Documentos de Académico
Documentos de Profesional
Documentos de Cultura
LA AUDITORIA EN LA INFORMTICA
ENSAYO
QUE PARA OBTENER EL GRADO DE:
MAESTRA EN CIENCIAS COMPUTACIONALES
UNIVERSIDAD DE COLIMA
FACULTAD DE INGENIERA MECNICA Y ELCTRICA
EXPEDIENTE: 510
NUM. 92-5131
MORENO JIMNEZ LORENA CARMINA
AVE. NIOS HROES #427
VILLA DE LVAREZ, COLIMA
Informo a usted que ha sido APROBADO por el H. CONSEJO TCNICO DE LA MAESTRA EN
COMPUTACIN, como tema de titulacin para obtener el grado de MAESTRA EN CIENCIAS
COMPUTACIONALES.
El solicitado por usted bajo el ttulo:
"LA AUDITORIA EN LA INFORMTICA (ENSAYO)"
Desarrollado bajo los siguientes puntos:
1. ANTECEDENTES
2. TERMINOLOGA DE LA AUDITORIA INFORMTICA
3. AUDITORIA INFORMTICA
4. TIPOS DE AUDITORIAS
5. PLANEACIN DE LA AUDITORIA EN INFORMTICA
6. AUDITORIA DE LA FUNCIN DE INFORMTICA
7. EVALUACIN DE SISTEMAS
8. EVALUACIN DEL PROCESOS DE DATOS Y DE LOS EQUIPOS DE COMPUTO
9. EVALUACIN DE LA SEGURIDAD
10. INFORME FINAL
11. DIFERENTES ENFOQUES DE LA AUDITORIA
12. CONCLUSIONES
BIBLIOGRAFA
Al mismo tiempo, informo a usted que ha sido designado como DIRECTOR DE TESIS el C. M.C.
ANDRS GERARDO FUENTES COVARRUBIAS.
En cada uno de los ejemplares de titulacin que presente para examen, deber aparecer en primer
termino copia del presente oficio.
C.c.p. Expediente
EXPEDIENTE: 510
FECHA: 05-04-2003
Acta No. :23
MORENO JIMNEZ LORENA CARMINA
AVE. NIOS HROES #427
VILLA DE LVAREZ, COLIMA
TEL: 01-312-3136872
En cumplimiento a lo dispuesto por los artculos 13 y 14 del reglamento de titulacin vigente, al
artculo 40, inciso A del reglamento de estudios de posgrado vigente y al artculo 46 de las normas
complementarias al reglamento de posgrado, correspondiente al Posgrado de la Facultad de ingeniera
Mecnica y Elctrica. Informamos a usted que ha sido AUTORIZADO por este Consejo Tcnico su tema de
tesis para obtener el grado de MAESTRA EN CIENCIAS COMPUTACIONALES el denominado: "LA
AUDITORIA EN LA INFORMTICA (ENSAYO)". Para ser desarrollado bajo los siguientes puntos:
1. ANTECEDENTES
2. TERMINOLOGA DE LA AUDITORIA INFORMTICA
3. AUDITORIA INFORMTICA
4. TIPOS DE AUDITORIAS,
5. PLANEACIN DE LA AUDITORIA EN INFORMTICA
6. AUDITORIA DE LA FUNCIN DE INFORMTICA
7. EVALUACIN DE SISTEMAS
8. EVALUACIN DEL PROCESOS DE DATOS Y DE LOS EQUIPOS DE COMPUTO
9. EVALUACIN DE LA SEGURIDAD
10. INFORME FINAL
11. DIFERENTES ENFOQUES DE LA AUDITORIA
12. CONCLUSIONES
BIBLIOGRAFA
As mismo, hacemos de su conocimiento que de acuerdo con la lnea de investigacin en la cual se
enmarca C su proyecto ha sido designado como DIRECTOR DE TESIS el C. M.C. ANDRS GERARDO
FUENTES COVARRUBIAS.
A partir de la fecha de aprobacin tendr como plazo un ao para presentar su examen de grado, en
caso contrario tendr usted derecho a una prorroga nica de seis meses so pena de perder el registro de su
proyecto, lo anterior bajo la consideracin del Consejo Tcnico y la aprobacin de su director de tesis.
Una vez concluidos los tramites de revisin de su documento de tesis e integrado su expediente de
titulacin deber recoger el oficio que acompaara el visto bueno de su director de tesis, los cuales
encabezarn cada uno de los ejemplares de sus tesis.
DEDICATORIA
Agradezco,
a mi familia por el apoyo incondicional y el aliciente que me
proporcionan para seguir adelante, en particular a mi esposo el
Dr. Nicandro Farias Mendoza, que formo parte importante en la
culminacin de mi trabajo.
A la Universidad de Colima por brindarme la oportunidad de
seguir preparndome.
A mis maestros por trasmitir sus conocimientos.
Al maestro Andrs Gerardo Fuentes Covarrubias por
haberme brindado la oportunidad de trabajar con l en el
desarrollo del trabajo.
CONTENIDO
INTRODUCCIN
CAPITULO 1
ANTECEDENTES
9
12
13
13
15
15
16
18
18
18
19
22
23
25
27
27
27
31
31
31
37
38
44
45
45
49
50
51
51
52
53
56
58
59
73
79
80
84
86
88
93
94
96
99
100
100
100
104
104
107
112
112
114
117
124
125
126
128
137
137
144
146
150
155
156
156
157
158
159
163
165
167
170
CAPITULO 12 CONCLUSIONES
202
BIBLIOGRAFA
206
ANEXOS
207
Introduccin
A finales del siglo XX, los Sistemas Informticos se han constituido en las
herramientas ms poderosas para materializar uno de los conceptos ms vitales y
necesarios para cualquier organizacin empresarial, los Sistemas de Informacin
de la empresa.
La Informtica hoy, est subsumida en la gestin integral de la empresa, y
por eso las normas y estndares propiamente informticos deben estar, por lo
tanto, sometidos a los generales de la misma. En consecuencia, las
organizaciones informticas forman parte de lo que se ha denominado el
"management" o gestin de la empresa. Cabe aclarar que la Informtica no
gestiona propiamente la empresa, ayuda a la toma de decisiones, pero no decide
por s misma. Por ende, debido a su importancia en el funcionamiento de una
empresa, existe la Auditoria Informtica.
El trmino de Auditora se ha empleado incorrectamente con frecuencia ya
que se ha considerado, como una evaluacin cuyo nico fin es detectar errores y
sealar fallas. A causa de esto, se ha tomado la frase "Tiene Auditora" como
sinnimo de que, en dicha entidad, antes de, realizarse la auditora, ya se haban
detectado fallas.
El concepto de auditora es mucho ms que esto.
La palabra auditora proviene del latn auditorius, y de esta proviene la
palabra auditor, que se refiere a todo aquel que tiene la virtud de or.
Por otra parte, el diccionario Espaol Sopena lo define como: Revisor de
Cuentas colegiado. En un principio esta definicin carece de la explicacin del
objetivo fundamental que persigue todo auditor: evaluar la eficiencia y eficacia.
Si consultamos el Boletn de Normas de auditora del Instituto mexicano de
contadores nos dice: " La auditora no es una actividad meramente mecnica que
implique la aplicacin de ciertos procedimientos cuyos resultados, una vez llevado
a cabo son de carcter indudable."
De todo esto sacamos como deduccin que la auditora es un examen
crtico pero no mecnico, que no implica la preexistencia de fallas en la entidad
auditada y que persigue el fin de evaluar y mejorar la eficacia y eficiencia de una
seccin o de un organismo.
El auditor informtico ha de velar por la correcta utilizacin de los amplios
recursos que la empresa pone en juego para disponer de un eficiente y eficaz
Sistema de Informacin. Claro est, que para la realizacin de una auditora
informtica eficaz, se debe entender a la empresa en su ms amplio sentido, ya
que una Universidad, un Ministerio o un Hospital son tan empresas como una
1
__________________________________________________________________
Antecedentes
La informacin es inherente a la existencia de las personas y de las
sociedades. Permite conocer la realidad, interactuar con el medio fsico, apoyar en
la toma de decisiones, y evaluar las acciones de individuos y grupos el
aprovechamiento de la informacin propicia la mejora de los niveles de bienestar
y permite aumentar la productividad y competitividad de las naciones.
El importante aporte de la informacin se ha visto acrecentado por la
posibilidad que ha trado consigo la informtica, surgida de la convergencia
tecnolgica de la computacin, la microelectrnica y las telecomunicaciones, para
producir informacin en grandes volmenes, y para consultarla y transmitirla a
travs de enormes distancias.
De hecho, el mundo de fin de siglo XX esta inmerso en una nueva
Revolucin tecnolgica basada en la informtica. Esta encuentra su principal
impulso en el acceso expedito y en la capacidad de procesamiento de informacin
sobre prcticamente todos los temas y sectores. La nueva Revolucin tecnolgica
ha contribuido a que culturas y sociedades se transformen aceleradamente, tanto
econmica como social y polticamente, con el objetivo fundamental de alcanzar la
plenitud de sus potencialidades.
En el mundo, hoy la informtica es de carcter estratgico sus aplicaciones,
ya han afectado prcticamente todas las actividades humanas de la manera
siguiente:
permitiendo la comunicacin instantnea de conocimiento a distancia.
(por ejemplo permitir integrar grupos de personas que radiquen en
distintos sitios, con afinidades o necesidades especifica, para resolver
problemas que les son comunes, generando los que se denomina
inteligencia colectiva, etc..)
ampliando las capacidades intelectuales del hombre.
estableciendo al conocimiento como factor productivo.
facilitando la generacin de nuevas tecnologas y la automatizacin de
procesos.
permitiendo la reduccin de tiempos y costos de produccin.
3
2
__________________________________________________________________
Terminologa
informtica
de
la
auditora
en
2.1 Informtica
La informtica se desarrolla con base en normas, procedimientos y tcnicas
definidas por institutos establecidos a nivel nacional e internacional.
La informtica es el campo que se encarga del estudio y aplicacin prctica
de la tecnologa, mtodos, tcnicas y herramientas relacionados con las
computadoras y el manejo de informacin por medios electrnicos, el cual
comprende las reas de la tecnologa de informacin orientadas al buen uso y
aprovechamiento de los recursos computacionales para asegurar que la
informacin de las organizaciones fluya(entidades internas y externas de los
negocios) de manera oportuna y veraz; adems es el proceso metodolgico que
se desarrolla de manera permanente en las organizaciones para el anlisis,
evaluacin, seleccin, implantacin y actualizacin de los recursos humanos
(conocimientos, habilidades, normas, etc), tecnolgicos (hardware, software, etc.)
materiales (escritorios, edificios, accesorios. etc.) y financieros (inversiones)
encaminados al manejo de la informacin, buscando que no se pierdan los
propsitos confiabilidad, oportunidad, integridad y veracidad entre otros
propsitos.
Hardware se refiere a los componentes fsicos y tangibles de las
computadoras, generalmente clasificados en cuatro grandes ramas:
computadoras personales
Redes (locales, abiertas, etc.)
Minicomputadoras
Supercomputadoras (mainframes)
Software implica la parte no fsica de las computadoras. Esto significa que
es la porcin intangible de los equipos de cmputo, es decir, programas con
9
14
3
__________________________________________________________________
Auditora informtica
3.1 La importancia de la auditora en informtica
La tecnologa de informtica, traducida en hardware, software, sistemas de
informacin, investigacin tecnolgica, redes locales, base de datos, ingeniera de
software, telecomunicaciones, servicios y organizacin de informtica, es una
herramienta estratgica que brinda rentabilidad y ventajas competitivas a los
negocios frente a sus similares en el mercado, pero puede originar costos y
desventajas si no es bien administrada por el personal encargado.
Para darse cuenta si se est administrando de manera correcta la funcin
de la informtica es necesario que se evale dicha funcin mediante evaluaciones
oportunas y completas por personal calificado consultores externos, auditores en
informtica o evaluaciones peridicas realizadas por el mismo personal de
informtica, entre otras estrategias.
3.2 Formas de llevar a cabo una auditoria en informtica
La auditora interna es la realizada con recursos materiales y personas que
pertenecen a la empresa auditada. Los empleados que realizan esta tarea son
remunerados econmicamente. La auditora interna existe por expresa decisin de
la empresa, o sea, que puede optar por su disolucin en cualquier momento.
Por otro lado, la auditora externa es realizada por personas afines a la
empresa auditada; es siempre remunerada. Se presupone una mayor objetividad
que en la auditora Interna, debido al mayor distanciamiento entre auditores y
auditados.
La auditora en informtica interna cuenta con algunas ventajas adicionales
muy importantes respecto de la auditora externa, las cuales no son tan
perceptibles como en las auditorias convencionales. La auditora interna tiene la
ventaja de que puede actuar peridicamente realizando revisiones globales, como
parte de su Plan Anual y de su actividad normal. Los auditados conocen estos
planes y se habitan a las auditorias, especialmente cuando las consecuencias de
15
empresa.
Los estndares de productividad se desvan sensiblemente de los
promedios conseguidos habitualmente.
[Puede ocurrir con algn cambio masivo de personal, o en una
reestructuracin fallida de alguna rea o en la modificacin de alguna
norma importante]
Sntomas de mala imagen e insatisfaccin de los usuarios:
No se atienden las peticiones de cambios de los usuarios. Ejemplos:
cambios de Software en los terminales de usuario, refrescamiento de
paneles, variacin de los ficheros que deben ponerse diariamente a su
disposicin, etc.
No se reparan las averas de Hardware ni se resuelven incidencias en
plazos razonables. El usuario percibe que est abandonado y
desatendido permanentemente.
No se cumplen en todos los casos los plazos de entrega de resultados
peridicos. Pequeas desviaciones pueden causar importantes
desajustes en la actividad del usuario, en especial en los resultados de
Aplicaciones crticas y sensibles.
Sntomas de debilidades econmico-financiero:
Incremento desmesurado de costos.
Necesidad de justificacin de Inversiones Informticas (la empresa no
est absolutamente convencida de tal necesidad y decide contrastar
opiniones).
Desviaciones Presupuestarias significativas.
Costos y plazos de nuevos proyectos (deben auditarse simultneamente
a Desarrollo de Proyectos y al rgano que realiz la peticin).
Sntomas de Inseguridad: Evaluacin de nivel de riesgos
Seguridad Lgica
Seguridad Fsica
Confidencial dad
[Los datos son propiedad inicialmente de la organizacin que los genera.
Los datos de personal son especialmente confidenciales]
Continuidad del Servicio. Es un concepto an ms importante que la
Seguridad. Establece las estrategias de continuidad entre fallos mediante
Planes de Contingencia' Totales y Locales.
Centro de Proceso de Datos fuera de control. Si tal situacin llegara a
percibirse, seria prcticamente intil la auditoria. Esa es la razn por la
cual, en este caso, el sntoma debe ser sustituido por el mnimo indicio.
* Planes de Contingencia:
Por ejemplo, la empresa sufre un corte total de energa o explota, Cmo sigo
operando en otro lugar? Lo que generalmente se pide es que se hagan
Backups de la informacin diariamente y que aparte, sea doble, para tener un
Backup en la empresa y otro afuera de sta. Una empresa puede tener unas
oficinas paralelas que posean servicios bsicos (luz, telfono, agua) distintos
de los de la empresa principal, es decir, si a la empresa principal le provea
17
adyacente.
<Puntuacin: 1 >
-Para la vigilancia interna del edificio, Hay al menos un vigilante por turno
en los aledaos del Centro de Clculo?
-Si, pero sube a las otras 4 plantas cuando se le necesita. <Puntuacin: 2>
-Hay salida de emergencia adems de la habilitada para la entrada y
salida de mquinas?
-Si, pero existen cajas apiladas en dicha puerta. Algunas veces las quitan.
<Puntuacin: 2>
-El personal de Comunicaciones, Puede entrar directamente en la Sala de
Computadoras?
-No, solo tiene tarjeta el Jefe de Comunicaciones. No se la da a su gente
salvo causa muy justificada, y avisando casi siempre al Jefe de Explotacin.
<Puntuacin: 4>
El resultado sera el promedio de las puntuaciones: (1 + 2 + 2 + 4) 14 = 2,25
Deficiente.
b. Checklist Binaria
Es la constituida por preguntas con respuesta nica y excluyente: Si o No.
Aritmticamente, equivalen a 1 (uno) o 0(cero), respectivamente.
Ejemplo de Checklist Binaria:
Se supone que se est realizando una Revisin de los mtodos de pruebas
de programas en el mbito de Desarrollo de Proyectos.
-Existe Normativa de que el usuario final compruebe los resultados finales
de los programas?
<Puntuacin: 1>
-Conoce el personal de Desarrollo la existencia de la anterior normativa?
<Puntuacin: 1>
-Se aplica dicha norma en todos los casos?
<Puntuacin: 0>
-Existe una norma por la cual las pruebas han de realizarse con juegos de
ensayo o copia de Bases de Datos reales?
<Puntuacin: 0>
21
facilidad con los polivalentes productos descritos. Con todo, las opiniones ms
autorizadas indican que el trabajo de campo del auditor informtico debe
realizarse principalmente con los productos del cliente.
Finalmente, ha de indicarse la conveniencia de que el auditor confeccione
personalmente determinadas partes del Informe. Para ello, resulta casi
imprescindible una cierta soltura en el manejo de Procesadores de Texto,
paquetes de Grficos, Hojas de Clculo, etc.
24
4
__________________________________________________________________
Tipos de auditorias
4.1. Concepto de auditoria en informtica
Despus de analizar los conceptos de auditora y de informtica, los
diferentes tipos de auditora, as como su interrelacin con informtica, nos
hacemos las preguntas: Qu es auditora en informtica? Y cual es su campo
de accin?
Auditora en informtica es la revisin y evaluacin de los controles,
sistemas, procedimientos de informtica, de los equipos de computo, su
utilizacin, eficiencia y seguridad, de la organizacin que participan en el
procesamiento de la informacin, a fin de que por medio del sealamiento de
cursos alternativos se logre una utilizacin ms eficiente y segura de la
informacin que servir para una adecuada toma de decisiones.
La auditora en informtica deber comprender no slo la evaluacin de los
equipos de computo o de un sistema o procedimiento especfico, sino que adems
habr de evaluar los sistemas de informacin en general desde sus entradas,
procedimientos, controles, archivos, seguridad y obtencin de informacin. Ello
debe incluir los equipos de computo como la herramienta que permite obtener la
informacin adecuada y la organizacin especfica (departamento de computo,
departamento de informtica, gerencia de procesos electrnicos, etc) que har
posible el uso de los equipos de computo.
Su campo de accin ser:
A. La evaluacin administrativa del departamento de proceso electrnicos.
B. La evaluacin de los sistemas y procedimientos, y de la eficacia que se
tiene en el uso de la informtica.
C. La evaluacin del proceso de datos y de los equipos de computo.
Para lograr los puntos antes sealados necesitas:
25
27
b) Generales
El control contable comprende el plan de organizacin y los procedimientos
y registros que se refieren a la proteccin de los activos y a la confiabilidad de los
activos y la confiabilidad de los registros financieros. Por lo tanto, el control interno
contable est diseado en funcin de los objetivos de la organizacin para ofrecer
seguridad razonable de que: las operaciones se realizan de acuerdo con las
normas y polticas sealados por la administracin.
Cuando hablamos de los objetivos de los controles contables internos
podremos identificar dos niveles.
a) Objetivos generales de control interno aplicables a todos los sistemas y
b) Objetivos de control interno aplicables a ciclos de transacciones
Los objetivos generales de control aplicables a todos los sistemas se
desarrollan a partir de los objetivos bsicos de control interno enumerados
anteriormente, siendo ms especficos para facilitar su aplicacin. Los objetivos de
control de ciclos se desarrollan a partir de los objetivos generales de control de
sistema, para que se aplique a las diferentes clases de transacciones agrupadas
en un ciclo.
Los objetivos generales de control interno de sistema pueden resumirse a
continuacin:
1. Objetivos de autorizacin.
Todas las operaciones deben realizarse de acuerdo con autorizaciones
generales o especificaciones de la administracin.
Las autorizaciones deben estar de acuerdo con criterios establecidos por el
nivel apropiado de la administracin.
Las transacciones deben ser vlidas para conocerse y ser sometidas
oportunamente a su aceptacin. Todas aquellas que renan los requisitos
establecidos por la administracin deben reconocerse como tales y procesarse a
tiempo.
Los resultados del procedimiento de transacciones deben comunicarse
oportunamente y estar respaldados por archivos adecuados.
2. Objetivos del procesamiento y clasificacin de transacciones
Todas las operaciones deben registrarse para permitir la preparacin de
estados financieros en conformidad con los principios de contabilidad
generalmente aceptados o con cualquier otro criterio aplicable a los estados y para
mantener en archivos apropiados los datos relativos a los activos sujetos a
custodia.
Las transacciones deben clasificarse en forma tal que permitan la
preparacin de estados financieros en conformidad con los principios de
contabilidad generalmente aceptados y el criterio de la administracin.
Las transacciones deben quedar registradas en el mismo periodo contable,
cuidando especialmente que se registren aquellas que afectan ms de un ciclo.
28
Autorizacin
Procesamiento y clasificacin de las transacciones
Salvaguarda fsica
Verificacin y evaluacin
31
contable.
Controles de supervisin: controles de la tecnologa de la informacin:
Son el conjunto de normas y procedimientos que deben existir en todo
Centro de Proceso de Datos para asegurar la confidencialidad, integridad y
disponibilidad de los datos informatizados.
Aseguran que los procedimientos programados dentro de un sistema
informtico se diseen, implanten, mantengan y operen de forma adecuada y que
solo se introduzcan cambios autorizados en los programas y en los datos. Dentro
de los controles de la tecnologa de la informacin nos encontraremos con
distintos tipos de controles:
Controles de desarrollo e implantacin de aplicaciones.
Controles de mantenimiento: destinados a asegurar que las
modificaciones
de
los
procedimientos
programados
estn
adecuadamente diseadas, probadas, aprobadas e implantadas.
Controles de explotacin.
Controles de Seguridad de Programas: destinados a garantizar que no
se puedan efectuar cambios no autorizados en los procedimientos
programados
Controles de Seguridad de Ficheros de datos: destinados a asegurar
que no se puedan efectuar modificaciones no autorizadas en los
archivos de datos.
Controles de la Operacin Informtica: destinados a garantizar que los
procedimientos programados autorizados se aplican de manera
uniforme y se utilizan versiones correctas de los ficheros de datos.
Controles de Conversin de ficheros: destinados a garantizar una
completa y exacta conversin de los datos de un sistema antiguo a uno
nuevo.
Controles de Software Sistema: destinados a asegurar que se implante
un software de sistema apropiado y que se encuentre protegido contra
modificaciones no autorizadas.
Controles de implantacin: destinados a asegurar que los
procedimientos programados para los nuevos sistemas son adecuados
y estn efectivamente implantados, y que el sistema est diseado para
satisfacer las necesidades del usuario
Si los sistemas informticos estuviesen funcionando inadecuadamente y
esta situacin pudiese influir en la fiabilidad de los datos o poner en peligro otros
objetivos de control, tendra conocimiento de ello la alta direccin?.
A diferencia de los controles de supervisin de las aplicaciones, los
controles de supervisin informticos estn relacionados con entornos
informticos que generalmente cubren varias aplicaciones. Por ejemplo, los
controles utilizados para supervisar la seguridad de los sistemas generalmente
sern los mismos para el ciclo de ventas y para el ciclo de compras.
35
Prdidas y deficiencias
Mejores mtodos
Mejores formas de control
Operaciones ms eficientes
Mejor uso de los recursos fsicos y humanos.
37
d) estructura orgnica
e) funciones
f) niveles de autoridad y responsabilidad
Es importante tener en cuenta los siguientes factores:
Elemento humano
Organizacin (manual de organizacin)
Integracin
Direccin
Supervisin
Comunicacin y coordinacin
Delegacin
Recursos materiales
Recursos tcnicos
Recursos financieros
Control
4.4 Concepto de auditoria con Informtica [1 pgina 9-16]
45
9. Control de residuos
Observar como se maneja la basura de los departamentos de mayor
importancia, donde se almacena y quien la maneja.
10. Establecer reas y prado del riesgo
Es muy importante el crear una conciencia en los usuarios de la
organizacin sobre el riesgo que corre la informacin y hacerles comprender que
la seguridad es parte de su trabajo. Para esto se deben conocer los principales
riesgos que acechan a la funcin informtica y los medios de prevencin que se
deben tener, para lo cual se debe:
a) Establecer el Costo del Sistema de Seguridad (Anlisis Costo contra
Beneficio)
Este estudio se realiza considerando el costo que se presenta cuando se
pierde la informacin contra el costo de un sistema de seguridad. Para realizar
este estudio se debe considerar lo siguiente:
clasificar la instalacin en trminos de riesgo (alto, mediano, pequeo)
identificar las aplicaciones que tengan alto riesgo
cuantificar el impacto en el caso de suspensin del servicio aquellas
aplicaciones con un alto riesgo
formular las medidas de seguridad necesarias dependiendo del nivel de
seguridad que se requiera
la justificacin del costo de implantar las medidas de seguridad
Cada uno de estos puntos es de mucha importancia por lo que se sugiere
clasificar estos elementos en reas de riesgo que pueden ser:
a) Riesgo Computacional
Se debe evaluar las aplicaciones y la dependencia del sistema de
informacin, para lo cual es importante considerar responder las siguientes cuatro
preguntas:
1. Qu sucedera si no se puede utilizar el sistema? Si el sistema
depende de la aplicacin por completo se debe definir el nivel de riesgo.
2. Qu consecuencias traera si es que no se pudiera acceder al
sistema? Al considerar esta pregunta se debe cuidar la presencia de
manuales de respaldo para emergencias o algn modo de cmo se
soluciono este problema en el pasado.
3. Existe un procedimiento alternativo y que problemas ocasionara?
Se debe verificar si el sistema es nico o es que existe otro sistema
tambin computarizado de apoyo menor. Ejemplo: S el sistema principal
esta diseado para trabajar en red sea tipo WAN quiz haya un soporte de
apoyo menor como una red LAN o monousuario. E el caso de un sistema
47
c) Cultura Personal
Cuando hablamos de informacin, su riesgo y su seguridad, siempre se
debe considerar al elemento humano, ya que podra definir la existencia o no de
los ms altos grados de riesgo. Por lo cual es muy importante considerar la
idiosincrasia del personal, al menos de los cargos de mayor dependencia o riesgo.
4.6.2 Consideraciones para elaborar un sistema de seguridad
integral.
Como hablamos de realizar la evaluacin de la seguridad es importante
tambin conocer como desarrollar y ejecutar el implantar un sistema de seguridad.
Desarrollar un sistema de seguridad significa: "planear, organizar coordinar dirigir
y controlar las actividades relacionadas a mantener y garantizar la integridad fsica
de los recursos implicados en la funcin informtica, as como el resguardo de los
activos de la empresa."
Un sistema integral debe contemplar:
Definir elementos administrativos
Definir polticas de seguridad
A nivel departamental
A nivel institucional
Organizar y dividir las responsabilidades
Contemplar la seguridad fsica contra catstrofes (incendios,
terremotos, inundaciones, etc.)
Definir P Prcticas de seguridad para el personal:
Plan de emergencia (plan de evacuacin, uso de recursos de
emergencia como extintores
Nmeros telefnicos de emergencia
Definir el tipo de plizas de seguros
Definir elementos tcnicos de procedimientos
Definir las necesidades de sistemas de seguridad para:
Hardware y software
Flujo de energa
Cableados locales y externos
Aplicacin de los sistemas de seguridad incluyendo datos y archivos
Planificacin de los papeles de los auditores internos y externos
Planificacin de programas de desastre y sus pruebas (simulacin)
Planificacin de equipos de contingencia con carcter peridico
Control de desechos de los nodos importantes del sistema:
Poltica de destruccin de basura copias, fotocopias, etc.
Consideracin de las normas ISO 14000
4.6.3 Etapas para implementar un sistema de seguridad.
49
51
5
__________________________________________________________________
Planeacin
informtica
de
la
auditora
en
52
57
6
__________________________________________________________________
Auditora
de
informtica
la
funcin
de
Denominacin de puestos
Salario
Capacitacin
Conocimientos
Escolaridad
Experiencia profesional
Antigedad
Historial de trabajo
Salario y conformacin
Movimientos salariales
ndice de rotacin del personal
Programa de capacitacin (vigente y capacitacin dada en el ltimo
ao)
f) Por ltimo, se deber revisar el grado de cumplimiento de los documentos
administrativos.
Normas y polticas
Planes de trabajo
Controles
Estndares
Procedimientos
La informacin nos servir para determinar:
-
como mnimo:
- Organigrama con jerarquas
- Funciones
- Objetivos y polticas
- Anlisis, descripcin y evaluacin de puestos
- Manual de procedimientos
- Manual de normas
- Instructivos de trabajo o guas de actividad
Tambin se deben solicitar:
Objetivos de la direccin
Polticas y normas de la direccin
El director de informtica y aquellas personas que tengan un cargo directivo
deben llevar los cuestionarios sobre estructura orgnica, funciones, objetivos y
polticas de los cuales se presenta un ejemplo.
El cuestionario que se presenta a continuacin tiene por objeto poder
conocer en primer lugar la organizacin del departamento de informtica y su
dependencia dentro de la organizacin total.
El departamento de informtica bsicamente puede estar dentro de alguno
de estos tipos de dependencia:
a) Depende de alguna direccin o gerencia lo cual, normalmente, es la
direccin de finanzas. Esto se debe a que inicialmente informtica o
departamento de procesamiento electrnico de datos, nombre con que
se le conoca, procesaba principalmente sistemas de tipo contable,
financiero o administrativo, por ejemplo, la contabilidad la nmina,
ventas o facturacin. El que informtica dependa del usuario principal
normalmente se da en estructuras pequeas o bien que inician en el
rea de informtica. La ventaja que tiene es que no se crea una
estructura adicional para el rea de informtica y permite que el usuario
principal tenga un mayor control sobre sus sistemas.
La ventaja principal es que los otros usuarios son considerados como
secundarios y normalmente no se les da la importancia y prioridad
requerida; otra desventaja es que, como la informacin es poder, a
veces hace que un rea tenga un mayor poder. Tambin, en ocasiones,
sucede que el gerente o director del rea usuaria del cual depende
informtica tiene muy poco conocimiento de informtica; ello ocasiona
que el jefe de informtica cree una isla dentro de la gerencia y que
acuerde directamente con otras gerencias usuarias, dando lugar a
problemas con las lneas de autoridad.
b) La segunda posibilidad es que la direccin de informtica dependa de la
gerencia general; esto puede ser en lnea o bien en forma de asesora.
La ventaja de alguna de estas organizaciones es que el director de
informtica podr tener un nivel adecuado dentro de la organizacin, lo
cual le permitir lograr una mejor comunicacin con los departamentos
usuarios y, por lo tanto, proporcionarles un mejor servicio y asignar las
60
62
64
65
66
Sugerencias
__________________________________________________________________
__________________________________________________________________
Estn adecuadas a las cargas de trabajo?
SI
NO
Existen conflictos por las cargas de trabajo desequilibradas?
SI
NO
De qu tipo?
__________________________________________________________________
__________________________________________________________________
Se tiene contemplada la desconcentracin?
SI
NO
Por que no?
__________________________________________________________________
_________________________________________________________________
Cmo afecta la desconcentracin a las funciones?
__________________________________________________________________
__________________________________________________________________
Qu funciones se van a desconcentrar?
__________________________________________________________________
__________________________________________________________________
Particip la de informtica en su elaboracin?
SI
NO
Por qu no?
__________________________________________________________________
__________________________________________________________________
2.4 Cumplimiento (esta seccin nos sirve para evaluar el grado de cumplimiento
de las funciones)
Estn delimitadas las funciones?
SI
NO
A nivel de departamento? A nivel de puesto?
No, por que?
__________________________________________________________________
__________________________________________________________________
Las actividades que realiza son acordes a las funciones que tiene asignadas?
SI
NO
No, qu tipo de actividades realiza que no estn acordes a las funciones
asignadas?
__________________________________________________________________
__________________________________________________________________
Cul es la causa?
__________________________________________________________________
__________________________________________________________________
Quin las ordena?
__________________________________________________________________
__________________________________________________________________
67
68
69
No, porqu?
__________________________________________________________________
3. Objetivos
(Uno de los posibles problemas o descontentos que puede tener el personal es el
desconocimiento de los objetivos de la organizacin, lo cual puede ser debido a
una falta de definicin de los objetivos y provoca que no se pueda tener una
planeacin adecuada).
3.1 Existencia
Se han establecido objetivos para el rea?
SI
NO
Quin los estableci?
__________________________________________________________________
Cul fue el mtodo para el establecimiento de los objetivos?
__________________________________________________________________
Particip el rea en su establecimiento?
SI
NO
Cules fueron las principales razones de la seleccin de los objetivos?
__________________________________________________________________
Los objetivos establecidos son congruentes con:
- Los de la direccin?
SI
NO
- Los de la subdireccin?
SI
NO
- Los del departamento/ oficina?
SI
NO
- Los de otros departamentos/oficinas?
SI
NO
Por qu no se han establecido objetivos para el rea?
__________________________________________________________________
Nadie le exige establecerlos?
SI
NO
Considera importante que se establezcan?
SI
NO
Es responsabilidad de otra rea establecer los objetivos? SI
NO
Cul?
__________________________________________________________________
De qu manera planea el trabajo del rea?
__________________________________________________________________
Cmo afecta la operacin del rea el no tener establecidos los objetivos?
__________________________________________________________________
3.2 Formales
Se han definido por escrito los objetivos del rea?
SI
NO
En qu documento? (recabar)
Por qu no estn definidos por escrito?
__________________________________________________________________
70
71
designen con el ttulo que ellos consideren pertinente; por ejemplo, ingeniero en
sistemas (sin haber obtenido el grado), analista de sistemas o bien que en algunos
pases existan escuelas que confieran grados acadmicos que no son reconocidos
oficialmente. Al analizar las organizaciones debemos tener muy en cuenta si estn
definidas las funciones y la forma de evaluar a las personas que ingresan a los
diferentes niveles de la organizacin.
Si no existe un organigrama en la organizacin, el auditor debe elaborar
uno que muestre el actual plan de organizacin, ya que facilita el estudio y da una
imagen general de la organizacin.
Criterios para analizar organigramas:
a) Agrupar funciones similares y relacionarlas entre s.
b) Agrupar funciones que sean compatibles.
c) Localizar la actividad cerca de la funcin a la que sirva.
d) Localizar la actividad cerca o dentro de la funcin mejor preparada
para realizarla.
e) No asignar la misma funcin a dos personas o entidades diferentes.
f) Separar las funciones de control y aquellas que sern objeto del
mismo.
g) Ningn puesto debe tener dos o ms lneas de dependencia
jerrquica.
h) El tramo de control no debe ser exagerado, ni muy numerosos los
niveles jerrquicos.
Cuando se estudia la estructura orgnica es importante hacer algunas
anotaciones sobre las tareas asignadas a cada puesto y responder las siguientes
preguntas:
Existen lneas de autoridad justificadas? Hay una extralimitacin de
funciones? Hay demasiada supervisin de funcionarios? Es excesiva la
supervisin en general? Hay agrupamientos ilgicos en las unidades? Hay
uniformidad en las asignaciones?
6.3 Evaluacin de los recursos humanos
Se deber obtener informacin sobre la situacin del personal del rea,
para lo cual se puede utilizar la tabla de recursos humanos y la tabla de
proyeccin de recursos humanos.
Se presenta un ejemplo de cuestionario para obtener informacin sobre los
siguientes aspectos:
- Desempeo y comportamiento
- Condiciones de trabajo
- Ambiente
- Organizacin en el trabajo
- Desarrollo y motivacin
- Capacitacin
- Supervisin
73
74
Existe cooperacin por parte del personal para la realizacin del trabajo?
SI
NO
Por qu no?
__________________________________________________________________
El personal tiene afn de superacin?
SI
NO
Presenta el personal sugerencias para mejorar el desempeo actual?
SI
NO
Cmo considera las sugerencias?
__________________________________________________________________
Qu tratamiento se les da?
__________________________________________________________________
Se toman en cuenta las sugerencias de los empleados?
SI
NO
En qu forma?
__________________________________________________________________
Cmo se les da respuesta a las sugerencias?
__________________________________________________________________
2. Capacitacin (uno de los puntos que se deben evaluar con ms detalle dentro
del rea de informtica es la capacitacin; esto se debe al proceso cambiante y al
desarrollo de nuevas tecnologas en el rea).
Los programas de capacitacin incluyen al personal de:
Direccin
( )
Anlisis
( )
Programacin
( )
Operacin
( )
Administracin
( )
Captura
( )
Otros (especifique) ( )
Se han identificado las necesidades actuales y futuras de capacitacin del
personal del rea?
SI
NO
Por qu no?
__________________________________________________________________
Se desarrollan programas de capacitacin para el personal del rea?
SI
NO
Por qu?
__________________________________________________________________
Apoya la superioridad la realizacin de estos programas?
SI
NO
Se evalan los resultados de los programas de capacitacin?
SI
NO
No, por qu?
__________________________________________________________________
Solicite el plan de capacitacin para el presente ao.
75
3. Supervisin
Cmo se lleva a cabo la supervisin del personal?
__________________________________________________________________
Porqu no se realiza?
__________________________________________________________________
Cmo se controlan el ausentismo y los retardos del personal?
__________________________________________________________________
Por qu no se llevan controles?
__________________________________________________________________
Cmo se evala el desempeo del personal?
__________________________________________________________________
Por qu no se evala?
__________________________________________________________________
Cul es la finalidad de la evaluacin del personal?
__________________________________________________________________
4. Limitantes
Cules son los principales factores internos que limitan el desempeo del
personal?
__________________________________________________________________
Cules son los principales factores externos que limitan el desempeo del
personal del rea?
__________________________________________________________________
Cul es el ndice de rotacin de personal en:
- Anlisis
- Operacin
- Administracin
- Captura
- Programacin
- Direccin
- Tcnicos
- Otros (especifique)
En trminos generales, se adapta el personal al mejoramiento administrativo
(resistencia al cambio)?
SI
NO
Cul es el grado de disciplina del personal?
__________________________________________________________________
Cul es el grado de asistencia y puntualidad del personal?
__________________________________________________________________
76
77
78
En cantidad?
SI
NO
En calidad?
SI
NO
No, por qu?
__________________________________________________________________
Est prevista la sustitucin del personal clave?
__________________________________________________________________
No, Por qu?
__________________________________________________________________
8. Desarrollo y motivacin
Cmo se lleva a cabo la introduccin y el desarrollo del personal del rea?
__________________________________________________________________
Por qu no se realiza?
__________________________________________________________________
Cmo se realiza la motivacin del personal del rea?
__________________________________________________________________
Cmo se estimula y se recompensa al personal del rea?
__________________________________________________________________
Existe oportunidad de ascensos y promociones?
__________________________________________________________________
Qu poltica hay al respecto?
__________________________________________________________________
79
Gua de entrevista
1. Nombre del puesto
2. Puesto del jefe inmediato
3. Puestos a que reporta
4. Puestos de las personas que reportan al entrevistado
5. Nmero de personas que reportan al entrevistado
6. Describa brevemente las actividades diarias de su puesto
7. Actividades peridicas
8. Actividades eventuales
9. Con qu manuales cuenta para el desempeo de su puesto?
10. Cules polticas se tienen establecidas para el puesto?
11. Seale las lagunas que considere que existen en la organizacin
12. En caso de que el entrevistado mencione cargas de trabajo, cmo las
establece?
13. Cmo las controla?
14. Cmo se deciden las polticas que han de implantarse?
15. Cmo recibe las instrucciones de los trabajos encomendados?
16. Con qu frecuencia recibe capacitacin y de qu tipo?
17. Sobre qu tema le gustara recibir capacitacin?
18. Mencione la capacitacin obtenida y dada a su personal durante el ltimo
ao
19. Observaciones
NOTA: En caso de que sea una entrevista solicitada por el personal de
informtica, tiene que ser confidencial y no podrn solicitarse las preguntas
iniciales. El entrevistado deber hablar abiertamente fundamentando sus opiniones
y comentarios.
80
81
Adecuacin
Los recursos financieros con que cuenta el rea son suficientes para alcanzar los
objetivos y metas establecidos?
SI
NO
No, qu efectos se han tenido en el rea al no contar con suficientes recursos
financieros?
Recursos materiales
Programacin
Existe un programa sobre los requerimientos del rea?
SI
NO
Qu personas del rea intervienen en su elaboracin?
Se respetan los planteamientos del rea?
SI
NO
No, en qu aspectos no se respetan?
Adecuacin
Los recursos materiales se le proporcionan al rea, son suficientes para cumplir
con las funciones encomendadas?
SI
NO
No, en qu no son suficientes?
Los recursos materiales se proporcionan oportunamente?
SI
NO
Cules son las principales limitaciones que tiene el rea en cuanto a los recursos
materiales?
Qu sugerencias hara para superar las limitaciones actuales?
Servicios generales
Existe un programa sobre los servicios generales que requiere el rea?
SI
NO
Los servicios generales que se proporcionan al rea, los considera:
Adecuados?
SI
NO
Suficientes?
SI
NO
Oportunos?
SI
NO
En caso de que alguna de las respuestas sea negativa especifique cul es la
deficiencia
Qu sugerencias hara para superar las limitaciones actuales?
Mobiliario y equipo
Se cuenta con el equipo y mobiliario adecuados y en cantidad suficiente para
82
desarrollar su trabajo?
SI
NO
Por qu?
Estn adecuadamente distribuidos en el rea de trabajo?
Actualmente se estn dejando de realizar actividades por falta de material y
equipo?
SI
NO
Qu se hace para solucionar este problema?
Conoce esta situacin el jefe de la unidad?
Qu medidas se han tomado?
Existe el servicio de mantenimiento del equipo?
Existen medidas de seguridad?
SI
NO
Cules?
Por qu?
Qu se hace con el equipo en desuso?
Sobre quin recae la responsabilidad del equipo?
Con qu frecuencia se renuevan el equipo y mobiliario?
Se recogen opiniones y sugerencias que nos permitan establecer las medidas
correctivas con las cuales lograr un mejor funcionamiento de estos recursos?
83
7
__________________________________________________________________
efecto que producir en quienes lo usarn y el efecto que stos tendrn sobre el
sistema, y la congruencia de los diferentes sistemas.
En el caso de sistemas que estn funcionando, se deber comprobar si
existe el estudio de factibilidad con los puntos sealados, y comparar con la
realidad lo especificado en el estudio de factibilidad.
Por ejemplo, en un sistema que el estudio de factibilidad seal
determinado costo y una serie de beneficios de acuerdo con las necesidades del
usuario, debemos comparar cul fue su costo real y evaluar si se satisficieron las
necesidades indicadas como beneficios del sistema.
Para investigar el costo de un sistema se debe considerar, con una
exactitud razonable, el costo de los programas, el uso de los equipos
(compilaciones, programas, pruebas, paralelos), tiempo, personal y operacin,
cosa que en la prctica son costos directos, indirectos y de operacin.
Los beneficios que justifiquen el desarrollo de un sistema pueden ser el
ahorro en los costos de operacin, la reduccin del tiempo de proceso de un
sistema, mayor exactitud, mejor servicio, una mejora en los procedimientos de
control, mayor confiabilidad y seguridad.
Entre los problemas mas comunes en los sistemas estn los siguientes
1. Falta de estndares en el desarrollo, en el anlisis y la programacin.
2. Falta de participacin y de revisin por parte de la alta gerencia.
3. Falta de participacin de los usuarios.
4. Inadecuada especificacin del sistema al momento de hacer el diseo
detallado.
5. Deficiente anlisis costo/beneficio.
6. Nueva tecnologa no usada o usada incorrectamente.
7. Inexperiencia por parte del personal de anlisis y del de programacin.
8. Diseo deficiente.
9. Proyeccin pobre de la forma en que se realizar el sistema.
10. Control dbil o falta de control sobre las fases de elaboracin del
sistema y sobre el sistema en s.
11. Problemas de auditora.
12. Inadecuados procedimientos de seguridad, de recuperacin y de
archivos.
13. Falta de integracin de los sistemas (elaboracin de sistemas aislados
programas que no estn unidos como sistemas).
14. Documentacin inadecuada o inexistente.
15. Dificultad de dar mantenimiento al sistema, principalmente por falta de
documentacin o excesivos cambios y modificaciones hechos al sistema.
16. Problemas en la conversin e implementacin.
17. Procedimientos incorrectos o no autorizados.
7.2 Evaluacin del anlisis
En esta etapa se evaluarn las polticas, procedimientos y normas que se
86
87
4) Manual deformas
5) Manual de reportes
6) Lista de archivos y especificacin
Lo que debemos determinar en el sistema:
En el procedimiento:
Quin hace, cundo y cmo?
Qu formas se utilizan en el sistema?
Son necesarias, se usan, estn duplicadas?
El nmero de copias es el adecuado?
Existen puntos de control o faltan?
En la grfica de flujo de informacin:
Es fcil de usar?
Es lgica?
Se encontraron lagunas?
Hay faltas de control?
En las formas de diseo:
Cmo est usada la forma en el sistema?
Qu tan bien se ajusta la forma al procedimiento?
Cul es el propsito, por qu se usa?
Se usa y es necesaria?
El nmero de copias es el adecuado?
Quin lo usa?
Lo que debemos revisar en las formas de diseo:
Numeracin.
Est numerada la forma?
Es necesaria su numeracin?
Est situada en un solo lugar fcil de encontrar?
Cmo se controlan las hojas numeradas y su utilizacin?
Ttulo.
Da el ttulo de la forma una idea clara sobre su funcin bsica?
Espacio.
Si la forma est mecanografiada:
hay suficiente espacio para escribir con mquina rpidamente, con
exactitud y eficiencia?
Si la forma se llena a mano:
hay el espacio adecuado para que se escriba en forma legible?
Tabulacin.
Si la forma est mecanografiada:
permite su tabulacin llenarla uniformemente?
Es la tabulacin la mnima posible?
89
90
Casilleros.
Se usan pequeos espacios enmarcados ( ) para con una sola indicacin
reducir escritos largos o repetitivos?,
Los espacios son suficientes o excesivos?
Tipo de papel.
Son el peso y calidad del papel apropiado para esa forma?
Use papel ms pesado y de mejor calidad para aquellas formas que
requieren un manejo excesivo. Use papel de menor peso con formas que se usen
poco, para reducir costo y espacio en los archivos.
Tamaos estndar.
Tiene la forma un tamao estndar?
El tamao estndar se ajusta a sobres y archivos estndar. Adems reduce
existencias de papel, manejo y tiempo y costo de impresin. Se debe considerar
que el costo del papel que no es de tamao estndar es considerablemente mayor
que el de tamao estndar.
Color.
Permite el contraste del color del papel una lectura eficiente?
Las formas en colores como el anaranjado, el verde, el azul, el gris, etc., en
tonos obscuros, son difciles de leer porque no ofrecen suficiente contraste entre la
impresin (NEGRO) y el papel. Ciertos colores brillantes cansan la vista. Se debe
tener cuidado tanto en el color del papel como en el color de la tinta. Las copias
deben estar identificadas de acuerdo con el color.
Anlisis de informes
Una vez que se ha estudiado los formatos de entrada debemos analizar los
informes para posteriormente evaluarlos con la informacin proporcionada por la
encuesta a los usuarios. Despus de describir el contenido de los informes se
debe tener el anlisis de datos e informacin.
Ruido, redundancia, Entropa
En la auditora de sistemas hay que estudiar la redundancia, el ruido y la
entropa que tiene cada uno de los sistemas.
En primer lugar, debemos considerar como comunicacin "La transferencia
de informacin del emisor al receptor de manera que ste la comprenda",
Koontz/O'Donnell/ Weihrich; Administracin, Mc Graw Hill.
El ruido es todo aquello que interfiere en una adecuada comunicacin; no
solamente los sonidos sino todo aquello que impida la adecuada comunicacin, y
Koontz/O'Donnell/WeiHrich definen el ruido como "Cualquier cosa (sea en el
emisor, en la transmisin o en el receptor) que obstaculiza la comunicacin"; as,
por ejemplo; si una persona se encuentra jugando, sin hacer necesariamente
algn sonido, en el momento que otra est hablando, se considera como tipo de
ruido para el sistema.
En el caso de un sistema computarizado el error en la captura, una pantalla
de la terminal demasiado llena de informacin y poco entendible o un reporte
91
(
(
(
(
(
(
(
(
y sistema total.
Esta funcin tiene una gran importancia en el ciclo de evaluacin de
aplicaciones de los sistemas de informacin y busca comprobar que la aplicacin
cumple las especificaciones del usuario, que se haya desarrollado dentro de lo
presupuestado, que tenga los controles necesarios y que efectivamente cumpla
con los objetivos y beneficios esperados.
Un cambio hecho a un sistema existente, como la creacin de uno nuevo,
presupone necesariamente cambios en la forma de obtener la informacin y un
costo adicional. Ambos debern ser evaluados.
Se debe evaluar el cambio (si lo hay) de la forma en que se ejecutan las
operaciones, se comprueba si mejora la exactitud de la informacin generada, si la
obtencin de los reportes efectivamente reduce el tiempo de entrega o si es ms
completa. Se determina cunto afecta las actividades del personal usuario o si
aumenta o disminuye el personal de la organizacin, as como los cambios entre
las interacciones entre los miembros de la organizacin. A fin de saber si aumenta
o disminuye el esfuerzo realizado y su relacin costo/beneficio para generar la
informacin destinada a la toma de decisiones, con objeto de estar en condiciones
de determinar la productividad y calidad del sistema.
El analista deber proporcionar la descripcin del funcionamiento del
sistema funcional desde el punto de vista del usuario, indicando todas las
interrelaciones del sistema, la descripcin lgica de cada dato, las estructuras que
esto forman, el flujo de informacin que tiene lugar en el sistema. Lo que el
sistema tomara como entrada, los procesos que ser realizados, las salidas que
deber proporcionar, los controles que se efectuarn para cada variable y los
procedimientos.
Cuestionarios para la evaluacin del diseo y prueba de los sistemas
Quienes intervienen al disear
Usuario.
Analista.
Programadores operadores.
Gerente de departamento.
Auditores internos. Asesores.
Otros.
Los analistas son tambin programadores?
SI( )
NO( )
Qu lenguaje o lenguajes conocen los analistas?
Cuntos analistas hay y qu experiencia tienen?
Qu lenguaje conocen los programadores?
Cmo se controla el trabajo de los analistas?
Cmo se controla el trabajo de los programadores?
Indique qu pasos siguen los programadores en el desarrollo de un
programa:
( ) Estudio de la definicin
( ) Discusin con el analista
( ) Diagrama de bloques
97
( ) Tabla de decisiones
( ) Prueba de escritorio
( ) Codificacin
( ) Compilacin
( ) Elaborar datos de prueba
( ) Solicitar datos al analista
( ) Correr programas con datos
( ) Revisin de resultados
( ) Correccin del programa
( ) Documentar el programa
( ) Someter resultados de prueba
( ) Entrega del programa
Es enviado a captura o los programadores capturan?
Quin los captura?
Qu documentacin acompaa al programa cuando se entrega?
Es muy frecuente que el programador no libere un sistema, esto es, que
contine dndole mantenimiento al sistema y sea el nico que lo conozca. Ello
puede deberse a amistad con el usuario, falta de documentacin, mal anlisis
preliminar del sistema, resistencia a cambiar a otro proyecto o bien a una situacin
que es muy grave dentro del rea de informtica: la aplicacin de "indispensables"
que son los nicos que tienen la informacin y, por lo tanto, son inamovibles.
Qu sucede respecto al mantenimiento o modificacin de un sistema
cuando el sistema no ha sido bien desarrollado (analizado, diseado, programado,
probado) e instalado? La respuesta es sencilla: necesitar cambios frecuentes por
omisiones o nuevos requerimientos.
En el caso de sistemas, muchas organizaciones estn gastando cerca del
80% de sus recursos de cmputo en mantenimiento.
El mantenimiento excesivo es consecuencia de falta de planeacin y control
del desarrollo de sistemas; la planeacin debe contemplar los recursos disponibles
y tcnicas apropiadas de desarrollo.
El control por su parte debe tener como soporte el establecimiento de
normas de desarrollo que han de ser verificadas continuamente en todas las
etapas del desarrollo de un sistema. Estas normas no pueden estar aisladas,
primero, del contexto particular de la direccin de informtica (ambiente) y,
segundo, de los lineamientos generales de la organizacin, para lo cual es
necesario contar con personal en desarrollo que posea suficiente experiencia en el
establecimiento de normas de desarrollo de sistemas. Estas mismas
caractersticas deben existir en el personal de auditora de sistemas.
Es poco improbable que un proyecto llegue a un final feliz cuando se ha
iniciado sin xito. Difcilmente estaremos controlando realmente el flujo de la
informacin de un sistema que desde su inicio ha sido mal analizado, mal
diseado, mal programado e incluso mal documentado.
El excesivo mantenimiento de los sistemas generalmente ocasionado por
un mal desarrollo, se inicia desde que el usuario establece sus requerimientos (en
ocasiones sin saber qu desea) hasta la instalacin del mismo, sin que se haya
establecido un plan de prueba del sistema para medir su grado de contabilidad en
98
(
(
(
(
(
)
)
)
)
)
99
3. Regular
4. Adecuado al servicio
5. No lo conoce
Por qu?
Son entregados con puntualidad los trabajos?
1. Nunca
2. Rara vez
3. Ocasionalmente
4. Generalmente
5. Siempre
Por qu?
Qu Piensa de la presentacin de los trabajos solicitados?
1. Deficiente
2. Aceptable
3. Satisfactoria
4. Excelente
Por qu?
Qu piensa de la atencin brindada por el personal de procesos
electrnicos?
1. Insatisfactoria
2. Satisfactoria
3. Excelente
Por qu?
Qu piensa de la asesora que se imparte sobre informtica?
1. No se proporciona
2. Es insuficiente
3. Satisfactoria
4. Excelente
Por qu?
Qu piensa de la seguridad en el manejo de la informacin proporcionada
para su procesamiento?
1. Nula
2. Riesgosa
3. Satisfactoria
4. Excelente
5. Lo desconoce
Por qu?
Existen fallas de exactitud en los procesos de informacin?
Cules?
Cmo utiliza los reportes que se le proporcionan?
Cules no utiliza?
De aquellos que no utiliza por qu razn los recibe?
Qu sugerencias presenta en cuanto a la eliminacin de reportes:
modificacin, fusin, divisin de reporte?
Se cuenta con un manual del usuario por sistema?
Si ( )
NO( )
102
103
8
__________________________________________________________________
8.1 Controles
Los datos son uno de los recursos ms valiosos de las organizaciones y,
aunque son intangibles, necesitan ser controlados y auditados con el mismo
cuidado que los dems inventarios de la organizacin, por lo cual se debe tener
presente:
a) La responsabilidad de los datos es compartida conjuntamente por alguna
funcin determinada de la organizacin y la direccin de informtica.
b) Un problema que se debe considerar es el que se origina por la
duplicidad de los datos y consiste en poder determinar los propietarios o
usuarios posibles (principalmente en el caso de redes y banco de datos)
y la responsabilidad de su actualizacin y consistencia.
c) Los datos debern tener una clasificacin estndar y un mecanismo de
identificacin que permita detectar duplicidad y redundancia dentro de
una aplicacin y de todas las aplicaciones en general.
d) Se deben relacionar los elementos de los datos con las bases de datos
donde estn almacenados, as como los reportes y grupos de procesos
donde son generados.
8.1.1 Control de los datos fuente y manejo de cifras de control.
La mayora de los delitos por computadora son cometidos por
modificaciones de datos fuente al:
Suprimir u omitir datos,
Adicionar datos,
Alterar datos
Duplicar procesos
104
(
(
(
(
(
(
(
(
(
(
)
)
)
)
)
)
)
)
)
)
105
Correccin de errores
( )
Produccin de cada operador
( )
Entrega de trabajos
( )
Verificacin de cifras de control de entrada con las de salida
( )
Costo mensual por trabajo
( )
Existe un programa de trabajo de captacin de datos?
a) Se elabora ese programa para cada turno?
SI
NO
( ) Diariamente
( ) Semanalmente
( ) Mensualmente
b) La elaboracin del programa de trabajo se hace:
( ) Internamente
( ) Se les sealan a los usuarios las prioridades
( ) Se les seala a los usuarios la posible fecha de entrega
c) El programa de trabajo es congruente con el calendario de produccin?
SI
NO
d) Indique el contenido del programa de trabajo de captaciones.
Nombre de usuario
Clave de trabajo
Fecha programada
Recepcin
Hora programada de recepcin
Volumen estimado de registros por trabajo
Fecha programada de entrega
Hora programada de entrega
e) Qu accin(es) se toma(n) si el trabajo programado no se recibe a tiempo?
Cuando la carga de trabajo supera la capacidad instalada se requiere:
( ) Tiempo extra
( ) Se subcontrata
Quin controla las entradas de documentos fuente?
En qu forma las controla?
Qu cifras de control se obtienen?
Sistema Cifras que se obtienen
observaciones
Qu documentos de entrada se tienen?
Sistemas Documentos ** Departamento que proporciona el documento **
Periodicidad ** Observaciones
Se anota qu persona recibe la informacin y su volumen?
SI
NO
Se anota a qu capturista se entrega la informacin, el volumen y la hora?
SI
NO
Se verifica la calidad de la informacin recibida para su captura?
SI
NO
Se revisan las cifras de control antes de enviarlas a captura?
SI
NO
Para aquellos procesos que no traigan cifras de control se han establecido
106
SI ( )
NO( )
Estn actualizados los procedimientos?
SI ( )
NO ( )
Indique la periodicidad de la actualizacin de los procedimientos:
( ) Semestral
( ) Anual
( ) Cada vez que haya cambio de equipo
Observe la forma en que est operando la mquina, como se distribuyen
los trabajos en lotes?,cul es el lmite de trabajos en lotes y si se tiene un
adecuado orden y control en los procesos por lotes?
SI ( )
NO ( )
Indique el contenido de los instructivos de operacin para cada aplicacin:
( ) Identificacin del sistema
( ) Identificacin del programa
( ) Periodicidad y duracin de la corrida
( ) Especificacin de formas especiales
( ) Especificacin de cintas de impresora
( ) Etiquetas de archivos de salida, nombre archivo lgico y fechas de
creacin y expiracin
( ) Instructivo sobre materiales de entrada y salida
( ) Altos programados y las acciones requeridas
( ) Instructivos especficos a los operadores en caso de falla del equipo
( ) Puntos de reinicio, procedimientos de recuperacin para proceso de
gran duracin
( ) Identificacin de todos los dispositivos de la mquina a ser usados
( ) Especificaciones de resultados (cifras de control, registros de salida por
archivo, etc.)
Existen rdenes de proceso para cada corrida en la computadora
(incluyendo pruebas, compilaciones y produccin)?
SI ( )
NO( )
Son suficientemente claras para los operadores estas rdenes?
SI ( )
NO( )
Existe una estandarizacin de las rdenes de proceso?
Si ( )
NO( )
Existe un control que asegure, la justificacin de los procesos en el
computador?
(Que los procesos que se estn trabajando estn autorizados y tengan una
razn de ser procesados).
SI ( )
NO ( )
Cmo programan los operadores los trabajos dentro de la sala de
mquinas?
( ) Primero que entra, primero que sale
( ) Se respetan las prioridades
( ) Otra (especifique)
Los retrasos o incumplimientos con el programa de operacin diaria, se
revisa y analiza?
108
SI ( )
NO( )
Quin revisa este reporte en su caso?
Cmo controlan los operadores las versiones correctas y cmo se
identifican las que son de prueba?
Analice la eficiencia con que se ejecutan los trabajos dentro de la sala de
mquinas, tomando en cuenta equipo y operador, a travs de inspeccin visual, y
describa sus observaciones:
Existen procedimientos escritos para la recuperacin del sistema en caso
de las fallas?
Cmo se acta en caso de errores?
Existen instrucciones especficas para cada proceso, con las indicaciones
pertinentes?
Se tienen procedimientos especficos que indiquen al operador qu hacer
cuando un programa interrumpe su ejecucin u otras dificultades en proceso?
Puede el operador modificar los datos de entrada?
Se prohibe a analistas y programadores la operacin de la mquina?
Puede el operador de mesa de control operar la mquina?
Se prohbe al operador modificar informacin de archivos o biblioteca de
programas?
El operador realiza funciones de mantenimiento diario en dispositivos que
as lo requieran?
Las intervenciones de los operadores:
Son muy numerosas?
SI( )
NO( )
Se limitan los mensajes esenciales
Si( )
NO( )
Otras (especifique)
SI( )
NO( )
Se tiene un control adecuado sobre los sistemas y programas que estn
en operacin?
Si ( )
NO( )
Cmo se controlan los trabajos dentro de la sala de mquinas
Se rota al personal del control de informacin con los operadores
procurando un entrenamiento cruzado y evitando la manipulacin fundamental de
datos?.
SI( )
NO ( )
Cuentan los operadores con una bitcora para mantener registros de
cualquier evento y accin tomada por ellos?.
( ) SI
( ) Por mquina
( ) Escrita manualmente
( ) NO
Verificar que exista un registro de funcionamiento que muestra el tiempo de
paros y mantenimiento o instalaciones de software.
Existen procedimientos para evitar las corridas de programas no
autorizados?
SI( )
NO( )
Existe un plan definido para el cambio de turno de operacin que evite el
descontrol y discontinuidad de la operacin?
109
(
(
(
(
(
(
(
(
)
)
)
)
)
)
)
)
( )
111
Qu controles se tienen?
Sistema
Control
Observaciones
Comentarios
112
efectivo que:
- Satisfaga las necesidades de tiempo del usuario.
- Sea compatible con los programas de recepcin y transcripcin de datos.
- Permiten niveles efectivos de utilizacin de los equipos y sistemas de
operacin.
- Es gil la utilizacin de los equipos en lnea.
La experiencia muestra que los mejores resultados se logran en
organizaciones que utilizan sistemas formales de programacin de actividades, los
cuales intentan balancear los factores y medir resultados.
Se debern evaluar los procedimientos de programacin de cargas
mquina para determinar si se ha considerado atenuar los picos de los procesos,
generados por cierres mensuales, y poder balancear las cargas de trabajo de
batch y lnea, dando prioridad a los procesos en lnea.
Opera la sala de mquinas en base a programas de trabajo?
SI( )
NO( )
Indique los periodos que abarcan los programas de trabajo:
Indique el puesto o departamento responsable de la elaboracin de los
programas de trabajo:
Se cambian frecuentemente los programas de trabajo?
Si( )
NO( )
Cul es la causa principal?
Se comunica oportunamente a los usuarios las modificaciones a los
programas de trabajo?
SI( )
NO( )
Dentro del programa de trabajo de la mquina, se tiene previstas?:
Demandas inesperadas?
( )
Fallas de la mquinas?
( )
Soporte de los usuarios
( )
Manteniendo preventivo
( )
Otras (especifique)
Con qu frecuencia se asigna la computadora, en su totalidad, para una
sola aplicacin (la de mayor utilizacin)?
Especifique los elementos que sirven como base para programar las cargas
de mquina.
Se deber procurar que la distribucin fsica del equipo sea funcional, que
la programacin de las cargas de mquina satisfaga en forma eficaz al usuario; se
tendr cuidado con los controles que se tengan para la utilizacin de equipo y que
el mantenimiento satisfaga las necesidades del equipo.
113
116
119
turno
1 er.
2.
3er.
Compilacin
Prueba
Produccin
Evale la relacin de uso de impresora con respecto a la mezcla de trabajo.
Estudie la frecuencia de cambio de papel y determine si se debe:
a) Incrementar el nmero de impresora
b) Restaurar las cargas de trabajo
c) Utilizar salida a microfilm
d) Utilizar impresora de mayor velocidad (lser)
e) Es excesivo el volumen de impresin?
Si( )
NO( )
En caso de contestar si, seale las causas:
( ) Reportes muy largos
( ) Reportes no utilizados
( ) Procesos en lote que deban estar en lnea
Otros (especificar cules)
f) Especificar si existen procesos que deban cambiarse de batch a lnea a
viceversa
Evale la utilizacin del sistema de cmputo a travs de las siguientes
relaciones:
Si________________tiempo ocioso excede el 35%
Tiempo disponible
El equipo instalado est sobrado de capacidad para la carga de trabajo
actual:
Si________________ tiempo de prueba de programas en mayor al 30%
Tiempo de uso de procesador central
Se puede concluir que los procedimientos de depuracin de programas son
pobres (excepto en instalaciones nuevas):
Si_________________ tiempo de mantenimiento al sistema operativo
sobrepasa el 5%
Tiempo total disponible del sistema de cmputo
Se deber exigir al proveedor que mejore la calidad de soporte al sistema
operativo:
Si__________________tiempo de falla del sistema de computo es mayor al
5%
Tiempo disponible
Nota: stos son solamente ejemplos de factores que pueden obtenerse, los
cuales pueden ser ampliados, y los porcentajes dependern del tipo de equipo y la
experiencia que se tenga.
El servicio de mantenimiento correctivo que proporciona el proveedor es
muy pobre y deber revisarse las clusulas del contrato relativas a este rengln.
( ) Nmero total de trabajos procesados
( ) Nmero de programas corridos por usuarios y departamentos de la
direccin de informtica
120
(
(
(
(
)
)
)
)
De objetivos
De oportunidad
De operacin
( )
( )
( )
Nmero
de
unidades
Utilizacin
Velocidad
121
Terminales
Unidades de
cinta
Impresoras
Otras(especificar)
Se deber controlar el uso que se le da al equipo de computo, evitando;
Tiempo de
Impresora
Utilizacin
Promedio de
h/da
nmero de
Pginas impresas por da
- Programadores que utilizan la computadora para conocer sus errores, sin
hacer pruebas de escritorio. En este caso estn los programadores que
no saben qu instruccin poner, y en lugar de consultar su manual o
hacer pruebas de escritorio, mandan compilar el programa hasta
encontrar la opcin o rutina correcta.
- Utilizacin del equipo o del tiempo de los programadores para aplicaciones
ajenas a la organizacin.
- Personal de la direccin de informtica que utiliza la computadora para
trabajos personales, trabajos no autorizados o juegos.
- Programas que, por estar mal elaborados (generalmente cuando se usan
grandes archivos), degradan la mquina. Degradacin del equipo por
fallas en equipos perifricos. La computadora puede considerarse como
un proceso en lnea el cual al fallar alguna de las unidades principales
(memoria, unidad central) no permite la utilizacin del resto del equipo.
Pero existen unidades secundarias (cintas, impresoras, terminales,
discos) que al fallar provocan que se vea reducida la posibilidad de
utilizacin del equipo.
Por ejemplo, si tenemos una impresora y se descompone un alto porcentaje
de utilizacin del equipo se ve disminuida aunque para el proveedor slo
considere que una unidad secundaria fue la daada. Lo mismo sucede si se tienen
dos unidades de disco y se descompone una (en caso de tener solo una unidad de
discos la falla es total).
Para controlar este tipo de degradacin se puede tener un reporte que
contenga:
1. Dispositivo que integra la configuracin del equipo (por ejemplo, cinta,
disco, impresora).
2. Nmero del dispositivo, si tenemos por ejemplo 2 cintas, se anota 1 y 2
dependiendo de cul fue la que fall.
3. Tipo de falla. Se anotar una buena descripcin del tipo de falla, para lo
cual se puede elaborar un catlogo.
4. Porcentaje de degradacin. Este dato debern anotarlo los responsables
de la direccin de informtica basndose en la experiencia y en las
implicaciones que tenga en el sistema total (por ejemplo, si se tienen 2
unidades de disco la degradacin es del 50%, si se descomponen las
dos es el 100% y si se tiene solo una, o sea el 100%, en el caso de la
122
123
( ) Quincenalmente
( ) Bimestralmente
( ) Otro (especifique)
125
por teleproceso,
NO(
NO(
NO(
NO(
)
)
)
)
8.4 Productividad
El objetivo es evaluar la eficiencia con que opera el rea de captacin y
produccin.
Verifique que se cuente con una descripcin completa de los trabajos que
se corren y la descripcin de las caractersticas de carga.
Verifique la existencia de un pronstico de cargas o trabajos que se
efectuarn durante el ao, con el objeto de que se prevean los picos en las cargas
de trabajo y se pueda distribuir adecuadamente estas cargas.
Se tiene un programa de trabajo diario? semanal? en el ao?
En caso de que no se tenga la programacin diaria, cmo se realiza la
produccin?
Verifique que se contemplen dentro de los planes de produccin periodos
de mantenimiento preventivo.
Verifique que se disponga de espacio y tiempo para realizar corridas
especiales, corridas de prueba de sistemas en desarrollo y corridas que deben
repetirse.
Verifique que se tengan definidos el espacio y tiempo para el respaldo de la
informacin.
Se tiene una programacin del mantenimiento previo?
Se tiene un plan definido de respaldo de la informacin?
Se contempla dentro del plan tiempo para realizar corridas de pruebas?
Se revisa el cumplimiento de los programas de produccin establecidas?
Verifique que se tenga conocimiento de los prximos sistemas que estarn
en produccin, con el objeto de que se les programe su incorporacin.
Quin revisa estos planes?
Se cumplen generalmente estos planes? Si no, explique por qu
Se repiten con frecuencia corridas por anomalas?
126
( )
( )
( )
Hrs.
127
9
__________________________________________________________________
128
directorio del usuario, enviaba mensajes idnticos a todas las personas que se
encontraban en el directorio. Esto, que aparentemente tuvo buenas intenciones,
gener mensajes en forma exponencial bloqueando toda la red internacional de la
compaa.
Otro virus es el conocido como Pakistan, debido a que fue elaborado por
estudiantes pakistanes de 19 a 26 aos. Este virus fue introducido en un paquete
de computadoras personales y fue copiado para todo turista que comprara el
paquete en Pakistn como una forma de "escarmiento" para los que adquiran esa
copia pirata.
Durante una convencin de Makintosh en Montreal, un estudiante introdujo
un virus para probar sus conocimientos. En este caso apareca un mensaje y
destrua la informacin. Debido a un descuido este virus fue distribuido
mundialmente.
stos son solamente algunos ejemplos de virus que existen, los cuales
tambin pueden ser activados como si fueran "bomba de tiempo", en una fecha
determinada y pueden causar la destruccin de la informacin, el que suene la
bocina de la computadora en forma constante o que aparezca un carcter en la
pantalla que se mueve por todo el video.
Al auditar los sistemas, se debe tener cuidado que no se tengan copias
"piratas" o bien que, al conectarnos en red con otras computadoras, no exista la
posibilidad de transmisin del virus.
El crecimiento de los fraudes por computadora ha hecho patente que la
potencialidad de los crmenes crece en forma ms rpida que en los sistemas de
seguridad (se considera que en los Estados Unidos se cometieron anualmente
crmenes, denunciados o no, por ms de tres mil millones de dlares).
Los motivos de los delitos por computadora normalmente son por:
Beneficio personal
Beneficios para la organizacin
Sndrome de Robin Hood (por beneficiar a otras personas)
Jugando a jugar
Fcil desfalcar
El departamento es deshonesto
Odio a la organizacin (revancha)
El individuo tiene problemas financieros
La computadora no tiene sentimientos ni delata
Equivocacin de ego (deseo de sobresalir en alguna forma)
Mentalidad turbada
130
133
135
136
139
140
141
operacin?
SI( )
NO( )
Se verifica identificacin:
a) De la terminal
b) Del usuario
c) No se pide identificacin
Se ha establecido qu informacin puede ser accesada y por qu
persona?
SI( )
NO( )
Se ha establecido un nmero mximo de violaciones en sucesin para
que la computadora cierre esa terminal y se de aviso al responsable de ella?
SI( )
NO( )
Se registra cada violacin a los procedimientos con el fin de llevar
estadsticas y frenar las tendencias mayores?
SI( )
NO( )
Existen controles y medidas de seguridad sobre las siguientes
operaciones?, Cules son?
( ) Recepcin de documentos
( ) Informacin confidencial
( ) Captacin de documentos
( ) Cmputo electrnico
( ) Programas
( ) Discotecas y cintotecas
( ) Documentos de salida
( ) Archivos magnticos
( ) Operacin del equipo de computacin
En cuanto al acceso de personal
( ) Identificacin del personal
( ) Polica
( ) Seguros
( ) Cajas de seguridad
( ) Otras lesoecifiauel
9.4 Seguros
Los seguros de los equipo en algunas ocasiones se dejan en segundo
termino aunque son de gran importancia. Existe un gran problema en la obtencin
de seguros ya que a veces el agente de seguros es una persona que conoce
mucho de seguros, riesgos comerciales, riesgos de vida, etc. Pero muy poco
sobre computadoras, y el personal de informtica conoce mucho sobre
computacin y muy poco sobre seguros.
144
145
147
150
151
Los equipos.
-
El equipo completo
El ambiente de los equipos
Datos y archivos
Papelera y equipo accesorio
Sistemas (sistemas operativos, bases de datos, programas de
utilera, programas)
El plan en caso de desastre debe considerar todos los puntos por separado
y en forma integral como sistema. La documentacin estar en todo momento tan
actualizada como sea posible, ya que en muchas ocasiones no se tienen
actualizadas las ltimas modificaciones y eso provoca que el plan de emergencia
no pueda ser utilizado.
Cuando el plan sea requerido debido a una emergencia, el grupo deber:
-
152
Por otro lado, se debe establecer una coordinacin estrecha con el personal
de seguridad a fin de proteger la informacin.
Respecto a la configuracin del equipo hay que tener toda la informacin
correspondiente al hardware y software del equipo propio y del respaldo.
Debern tenerse todas las especificaciones de los servicios auxiliares tales
como energa elctrica, aire acondicionado, etc., a fin de contar con servicios de
respaldo adecuados y reducir al mnimo las restricciones de proceso, se debern
tomar en cuenta las siguientes consideraciones:
- Mnimo de memoria principal requerida y el equipo perifrico que
permita procesar las aplicaciones esenciales
- Se debe tener documentados los cambios de software
- En caso de respaldo en otras instituciones, previamente se deber
conocer el tiempo de computadora disponible
Es conveniente incluir en el acuerdo de soporte recproco los siguientes
puntos:
- Configuracin de equipos
- Configuracin de equipo de captacin de datos
- Sistemas operativos
- Configuracin de equipos perifricos
Finalmente se deber estudiar que se tenga una lista de los requerimientos
mnimos que deben tener para un efectivo plan de recuperacin en caso de
desastre.
Lo ms importante es identificar el nmero y tipo de componentes
esenciales que puedan ser crticos en caso de emergencia o de desastre.
I
Proyecto en
el equipo
Es esencial
para procesar?
II
Unidades de disco (incluyendo controladores, nmero de unidades,
paquetes de discos, nmero de discos por paquete).
Fabricante
Nmero de
unidades
Capacidad
Proyectos en
que se usa
Es
esencial
para
procesar?
153
Nmero de Proyecto en Es
equipo
el que se esencial
conectado
usa
para
procesar?
Unidad/
modelo
Localizacin
Proyecto en el Es esencial
que se usa
para procesar?
IX Equipo adicional
- Electricidad KVA
- Aire acondicionado BTU
- Temperatura requerida
- Humedad requerida
Red de comunicacin
1. Descripcin de la red de comunicacin.
1.1 En caso de emergencia, es esencial el uso de la red de
comunicacin?.
Describa el porqu de su respuesta.
2. Programas necesarios para la comunicacin.
Identificacin
Fabricante
de los circuitos
Ejemplo
A++
Tipo/
Vaduz
Condicin
Velocidad
C-1
9600
Protocolo
Asncrono
Punto final
154
Servicio
dedicado
Multipunto
Computadora
Timeplex mux
Interfase
Dispositivo
Bell z/2
Tipo
Localizacin
ADM. II
Coyoacn
Mx. D.F.
155
10
__________________________________________________________________
Informe final
10.1 Tcnicas para la interpretacin de la informacin.
Para interpretar la informacin podemos utilizar desde tcnicas muy
sencillas hasta tcnicas complejas de auditora.
10.1.1 Anlisis crtico de los hechos
Una de las primeras tcnicas es el anlisis crtico de los hechos. Esta
tcnica sirve para discriminar y evaluar la informacin; es una herramienta muy
valiosa para la evaluacin y se basa en la aplicacin de las siguientes preguntas.
PREGUNTA
Qu
Dnde
Cundo
Quin
Cmo
Cundo
FINALIDAD
el propsito
el lugar
el orden y el momento, sucesin
la persona responsable
los medios
la cantidad
1. Propsito
a) qu se hace
b) por qu se hace
c) qu otra cosa podra hacerse
d) qu debera hacerse
2. Lugar
a) dnde se hace
b) por qu se hace ah
c) en qu otro lugar podra hacerse
d) dnde debera de hacerse
3. Sucesin
a) cundo se hace
b) por qu se hace entonces
c) cundo podra hacerse
d) cundo deber hacerse
4. Persona
a) quin lo hace
b) por qu lo hace esa persona
c) qu otra persona podra hacerlo
d) quin debera hacerlo
5. Medios
a) cmo se hace
b) por qu se hace de ese modo
c) de qu otro modo podra hacerse
d) cmo debera hacerse
6. Cantidad
a) cunto se hace
b) por qu se hace esa cantidad (volumen)
c) cunto podra hacerse
d) cunto debera hacerse
10.1.2 Metodologa para obtener el grado de madurez del sistema
Para poder interpretar la informacin de los sistemas debemos evaluar el
grado de madurez de los mismos.
- Verificar si el sistema est definido
- Verificar si el sistema est estructurado
- Verificar si el sistema es relativamente estable
- Verificar si los resultados son utilizados o no
157
CARACTERSTICAS
DEFINIDO
ESTRUCTURADO
ESTABLE
RESULTADOS
MADURO
COMPLETAMENTE
ALTO
NO CAMBIA
UTILIZADOS
INMADURO
INCOMPLETO
BAJA
MUCHOS CAMBIOS
NO UTILIZADOS
MADURO
INMADURO
NIVEL ESTRUCTURA
ESTRUCTURADO
SISTEMA
DE
INFORMACIN
GENERAL
SEMIESTRUCTURADO SISTEMA
SOPORTE
DE MANUAL
DE
DECISIONES
NO ESTRUCTURADO
INTUITIVO
SIN
RAZN
158
Anlisis conceptual
- Evaluar el sistema funcional
- Evaluar la modularidad del sistema
- Evaluar la segmentacin del sistema
- Evaluar la fragmentacin del sistema
- Evaluar la madurez del sistema
- Evaluar los objetivos particulares del sistema
- Evaluar el flujo actual de informacin
- Definir el contenido de los reportes y compararlo con el objetivo
2.
-
159
160
162
PRESUPUESTO
3. EVALUACIN ECONMICA
Aqu se obtiene el costo de una aplicacin y cuantifican los beneficios
esperados con el objeto de justificar o no su desarrollo, o comprobar que la
aplicacin se desarroll segn lo presupuestado.
Es importante para la organizacin obtener la evaluacin econmica que le
permitir justificar su desarrollo e implantacin.
Cuando la aplicacin ha sido realizada, se busca obtener el costo real
contra el beneficio real para comprobar o determinar el porqu de la diferencia de
los presupuestado y/o la calidad de la aplicacin.
Se debe evitar crear sistemas que perjudiquen la organizacin y minen su
economa. Hay que tratar de obtener el mayor beneficio con el equipo disponible e
invertir en equipos adicionales slo cuando est plenamente justificada la
inversin por los beneficios que se obtendrn.
4. EVALUACIN SUBJETIVA
Partiendo de la premisa de que los usuarios son los principales afectados
directamente por el sistema, sus puntos de vista y necesidades debern ser
considerados para la evaluacin.
Los que procesan los datos, el personal de sistemas y personal de alta
direccin debern tambin participar en la determinacin de los beneficios
econmicos de la actividad particular a ser desarrollada.
La justificacin de la evaluacin subjetiva se centra en que la opinin del
grupo usuario proporciona un punto de vista ms completo de la aplicacin,
ayudando a obtener aquellos factores que se hubieran pasado por alto.
Los mtodos de la evaluacin subjetiva pueden ser:
a) Uso de cuestionarios
b) Desarrollo de una metodologa que midiera el valor de la
informacin generada por la aplicacin y por la ganancia de su
uso.
10.4 Controles
Un punto muy importante a considerar dentro de la auditora en informtica
son los controles, los cuales se dividen en generales, operativos (dependiendo del
sistema) y tcnicos (equipos y sistemas).
165
167
implica
168
11
__________________________________________________________________
Diferentes
auditora
enfoques
de
la
11.1 Introduccin
170
Normas personales
Normas de ejecucin del trabajo
Normas de informacin
Normas personales
1. La evaluacin debe de ser realizada por una persona o personas que
tengan el entrenamiento tcnico y la capacidad profesional adecuada
para realizarla.
2. En todos los asuntos relacionados con el trabajo, el auditor o los
auditores deben mantener imparcialidad mental.
3. Tener el debido cuidado y diligencia profesional en el desarrollo de la
evaluacin y en la preparacin del informe.
Normas de ejecucin del trabajo.
1. El trabajo se debe planear adecuadamente y los colaboradores, si es el
caso, deben ser supervisados en forma adecuada.
2. Se debe efectuar un estudio y evaluacin del control interno existente
como base de la confianza que se va a depositar en l, y como
fundamento de la extensin de las pruebas a que debern sujetarse los
procedimientos de auditora.
3. Se debe obtener la evidencia suficiente y competente a travs de
inspecciones en el rea de trabajo, observaciones, investigaciones y
confirmaciones que permitan establecer la base razonable sobre la que
se apoya el dictamen a los sujetos a la revisin.
Normas de informacin
1. El informe deber expresar una opinin relacionada a cada una de las
reas evaluadas, haciendo referencia al cumplimiento o no de la
normatividad establecida en cada una de ellas, en caso de que no se
pueda dar una recomendacin adecuada, deber de establecer las
razones que lo llevan a ello.
171
Primer enfoque
Enrique Hernndez Hernndez autor del Libro "Auditora en Informtica" en
su segunda Edicin, escribe lo siguiente:
Que es necesario la implantacin en la empresa una estructura
organizacional que permita tener dentro de ella la funcin de auditora en
informtica, basada en las siguientes estrategias y cursos de accin
Estrategias:
1) Formalizar la auditora en informtica en la organizacin a travs de:
a) Cursos de accin que justifiquen el desarrollo de la funcin de
auditoria informtica en el negocio.
b) Presentar a la alta direccin el documento de justificacin.
c) Aprobacin del proceso por la alta direccin.
d) Difusin de la auditora en informtica en las reas relacionadas
directa e indirectamente con la informtica.
e) Desarrollo del proceso de auditora en informtica en el negocio.
2) Proporcionar a la empresa o institucin un proceso de auditora en
informtica permanente con objetivo de garantizar a la alta direccin:
a) Que la seguridad, polticas y procedimientos que se orientan hacia
los recursos de informtica y a la informacin que stos manejan
sean eficientes y confiables.
b) Apoyo a los objetivos del negocio al tomar decisiones con base a
informacin que cumpla con los requisitos mnimos exigidos por
auditora, como exactitud, totalidad, autorizacin, actualizacin, etc.
Asimismo, se cumplirn los requerimientos exigidos de calidad y
oportunidad.
c) La verificacin del uso de tecnologa que requiere y justifica cada
rea y nivel organizacional dentro del negocio.
d) La existencia de un proceso de evaluacin y justificacin de cada
proyecto de inversin relacionado con la funcin informtica.
e) La elaboracin y desarrollo formal de un proceso de planeacin en
informtica que se oriente al plan del negocio.
172
f)
Cursos de accin:
1. Lograr que la alta direccin, las reas o departamentos usuarios y el
personal, de informtica tomen conciencia de la necesidad de contar
con una funcin de auditora en informtica que asegure y oriente el uso
eficiente de los recursos involucrados con la misma.
2. Formalizar un procedimiento que contemple la difusin, asimilacin de
los planes, objetivos, beneficios y reas de oportunidad que representa
la auditora en informtica para la organizacin.
3. Una vez aprobada la creacin o contratacin de externos para el
proceso de auditora en informtica, se produce a la planeacin y
desarrollo formal del mismo.
4. El proceso de planeacin de la auditora en informtica ha de reflejar
proyectos que contemplen prioridades para la alta direccin, reas de
oportunidad para el negocio y evaluaciones que la funcin de auditora
en informtica considere fundamentales para el aseguramiento de la
calidad y uso eficiente de los recursos de informtica y de la informacin
manejada por dichos recursos.
5. Coordinar formalmente las visitas y reuniones necesarias con el
personal usuario y de la informtica involucrado en cada proyecto.
6. Ejecutar de manera formal y oportuna cada proyecto de acuerdo con lo
planeado.
7. Entregar a la alta direccin informes ejecutivos y detallados de cada
proyecto aprobado por el comit de trabajo. Dicho comit puede estar
integrado por la direccin general, gerentes usuarios, gerentes de
sistemas, gerentes de auditora interna y auditores externos.
8. Lograr que las reas y los niveles involucrados en los proyectos de
auditora en informtica que reconozcan la importancia que representa
el apoyo formal y oportuno que requiere este tipo de proyectos para la
implantacin de las soluciones emanadas del proceso.
9. Investigar, analizar y formalizar la metodologa de auditora en
informtica utilizado por el personal de la funcin con el objeto de
orientar los requerimientos actuales y futuros de la organizacin,
tomando en cuenta las polticas, procedimientos y estndares
recomendados a nivel nacional e internacional por las asociaciones y
entidades profesionales especializadas en el campo.
173
Independencia funcional.
Libertad de accin.
Facultad para la toma de decisiones.
Negociacin con los niveles gerenciales.
Involucramiento en proyectos de alto impacto para el negocio.
174
Beneficios
Comunicacin formal y
permanente entre la alta
direccin
y
los
responsables de auditora
en informtica
El proceso de auditora Apoyo
y
soporte
opera estratgicamente
constante de la alta
direccin a la funcin
Por lo general se haya en Objetivo
en
el
instituciones financieras, desempeo de la funcin
de crdito
Posibles limitaciones
El
seguimiento
del
desempeo de la funcin
por parte de la alta
direccin
En gran parte de las
empresas no se acepta la
auditora en informtica
No
existen
muchos
profesionales
con
experiencia, tcnicas y
habilidades
requeridas
para ejercer la funcin de
auditora informtica a un
nivel estratgico.
Existe un compromiso
permanente con la alta
direccin
Personal de auditora con
visin del negocio
175
Beneficios
La alta direccin la
considera una funcin
indispensable
para
observar el cumplimiento
de
polticas
y
procedimientos
de
informtica en el negocio
La
funcin
tienen
contacto
con
los
responsables para la
toma de decisiones
Se encuentra en los
diversos sectores de la
comunidad,
con
frecuencia en ciertas
instituciones de crdito,
gubernamentales y en
grado menor en el sector
industrial y educativo.
Se limita mucho al estilo Existen
asociaciones,
de trabajo del nivel consultores y escuelas
superior al que reporta
profesionales
que
impulsan diariamente la
formalizacin
de
la
funcin, al menos a un
nivel tctico.
Posibles limitaciones
Se debilita el compromiso
y soporte de la alta
direccin hacia la funcin
El
porcentaje
de
empresas que considera
importante contar con
una funcin a este nivel
es mnimo.
No
existen
muchos
profesionales
con
experiencia, tcnicas y
habilidades
requeridas
para ejercer la funcin de
auditora informtica a un
nivel tctico.
176
Ventajas/reas
oportunidad
de
Desventajas/restricciones
Las reas del negocio no
aceptan con facilidad ser
evaluadas por personal de la
misma empresa.
El director o gerente de
informtica
debe
ser
negociador y facilitador para
impulsar
el
proceso
de
auditora en informtica en
todo el negocio, no slo en su
rea
Ventajas/reas
oportunidad
de
Conocimiento
formal
y
oportuno de los proyectos e
inversiones de informtica
Desventajas/restricciones
Incertidumbre acerca de qu
anomalas,
carencias
e
incumplimiento de la funcin
informtica se hagan del
conocimiento de la alta
direccin de manera formal y
oportuna.
El enfoque de la auditora en
informtica es limitarse a ser
una entidad que sugiere, no
que controla o asegura
Se agiliza el proceso de
concientizacin en el personal
de
informtica
en
el
cumplimiento de polticas y
controles
177
Ventajas/reas
oportunidad
de
Desventajas/restricciones
La alta direccin debe dar
seguimiento al desempeo de
informtica con conocimiento
de causa
Se reduce el margen de error
en cada uno de los proyectos
de auditora en informtica al
ser evaluados por la alta
direccin.
Se orientan los proyectos de
informtica.
Ventajas/reas
oportunidad
de
Desventajas/restricciones
Pueden darse
informacin.
fugas
de
Se
exigen
resultados
y
beneficios desde el inicio de
los proyectos.
El tiempo de asimilacin de lo
que e el negocio puede
prolongarse.
178
179
180
181
Productos terminados
del Misin y objetivos del negocio
Organizacin de informtica
Grado de apoyo al negocio
Diagnstico
informtica
Detectar rea
oportunidad
de rea de oportunidad
mejoras inmediatas
para
Responsables Involucrados
LP/RAI
AD
LP/RAI
AS
LP/RAI
AD/PU
LP/RAI
RI
LP/RAI
LP/RAI
LP/RAI
RI
RI/PI
RI
LP/RAI
AD/PU/RI
Del negocio:
Giro de la empresa.
reas organizacionales y procesos bsicos que componen la
empresa.
Planes o proyectos del negocio que involucren a informtica.
Cultura organizacional.
Imagen del desempeo del departamento o rea de informtica
ante la alta direccin.
Apoyo de la direccin a informtica.
Fortalezas y debilidades de informtica, segn la alta direccin.
182
2)
2. Etapa de justificacin.
Una vez finalizada satisfactoriamente la etapa preliminar, el auditor en
informtica debe iniciar la siguiente etapa de la metodologa que corresponde a la
justificacin; cabe mencionar que en esta etapa el auditor puede llevara a cabo
actividades en paralelo lo que es vlido y justificado si ste cuenta con los
recursos y la experiencia necesarios en este tipo de proyectos.
Tareas
Reductos
terminados
Realizar matriz de Matriz de riesgos
riesgo
Responsables
de
Plan aprobado
Involucrados
LP/AI
RAI
LP/AID
RAI
LP
RAI/AI
LP
RAI/RI
Gerencia:
Fecha de elaboracin:
Lder del proyecto
reas susceptibles Aspectos o componentes Riesgo por Clasificacin del riesgo rea por auditar
de auditar
por evaluar del rea
componente por reas (Total)
Segn clasificacin
183
Gerencia:
Representante usuario:
Representante de informtica:
Aspectos o componentes
del rea por auditor
Fecha de elaboracin:
Lder del proyecto:
Prioridad
asignada
184
3. Compromiso ejecutivo, aqu se otorga el visto bueno al lder del proyecto para
continuar con las siguientes etapas de la metodologa.
En esta etapa, es necesario presentar para lograr el compromiso del
ejecutivo, los siguientes aspectos:
185
3. Etapa de adecuacin
El objetivo principal de esta etapa, es la de adaptar el proyecto de auditora
a las caractersticas del negocio, sin olvidar la referencia de estndares, polticas y
procedimientos de auditora en informtica comnmente aceptados y
recomendados por las asociaciones relacionadas con el proceso, as como las
formuladas y aprobadas de manera particular en los negocios para informtica.
Una vez concluida esta etapa, el auditor en informtica contar con un
proyecto bien especificado y clasificado adaptado a las necesidades de la
empresa en particular a travs de un conjunto de tareas estructuradas, definiendo
con certeza los objetivos y requerimientos particulares para concluir positivamente
la revisin de las rea mencionadas en el plan de auditora informtica.
En est etapa se obtiene como producto terminado, el plan detallado de
auditora en informtica, adems por rea de revisin deber definir:
186
Tcnicas y herramientas.
Estndares, polticas y procedimientos.
Cuestionarios.
Tareas
Productos terminados
Definir los objetivos Objetivos y alcances
del proyecto
proyecto
del
Responsables
LP
Involucrados
RAI
AI
AI
AI
AI
AI
LP
LP
LP
LP
LP
Definir
los Aspectos o elementos por
elementos por reas evaluar por cada rea de
de revisin
revisin
Tcnicas
Software
Equipo de cmputo
Otros de inters para el auditor
AI
LP
AI
AI
AI
AI
LP
LP
LP
LP
Definicin
o Polticas y procedimientos por
actualizacin
de verificar de cuerdo con cada
polticas por rea
rea que ser auditada
Polticas complementarias
AI
LP
AI
LP
Elaboracin
actualizacin
cuestionarios
rea
AI
LP
Cuestionarios adicionales
RAI
LP
187
Productos
Involucrados
Responsables
Revisiones
Duracin
Preliminar
Justificacin
Adecuacin
Formalizacin
Desarrollo
Implantacin
Actividades
Productos
Responsable
Terminados
Involucrados
Fechas inicio/
fecha trmino
Fecha
de revisin
4. Etapa de formalizacin.
Esta etapa puede llevarse a cabo al mismo tiempo que la etapa de
adecuacin si existen los recursos y los involucrados se encuentran disponibles.
Aqu una vez detectadas las debilidades, fortalezas ms importantes, de
haber definido las reas que sern auditadas, y tener todo documentado se busca
la aprobacin formal de la alta direccin la cual no debe de prolongarse
demasiado ya que en ya se obtuvo en la elaboracin del plan detallado en
informtica en la etapa de adecuacin el visto bueno de los usuarios clave y del
personal de informtica.
188
Responsables
LP
AI/LP
revisado
de
la
Fechas de entrevistas
Fechas de visitas
Fechas para la aplicacin de
cuestionarios.
Involucrados
RAI
RAI
AI
AI
LP
LP
RAI
AD/PU/RI
AD/PU/PI
AD
LP
RAI/LP
RAI/RI/PU
AD/PU/PI
RI
PI/PU
PI/PU
LP/AI
LP/AI
LP/AI
LP
LP
LP
PI/PU
PI/PU
PI/PU
189
alcance del proyecto de tal forma que se defina la cobertura especfica que tendr
el proyecto, adems de aclarar qu se realizar que vendran a ser las tareas y
etapas y los resultados que seran los productos terminados que se obtienen de
cada una de las etapas de la metodologa.
La presentacin formaldel plan de auditora en informtica en una de las
tareas ms importante para el lder del proyecto en informtica ya que esto le
permitir obtener la aprobacin formal del proyecto por parte de la alta direccin
de la empresa y dar paso a la siguiente etapa de la metodologa, por lo que es
importante tomar en cuenta algunas actividades primordiales para su aprobacin,
como son:
5. Etapa de desarrollo.
Est es la etapa ms importante del auditor en informtica, ya que aqu es
donde va a ejercer su funcin prctica de acuerdo con los estndares, normas y
procedimientos recomendados por las asociaciones profesionales como la AMAI
(Asociacin Mexicana de Auditora en Informtica) o el IMCP (Instituto Mexicano
de Contadores Pblicos).
190
Productos terminados
Fechas
aprobadas
actualizadas
Responsables
AI
Involucrados
PI/PU
Verificar
tareas,
involucrados, etc.
AI
PI/PU
Clasificar
tcnicas,
cuestionarios
y
herramientas por usar
Tcnicas clasificadas
Cuestionarios clasificados
Herramientas clasificadas
AI
AI
AI
LP
LP
LP
Efectuar entrevistas
Entrevistas realizadas
Entrevistas documentadas
Entrevistas analizadas
AI
AI
LP/AI
PI/PU
AI
RAI
Aplicar cuestionarios
Cuestionarios aplicados
Cuestionarios documentados
Anlisis de cuestionarios
AI
AI
LP/AI
PI/PU
AI
RAI
Visitas realizadas
Comentarios documentados
Anlisis de comentarios
AI
AI
LP/AI
RI/PI/PU
AI
RAI
AI
LP
AI
AI
LP
LP
AI
LP
AI
LP
AI
LP
AI
LP
Efectuar
visitas
verificacin
de
Observaciones (acerca de
debilidades o carencia de
controles)
reas de oportunidad
Alternativas por cada rea de
oportunidad detectada
Recomendaciones (acciones
especficas) por alternativa
Responsables de ejecutar
cada accin
Plazos de ejecucin por
accin
reas auditadas clasificadas
191
Informe
documentado,
almacenado y clasificado
AI
LP
Borrados de auditora en
informtica revisado
LP
RAI/AI
LP
AI
LP
AD/PI/PU
PI/PU/AI
LP
LP
AD/PI/PU
Efectuar
entrevista,
cuestionarios y visitas
complementarias
Entrevistas, cuestionarios y
vistas pendientes realizados
Informe
actualizado
con
observacin de las reas
auditadas
LP/AI
PI/PU
AI
LP
AI
LP
RAI
LP/AI
AI
AI
LP/AI
RAI
AI
LP
LP/AI
RAI
LP/AI
RAI
Informe de auditora en
informtica y plan aprobados
AD/RI/PU
RAI/LP
RAI
AD/RI/LP
LP/AI
PI/PU
AD/RI/PU
RAAI/LP/PI
AD/RI
RAI/LP/PU
AD/RI
RAI/PU
192
193
Productos terminado
Responsables
Involucrados
Definir
requerimiento Recursos
humanos,
para el xito del plan de tecnolgicos y financieros
implantacin
requeridos para el xito de la
implantacin sugerida por
auditora en informtica
Recursos aprobados
Personal de trabajo para la
implantacin
Equipo de trabajo aprobado
Funciones
y
responsabilidades
Fechas de revisin
Resultados esperados
Anlisis costo / beneficio
revisado
Anlisis costo / beneficio
revisado
Inicio de la implantacin
RI/PU
LP
AD
RI/PU
RI/PU/LP
LP
AD
RI/PU
RI/PU/LP
LP
RI/PU
RI/PU
RI/PU
LP
LP
LP
AD
RI/PU/LP
RI/PU
LP
RI/PU
LP/AI
PI
AI/PU
RI
AI/PU
194
Acciones de seguimiento
seleccionadas
Seguimiento
de
la
implantacin
Revisiones informales
Revisiones formales
Aseguramiento de calidad
Implantacin exitosa final
Implantacin aprobada
AD
PI/PU/LP
PI/PU
PI/PU
RI
AD/PI/PU
RI
RI
AD/RAI/LP
RI/RAI/LP
LP
RAI/AI
LP
AI
LP
LP
LP
LP
RAI
AI
AI
RAI
RAI
RAI
195
Auditora de sistemas.
Auditora administrativa
Auditora financiera / contable
Etc.
196
Segundo enfoque
El autor Jos Antonio Echenique en su libro titulado Auditora en
Informtica, hace mencin del desarrollo que han presentado las empresas a
travs del tiempo mediante la utilizacin de la tecnologa informtica para el
procesamiento de datos para la generacin de informacin, que es usada para la
toma de decisiones y la cual para que realmente pueda ser til debe de ser:
confiable, veraz y oportuna.
Las estructuras organizacionales en las empresas tambin ha venido
cambiando de tal forma que existe una descentralizacin de equipos aunada a una
centralizacin de informacin provoca una gran diversidad de problemas para la
toma de decisiones y organizacin de las reas de informtica. Por lo que unos de
los problemas ms frecuentes dentro de las reas de informtica es la falta de
organizacin que les permita realizar su trabajo de una forma eficiente y eficaz que
les permita avanzar al ritmo de las exigencias de la organizacin.
No resulta extrao que existan reas de informtica en donde no se
conozca el uso adecuado de las tcnicas y herramientas por parte del personal
originado una serie de problemas que provocan el incumplimiento o interrupcin
de la funcin informtica; por lo que es necesario establecer los controles
preventivos, correctivos y detectivos a travs de un seguimiento por funcin para
lograr establecerlos de manera permanente y disminuir la incertidumbre de fallas
imprevistos que originan prdida de recursos humanos, materiales y econmicos.
Por lo anterior expuesto, es necesario tomar conciencia de la importancia
de la auditora en informtica dentro de las empresas llevada a cabo por personal
de la empresa o por asesores externos.
En este estudio el autor divide su revisin en tres partes:
1. Evaluacin de la funcin informtica.
2. Evaluacin de los sistemas.
3. Evaluacin del proceso de datos y de los equipos de cmputo,
incluyendo la evaluacin de la seguridad.
La auditora en informtica inicia con una planeacin de la auditora en
informtica que debe sealar en forma detallada el alcance y direccin esperados
y debe comprender un plan de trabajo para que, en caso de que existan cambios o
condiciones inesperadas que ocasiones modificaciones al plan general, sean
justificadas por escrito. La planeacin de la auditora en informtica, se hace de
acuerdo a tres puntos de vista:
197
198
199
En
revisan:
1.
2.
3.
4.
200
201
12
__________________________________________________________________
Conclusiones
La globalizacin de la economa y el aumento de volmenes de informacin
en las organizaciones tanto a nivel nacional como mundial hace necesario la
implementacin e implantacin de tecnologas modernas, que originan algunas
ventajas y desventajas, como:
a) una acentuada dependencia hacia los sistemas de informacin
que la genera,
b) creacin de reas de oportunidad,
c) aumento considerable a la comisin de delitos informticos por
personal externo o interno a la organizacin,
d) generacin de informacin de forma ms eficiente, e) altos
costos por compra o desarrollo de software, f) altos costos de
inversin inicial...
lo que hace necesario la bsqueda de un mbito adecuado para evitar al mximo
las prdidas por las debilidades o amenazas que presenta la organizacin; y es
aqu donde la auditora en informtica cobra importancia, ya que con su
desarrollo se logra el aseguramiento continuo de que los recursos de informtica
operen en un ambiente de seguridad y control eficientes; para lograr proporcionar
a los altos directivos de las organizaciones informacin para la toma de decisiones
que cumpla con los conceptos bsicos de integridad, totalidad, exactitud,
confiabilidad, etc., ya que su mbito de accin se centra, en revisar y evaluar: los
procesos de planificacin, inversin en tecnologa, organizacin, los controles
generales y de aplicacin en proyectos de automatizacin de procesos crticos, el
soporte de las aplicaciones, aprovechamiento de las tecnologas, sus controles
especficos; los riesgos inherentes a la tecnologa, tales como, la seguridad de sus
recursos, redes, aplicaciones, comunicaciones, instalaciones y otras.
202
Errores en el tiempo
Como se puede apreciar, con un seguimiento por excepcin la cantidad de
errores es frecuente y su impacto es elevado. Prcticamente, al no analizar las
causas y no establecer los controles, la probabilidad de que un mismo tipo de error
se presente de nuevo es alta; y sumada la frecuencia el impacto se vuelve crtico.
2. Seguimiento por funcin.
Aqu el error se analiza, se corrige y se deja establecido un control, tender
necesariamente a su eliminacin, o cuando menos, a su aparicin en espacios de
tiempo ms aislados. La aparicin repetida en este caso puede obedecer a la
misma dinmica de los sistemas. Al cambiar stos, pueden hacer que un
procedimiento establecido ya no sea adecuado. El impacto tiende a minimizarse.
Grficamente puede visualizarse as:
203
Descoordinacin y desorganizacin
Debilidades econmico-financiero
Inseguridad (lgica, fsica, confidencialidad)
2.
3.
para contrastar los resultados de los auditores internos con los de los
externos,
204
205
BIBLIOGRAFA
[1] Hernndez Hernndez, Enrique; Auditora en informtica; Editorial CECSA,
2 edicin
[2] Echenique, Jos Antonio; Auditora en informtica; Editorial Mc Graw Hill,
primea edicin.
[3] http://www.monografas.com/trabajos3/concepaudit/concepaudit.shtml;
[4] http://www.monografias.com/trabajos/auditoinfo/auditoinfo.shtml;
[5] http://www.monografas.com/trabajos/maudisist/maudisist.shtml;
Portales, Diego; Centro de formacin tcnica, Chile.
[6] http://www.lafacu.com/apuntes/informaticalaudit inforldefault.htm;
canaves@infovia.com.ar
[7] http://dmi.uib.es/-bbuades/auditorialsid003.htm; Gabrial Buades
206
ANEXOS
207
Anexo 1
PROGRAMA DE AUDITORIA EN INFORMTICA
ORGANISMO_____________________________ HOJA N___________DE______
FECHA DE FORMULACIN______________
FASE
DESCRIPCIN
ACTIVIDAD
NM.
DEL PERSONAL
PARTICIPANTE
PERIODO
ESTIMADO
INICIO TRMINO
DAS
HAB.
EST.
DAS
HOM.
EST.
Anexo 2
AVANCE DEL CUMPLIMIENTO DEL PROGRAMA
DE AUDITORIA EN INFORMTICA
ORGANISMO______________________HOJA N___________DE_________
FECHA DE FORMULACIN____________
FASE
SITUACIN DE LA AUDITORIA
PERIODO REAL
AUDITORIA
NO
INICIADA
INICIADA
EN
PROCESO
TERMINADA
DE
LA
TERMINADA
DIAS
REALES
UTILIZADOS
GRADO
DE
AVANCE
DIAS
HOMBRE
EST.
EXPLICACIN
DE
LA
VARIACIONES
EN RELACIN
CON
LO
PROGRAMADO
Anexo 3
CONTROL DE PROYECTOS
NOMBRE DEL PROYECTO______________________________________________________________PROYECTO N_________
COORDINADOR________________________________________________________________________FECHA________________
(anotar en la primera lnea las fechas estimadas y en la segunda las reales)
N
ACTIVIDADES
RESPONSABLE
ENE
FEB
MAR
ABR
MAY
JUN
JUL
AGO
SEP
OCT
NOV
DIC
Anexo 4
CALENDARIO DE ACTIVIDADES
ANLISIS Y PROGRAMACIN
RESPONSABLE
APLICACIN
FECHA
HOJA_________DE
NM
DE
ACT.
DESCRIPCIN
% DE AVANCE
0 1 2 3 4 5 6 7 8 9 1 MES:
0 0 0 0 0 0 0 0 0 0 SEMANA 1 SEMANA 2
0
E
R
E
R
E
R
E
R
E
R
E
R
E
R
E
R
E
R
E
R
E
R
E
R
E
R
E
R
E
R
E
R
E = ESTIMADO
R= REAL
SEMANA 3
SEMANA 4
SEMANA 5
Anexo 5
FECHA_____________
CONTROL DE ACTIVIDADES DEL PROGRAMADOR
SISTEMA__________________________________________________________
PROGRAMA________________________IDENTIF.________________________
PROGRAMADOR___________________________________________________
ACTIVIDAD
PLANEADO
INICIO TERMIN.DIF.
REAL
INICIO TERMIN. DIF.
DIF.
1. ANLISIS
2. DIAGRAMA LGICO
3. CREC. DE PRUEBAS
4. PRUEBA ESCRITORIO
5. CODIFICACIN
6. CAPTURA
7. COMPILACIN
8. GENER. PRUEBAS
9. DEPURACIN
10. PRUEBAS
11. VERIF. PRUEBAS
12. CORRECCIONES
13. DOCUMENTACIN
FINAL
ESPECIFICAR EL NMERO DE
COMPILACIONES REALIZADAS______________________________________
PRUEBAS REALIZADAS____________________________________________
OBSERVACIONES
Anexo 6
FECHA________________
REPORTE SEMANAL DE LOS RESPONSABLES DE SISTEMA
SISTEMAS
METAS FIJADAS
METAS ALCANZADAS
COMENTARIOS
RECURSOS
SISTEMAS
MOV. EJECUTIVOS
HRS. PROGRAM.
HRS. ANLISIS
HRS. PRUEBA
Anexo 7
CONTROL DE PROGRAMADORES
PROGRAMA
A
REALIZAR
NOMBRE
DEL
RESPONSABLE
DIAGRAMA DE
FLUJO
FECHA FECHA
INIC.
FINAL
CODIFICACIN
FECHA
INIC.
FECHA
FINAL
CAPTURA
FECHA
INIC.
FECHA
FINAL
PRUEBAS
FECHA
INIC.
FECHA
FINAL
IMPLANTACIN
FECHA
INIC.
FECHA
FINAL
OPERACIN
FECHA FECHA
IMC.
FINAL
Anexo 8
CONTROL DE PROGRAMACIN
NOMBRE
COD. FECHA TIEMPO DE
DEL
DEL DE
PROGRAMACIN
PROGRAMA PROG. ENTR.
EST.
REAL
GRADO
DIFICULTAD
DE
P R C A 0
Anexo 9
FECHA____________
PLANEACIN DE PROGRAMACIN
SISTEMA_____________________________________________________
PROGRAMADOR_______________________________________
FASE___________________________________________
PROGRAMA_____________________________________
NM
PRIOR.
DURAC.
EN
DAS
FECHA DE ENTREGA
ORIGI.
'ACTUAL
REAL
Anexo 10
HOJA DE PLANEACIN DE ACTIVIDADES
SISTEMA:
FECHA
USUARIO:
CLAVE
ACTIVIDAD
ACTIVIDADES
FECHAS REALES
INIC.
TERM.
NM.
PROD.
HOJA
FECHA DE ENTREGA
ORIG.
ACTU.
REAL
DE
Anexo 11
INFORME DE AVANCE DE PROGRAMACIN
FECHA:
SISTEMA:
HOJA
DE
RESPONSABLE:
NM.
FASE
NM.
PROG.
Anexo 12
CONTROL DE AVANCE DE PROGRAMACIN
SISTEMA_______________________________________FECHA_____________
PROGRAMADOR___________________________________________________
FECHA REAL
DAS
INICIO TERMIN
CDIGO DE ACTIVIDADES
NM.
DE
PROG
NUM
DE
COMP
OBSERVACIONES
A INTERPRETACIN
B DIAGRAMACIN LGICA
C CREACIN DE PRUEBAS
D PRUEBAS DE ESCRITORIO
E CODIFICACIN
F CAPTURA
G COMPILACIN
H CREACIN DE PARALELO
1 DEPURACIN
J PRUEBAS EN PARALELO
K VERIFIC. DE PRUEBAS
L CORRECCIONES
M DOCUMENTACIN
HOJA
DE
NUM
DE
PRUE
Anexo 13
FECHA_______________
AVANCE DE PROGRAMA
SISTEMA__________________________________________________________
FECHA DE INICIO__/__/__
PROGRAMA
NM
NOMBRE
FECHA DE TERMINACIN___/___/___
GDO.
A B C D E F G H I J K L M DIF.
FECHA
TERMIN.
PERSONA
ASIGNADA
INTERPRETACIN
DIAGRAMACIN LGICA
CREACIN DE PRUEBAS
PRUEBAS DE ESCRITORIO
CODIFICACIN
CAPTURA
COMPILACIN
H
I
J
K
L
M
GENERACIN DE PRUEBAS
DEPURACIN
PRUEBAS
VERIFICACIN DE PRUEBAS
CORRECCIONES
CORRECCIONES
Anexo 14
HOJA DE PLANEACIN DE ACTIVIDADES Y CONTROL DE AVANCE
SISTEMA:
CLIENTE:
PROGRAMADOR___________________________________________________
PROGRAMA__________________________ FASE______________________
CLAVE
ACTIVIDAD
ACTIVIDADES
FECHA
FECHA REALES
INICIA TERMINA
HOJA
NM
PROD.
FECHAS DE ENTREGA
ORIGI. ACTU.
REAL
DE