin tena que realizarse ms profundamente, dimensionndose de esta manera dicha rea.
Se detectaron un nmero considerable de focos problemticos, relacionados principalmente con la carencia de programas de evaluacin, en este caso programas de Auditora de Sistemas, entre los que se destacan las fallas existente en la documentacin de las actividades de programacin y operacin del Centro de Cmputo.
Se logr definir cuales son las actividades necesarias que deben existir en el sistema para que se obtenga un funcionamiento ms eficiente, a partir del diseo de un modelo conceptual aplicable a la Unidad de Apoyo Informtica.
Se estableci una comparacin del modelo conceptual con las circunstancias reales del rea, y una vez discutidas las diferencias con los entes involucrados en el sistema, se establecieron los posibles cambios que deben tomarse en cuenta para solventar las
136 debilidades en el corto plazo, y preparar el ambiente para la aplicacin satisfactoria de los planes de Auditoria de Sistemas.
Se prepar un plan detallado de Auditoria de Sistemas, aplicable a la Unidad de Apoyo Informtica, debido a que la principal falla observada en dicha rea, esta relacionada con la revisin y evaluacin de sus controles, y en virtud de que la institucin carece de planes formales que permitan efectuar estas evaluaciones.
137 Recomendaciones.
Debe destacarse que este Modelo de Auditora de Sistemas representa el comienzo de un proceso de evaluacin, de la Unidad de Apoyo Informtica, a las necesidades de la Institucin, el cual debe continuar hasta que logren cubrirse todos los requerimientos, por lo cual se recomienda se tome en consideracin lo siguiente:
1. Implementar y desarrollar programas de Auditora de Sistemas en la Unidad de Apoyo Informtica, segn los planes sealados, contribuyendo de esta manera a la determinacin de cursos alternativos que solventen las debilidades, o bien destaquen el logro eficiente de las actividades.
2. Hacer nfasis en la necesidad de documentar las actividades relacionadas con el desarrollo de sistemas, para lo cual debe lograrse la concientizacin del personal encargado de la programacin, y por otro lado colocar una persona a cargo de controlar este proceso, y contribuir a que la documentacin se mantenga actualizada.
3. Controlar la utilizacin de los estndares de programacin, de forma que se logre la uniformidad a la hora de elaborar los sistemas.
4. Definir formalmente las polticas del rea, y mantener actualizado todo lo referente a las Normas y Procedimientos, ya que de esta manera puede cumplirse cabalmente con todas las actividades requeridas.
5. Establecer programas de entrenamiento para el personal, que permita capacitar al personal en el cumplimiento de sus actividades.
6. Planear de manera eficiente el desarrollo de sistemas, establecindose controles en el plazo de culminacin.
7. Instruir a los usuarios en el uso de los equipos y software, de forma tal de disminuir las fallas presentadas por utilizacin inadecuada de los mismos.
138 8. Mantener actualizada la documentacin relacionada con la operacin del Centro de Cmputo, parta lograr que los operadores cuenten con la informacin precisa en el momento en que se soliciten. 9. Controlar estrechamente las necesidades en cuanto a personal, ya que este es la base principal para el logro eficiente de las actividades.
10. Realizar planes de evaluacin y recompensas que incrementen el nivel motivacional del personal.
Debe acotarse que en la planeacin de un Programa de Auditoria de Sistemas, existen pasos que son constantes, sin embargo la programacin de estos pasos y el nfasis que puede darse a cada uno de ellos, vara de acuerdo a la situacin que se presente. De igual manera sucede con la frecuencia de aplicacin de dichos programas, ya que debe hacerse con la frecuencia necesaria para protegerse contra problemas crecientes, y por otra parte no deben ser tan frecuentes que conduzcan a resultados repetitivos de dudoso valor.
En el momento de llevarse a cabo los programas de Auditoria de Sistemas no deben olvidarse las siguientes premisas: En la auditoria no solo deben considerarse los errores, sino tambin sealar los esfuerzos. Estudiar hechos y no opiniones. Investigar las causas, no los efectos. Atender razones, no excusas. No confiar en la memoria, preguntar constantemente. Criticar objetivamente y a fondo todos los informes y los datos recabados. La auditoria no debe culminase con la presentacin de resultados, sino ser el inicio de una serie de auditoria y revisiones peridicas con un adecuado seguimiento de las observaciones para lograr las correcciones a los problemas y las mejoras a los sistemas que los ameriten.
Por ltimo debe recordarse que el xito de la Unidad de Apoyo Informtica dentro de la Organizacin, no depender del establecimiento de programas escritos sobre el control de
139 sus actividades, sino depende finalmente de que todas las personas responsables del mismo tomen una actitud positiva respecto a su trabajo, as como el trabajo desarrollado por su rea, estableciendo metas y estndares que incrementen su productividad.
142 [JIMENEZ, J.; 2003]. Evaluacin de la Seguridad de un Sistema de Informacin. [on line]. Disponible en http://www.monografas.com/trabajos/seguinfo/seguinfo.shtml. [KENDALL, K. Y KENDALL, J.; 1997]. Anlisis y Diseo de Sistemas. Tercera Edicin. Editorial Pearson Educacin. Mxico.
[KUSHNER, M. y ZCKER, C.; 1993]. Programacin RPG. Lenguaje y Tcnicas. Editorial Limusa.
[MILTHON, Ch.; 1996]. El Fraude Informtico: Cmo Prevenirlo, Detectarlo y Controlarlo. Centro de Anlisis Gerencial. Caracas, Venezuela.
[MORLES, V.; 1994]. Planeamiento y Anlisis de Investigaciones. Octava Edicin. Editorial Eldorado. Caracas.
[RAMIREZ, O.; 1996]. Estudio Sistmico del Comedor Universitario de los Andes. Universidad de los Andes. Mrida, Venezuela.
[RAMREZ, T.; 1999]. Cmo Hacer un Proyecto de Investigacin. Primera Edicin. Editorial Panapo. Carcas.
[SANCHEZ, F.; 1971]. Programas de Auditoria. Ediciones Contables y Administrativas, S.A. Mxico, D.F.
[SENN, J.; 1996]. Anlisis y Diseo de Sistemas de Informacin. Segunda Edicin. Editorial McGraw-Hill. Mxico.
[SUAREZ, A.; 1990]. La Moderna Auditoria. Un Anlisis Conceptual y Metodolgico. Serie Mc.graw-Hill de Management. Madrid.
143 [THIERAUF, R.; 1984]. Auditora Administrativa con cuestionarios de trabajo. 1ra Edicin. Editorial Limusa, S.A. Mxico.
[UNA.; 1987]. Oportunidades de Estudio en la Universidad Nacional Abierta. Tercera Edicin. Caracas: Autor.
[UNA.; 1995]. Anlisis y Diseo de Sistemas. Tercera Edicin. Caracas: Autor.
[UNA.; 1995]. Auditoria y Evaluacin de Sistemas. Tercera Edicin. Caracas: Autor.
[UNA; 1999]. Manual para la Elaboracin de Anteproyectos y Trabajos de Grado de la Carrera Ingeniera de Sistemas. Caracas: Autor.
[VON, L.; 1976]. Teora General de los Sistemas. FCE, Mxico.
[WILLINGHAN, J.; 1998]. Auditora; Conceptos y Mtodos. Editorial McGraw-Hill.
144
A N E X O S _______________
145
A N E X O 1 ________________
CUESTIONARIO APLICADO A LOS FUNCIONARIOS DE ALCAVI
146 Cuman, enero de 2007.
Ciudadano(a): __________________________ Su despacho.-
Distinguido Sr.(a).
Anexo a la presente se le hace entrega de un cuestionario, el mismo tiene como objetivo recaudar informacin para la elaboracin del Trabajo de Grado que me acreditar como Ingeniero de Sistemas en la Universidad Nacional Abierta (UNA). El tema a analizar es la situacin en que se encuentra la Unidad de Apoyo Informtica de la Fundacin Municipal de la Vivienda (ALCAVI), en materia de auditora.
Por este motivo, agradezco su cooperacin en responder objetivamente las preguntas que aparecen en el cuestionario.
Atentamente,
Br. Rafael A. Figuera.
147 DATOS GENERALES
rea de revisin:
Entrevistado:
Cargo:
Elaborado por: Rafael A. Figuera
Fecha:__________________Hora de inicio:_____________Hora fin:_______________
INSTRUCCIONES
Lea cuidadosamente cada pregunta y marque con una X la respuesta indicada de acuerdo al tem correspondiente.
PREGUNTAS
Ref. tem (No=0, No s=1, Si=2, Conoce=3, Muestre=4) 0 1 2 3 4 P.1 La Fundacin Municipal de la Vivienda tiene misin formalmente definida?
P.2 ALCAVI posee polticas formalmente definidas? P.3 Esta institucin presenta objetivos formalmente definidos? P.4 ALCAVI tiene funciones formalmente definidas? P.5 Posee ALCAVI una estructura organizativa que se evidencie mediante un organigrama formal?
P.6 En ALCAVI existe un departamento de auditora?
P.7 En la Fundacin Municipal de la Vivienda se realizan auditoras?
148 P.8 La U. de A. Informtica tiene objetivos formalmente definidos?
P.9 La U. de A. Informtica posee funciones formalmente definidas?
P.10 Posee esta rea una estructura organizativa que se evidencie mediante un organigrama formal?
P.11 Usa la U. de A. Informtica manuales de normas y procedimientos?
P.12 Esta rea posee una copia del plan operativo de ALCAVI? P.13 Cuenta la U. de A. Informtica con un plan de contingencia formalmente definido?
P.14 Cuenta la U. de A. Informtica con una poltica de seguridad?
P.15 Aplica usted las polticas de seguridad del rea de Informtica?
P.16 La U. de A. Informtica es eficiente en el tratamiento de la informacin que se maneja en ese departamento?
P.17 Existe algn equipo de computacin en ese departamento? P.18 La U. de A. Informtica posee un listado de los bienes y equipos que se encuentran en el departamento?
Ref. tem (Nunca=0, Rara vez=1, A veces=2, Frecuentemente=3, Siempre=4) 0 1 2 3 4 P.19 Se realizan evaluaciones peridicas para determinar el desempeo del personal de la U. de A. Informtica?
P.20 Cumple el personal con las funciones que le son encomendadas?
Ref. tem (No se evala=0, Malo=1, Regular=2, Bueno=3, Excelente=4) 0 1 2 3 4 P.21 Cmo es el grado de cooperacin entre los empleados de la U. de A. Informtica para la realizacin de los trabajos?
Ref. tem (Definitivamente no=0, Probablemente no=1, No s=2, Probablemente si=3, Definitivamente si=4) 0 1 2 3 4
149 P.22 Considera que su remuneracin est acorde con su cargo? P.23 Se siente a gusto en el desempeo de sus funciones? Ref. tem (Psima=0, Mala=1, Regular=2, Buena=3, Excelente=4) 0 1 2 3 4 P.24 Cmo definira usted las relaciones interpersonales dentro de la Unidad de Apoyo?
Ref tem (No=0, No s=1, Si=2, Conoce=3, Muestre=4) 0 1 2 3 4 P.25 Requiere la U. de A. Informtica de auditora? P.26 Usted considera importante la auditora?
150 Resultado del Cuestionario
P.1. La Fundacin Municipal de la Vivienda tiene misin formalmente definida? Respuesta Frecuencia Porcentaje No 2 18,18 No se 3 27,27 Si 5 45,45 Conoce 1 9,09 Muestre 0 0
P.2. ALCAVI posee polticas formalmente definidas? Respuesta Frecuencia Porcentaje No 1 9,09 No se 1 9,09 Si 7 63,63 Conoce 2 18,18 Muestre 0 0
P.3. Esta institucin presenta objetivos formalmente definidos? Respuesta Frecuencia Porcentaje No 1 9,09 No se 2 18,18 Si 6 54,54 Conoce 1 9,09 Muestre 1 9,09
P.4. ALCAVI tiene funciones formalmente definidas? Respuesta Frecuencia Porcentaje No 1 9,09 No se 3 27,27 Si 6 54,54 Conoce 1 9,09 Muestre 0 0
151 P.5. Posee ALCAVI una estructura organizativa que se evidencie mediante un organigrama formal? Respuesta Frecuencia Porcentaje No 0 0 No se 0 0 Si 9 81,81 Conoce 1 9,09 Muestre 1 9,09
P.6. En ALCAVI existe un departamento de auditora? Respuesta Frecuencia Porcentaje No 10 90,90 No se 1 9,09 Si 0 0 Conoce 0 0 Muestre 0 0
P.7. En la Fundacin Municipal de la Vivienda se realizan auditoras? Respuesta Frecuencia Porcentaje No 9 81,81 No se 2 18,18 Si 0 0 Conoce 0 0 Muestre 0 0
P.8. La U. de A. Informtica tiene objetivos formalmente definidos? Respuesta Frecuencia Porcentaje No 2 18,18 No se 3 27,27 Si 4 36,36 Conoce 2 18,18 Muestre 0 0
152 P.9. La U. de A. Informtica posee funciones formalmente definidas? Respuesta Frecuencia Porcentaje No 0 0 No se 2 18,18 Si 9 81,81 Conoce 0 0 Muestre 0 0
P.10. Posee esta rea una estructura organizativa que se evidencie mediante un organigrama formal? Respuesta Frecuencia Porcentaje No 9 81,81 No se 2 18,18 Si 0 0 Conoce 0 0 Muestre 0 0
P.11. Usa la U. de A. Informtica manuales de normas y procedimientos? Respuesta Frecuencia Porcentaje No 8 72,72 No se 2 18,18 Si 1 9,09 Conoce 0 0 Muestre 0 0
P.12. Esta rea posee una copia del plan operativo de ALCAVI? Respuesta Frecuencia Porcentaje No 3 27,27 No se 2 18,18 Si 4 36,36 Conoce 1 9,09 Muestre 1 9,09
153 P.13. Cuenta la U. de A. Informtica con un plan de contingencia formalmente definido? Respuesta Frecuencia Porcentaje No 4 36,36 No se 2 18,18 Si 5 45,45 Conoce 0 0 Muestre 0 0
P.14. Cuenta la U. de A. Informtica con una poltica de seguridad? Respuesta Frecuencia Porcentaje No 5 45,45 No se 2 18,18 Si 4 36,36 Conoce 0 0 Muestre 0 0
P.15. Aplica usted las polticas de seguridad del rea de Informtica? Respuesta Frecuencia Porcentaje No 5 45,45 No se 3 27,27 Si 3 27,27 Conoce 0 0 Muestre 0 0
P.16. La U. de A. Informtica es eficiente en el tratamiento de la informacin que se maneja en ese departamento? Respuesta Frecuencia Porcentaje No 3 27,27 No se 3 27,27 Si 4 36,36 Conoce 1 9,09 Muestre 0 0
154 P.17. Existe algn equipo de computacin en ese departamento? Respuesta Frecuencia Porcentaje No 0 0 No se 0 0 Si 10 90,90 Conoce 0 0 Muestre 1 9,09
P.18. La U. de A. Informtica posee un listado de los bienes y equipos que se encuentran en el departamento? Respuesta Frecuencia Porcentaje No 4 36,36 No se 2 18,18 Si 3 27,27 Conoce 1 9,09 Muestre 1 9,09
P.19. Se realizan evaluaciones peridicas para determinar el desempeo del personal de la U. de A. Informtica? Respuesta Frecuencia Porcentaje Nunca 9 81,81 Rara vez 1 9,09 A veces 1 9,09 Frecuentemente 0 0 Siempre 0 0
P.20. Cumple el personal con las funciones que le son encomendadas? Respuesta Frecuencia Porcentaje Nunca 0 0 Rara vez 1 9,09 A veces 2 18,18 Frecuentemente 6 54,54 Siempre 2 18,18
155 P.21. Cmo es el grado de cooperacin entre los empleados de la U. de A. Informtica para la realizacin de los trabajos? Respuesta Frecuencia Porcentaje No se evala 3 27,27 Malo 2 18,18 Regular 4 36,36 Bueno 2 18,18 Siempre 0 0
P.22. Considera que su remuneracin est acorde con su cargo? Respuesta Frecuencia Porcentaje Definitivamente no 4 36,36 Probablemente no 4 36,36 No s 0 0 Probablemente si 2 18,18 Definitivamente 1 9,09
P.23. Se siente a gusto en el desempeo de sus funciones? Respuesta Frecuencia Porcentaje Definitivamente no 3 27,27 Probablemente no 3 27,27 No s 1 9,09 Probablemente si 2 18,18 Definitivamente 2 18,18
P.24. Cmo definira usted las relaciones interpersonales dentro de la Unidad de Apoyo? Respuesta Frecuencia Porcentaje Psima 2 18,18 Mala 2 18,18 Regular 4 36,36 Buena 2 18,18 Excelente 1 9,09
156 P.25. Requiere la U. de A. Informtica de auditora? Respuesta Frecuencia Porcentaje No 2 18,18 No se 3 27,27 Si 6 54,54 Conoce 0 0 Muestre 0 0
P.26. Usted considera importante la auditora? Respuesta Frecuencia Porcentaje No 3 27,27 No se 2 18,18 Si 5 45,45 Conoce 0 0 Muestre 0 0
157
A N E X O 2 ________________
MANUAL DE SISTEMAS Y PROCEDIMIENTOS
158 Convencionalismos y Procedimientos Estndar de Programacin.
Este tpico describe las prcticas y procedimientos a seguir al operar el equipo de procesamiento.
Cambios en el programa. Cada vez que el programa es revisado deber ser probado y la revisin deber ser reexaminada. Los procedimientos a seguir y la revisin de funciones de prueba a realizar deben ser claramente descritos. Se deber conservar la bitcora de cambios para cada programa. Se debe indicar claramente por escrito, la naturaleza, la fecha efectiva de la aprobacin del supervisor para cada cambio.
Convencionalismos de codificacin. Nombres estndares utilizados en la instalacin. Abreviaciones estndares y otros convencionalismos.
Convencionalismos para cuadros de decisiones. Son utilizados al preparar cuadros de decisiones.
Convencionalismos para Diagramas de Flujo. Son las formas, smbolos y convencionalismos que sern utilizados para los diagramas de flujo. Deben estar de acuerdo con los estndares definidos por el Instituto de Estndares de Estados Unidos.
Depuracin. Procedimientos a seguir en la depuracin de fallas.
Documentacin. Los estndares de documentacin debern ser especificados en completo detalle para evitar cualquier posible mal entendimiento.
Glosario estndar y abreviaturas estndar. Debe ser preparada analista estndar y se debe prohibir el uso de alternativas no estndar. Cualquier palabra sin abreviatura estndar debe ser escrita completa. El glosario debe especificar el significado de los trminos especiales comnmente utilizados en la instalacin.
Tcnica estndar de programacin. Tcnica estndar para efectuar operaciones particulares en el computador comunes a muchos programas del mismo. Existen rutinas
159 que pueden ser incluidas en un programa como un paquete independiente, por tanto evitando la necesidad de volver a escribir el mismo juego de instrucciones cada vez que se requieran para un nuevo programa. Estas rutinas deben quedar documentadas completamente y estar sujetas a reglas rgidas con respecto a su uso dentro del programa.
Procedimientos Estndar de Operacin.
Actuacin de la mquina. Se debe especificar estndares de tiempo para todos los equipos de cmputo y tabulacin. Estos estndares frecuentemente estn basados en las indicaciones de los fabricantes de equipos pero modificadas para adaptarlas a las circunstancias o condiciones desusuales de cada instalacin en particular.
Calendario de Operaciones. Todas las operaciones del computador deben ser previstas con base en reglas aprobadas por la gerencia.
Conservacin de registros. Procedimientos para registrar la utilizacin del equipo y del personal. El personal debe registrar el tiempo que emplean con y sin el equipo para cada trabajo. La informacin que proporcionan los registros de utilizacin ayuda a evaluar la actuacin del personal y del equipo.
Cuidado del computador. Manejo de archivos, uso de utensilios, almacenamiento de programas, y procedimientos para conservar limpio el centro de procesamiento, evitando prdida o destruccin del programa real.
Operacin de la Mquina. Se utilizan procedimientos estndar de operacin para todos los equipos de cmputo y de tabulacin para asegurar que se empleen tcnicas uniformes. Estos estndares ayudan a eliminar malas tcnicas de operacin que frecuentemente idean los empleados por iniciativa propia.
Procedimientos de emergencia. Los planes y procedimientos para emergencias tales como: inundaciones, incendios, fallas de energas elctricas, fallas en las comunicaciones.
160 Retencin de archivos. Tcnicas que controlan la retencin de archivos.
Procedimientos de Control.
La actuacin del empleado o de el grupo encargado del control queda especificada a travs del manual de sistemas y procedimientos y de la descripcin de actividades de control que se encuentran en la documentacin de cada aplicacin. En general la funcin de control incluir las siguientes obligaciones: Registro de los datos de entrada y de la informacin de control. Registro del avance del trabajo a travs de la unidad. Conciliacin de los controles del computador con otra informacin de control. Vigilancia de la distribucin de los datos de salida. Investigacin de la Bitcora de la consola y de la informacin de control de la institucin de acuerdo con las instrucciones de control. Coordinacin con quienes utilizan los datos respecto a los errores y a la bitcora de correcciones efectuadas. Investigacin de los listados de errores y conservacin de una bitcora o informe de errores.
Organizacin y Personal.
Las practicas y mtodos de evaluacin de personal deben ser formalizados escritos en detalle en el manual de sistemas y procedimientos. Cada empleado debe saber lo que se espera de l, cul es su papel en la funcin del procesamiento de informacin y cmo ser calificada su actuacin.
161
A N E X O 3 ________________
HOJAS DE ANLISIS
162
A N E X O 3.1 __________________
HOJAS DE ANLISIS PARA APRECIACIN DE TAREAS
Hoja de Anlisis O1-H1 163
Fecha de Inicio: ___________ Fecha de Terminacin:_____________ Elaborado por: ____________ Revisado por: ___________________
Preguntas 5 4 3 2 1 0 Observaciones 1. Las responsabilidades en la organizacin estn definidas adecuadamente.
2. La estructura organizacional esta adecuada a las necesidades.
3. El control organizacional es eficiente.
4. Los objetivos y polticas son adecuados. 5. Los objetivos se encuentran vigentes. 6. Los objetivos se encuentran bien definidos. 7. Las actividades funcionales y responsabilida- des se encuentran documentadas. 8. Existe una descripcin de puestos con sus respectivas responsabilidades. 9. La descripcin de puestos esta de acuerdo con el personal que los ocupa. 10. Se cumplen los lineamientos organizacionales. 11. Los planes de trabajo concuerdan con los objetivos de la institucin. 12. Los planes son evaluados y se determinan las desviaciones. 13. Existen lneas de autoridad justificada.
14. No hay extralimitacin de funciones.
Hoja de Anlisis rea: Organizacin. Seccin: Estructura Orgnica. Hoja de Anlisis O1-H1
164
Preguntas 5 4 3 2 1 0 Observaciones 15. No existe la supervisin excesiva de funcionarios. 16. Hay uniformidad en las asignaciones.
II. Recursos Humanos.
1. El personal es competente y esta capacitado para cumplir eficientemente con sus funciones.
2. Los trabajos son repetidos constantemente.
3. Las polticas, sistemas y procedimientos establecidos son acatados por el personal.
4. Existen programas formales de entrenamientos para las operaciones computarizadas.
5. Se evala constantemente el desempeo del personal.
6. El personal se supervisa adecuadamente.
7. Las condiciones y ambiente de trabajo contribuyen al flujo de trabajo eficiente.
8. Se motiva constantemente al personal, de forma tal de impulsarlo al xito.
9. La remuneracin del personal esta acorde al trabajo desempeado.
Hoja de Anlisis S2-H2
165
Fecha de Inicio:___________ Fecha de Terminacin:_______________
Preguntas 5 4 3 2 1 0 Observaciones 1. Los mtodos utilizados garantizan que los datos que se reciben para su procesamiento, estn completos, son exactos y estn autorizados.
2. Se ejerce control sobre la conversacin de datos y las operaciones iniciales.
3. Se provee de manuales de los sistemas y de los procedimientos para todas las funciones dentro de las operaciones computarizadas.
4. Los archivos computarizados estn etiquetados tanto interna como externamente.
5. El operador de computadoras utiliza manuales de operacin para todas las acciones requeridas.
6. Se utilizan mtodos apropiados para garantizar la temprana deteccin de errores y fallas de equipo fsico.
7. Se ha programado todo el procesamiento computarizado.
8. Se mantiene un funcionamiento ordenado en el cuarto de computadoras.
9. Peridicamente se efectan revisiones estadsticas y de rendimiento.
Hoja de Anlisis Area: Proceso de datos y equipos Hoja de Anlisis S4-H4
168
Fecha de Inicio: _______________ Fecha de Terminacin:________________
Preguntas 5 4 3 2 1 0 Observaciones 1. El acceso al cuarto de computadoras esta restringido.
2. Se previene o detecta la manipulacin fraudulenta en el procesamiento efectuado por el centro de cmputo y se evita el mal uso que recibe la informacin fraudulenta.
3. Se revisan los libros de registro de uso de la mquina y de la consola.
4. El personal clave del procesamiento de datos este bajo juramento de fidelidad.
5. Se garantiza seguridad en caso de que ocurra destruccin accidental de registros y garantizar as su funcionamiento continuo.
6. Los mtodos utilizados permiten reconstruir archivos despus de errores pequeos de procesamiento o de la destruccin menor de registros.
7. Se mantienen archivos de respaldo.
8. Existen controles adecuados contra el exceso de humedad, de temperatura u otras condiciones atmosfricas.
9. El cuarto de computadoras este protegido contra incendios.
10. Se utilizan las instalaciones de almacenaje fuera del sitio.
Hoja de Anlisis Area: Seguridad Hoja de Anlisis S4-H4
169
Preguntas 5 4 3 2 1 0 Observaciones 11. Se puede seguir operando aun despus de una gran destruccin de archivos o de descompostura del equipo fsico.
12. Los procedimientos a seguir en caso de emergencia estn documentados.
13. Se disfruta de una cobertura de seguros adecuada.
14. Se garantiza el mantenimiento efectivo de todos los sistemas y programas.
15. Se ejerce control efectivo sobre las modificaciones realizadas a los sistemas y programas.
16. Se obtiene autorizacin antes de iniciar los cambios a los programas.
17. Los operadores no estn autorizados a realizar cambios a los programas.
18. La seccin de operaciones slo acepta los cambios debidamente autorizados.
170
A N E X O 3.2 __________________
HOJA DE ANLISIS PARA REGISTRAR INFORMACIN
171
Fecha de Inicio: _____________ Fecha de Terminacin: ______________
3. Se revisan los objetivos?. Si es afirmativo, indique cada cunto tiempo.
4. Ha habido alguna dificultad en la implantacin de los objetivos?.
5. La estructura actual permite la consecucin de los objetivos del rea?. Explique en que forma.
6. Los objetivos establecidos son congruentes con los objetivos institucionales?.
7. Se han definido por escrito los objetivos del rea?.
8. Se han dado a conocer los objetivos?.
B. Polticas.
1. Estn estipuladas las polticas de la Unidad de Apoyo y se han dado a conocer?.
2. Se realiza una evaluacin del resultado de estas polticas?.
C. Procedimientos.
1. Hay procedimientos establecidos por escrito que cubran las siguientes caractersticas: Las funciones y responsabilidades de la gerencia? El anlisis y el diseo del sistema?. La programacin, prueba e implementacin?. Las operaciones con la computadora?.
CUESTIONARIO DE AUDITORA DE SISTEMAS Area: Organizacin Seccin: Estructura Orgnica Cuestionario O1-C1
180 Preguntas Si No S/R Observaciones La preparacin y controles de la Entrada / Salida?. Las instrucciones y procedimientos para las Unidades de Apoyo?.
2. Se han dado a conocer los procedimientos establecidos a todos los niveles?
D. Organizacin.
1. La organizacin esta claramente definida en forma de cuadro y refleja exactamente las funciones y responsabilidades?.
2. Existe una lnea definida de autoridad y responsabilidad desde la Gerencia General hasta el ltimo de los empleados?.
3. Esta debidamente calculado el nmero de subordinados que puede controlar cada jefe?.
4. Existe delegacin adecuada?.
5. Permiten los niveles jerrquicos que se desarrolle adecuadamente la: Operacin?. Supervisin?. Comunicacin ascendente?. Comunicacin descendente?. Toma de decisiones?. (Si la respuesta es negativa indique la razn).
E. Puestos.
1. Los puestos actuales son adecuados a las necesidades que tiene el rea para llevar a cabo sus funciones?.
2. Es adecuado el nmero de empleados en cada puesto para cumplir con las funciones encomendadas?
F. Funciones.
1. Se han establecido las funciones del rea?.
2. Estn por escrito en algn documento las funciones del rea?.
Cuestionario O1-C1
181 Preguntas Si No S/R Observaciones
3. Se les da a conocer?.
4. Particip el rea en su formulacin?.
5. Las funciones estn encaminadas a la consecucin de los objetivos institucionales e internos.
6. Conocen otras reas las funciones de la unidad.
7. Las funciones estn adecuadas a la realidad?.
8. Las funciones estn adecuadas a la carga de trabajo?.
9. Las actividades realizadas concuerdan con las funciones asignadas?.
10. Se cumple con la totalidad de las funciones asignadas?.
11. La falta de cumplimiento de las funciones es por las siguientes razones: Falta de personal?. Personal no capacitado?. Cargas de trabajo excesivas?. Por realizar otras actividades?. Por la forma en que son ordenadas?.
12. Existe duplicidad de funciones en la misma rea?
Firma del Jefe Inmediato: _____________ Revisado por: _____________________
Cuestionario S2-C1 186
Preguntas Si No S/R Observaciones 1. Existe una lista de proyectos de sistemas de procesamiento de informacin y fechas programadas de implantacin que puedan ser consideradas como plan maestro?.
2. Ofrece este plan la atencin de solicitudes urgentes de los usuarios?.
3. Existe un lder de proyecto que se responsabilice de los mismos?.
4. Se toma en consideracin la disponibilidad de tiempo del personal y de la mquina?.
5. Existen procedimientos adecuados en vigencia para garantizar que todas las solicitudes se consideren a tiempo?. Si es afirmativo indique cules.
6. Se asignan las prioridades tomando en consideracin las dems solicitudes de cambios existentes?. Indique cmo.
7. Se controla el avance del proyecto?. Indique cmo y la periodicidad.
8. Se toman acciones correctivas en los casos de desviaciones?.
9. Se llevan a cabo revisiones peridicas de los sistemas para determinar si aun se cumplen con los objetivos para los cuales fueron fijados: De anlisis?. De programacin?. 10. Qu paso y tcnicas se siguen en la planeacin y control de proyectos: Determinacin de los objetivos?. Sealamiento de polticas?.
CUESTIONARIO DE AUDITORA DE SISTEMAS. rea: Sistemas Seccin: Control de proyectos. Cuestionario S2-C1
187 Preguntas Si No S/R Observaciones
Designacin del funcionario responsable del proyecto?. Integracin del grupo de trabajo?. Integracin de un comit de decisiones?. Desarrollo de la investigacin?. Documentacin de la investigacin?. Factibilidad de los sistemas?. Anlisis y evaluacin de propuestas?. Seleccin de equipos?.
Cuestionario S2-C2
188
Preguntas Si No S/R Observaciones 1. Existe una descripcin general escrita que incluya los objetivos que se deben alcanzar?.
2. Existe un texto detallado que describa cada fase del sistema recin diseado (uno para cada programa y/o mdulo)?.
3. Se han elaborado diagramas de flujo del sistema para cada programa o mdulo?.
4. Se ha elaborado un diagrama de disposicin general de toda entrada y salida, para los archivos en discos?.
5. Los analistas son tambin programadores?.
6. Los procedimientos de cada Unidad determinan el lenguaje de programacin que se deber utilizar, o lo hace un analista?.
7. Las pruebas finales son revisadas a fondo por todo el personal de las aplicaciones nuevas antes de que los programas entren en funcionamiento?.
8. El trabajo de los analistas es controlado?. Especifique cmo.
9. La captura de datos del programa es realizada por los programadores?.
10. Los programadores se encargan de realizar las pruebas del programa y de la correccin de resultados?.
11El programa es entregado con su respectiva documentacin, la cual debe cubrir lo siguiente: Anlisis y diseo del sistema. Programacin. Prueba.
CUESTIONARIO DE AUDITORA DE SISTEMAS. Area: Sistemas Seccin: Diseo y Programacin Cuestionario S2-C2
189
Preguntas Si No S/R Observaciones. Implementacin. Mantenimiento del programa. Preparacin y distribucin de la entrada / salida. Procedimientos de procesamiento de la computadora. Procedimientos de los usuarios.
Gua de Entrevista S2-E2 190 Gua para Entrevista de Usuarios.
1. La Unidad de Apoyo de informtica le da los resultados esperados? Si___No___ Por qu?. 2. Cmo considera que es el servicio prestado por la Unidad de Apoyo informtica?. Deficiente____ Aceptable____ Satisfactorio____ Excelente____ Por qu? 3. Son cubiertas sus necesidades de procesamiento?. No las cubres_____ Parcialmente_____ La mayor parte____ Todas_____ Por qu? 4. La calidad del procesamiento es: Deficiente:_____ Aceptable_____ Satisfactorio_____ Excelente_____ Por qu? 5. Existe disponibilidad para el procesamiento de sus requerimientos?. Generalmente no existe_____Ocasionalmente_____Regularmente_____ Siempre_____ Por qu? 6. Son entregados puntualmente los trabajos?. Nunca_____Rara vez_____Ocasionalmente____ Generalmente_____ Siempre_____ Por qu? 7. Cmo es la presentacin de los trabajos solicitados?. Deficiente_____ Aceptable_____ Satisfactorio_____ Excelente_____ Por qu? 8. Cmo es la atencin prestada por el personal de informtica?. Insatisfactoria_____ Satisfactoria_____ Excelente_____ Por qu? 9.Cmo es la asesora impartida sobre informtica?. No se proporciona______ Insuficiente______ Satisfactoria_____ Excelente_____ Por qu? Gua de Entrevista S2-E2 191 10. Cmo es la seguridad en el manejo de la informacin proporcionada para el procesamiento?. Insatisfactoria______ Satisfactoria______ Excelente______ Por qu? 11. Existen fallas de exactitud en los procesos de informacin?. Si____ No____ Cules? 12. Cmo utiliza los reportes que se le proporcionan?.
13. Cules no utiliza?.
14. Por qu no los utiliza?
15. Existe un manual del usuario por sistema?. Si____ No_____ 16. Es claro y objetivo el manual del usuario?. Si____ No____ 17. Quin interviene de la Unidad de Apoyo en el diseo de sistemas?.
Firma del Jefe Inmediato: _______________ Revisado por: ____________________
192
A N E X O 4.4 __________________
PROCESO DE DATOS Y EQUIPOS
Cuestionario P3-C1
193
Preguntas Si No S/R Observaciones. 1. Existen procedimientos formales para la operacin del sistema de cmputo?.
2. Estos procedimientos describen la operacin del sistema de cmputo para cada corrida de produccin?.
3. El manual de corridas para operarios incluyen: La definicin de la fuente y el formato de los datos de entrada?. La descripcin de los procedimientos de ajustes?. La descripcin de los mensajes de la consola, junto con las respuestas o acciones que se deba tomar?. La descripcin de los datos y el formato de salida necesario?. La definicin de salida y archivo. El cuadro de corridas del sistema.
4. Los cambios al programa, junto con las fechas de entrada en funcionamiento, se registran en libros de corridas para mantener un registro cronolgico exacto del sistema?.
5. Se preparan programas de funcionamiento cuando se debe efectuar un trabajo no rutinario?.
6. Se elabora un informe de turnos que tome nota de todas las excepciones?.
7. En el libro de registro del equipo se indican las reanudaciones?.
8. Se registran las razones que origina cada reanudacin?.
9. El encargado de las operaciones del procesamiento de datos, revisa los registros diariamente.
CUESTIONARIO DE AUDITORA DE SISTEMAS. Area: Proceso de Datos y Equipos Seccin: Control de Operacin Cuestionario P3-C1
194 Preguntas Si No S/R Observaciones 10. Se prohbe que el personal de procesamiento electrnico de datos origine transacciones?.
11. Se dejan los manuales de corrida de los operadores en la consola?.
12. Las hojas de consola estn numeradas secuencial mente?.
13. El jefe de la Unidad de Apoyo Informtica revisa diariamente las hojas impresa que salen de la consola?.
14. El jefe de la Unidad de Apoyo Informtica inicializa las hojas de consola para indicar que fueron revisadas?.
15. Existe algn formulario u hoja impresa para cada corrida, que indique que ya se ejecut la misma?.
16. La introduccin clave de datos confidenciales esta debidamente controlada, segn los procedimientos establecidos?.
17. Son adecuados los controles para garantizar que el operador que introdujo el trabajo con clave no sea el mismo que verifique la clave del trabajo?.
18. Los datos introducidos identifican al operador que Introdujo la informacin con clave?. Verifico la informacin con clave?.
19.Al jefe de la Unidad de Apoyo Informtica se le informa las razones por las cuales se sali de lo planificado para el procesamiento computarizado?
20. A aquellos que operan el equipo se les niega el acceso a los programas, compiladores y documentacin?.
21. Al personal operativo se les niega el acceso tanto al cdigo fuente como a la biblioteca de cdigos de fuente?.
Cuestionario P3-C2
195
Preguntas Si No S/R Observaciones I. Almacenamiento de Datos.
1. Los documentos fuente crticos se transfieren a lugares seguros?
2. Se toman las medidas correspondientes a seguridad fsica y confidencialidad en la Unidad de Apoyo Informtica?.
3. Los registros de inventario de los medios bastan para controlar en forma adecuada los medios que se almacenan?.
II. Controles sobre los Documentos de Salida.
1. Se revisa la razonabilidad de los documentos de salida antes de distribuirlos a la Unidad de Apoyo correspondiente?.
2. Son adecuados los procedimientos para controlar la distribucin de los documentos de salida?.
3. Los informes y documentos de salida se revisan fuera de procesamiento de datos para chequear su viabilidad?.
4. Los informes generados por la computadora se comparan con los totales de control en los casos en que se aplique?.
5. Se lleva un registro de salida para registrar la distribucin de todos los documentos de salida e informes?.
6. Existen controles adecuados vigentes que permitan que la Unidad de Apoyo Informtica sepa cuando un informe no se produce a tiempo?.
7. Se han establecido controles que permitan verificar la suficiencia de los documentos de salida?.
CUESTIONARIO DE AUDITORA DE SISTEMAS. Area: Proceso de Datos y Equipos Seccin: Controles de Salida Cuestionario P3-C2
196 Preguntas Si No S/R Observaciones. 8. Se han establecido controles que permitan verificar si se produce el nmero correcto de copias?.
9. Los documentos de salida se revisan en busca de errores obvios?
10. En los casos necesarios se comparan los totales de control de los registros de salida con los controles llevados a mano?.
11. Se siguen instrucciones para la distribucin adecuada de todos los informes?.
12. Todos los informes llevan un identificador para que se puedan distribuir al rea debida?.
Cuestionario P3-C3
197
Preguntas Si No S/R Observaciones. 1. Los programas que funcionan y los archivos se guardan en un local especialmente diseado para este fin?.
2. Los locales asignados a la cintoteca y discoteca tienen lo siguiente: Aire acondicionado?. Proteccin contra incendios?. Cerradura especial
3. Los deberes y responsabilidades de controlar el contenido de la biblioteca est asignado a un biblioteclogo de tiempo completo o de medio turno?.
4. Se han adoptado normas de etiquetado externo para los archivos en discos removibles?.
5. Est establecido un sistema de referencias para los discos removibles?.
6. Los discos que no estn en uso en la actualidad se separan de los que contengan datos vivos?.
7. Se han registrados cronogramas formales de retencin de archivos y se han cumplido con los mismos?.
8. Solo se permite el acceso de personal autorizado a la biblioteca?.
9. La biblioteca esta resguardada en horas no laborables?.
10. A los programadores se les prohbe obtener archivos de aplicaciones de la Cintoteca?.
11. Se prohbe que los operadores obtengan archivos de aplicacin de la biblioteca, a menos que estn autorizados?.
CUESTIONARIO DE AUDITORA DE SISTEMAS Area: Proceso de Datos y Equipos Seccin: Control de Medios de Almacenamiento Masivo Cuestionario P3-C3
198 Preguntas Si No S/R Observaciones. 12. Se mantiene un inventario de los discos removibles?. Si es afirmativo indique cual de la siguiente informacin es tomada en cuenta: Nmero de serie Nombre o clave del usuario. Nombre del archivo lgico. Nombre del sistema que lo genera. Fecha de generacin de archivo. Fecha de expiracin del archivo. Nmero de volumen. Condicin de seguridad del archivo. Otros.
13. Se tienen identificados los archivos con informacin confidencial y se cuenta con claves de acceso?.
14. Existe control sobre las copias de estos archivos?.
15. Qu medios se utilizan para almacenarlos: Mueble con cerradura?. Bveda?. Otros.
16. Se efectan pruebas peridicas a los medios almacenados para verificar que los registros sean verdicos y completos?.
17. Los dispositivos de almacenamiento son borrados cuando se desechan?.
18. Se realizan auditoras peridicas a los medios de almacenamiento?. Indique la periocidad.
19. Existen medidas establecidas para los casos de extravos de algn dispositivos de almacenamiento?.
20. Existe un procedimiento establecido para el reemplazo de los discos que contiene los archivos maestros?.
21. Se conserva el disco maestro anterior hasta despus del nuevo disco?.
Cuestionario P3-C3
199 Preguntas Si No S/R Observaciones. 22. Existe una reserva para retener por lo menos tres generaciones(abuelo, padre e hijo) de todos los archivos maestros conexos?.
23. En los procesos que manejan archivos en lneas, existen procedimientos para recuperacin de archivos?.
24. Existe un procedimiento para el manejo de la informacin de la Cintoteca?.
Cuestionario P3-C4
200
Preguntas Si No S/R Observaciones. I. Mantenimiento
1. Se ha publicado y se cumple con un programa de mantenimiento para los equipos?.
2. Existen cronogramas escritos y procedimientos para cada dispositivo del sistema de cmputo?.
3. Se cumple con el programa de mantenimiento?.
4. Existe algn tipo de mantenimiento preventivo que pueda dar el operador autorizado por el proveedor?.Especifique.
5. La frecuencia y procedimientos de mantenimiento preventivo se ajustan a las recomendaciones del fabricante?.
II. Fallas.
1. Se mantienen registros de las fallas de los dispositivos del sistema de cmputo y servicios auxiliares?.
2. Estos registros permiten identificar los problemas mas recurrentes que afectan a la operacin de la sala de mquina?.
3. Estos registros permiten identificar los problemas mas recurrentes?.
CUESTIONARIO DE AUDITORA DE SISTEMAS. rea: Proceso de datos y equipos Seccin: Mantenimiento. Cuestionario P3-C5
201
Preguntas Si No S/R Observaciones. 1. Por lo menos una vez al mes se preparan informes Gerenciales que resuman el rendimiento programado?.
2. Se llevan libros de registro del funcionamiento de las computadoras?.
3. Se registran los nmeros de trabajo?.
4. Se incluye la hora de inicio y de terminacin?.
5. En el libro de registro del equipo se indican las reanudaciones?.
6. Se indica el tiempo muerto y la justificacin del mismo?.
7. Por lo menos una vez al mes se preparan informes Gerenciales que resuman la utilizacin de la mquina?.
8. El responsable del rea de Informtica formula las estadsticas de utilizacin de equipos, mostrando la frecuencia de fallas de los mismos y estadsticas de produccin por aplicacin?.
9. Se cumplen los calendarios de trabajo?.
CUESTIONARIO DE AUDITORA DE SISTEMAS. rea: Proceso de datos y Equipos Seccin: Control de Utilizacin del Sistema de Cmputo Cuestionario P3-C6
202
Preguntas Si No S/R Observaciones. 1. El rea de computadoras esta separada de las otras reas de operacin?.
2. El rea de operaciones se encuentra despejada y ordenada?.
3. Existe un lugar asignado para los discos removibles?.
4. La papelera y los utensilios de trabajo estn dispuestos en un lugar especfico?.
5. Con que periocidad se efecta la limpieza de los dispositivos de almacenamiento?: Al cambio de turno. Cada semana. Cada da. Otra.
6. En el cuarto de computadoras existe alguna poltica de no fumar en vigencia?.
7. En el cuarto de computadoras se prohibe el consumo de alimentos?.
CUESTIONARIO DE AUDITORA DE SISTEMAS. rea: Proceso de Datos y Equipos Seccin: Orden del Centro de Cmputo Cuestionario P3-C7
203
Preguntas Si No S/R Observaciones. 1. Se tiene un programa de corridas de procesamiento?.
2. El mantenimiento preventivo es incluido en la programacin?.
3. Se preparan programas de funcionamiento cuando se deben efectuar trabajos no rutinarios?.
4. Dentro de los planes de produccin se dispone de tiempo para: Corridas de prueba de sistemas en desarrollo. Respaldo de la informacin. Corridas que deben repetirse.
5. Se revisan el cumplimiento de los planes de produccin establecidos?.
6. Se tiene conocimiento sobre los prximos sistemas, a fin de incorporarlos en la programacin?.
7. Al responsable de la Unidad de Apoyo Informtica se le informa las razones por las cuales se sali de lo planificado para el procesamiento computarizado?.
8. El procesamiento puede producir estadsticas sobre: Errores, para el anlisis de control?. Tendencias de procesamiento, para el anlisis de control?.
9. Existen ndices de error aceptable para cada tipo de trabajo?.
10. Se registran los tiempos de respuestas a las solicitudes?. Indique el promedio.
CUESTIONARIO DE AUDITORA DE SISTEMAS. rea: Proceso de Datos y Equipos Seccin: Productividad.
204
A N E X O 4.5 __________________
S E G U R I D A D
Cuestionario S4-C1
205
Preguntas Si No S/R Observaciones. 1. Existen controles que disminuyan la posibilidad de transmisin de virus en las microcomputadoras?.
2. Se prohbe la utilizacin de paquetes copiados sin autorizacin (piratas).
3. Se prohbe la utilizacin del tiempo de la mquina para usos ajenos a la organizacin?.
4. Se utilizan contraseas o password para acceder a los sistemas?.
5. Todos los programas son documentados adecuadamente?.
6. Son utilizadas las cifras de control como medio para verificar el momento de que se producen cambios o fraudes en el sistemas?.
7. Las aplicaciones se encuentras clasificadas en funcin del riesgo que constituye para la organizacin la suspensin de su servicio?.
8. Se ha establecido el tiempo que puede prescindir de cada aplicacin?.
9. Estn establecidas las medidas preventivas a tomarse en caso de situaciones imprevistas?.
10. Se permite el acceso al rea de operaciones a los usuarios?.
11. Los operadores pueden accesar a las libreras?.
12. Se permite que los operadores realicen las correcciones de los errores detectados?.
CUESTIONARIO DE AUDITORA DE SISTEMAS. rea: Seguridad Seccin: Seguridad Lgica y Confidencialidad Cuestionario S4-C2
206
Preguntas Si No S/R Observaciones. A. Seguridad.
1. Se han adoptado medidas de seguridad en la Unidad de Apoyo Informtica?.
2. Existe una persona responsable de la seguridad?.
3. Se ha instruido a los empleados de procesamiento de datos sobre cmo contactar a las fuerzas de seguridad de la organizacin y a la polica local?.
4. Existe una clara definicin de funciones entre los puestos claves?.
5. Se controla el trabajo fuera de horario?.
6. Existen controles y medidas de seguridad sobre las siguientes operaciones: Recepcin de documentos?. Informacin confidencial?. Captacin de documentos?. Cmputo electrnico?. Programas?. Biblioteca de procesamiento de datos?. Documentos de salida?. Archivos magnticos?. Operacin del equipo de computacin?. Acceso personal?. Identificacin personal?. Personas encargadas de la seguridad?. Seguros contra robos e incendios?. Cajas de seguridad?. Otras (especifique).
B. Control de acceso.
1. El acceso a la computadora esta limitado a personas especficas?.
CUESTIONARIO DE AUDITORA DE SISTEMAS. Area: Seguridad Seccin: Seguridad Fsica Cuestionario S4-C2
207
Preguntas Si No S/R Observaciones. 2. Se registran todos los accesos a esta instalacin (introducidos automticamente en un informe o archivo que ser revisado?
3. Se reportan los usuarios no autorizados?.
4. Los archivos clasificados se protegen debidamente del acceso o la actualizacin no autorizada?.
5. Se protege a los archivos clasificados de cualquier perdida (se les hace la copia de respaldo y se almacena debidamente)?.
6. Todo el equipo fsico esta presente y ubicado donde se supone debe estar?.
7. La Unidad de Apoyo Informtica est ubicada en una habitacin separada y con control de acceso a este cuarto: Por identificacin personal?. Por tarjeta magntica?. Por claves verbales?. Otras? (Especifique).
8. La habitacin esta razonablemente protegida contra el acceso a la fuerza?.
9. Existe un procedimiento para controlar el acceso a los visitantes?.
10. Se entrena al personal para enfrentarse a visitantes identificados indebidamente?.
C. Planificacin en casos de accidentes.
1. El rea donde se encuentra la computadora est situada a salvo de: Inundacin. Terremoto. Fuego. Sabotaje
2. Existe un procedimiento que permita que las cuadrillas de emergencia puedan entrar al cuarto de computadoras y a las dems reas en caso de requerir sus servicios?.
Cuestionario S4-C2
208
Preguntas Si No S/R Observaciones. 3. Existe alarma para: Detectar fuego en forma automtica? Avisar en forma manual la presencia de fuego?. Detectar una fuga de agua?. Detectar magnetos o corto circuitos?. No existe.
4. Se revisan los procedimientos contra incendio y se hacen simulacros con regularidad?.
5. Existen extintores de fuego: Manuales?. Automticos?. No existen.
6. Se ha adiestrado al personal en el uso de los extintores?.
7. Existe un lapso de tiempo suficiente, antes de que funcionen los extintores automticos, a fin de que el personal: Corte la accin de los extintores por tratarse de falsas alarmas?. Pueda cortar la energa elctrica?. Pueda abandonar el local sin peligro de extincin?.
8. Los procedimientos de proteccin contra incendios, de suministro de energa alterna, de aire acondicionado y los de control de accesos son razonables?.
9. Se instruye a todos los empleados sobre los procedimientos de emergencia?.
10. Los procedimientos en caso de desastre protegen al centro de datos, archivos de datos y programas contra incendios y otros accidentes?.
11. Existen suficientes medidas de seguridad para evitar la perdida o el dao a los archivos almacenados ante incendios, inundaciones o robos?.
12. Los operadores reciben un entrenamiento peridico sobre las medidas a tomar en caso de emergencia?.
Cuestionario S4-C2
209
Preguntas Si No S/R Observaciones. D. Respaldos.
1. Los archivos (programas, datos, documentacin y dems) se han clasificado en crticos o sensibles?.
2. Se almacenan los archivos de respaldo en un lugar alejado de la instalacin en forma segura?.
3. Se tienen establecidos procedimientos de actualizacin de estas copias?.
4. Se protegen adecuadamente los archivos sensibles y/o documentos de fuente?.
E. Control de mantenimiento
1. Los cambios a los programas en funcionamiento se solicitan formalmente y se aprueban antes de su implementacin?.
2. Cundo se efectan los cambios a los programas a peticin de quien es: Usuario?. Responsable de Informtica?. Gerente?. Programador?. Otras (Especifique).
3. Los cambios a los programas, se registran con sus fechas de inicio, de forma que garanticen un registro cronolgico efectivo del sistema que corresponda?.
4. Los operadores de procesamiento de datos tienen una lista de personas a quienes notificar en caso de que una aplicacin requiera mantenimiento de inmediato?.
5. Al usuario responsable del sistema se le avisa que se hizo un cambio de emergencia a la aplicacin?.
6. El responsable de la Unidad de Apoyo Informtica siempre recibe aviso de que se efectu un cambio de emergencia al sistema?.
Cuestionario S4-C2
210
Preguntas Si No S/R Observaciones. 7. Existen suficientes versiones de respaldo de los programas, antes de la reparacin de emergencia, para volver a instalar la versin original en condiciones funcionales de ser necesario?.
8. A la persona que haga el cambio de emergencia se le niega el acceso a otros archivos de datos y programas?.
9. Todos los cambios de programas se originan por medio de un formulario de solicitud de cambios?.
F. Terminales interactivas.
1.Existe un control de palabras claves adecuado en vigencia que proteja la utilizacin del sistema?.
2. Existen procedimientos por medio de los cuales se puedan invalidar la palabra clave de un usuario inmediatamente y de igual manera se le emite una nueva cuando se crea que se ha comprometido su confidencialidad?.
3. Se han desarrollado tcnicas de seguridad que detecten engao, la duplicacin de grabaciones, la insercin de mensajes, la modificacin del contenido, y la observacin de lo que ocurre entre las terminales y la unidad de procesamiento central?.
4. El sistema de palabras clave esta estructurado de forma que permita grados distintos de confidencialidad para los datos?.
Cuestionario S4-C3
211
Preguntas Si No S/R Observaciones. 1. Los cdigos de cuentas de autorizacin, palabras claves y otros procedimientos estn bajo control para impedir su uso no autorizado?.
2. Si las terminales permiten el acceso al sistema estn las mismas protegidas adecuadamente contra el uso no autorizado?.
3. Se informa al Gerente toda y cualquier relacin a la seguridad (tanto intencional como inadvertida?.
4. Se controla cuidadosamente la interaccin de los operadores?.
5. Cundo se va el personal clave, se toman las acciones necesarias para cambiar el mtodo de acceso (es decir poner nuevas claves y palabras claves) de forma que no puedan volver a tener acceso a la informacin sensible?.
6. Las impresiones de consola son revisadas por personas familiarizadas con los requisitos de procesamiento?
7. Si se dispone de mtodos automatizados para restringir el acceso a los programas de aplicacin, Se utilizan los mismos?
8. Los listados de los programas no son accesible a los operadores de las computadoras?.
9. Se requiere que cada empleado firme un acuerdo en relacin a su papel y responsabilidad dentro de la Unidad, con relacin a la propiedad y uso de la informacin que tal empleado procese en el transcurso de sus actividades?.
CUESTIONARIO DE AUDITORA DE SISTEMAS. rea: Seguridad Seccin: Seguridad en la utilizacin del equipo. Cuestionario S4-C3
212
Preguntas Si No S/R Observaciones. 10. Se controla el acceso al cuarto de computadoras?.
11. Los discos sensibles estn debidamente identificados y protegidos.
Cuestionario S4-C4
213
Preguntas Si No S/R Observaciones 1. Se ha entrenado debidamente al personal en el uso del equipo de respaldo y los procedimientos para los mismos?.
2. Los archivos crticos se almacenan fuera del centro de cmputo?.
3. Existen arreglos apropiados que permitan la disponibilidad de tiempo de procesamiento, en el caso de que el equipo est incapacitado por un largo perodo de tiempo?.
4. Los discos de duplicados actualizados se guardan en un lugar seguro bajo control, para fines de respaldo?.
5. Las copias de los programas activos se guardan fuera del cuarto de computadoras?.
6. Se mantienen los medios de transacciones relacionados con archivos y programas crticos?.
7. Se dispone de ms de una copia de todo el material activo (discos, documentacin y otros materiales)?.
8. Se han establecidos procedimientos para supervisar la confiabilidad de los medios de los datos almacenados en la biblioteca?.
9. En caso de utilizar redes, se han desarrollados medios alternos que respalden un corte prolongado en la red de comunicacin?
10. Se documentan los procedimientos que siguen los operadores?.
11. Se efectan pruebas de respaldo con regularidad?.
12. Se han documentado los procedimientos para casos de recuperacin y control de desastres?.
CUESTIONARIO DE AUDITORA DE SISTEMAS rea: Sistemas Seccin: Procedimientos de Respaldo Cuestionario S4-C4
214 Preguntas Si No S/R Observaciones 13. En el caso que se requiera de instalaciones de respaldo, se ha establecido una prioridad para los trabajos que deban ser corridos primero?.
14. Se dispone de ms de una copia de la documentacin del programa?.
15. La Unidad de Apoyo Informtica puede seguir funcionando en caso de una interrupcin prolongada del servicio telefnico?.
16. La gerencia ha evaluado el impacto/riesgo de la prdida de datos o el uso de datos incorrectos o fuera de tiempo?.
215
A N E X O 5 ________________
FORMATOS PARA LA DESCRIPCIN DE LOS INFORMES
216
Descripcin de Informes
Nombre del informe: ____________________________________________________
GUA PARA LA ESTRUCTURACIN DE LA MATRIZ DE RECEPCIN Y DISTRIBUCIN DE DOCUMENTOS
6 1 3 5
2
4 Zona 1: Anotar los nombres de las Unidades que intervienen en el proceso.
Zona 2: Anotar los nombres de los documentos fuente que forman parte del sistema.
Zona 3: Anotar los nombres de los informes que son emitidos.
Zona 4: (Unin de la zona 1 con la zona 2). Colocar una X en aquellas Unidades que producen determinado documento o que participan en su estructuracin.
Zona 5: (Unin de la zona 2 con la zona 3). Colocar una X en las uniones que indican que un determinado documento fuente, produce un determinado informe.
Zona 6: (Unin de la zona 1 con la zona 3). Colocar una X en la interseccin de la Unidad y los informes que utiliza.
Nota: En los casos en que la informacin que se obtiene sea en lnea, colocar una L en lugar de una X.