PRESENTACION El Instituto Nacional de Estadstica e Inform tica (INEI), en su calidad de ente central y rector de los Sistemas Nacionales de Estadstica

ca e Inform tica y , como tal responsable de que las actividades inform ticas oficiales se desarrollen bajo una normatividad tcnica comn, se complace en presentar el manual "Auditora de Sistemas". El objetivo del presente manual es colaborar al establecimiento y/o implantacin y documentacin de los procedimientos y normas de control que permitan el uso correcto de los equipos de procesamiento autom tico de datos, tratando de que el Servicio Inform tico sea lo adecuado, coherente, continuo y confiable que se espera. El presente manual consta de seis Captulos: el Captulo I, Evaluaciones y Controles, presenta una visin integral de los aspectos a controlar en una Auditora de Sistemas. En el Captulo II, Instrumentos de Control, se realiza una descripcin de los formularios de control a utilizar en la Evaluacin del sistema. El Captulo III, trata sobre el Control de Sistemas en funcionamiento y describe el plan de trabajo para la evaluacin de los Sistemas en Operacin. En el Captulo IV, Metodologa de Pruebas del Sistema se detallan las modalidades b sicas de pruebas y las consideraciones a tomarse en cuenta para su ejecucin. El Captulo V, Control Interno al Servicio Inform tico, evala la organizacin del Area de Servicio Inform tico y su entorno organizacional y el efecto sobre el Sistema en si. Finalmente en el Captulo VI, De los Servicios Externos de Computacin, se dan los lineamientos para la evaluacin del desempeo de los servicios contratados a terceros para la ejecucin de funciones del Area de Sistemas. Asimismo, el documento presenta un Glosario de Trminos, para guiar y orientar al lector en los conceptos y terminologa empleados en este Manual. El INEI, con el fin de apoyar a una mejor gestin de los servicios Inform ticos, pone a disposicin de las Entidades Pblicas, Privadas, estudiantes y pblico en general, este Manual, agradeciendo a los Integrantes del Sistema Nacional de Inform tica, as como a todas las personas que han contribuido de alguna manera a la realizacin de la presente edicin.

Lima, Abril de 1996

INSTITUTO NACIONAL DE ESTADISTICA E INFORMATICA

Econ. FELIX MURILLO ALFARO JEFE

EVALUACIONES Y CONTROLES

AUDITORIA DE SISTEMAS La Auditora de Sistemas es el conjunto de tcnicas que permiten detectar deficiencias en las organizaciones de inform tica y en los sistemas que se desarrollan u operan en ellas, incluyendo los servicios externos de computacin, que permitan efectuar acciones preventivas y correctivas para eliminar las fallas y carencias que se detecten. Se verifica la existencia y aplicacin de todas las normas y procedimientos requeridos para minimizar las posibles causas de riesgos tanto en las instalaciones y equipos, como en los programas computacionales y los datos, en todo el mbito del Sistema: usuarios, instalaciones, equipos. Las Instituciones efectan Auditoras de Sistemas, con la finalidad de asegurar la eficiencia de las organizaciones de inform tica, as como la confiabilidad y seguridad de sus sistemas.

ASPECTOS

A CONTROLAR

Para lograr desarrollar e implantar un Sistema con Calidad, dentro de los plazos y costos previstos, cuyos beneficios sean los planificados, es necesario controlar que: El Proyecto de Desarrollo de Sistemas est enmarcado Plan General de Sistemas. dentro del

El Cronograma del Proyecto sea realista y el Sistema est operativo en forma oportuna, de acuerdo a las necesidades de la Institucin. Se aplique la Metodologa de Desarrollo de Sistemas. Exista un control permanente de la consistencia de los Sistemas Inform ticos. La Calidad del Sistema operatividad del mismo. producido, y confiabilidad una ptima

permita

La tecnologa utilizada sea la m s adecuada a los fines del sistema y permita una vida til satisfactoria para la inversin realizada. Los Costos, tanto del desarrollo como de su operacin y mantenimiento, sean los planificados y exista un retorno de la inversin. Se hayan logrado los beneficios esperados.

1.1 El Proyecto de Desarrollo de Sistemas est enmarcado dentro del Plan General de Sistemas. Para asegurar que el Sistema a desarrollar o desarrollado logre estar integrado y tenga todas las interfases con los dem s sistemas, es necesario se compruebe que es uno de los componentes del Sistema Global de Informacin de la Institucin y est interrelacionado con otros sistemas, a travs del intercambio de informacin o acceso a informacin comn. 1.2 El Cronograma del Proyecto permita o haya permitido que el Sistema est operativo oportunamente. Debe verificarse que exista un Cronograma del Desarrollo del Sistema, usando el mtodo de Gantt como mnimo, siendo ideal utilizar adicionalmente el PERT-CPM. Se evaluar , de acuerdo a la estacionalidad del ciclo operativo del sistema, si el inicio de la implantacin y puesta en marcha es acorde con las necesidades de la Institucin, debiendo empezar, de ser factible, simult neamente al comenzar el ciclo administrativo, de tal forma que se evite la puesta al da de informacin 1.3 Se aplique la Metodologa de Desarrollo de Sistemas. La forma m s adecuada para asegurar que el Sistema se desarrolle de acuerdo a una metodologa, consiste en verificar dos aspectos: Que cuente con toda la Implantacin del Sistema. documentacin del An lisis, Diseo e an lisis y

Que se hayan aplicado correctamente las tcnicas de diseo de Sistemas. Documentacin de Sistemas:

Si el control es realizado preventivamente, la documentacin deber ser revisada al finalizar cada sub-etapa, siendo recomendable que se revise internamente en la Direccin de Inform tica, previa a la entrega del mismo al Comit del Sistema. Deber llevarse un Registro de la Documentacin generada, para efectos de seguimiento permanente y control posterior. Deber contarse con la firma de conformidad del usuario de la

documentacin que ste deba aprobar. Si el control es realizado posteriormente, deber verificarse la existencia de toda la documentacin y la aprobacin del usuario. Con la documentacin de sistemas generada, se debe verificar que todas las etapas y sub-etapas de la Metodologa de An lisis, Diseo, Programacin e Implantacin de Sistemas se hayan ejecutado, con resultados satisfactorios. Aplicacin de Tcnicas : Se deber verificar que se hayan utilizado las tcnicas adecuadas para cada etapa y sub-etapas del desarrollo e implantacin del Sistema. Para cada etapa se aplicar n las siguientes tcnicas : An lisis de Sistemas : Entrevistas. Diagrama de Flujo de Datos (D.F.D.). Modelizacin de Datos. Diagrama de Estructura de Datos (D.E.D.). Historia de Vida de la Entidad (H.E.V.). An lisis de Costo-Beneficio (A.C.B.). Prototipeo. Diseo de Sistemas : Diseo Estructurado. Diagrama de Estructura de Cuadros. Optimizacin del Diseo Fsico. Diseo de Pruebas. Prototipeo. Programacin : Programacin Estructurada. Pruebas Unitarias. Pruebas de Integracin. Prueba del Sistema. Implantacin de Sistemas : - Capacitacin. - Creacin de archivos iniciales. - Proceso en paralelo. 1.4 Exista un control permanente de la consistencia y confiabilidad de los Sistemas Inform ticos. Deben existir los controles especficos de : - Deteccin de errores. - Prevencin de acceso no autorizado y mal uso de la informacin y

del equipo. - Controles ambientales y

seguridad.

1.5 La Calidad del Sistema producido sea tal que permita una ptima operatividad del mismo. Este aspecto, adem s de ser evaluado por un especialista en Sistemas, debe tambin ser verificado con el rea usuaria, ya que ella puede dar su apreciacin del sistema, en forma real y responsable, porque se encargar de operarlo y administrarlo. La informacin garantizar que: - Cumpla con los requerimientos del usuario, fase de An lisis y Diseo del Sistema. establecido en la

- La secuencia de trabajo u operacin del sistema, sea el mismo que el de proceso real. - El sistema sea totalmente operado con: . Gua al usuario. . Ayudas permanentes en lnea. - El tiempo datos. de respuesta sea adecuado para el volumen real de

- El consumo de recursos de cmputo sea razonable y est dentro de lo previsto. - Responda a todas las bifurcaciones posibles sistema. - La interfase-usuario comprensin sea adecuada y de en la operacin del f cil manejo y de del

- Se disponga de todas las facilidades utilitarias reorganizacin de archivos y copias de respaldo. - Se disponga sistema. de procedimientos de respaldo ante cadas

1.6 La tecnologa utilizada sea la m s adecuada a los fines del sistema, y permita una vida til satisfactoria para la inversin realizada. Se debe verificar adecuados: que los siguientes elementos sean los m s

Equipos. Sistema de Red. Sistema de Base de Datos. Sistema de Comunicaciones. Lenguaje de Programacin.

Es conveniente indicar que en algunas organizaciones se define en forma global toda la plataforma de Hardware y Software a utilizar como standard para la Institucin, quedando en este caso tratar de aprovecharla al m ximo.

Sin embargo, existen organizaciones en la que se dan soluciones departamentalizadas con interfases entre ellas, manteniendo cierta independencia entre si. A continuacin mencionamos algunas consideraciones que se deben tener en cuenta para evaluar si el equipamiento y software es adecuado para el sistema. Equipos : Se deber utilizar los equipos adecuados, de acuerdo al tipo de sistema desarrollado. Si la aplicacin es monousuaria, se requerir un equipo que tenga independencia de operacin, debiendo contar individualmente con la potencia del caso para soportar todo el procesamiento. En caso de que el sistema sea multiusuario, deben utilizarse equipos terminales conectados a un servidor, debiendo estar balanceados adecuadamente los recursos entre ambos, de tal forma de contar con el tiempo de respuesta requerido. Sistema de Red : Dependiendo del tipo de Sistema, se deber utilizar el tipo de plataforma de Red que m s convenga. Si el sistema es cerrado y netamente operativo con un criterio de procesamiento centralizado, pueden utilizarse los Sistemas orientados a la centralizacin y si el sistema es de filosofa abierta y descentralizada, se deben utilizar redes de este tipo. Sistema de Base de Datos : En funcin a las necesidades del sistema se debe utilizar la plataforma necesaria de Base de Datos. Para aplicaciones sencillas e independientes, se utiliza el manejador de base de datos del lenguaje. Sin embargo, para aplicaciones corporativas, se utilizan manejadores de base de datos relacionales de nivel, as como para aplicaciones de tipo cliente-servidor. Sistema de Comunicaciones : Este es un factor importante a evaluar en funcin a la naturaleza del sistema. Muchas veces el sistema debe instalarse en una tipologa de comunicaciones pre-establecida y hay que tratar de aprovecharla al m ximo. Sin embargo, si el diseo de las comunicaciones pudiera estar correlacionado con el sistema, permitira un mejor desempeo de las mismas. Se debe evaluar si el lenguaje a utilizar o ya utilizado es el m s conveniente, dependiendo de las necesidades de eficiencia y facilidad de desarrollo y explotacin, por lo que deben evaluarse los siguientes factores : - Tiempos de procesamiento y respuesta. - Facilidades en tiempos de programacin y mantenimiento de sistemas. - Rapidez en el desarrollo de sistemas a travs de generadores de programas.

- Ambientes gr ficos. 1.7 Que los Costos, tanto del desarrollo as como de su operacin y mantenimiento, sean los planificados y que exista un retorno de la inversin. El proyecto general, el Sistemas. para cual ser aprobado debe contar con un presupuesto debe ser detallado en la fase de An lisis de

Los componentes de costos deben ser : . Costos de Personal de Sistemas y del Usuario. . . . . . . . . . . Costo de Supervisin. Costos de Equipamiento. Costos de Originales de Software de Base. Costos de Instalaciones y Servicios. Costo de Relevamiento de Datos. Costo de Capacitacin. Costo de Creacin de Archivos Maestros. Costo de Procesamiento en Paralelo. Costo de Produccin. Costo de Mantenimiento.

El control de costos debe efectuarse por etapas : . . . . 1.8 An lisis y Diseo del sistema. Programacin del sistema. Implantacin del sistema. Operacin del sistema. los beneficios esperados.

Se hayan logrado

Una vez puesto en operacin el sistema, se debe esperar que transcurran por lo menos dos perodos de procesamiento para evaluar si los beneficios del sistema se han logrado, tanto en las ventajas esperadas por su implantacin, como los beneficios econmicos que estaban planificados.

INSTRUMENTOS DE CONTROL Los Elementos e Instrumentos de Control individual o en forma conjunta son : LA a utilizar en forma

Documentacin de las Sub-etapas del Desarrollo e Implantacin de Sistemas. Reuniones de Revisin Tcnica. Benchmark o pruebas del sistema. Formularios de Control. DOCUMENTACION DE LAS SUB-ETAPAS DEL DESARROLLO E IMPLANTACION DEL SISTEMA

La primera informacin que debe servir de base an lisis para el control del sistema lo documentacin generada en las diferentes fases implantacin del sistema.

para efectuar un constituye la de desarrollo e

La documentacin debe leerse detenidamente con la finalidad de: . . . . . Comprender la concepcin del sistema. Planificar el contenido de las reuniones de revisin tcnica. Determinar los vacios o carencias de informacin. Elaborar los cuestionarios de consultas. Efectuar el control del Sistema, con un conocimiento slido del mismo. El tcnico que efecte el control del sistema debe tomar conocimiento completo de la documentacin escrita existente, de tal forma de reducir el tiempo del proceso de auditora del sistema y brindar resultados en corto plazo.

REUNIONES DE REVISION TECNICA Un aspecto fundamemental para efectuar un buen control del sistema son las Entrevistas de Revisin Tcnica, ya que la documentacin en la mayora de los casos es muy escasa y deficiente y generalmente cubre solo una parte de la informacin y las entrevistas permiten complementar la informacin tcnica y recabar opiniones sobre deficiencias del sistema. Las reuniones de Revisin Tcnica, debe estar debidamente planificadas y contar con formularios de los temas y consultas a tratar, para evitar olvidar cualquier aspecto fundamental para el an lisis y la investigacin. Las reuniones de Revisin Tcnica deben efectuarse con todas las personas que participaron en el desarrollo e implantacin del sistema, as como los que operan y utilizan el sistema. Deben efectuarse reuniones de Revisin Tcnica con cada participante en forma separada para lograr informacin y opiniones libres e independientes de cada uno de ellos, despus de las reuniones individuales puede efectuarse una reunin global para determinar las conclusiones de consenso. Las Entrevistas de Revisin Tcnica deben efectuarse con la o las siguientes personas que llevaron o llevan a cabo las siguientes funciones: . . . . . . El Analista de Sistemas. El Programador. El Implementador. El/los Operadores del Sistema. Los Usuarios Operativos que utilizan el Sistema. Los Usuarios que utilizan la informacin para la toma de decisiones.

En todo caso deben consultarse los factores que limitaron el desar-

rollo, implantacin, operacin y uso del sistema, as como las deficiencias, aspectos de confiabilidad y seguridad, en funcin de cada persona.

BENCHMARK O PRUEBAS DEL SISTEMA Instrumento vital para evaluar la confiabilidad del Sistema es lo que se denomina Benchmark o Pruebas del Sistema. No basta con evaluar el sistema tomando conocimiento de su documentacin y sosteniendo reuniones de revisin tcnica con el personal involucrado, lo fundamental que demuestra la buena funcionalidad y confiabilidad del sistema es efectuar procesos de prueba simulando situaciones extremas de tal forma de determinar si el sistema responde a lo especificado y es confiable produciendo resultados correctos en los tiempos esperados. Es por eso que se deben realizar Benchmark o procesos de prueba especiales tales como: . . . . Prueba Prueba Prueba Prueba de de de de carga m xima. almacenamiento. tiempo de ejecucin. recuperacin.

FORMULARIOS DE CONTROL Para efectos de registrar y controlar preventivamente el desarrollo e implantacin del Sistema o evaluarlo posteriormente, es necesario utilizar formularios denominados de control, cuya relacin se indica a continuacin: . . . . . . Control de Cronograma del Proyecto. Control de Documentacin de Sistemas. Control Tcnico del An lisisdel Sistema. Control Tcnico del Diseo del Sistema. Benchmark o Prueba real del Sistema. Control de la Implantacin.

En las siguientes p ginas se incluyen los diseos de los Formularios de Control. 2.1 Control de Cronograma del Proyecto :

Para efectos de controlar o evaluar el cumplimiento de los plazos y la duracin de las etapas del sistema y por razones de sencillez se recomienda utilizar el diagrama de GANTT, debiendo en el mismo cuadro registrar lo planeado y lo ejecutado con dos smbolos diferentes. Se recomienda formulacin y PERT-PCM. que se control utilicen herramientas computarizadas de de proyectos que permiten utilizar el

Utilizar el diagrama N 1.

 CONTROL DE CONOGRAMA DE PROYECTO CONTROL DEL DESARROLLO SISTEMA : E IMPLANTACION DE SISTEMA JEFE DE PROYECTO: PERIODO : EMANAS / MESES ETAPAS/SUB-ETAPAS 1. PROYECTO 1.1 Definicin del Proyecto 1.2 Conograma del Proyecto 2. ANALISIS DE SISTEMA 2.1 An lisis requisitos Sistema 2.2 Especificacin Funcional 2.3 Interfase del Sistema 3. DISEO DEL SISTEMA 3.1 Diseo Fisico del Sistema 3.2 Especific. Complementaria

 4. PROGRAMACION 4.1 Programacin del Sistema 4.2 Pruebas del Sistema 5. IMPLANTACION DE SISTEMAS 5.1 Capacitacin 5.2 Benchmark del Sistema 5.3 Creacin de Archivos 5.4 Proceso en Paralelo 6. PRODUCCION 7. EVALUACION 2.2 Control de Documentacin de Sistemas Este formulario permite verificar la aplicacin de la metodologa de desarrollo e implantacin de sistemas, mediante el registro de la documentacin que se debe haber generado para cada etapa y sub-etapa. Deber contarse con la firma de conformidad del usuario de la documentacin que ste deba aprobar. Utilizar el diagrama N 2. 2.3 Control Tcnico del An lisis

Para verificar que el Control del An lisis se haya efectuado adecuadamente, se debe utilizar el Formulario de Registro de Tcnicas Utilizadas y se deben realizar estudios de gabinete de la documentacin generada, as como efectuar reuniones de revisin tcnica, conjuntamente con el personal de analistas del proyecto. En caso de verificarse la falta de aplicacin de las tcnicas o errores en el trabajo de an lisis, stas se registrar n en un acta, para que sean superadas. Es mejor efectuar el control en forma permanente, apenas se finaliza una sub-etapa y antes de proceder a la prxima, pues hacerlo en forma posterior, es m s costoso y requiere de mayor tiempo, teniendo mayores implicancias. Las tcnicas que se deben haber utilizado son : - Entrevistas. - Diagrama de Flujo de Datos (D.F.D). - Modelizacin de Datos. - Diagrama de Estructura de Datos (D.E.D). - Historia de Vida de la Entidad (H.E.V). - An lisis de Costo-Beneficio (A.C.B). - Prototipeo. Se utilizar el diagrama N 3 para facilitar el registro de las tcnicas que se han utilizado para cada etapa o sub-etapa, marc ndolas con asterisco (*) 2.4 Control Tcnico del Diseo

Para verificar que el Control Tcnico del Diseo se ha efectuado adecuadamente, se debe utilizar el Formulario de Registro de Tcnicas Diseo y se deben realizar estudios de gabinete de la documentacin generada, as como efectuar reuniones de revisin tcnica, conjuntamente con el personal de analistas del proyecto. En caso de verificarse la falta de aplicacin de las tcnicas o errores en el trabajo de diseo, stas se registrar n en un acta, para que sean superadas. En este caso tambin es mejor efectuar el control en forma permanente, apenas se finaliza una sub-etapa y antes de proceder a la prxima, pues hacerlo en forma posterior es m s costoso y requiere de mayor tiempo, teniendo mayores implicancias. Las tcnicas que se deben haber utilizado son : Diseo Estructurado. Diagrama de Estructura de Cuadros. Optimizacin del Diseo Fsico. Diseo de Pruebas. Prototipeo.

Se utilizar el diagrama N 4 para facilitar el registro de las tcnicas que se han utilizado para cada etapa o sub-etapa, marc ndolas con asterisco (*)

Diagrama N 2. CONTROL DE DOCUMENTACION DE SISTEMAS CONTROL DE DESARROLLO SISTEMA : E IMPLANTACION DE SISTEMAS JEFE DE PROYECTO : FECHA DE FECHA DE APROBACION DOCUMENTACION EMISION INFORMATICA USUARIO 1. ETAPA:ANALISIS DEL SISTEMA 1.1 Definicin del Proyecto 1.2 Conograma de Proyecto 1.3 Analisis del Sistema Actual 1.3.1 Descripcin del Sist. Actual 1.3.2 Cat logo Requisitos Sist. 1.3.3 Analisis de Alternativas 1.4 Especificacin Funcional 1.4.1 Especific. Sistema

 1.4.2 Especific. Sub-Sistemas 1.4.3 Modelo de Datos Sistema 1.4.4 Modelo Eventos Sistema 1.5 Interfase del Sistema 1.5.1 Interface con Usuario 1.5.2 Seguridad y control 1.5.3 Especific. de Entrega 2. DISEO DEL SISTEMA 2.1 Diseo Fisico del Sistema 2.1.1 Arquitectura Fisica Sist. 2.1.2 Estructura de Datos 2.1.3 Entorno Tecnologico 2.2 Especif. Complementarias 2.2.1 Plan Pruebas del Sistema

 2.2.2 Especific. Diseo 3. PROGRAMACION DE SISTEMA 3.1 Manual de Programacin 4. IMPLANTACION DEL SISTEMA 4.1 Manual: Operacin y Usuario DIAGRAMA N 3 CONTROL TECNICO DEL ANALISIS DEL SISTEMA ENTRE Modelo An lisis Proto- ETAPA/SUB-ETAPA VISTAS DFD Datos DED HVE C.B tipeo 1. ANALISIS REQUISISTOS DEL SISTEMA 1.1 Identificacin de Requisitos * 1.2 Diseo del Modelo Lgico Actual * * 1.3 Estudios Alternativas * * *

 2. ESPECIFICACION FUNCIONAL SISTEMA 2.1 Modelo de proceso * * 2.2 Modelo de Datos * * 2.3 An lisis detallado * * 3. INTERFASES DEL SISTEMA 3.1 Interfase con usuario * 3.2 Complementar Especifi- caciones Sistema 3.3 Complementar Especifi- caciones de Entrega

DIAGRAMA N4

CONTROL TECNICO DEL DISEO DEL SISTEMA Diseo Optimi Diseo Prototipeo Estruct. DEC Diseo Pruebas

 Fisico 1. DISEO FISICO DEL SISTEMA 1.1 ARQUITECTURA FISICA DEL SISTEMA * 1.2 ESTRUCTURA DE DATOS * * 1.3 ENTORNO TECNOLOGICO 1.4 ESTUDIOS ALTERNATIVAS 2. ESPECIFICACION COMPLEMENTARIAS 2.1 PLAN DE PRUEBAS SISTEMAS * 2.2 ESPECIFICACIONES SISTEMAS *

INSTRUMENTOS DE CONTROL

3.1 PLAN DE TRABAJO Para efectuar el Control, el Especialista deber establecer su plan de trabajo, el cual debe basarse en pasos y etapas a ejecutar en un plazo determinado y deber contemplar las etapas siguientes: a) b) c) d) e) f) Planeamiento del Trabajo a Realizar. Investigacin Preliminar. Evaluacin del Sistema. Planeamiento y Diseo de las Pruebas de Control. Ejecucin y Evaluacin de los Resultados de las Pruebas. Confeccin del Informe de Auditora del Sistema.

g) Revisin y Opinin del Informe. h) Seguimiento de las Recomendaciones de Auditora. a. Planeamiento del trabajo a realizar Consiste en la estrategia que conduzca al logro de los objetivos concretos y a las expectativas de la Alta Direccin en el menor tiempo posible, para lo cual se elaborar el plan de trabajo que permita medir el avance del trabajo en puntos claves y administrar eficientemente los recursos de tiempo y personal que sean asignados. En el documento de planeacin se debe considerar lo siguiente: . . Objetivo general del trabajo a realizar. En forma concreta se plantea los objetivos del trabajo. Alcances del trabajo a realizar. Se marcan los riesgos que ser n examinados en el trabajo, todos o solamente algunos. escenarios de pudiendo ser

Puntos de inters para este trabajo. Se registran los aspectos que requieren especial atencin, de acuerdo con los antecedentes que se conozcan de la aplicacin o de otras similares y de la informacin que se procesa con ella. Auditores asignados. Un grupo se encarga de verificar que se cumplan con los est ndares de calidad y las normas y directivas que ha emitido la Institucin y el ente rector en Inform tica. Otro grupo se encarga de verificar el funcionamiento de los sistemas. Duracin estimada. Comprende la suma de los tiempos estimados asignados a cada una de las etapas desde la b) hasta la h). Fechas de iniciacin/terminacin. Para el desarrollo completo de las actividades del proyecto. Diagrama de actividades. Se coloca el tiempo estimado que va a durar cada una de las actividades. Entrevista de iniciacin de auditora. Se realiza una reunin con el personal directivo de Sistemas en la cual se plantean los objetivos y el enfoque de trabajo a realizar y se establecen los mecanismos de comunicacin a emplear en el desarrollo del trabajo. Puede utilizar el formato de Plan diagrama No. 5. de Trabajo indicado en el

. . . .

b. Investigacin Preliminar Se determinan las caractersticas tcnicas y operativas de la aplicacin objeto del trabajo y su importancia para los objetivos y metas de la Institucin. Se deber conseguir la documentacin del sistema, para que en el trabajo de gabinete pueda investigarse en forma preliminar el Sistema, con la siguiente informacin :

. . . . de . . . . dependen-

Dependencias involucradas en el manejo de la aplicacin. Inventario de documentos fuentes. Inventario de informe que produce. Normas legales e institucionales que rigen el funcionamiento la aplicacin. Interfases de la aplicacin con otros sistemas. Procesos manuales y automatizados que realiza la aplicacin. Perfil tcnico de la aplicacin. Personal clave para el manejo de la aplicacin en cada

cia involucrada. . Inventario de manuales de documentacin existente. . Informacin sobre fraudes que se hayan cometido. (Diagrama 5) c. Evaluacin del Sistema Se deber punto 3.2. efectuar la revisin de los 10 aspectos indicados en el

Al evaluar el sistema tambin debe considerarse los riesgos determin ndose cu les son las situaciones de riesgo y cu les sus causas. Para evaluar los controles existentes se deben utilizar una de las dos alternativas, o ambas : - An lisis de Riesgo. - Cuestionarios de Control. Riesgos: . Riesgos Accidentales Ingreso accidental va en apertura. Falla imprevista que anula seguridad. Error en sistema de comunicacin. CONTROL DE SISTEMAS SISTEMA : RESPONSA : EN FUNCIONAMIENTO AUDITOR : ACTIVIDADES PEDIDOS: DIAS O SEMANAS

 1. PLANEAMIENTO 1.1 Elaboracin del Plan 1.2 Aprobacin del Plan 2. INVESTIGACION PRELIMINAR 2.1 Relevamiento de informacin 2.3 Analisis de Informacin 3. EVALUACION 3.1 Documentacin del Sistema 3.2 Procesamiento del Sistema 3.3 Operatividad del Sistema 3.4 Controles del Sistema 3.5 Integridad de Datos 3.6 Validez de Resultado 3.7 Seguridad del Sistema

 3.8 Sistema de Respaldo 3.9 Auditabilidad del Sistema 3.10 Efectividad del Sistema 4. DISEO DE PRUEBAS DE CONTROL 5. EJECUCION-EVALUACION RESULTADOS 6. ELABORACION INFORME DE AUDITORIA 7. REVISION OPINIONES DEL INFORME 8. EMISION DE INFORME FINAL 9. SEGUIMIENTO DE RECOMENDACIONES . Riesgos Pasivos Captacin electromagntica de transmisin de microondas. Intercepcin por alambres o cables coaxiales. Acceso va procedimientos tcnicos avanzados. . Amenazas Activas Otorgamiento de clave de seguridad a usuario realmente no autorizado. Ingresar al sistema cuando el usuario autorizado terminal abierto, sin salir del sistema. Ingreso por personas expertas. d. Planeamiento y diseo de las pruebas de control ha dejado su

De acuerdo a la metodologa indicada en el ac pite V (Pruebas del Sistema) se deber n disear los juegos de datos de pruebas, los cuales deben asegurar que se investigue totalmente la confiabilidad del sistema y los controles que poseen. En esta se debe considerar : . Naturaleza y extensin de las pruebas de auditora. . Plan de las pruebas a ejecutar. . Diseo de las pruebas de auditora. e. Ejecucin y Evalucin de los resultados de las pruebas Una vez, ejecutadas las pruebas se deber evaluar los resultados de las mismas y determinar en qu mdulos el Sistema no es confiable y controles que no posee, que deban ser imprescindibles. f. Confeccin del Informe de Auditora del Sistema Producto de la revisin del Sistema se deber Auditora y Control del Sistema. preparar el Informe de

El informe preliminar debe ser opinado y recibirse los comentarios del caso para recin emitir el informe final g. Revisin y Opinin del Informe Tanto el rea usuaria, como el rea de Inform tica que desarroll o administra la operacin del Sistema, debe tener la oportunidad de revisar y opinar sobre el informe preliminar, de tal forma de asegurar que se est n aceptando las observaciones indicadas. h. Seguimiento de las Recomendaciones de Auditora Siendo el objetivo de este trabajo que se mejore el sistema y se superen sus deficiencias para beneficio de la Institucin, se deber , a travs de un Registro de Seguimiento, efectuar el control de las acciones tomadas y las observaciones superadas.

3.2

ASPECTOS A REVISAR Los aspectos que deben ser revisados son : 12345678910La documentacin del sistema. El procedimiento del sistema. La operatividad del sistema. Controles del sistema. Integridad de los datos. Validez de los resultados. Seguridad del sistema. Sistema de Respaldo. Auditabilidad del sistema. Efectividad del sistema.

3.2.1 DOCUMENTACION DEL SISTEMA

Como paso inicial del proceso de control de una aplicacin en funcionamiento, deber ser revisada la documentacin existente, la cual permitir adem s de tomar conocimiento escrito del mismo, revisar si se ha cumplido con la metodologa y est ndares establecidos para el desarrollo de sistemas, anotando las falencias para su evaluacin en los pasos siguientes, ya que podran ser causa de problemas del sistema en operacin. 3.2.2 PROCEDIMIENTO DEL SISTEMA Todo sistema es un conjunto de procesos manuales y automatizados, cuya operativizacin debe estar definida en un Procedimiento del Sistema. Es imprescindible la existencia del procedimiento formal para efectos de poder operativizar eficientemente y con eficacia el sistema. 3.2.3 OPERATIVIDAD DEL SISTEMA Una vez revisada la documentacin del Sistema, se deber revisar su operatividad. Se revisar . . . . . . todo el ciclo del sistema : proceder a

Generacin del Dato. Ingreso del Dato al sistema. Transmisin del Dato. Procesamiento del Dato. Actualizacin de Archivos. Emisin de Reportes y Consultas.

Se debe verificar que el sistema efecte en cada etapa de su ciclo las especificaciones establecidas en el An lisis y Diseo y se cumpla con el procedimiento aprobado para el sistema. Debe analizarse y observar si realmente tiene los requisitos de operatividad que hagan al sistema eficiente y eficaz. 3.2.4 CONTROLES DEL SISTEMA

3.2.4.1 Generacin del Dato Debe verificarse las condiciones en que se genera el dato, ya sea ste, externo o interno a la Institucin, revisando que sea veraz y consistente y que refleje exactamente la operacin realizada. Se podr tomar una muestra de datos para efectos de verificar su exactitud. El sistema debe contemplar como uno muestreos de calidad de los pre-establecida. 3.2.4.2 Ingreso del Dato de sus controles el efectuar datos con una frecuencia

Debe revisarse que el ingreso o transcripcin de los datos se efecte cumpliendo con controles b sicos, tal como se indica : a. Si por la que el sistema es descentralizado, que el dato sea ingresado el mismo que lo genera, para tener un mayor control sobre calidad del ingreso del dato, ya que dicha persona es la m s conoce la informacin y es la responsable de la misma.

En el caso de que sean varias personas las que tengan que ingresar datos por que la organizacin establece responsabilidades diferenciadas, debe constatarse que el sistema registre de alguna forma el cdigo del ingresador del dato, para los controles del caso. Si el Sistema es centralizado en un centro de cmputo del rea usuaria o de la Direccin de Servicios Inform ticos, los datos deber n ser recepcionados por lotes y con hojas de control que indiquen el total de datos lotizado y totales de control, que permitan validar la completitud de los datos al ingresar la informacin por personas transcriptoras de datos. b. Que los programas de ingreso de datos tengan consistencia fsica y lgica de datos. La consistencia fsica debe ser sobre el registro de datos en s, donde debe existir datos obligatorios y opcionales y rangos de valores de los datos. La consistencia lgica debe ser contra los archivos maestros del sistema y contra reglas de validacin cruzadas que deba cumplir la informacin. c. Que los datos ingresados deban imprimirse como validacin del ingreso de datos, de la forma m s conveniente dependiendo de la naturaleza del sistema. Si el ingreso de datos es desde terminales y en ventanillas de atencin al pblico, debe efectuarse una revisin visual previa y debe imprimirse el comprobante producto del ingreso del conjunto de datos y al final del turno o da de trabajo, debe emitirse un parte diario de comprobacin y cuadre. Si el ingreso de datos es desde terminales, pero en forma de proceso en lotes, al final de cada lote debe imprimirse un listado de revisin visual y de cuadre para poder ser revisado con todos los documentos fuentes, si el volumen de registros es manejable, o por tcnica de muestreo, cuando existe una cantidad considerable de registros. Al final del da debe adicionalmente imprimirse un parte diario de los lotes ingresados. 3.2.4.3 La Transmisin del Dato

En un sistema en lnea la transmisin del dato desde el terminal a la Base de Datos Central es manejado por el Software de Comunicaciones, Software de Red y Software de Base de Datos, debiendo en este caso :

El Sistema aplicativo debe tener la ltima transaccin procesada programa alternativo de captura terminal, si su configuracin de smisin y registro en la base de

rutinas programadas que controlen en caso de cadas del sistema y un descentralizada del dato en el equipo lo permite y posterior trandatos central.

En un sistema de proceso en lotes, la transmisin del dato puede ser va diskettes o modems. En este caso debe verificarse: Que los diskettes sean probados previamente antes de su remisin y que quede un medio de respaldo en el centro de ingreso de datos. Asimismo se les coloque en modo protegido contra escritura y est claramente identificado en su etiqueta el nmero o nmeros de lote y la cantidad de registros que contiene. Que Para el caso de transmisin de datos va modem, el archivo a transmitir debe poseer un registro de encabezado de control que indique el nmero o nmeros de lote y la cantidad de registros que contiene, debiendo el aplicativo que leer dicha informacin efectuar la verificacin de la informacin del registro encabezado con los registros ledos. 3.2.4.4 El Procesamiento del Dato

Comprende los procesos manuales y automatizados que se realizan para producir los resultados previstos en las diferentes funciones que satisface el sistema. Se da especial nfasis a los controles incluidos en el software de las aplicaciones para lograr exactitud y confiabilidad del proceso y de los resultados que produce. Debe verificarse que el sistema tenga registros y rutinas de control que permitan que ante una cada del sistema pueda reiniciarse el procesamiento desde la ltima transaccin procesada, ya sea el sistema en lnea o en lotes. Para asegurar la integridad del procesamiento de los datos, en los sistemas en lnea debe contarse con las seguridades fsicas tales como UPS y equipos de respaldo de energa elctrica de tal forma que evite el truncamiento del procesamiento y desincronizacin de su operacin. En los casos de los sistemas de procesamiento en lotes debe existir procedimientos computarizados para que los programas se ejecuten en la secuencia prevista y de acuerdo a las bifurcaciones establecidas. Tambin deben establecerse condiciones de error que no puedan ser consistenciados fsica o lgicamente en la etapa de ingreso de datos, que no deben paralizar el procesamiento, sino m s bien reportar las ocurrencias para accin inmediata en los sistemas en lnea o acciones posteriores en los sistemas de procesos de lotes. 3.2.4.5 Actualizacin de Archivos de control que con

Debe verificarse que existan registros y rutinas

cierta frecuencia de tiempo o de perodo, determine si existe coherencia entre la cantidad de registros y valores de los totales de los archivos. Por ejemplo, si se ha producido una cantidad de nuevas entidades debe reflejarse sto en un incremento del nmero de registros del archivo principal. Al final del da debera producirse un reporte de integridad de archivos. 3.2.4.6 Emisin de Reportes y Consultas.

Deben existir rutinas de control y procedimientos que permitan al final de un perodo cuadrar cifras entre reportes y consultas, que aseguren la integridad de los resultados emitidos. Cada sistema, segn su naturaleza, tiene una lgica de cuadre entre reportes, la cual debe estar claramente definida en el procedimiento. 3.2.5 INTEGRIDAD DE LOS DATOS

Adicionalmente a los controles anteriormente mencionados, para fines de asegurar la integridad de los datos en cuanto a su completitud y confiabilidad, el sistema debe poseer programas que rastreen los archivos y determinen incongruencias y falta de cuadre de la informacin. Debe asimismo, en forma externa, establecerse procedimientos de comparacin de la informacin producida por el sistema contra otras informaciones disponibles, para efectos de determinar la confiabilidad de la informacin. Dentro de este aspecto est n las circularizaciones de comprobacin de la informacin del computador con las reas o personas involucradas. 3.2.6 VALIDEZ DE LOS RESULTADOS

El aspecto m s importante de todo el sistema son los resultados, por lo que al revisar el sistema debe verificarse que los resultados cumplan con las especificaciones del diseo del sistema, lo cual debe comprobarse mediante juegos de datos de pruebas especialmente preparados, y que prueben todas las posibilidades de las entidades, datos y situaciones. En el ac pite siguiente Pruebas metodologa que puede utilizarse. 3.2.7 SEGURIDAD DEL SISTEMA tipos de del Sistema se detalla la

Debe comprobarse que el Sistema cuente con los siguientes seguridad : - Seguridad en el acceso a la informacin. - Seguridad del sistema. - Seguridades Fsicas. 3.2.7.1 Seguridad de acceso a la informacin :

Debe existir a nivel Institucin, un esquema global de seguridad de acceso a la informacin, donde deben existir para cada rea y para cada funcionario Perfiles de Acceso a los Sistemas, a las funciones dentro de cada sistema y a la Base de Datos, constituyendo

una matriz de accesos usuario versus sistemas-funciones donde el nivel de usuario es el cdigo de cada funcionario. El sistema debe tener claves de seguridad discriminadas donde cada usuario tiene un acceso basado en las siguientes opciones : . . . . Ingreso de datos. Procesamiento de los datos. Consultas por niveles. Emisin de Reportes. debe mantener un log de uso del sistema por

Asimismo el sistema sesin de trabajo.

Los niveles de acceso a la informacin pueden ser : . . . . Nivel Nivel Nivel Nivel de de de de consulta de informacin no restringida. mantenimiento de la informacin no restringida. consulta incluyendo la informacin restringida. mantenimiento de la informacin restringida.

3.2.7.2

Seguridad del sistema

Acceso y Seguridad a los Programas El Area de Servicio inform tico debe ser la nica que debe tener acceso sobre los programas fuentes, que deber n estar archivados en bibliotecas especiales, bajo control de un Administrador de Sistemas. Asimismo, los programas objetos tambin deben tener nombres slo conocidos por el administrador del sistema, quien le coloca los nombres claves una vez recibidos los programas fuentes y stos son compilados. En la medida de lo posible, dependiendo de la envergadura del Servicio Inform tico y de la naturaleza de los sistemas, se debera tratar de utilizar un Software de Resguardo Autom tico de Redes. Cambios a los Programas de Aplicacin : Debe existir una solicitud con la autorizacin proceder a realizar los cambios a los programas. respectiva para

El control sobre los programas objetos debe tenerlo el Administrador de Sistemas, y cualquier cambio a los programas deben ser probados y slo reemplazados, despus de demostrarse la confiabilidad del mismo. Cuando se cambien los programas fuentes deben documentarse en el programa con comentarios y registrar las modificaciones en el Registro de Control de Cambios. Asimismo el sistema debe contar con los elementos necesarios poder darle mantenimiento, por lo que debe disponer de : . Manuales de An lisis y Diseo. . Manual de Programacin. para

. Programas Fuentes. . Originales de Software de Base. . Personal de programacin que conozca el sistema. Seguridades Fsicas Los ambientes donde se procesan los sistemas deben contar con un suministro de energa elctrica de calidad, con pozo de lnea a tierra, estabilizadores, UPS, equipos de reemplazo de energa elctrica, y extintores contra incendio. Debe tambin, en la medida de lo posible, disponer el acceso restringido al rea donde se procesa la informacin, sea al ambiente de los terminalistas o al centro de cmputo. Seguridad ante contaminacin de Virus

Ante la creciente proliferacin de virus, debe existir instalado en el equipo central y equipos descentralizados sistemas antivirus, para prevenir la contaminacin y afeccin de virus. Deben, establecerse disposiciones especficas que prohiban al personal de sistemas o usuarios, utilicen diskettes externos a la institucin, para evitar la introduccin de virus. En caso de recibir diskettes externos de trabajo oficial, stos de todas maneras, deber n ser desinfectados antes de ser ledos por los equipos de cmputo. Cuando sea factible, tal es el caso de sistemas que requieren slo terminales, es preferible que stos no tengan unidad de diskette para evitar la contaminacin o infeccin. En lo posible tambin deber tratarse de utilizar Sistemas Operativos, que eviten la contaminacin por virus. 3.2.8 SISTEMA DE RESPALDO

Previendo posibles problemas con el hardware o el software es necesario que el equipo central cuente con caractersticas tcnicas de respaldo tales como : - Sistema tolerante a fallas. - Tape-backup. - Equipo de capacidad similar de respaldo. Asimismo, debe contarse con elementos para ser cargados equipo de respaldo: en el otro

- Instalador del Sistema o Backup del Sistema. - Backup de la Base de Datos por lo menos del turno anterior. En muchas oportunidades es conveniente, para reas crticas de atencin al pblico, disponer de listados diarios de informacin resumen para poder seguir operando por lo menos manualmente en casos extremos. Los backups de la Base de Datos deben efectuarse por cada cambio de

turno de trabajo o como mnimo al final del da, debiendo inclusive el sistema haber sido programado para que exija efectuar el backup respectivo. Una copia de respaldo de los programas fuentes y objetos de las aplicaciones, de la plataforma de software y de las bases de datos completas de la Institucin (hasta de tres perodos anteriores) y debe guardarse una copia en el local ad-hoc de la Institucin e inclusive una copia adicional en otro local para afrontar siniestros o desastres que pudieran ocurrir. 3.2.9 AUDITABILIDAD DEL SISTEMA

Todo Sistema debe tener la capacidad de poder ser auditado, para lo cual debe reunir una serie de caractersticas que lo permitan : . . . . . Contar con la documentacin completa. Disponer de una biblioteca de pruebas. Disponer de Log del Sistema. Contar con reportes de auditora del sistema. Contar con reporteadores de base de datos para producir reportes de cruce de informacin.

Por lo tanto deber verificarse que el sistema disponga de los elementos antes indicados para poder facilitar su auditora y en caso de no contar con ellos exigir se disponga de ellos. 3.2.10 EFECTIVIDAD DEL SISTEMA

Uno de los aspectos m s importante del sistema, por ser su razn de ser, es que sea efectivo en conseguir los objetivos y beneficios esperados, por lo que se deber : . Efectuar visitas a los usuarios e indagar sobre su opinin respecto a : - su satisfaccin de los resultados del sistema. - el grado de confiabilidad que le dan al sistema. . Evaluar en forma independiente en qu magnitud los beneficios han sido conseguidos y cu les son las razones o limitaciones que impiden que stos se logren. . Determinar si los costos de operacin del sistema se encuentran dentro de lo planificado y si son actualmente razonables para los beneficios tangible e intangibles obtenidos. Se deben evaluar aspectos tales como : . Qu mejoras se han obtenido en la reduccin de costos de operacin. . Qu mejoras se han obtenido en las operaciones de la Institucin. . Cu nto ha mejorado la precisin de la informacin obtenida. . Qu mejoras se han obtenido en disponer de la informacin completa requerida. . Qu mejoras se han obtenido respecto a incluir controles en las

operaciones de la Institucin. . Qu incremento se han obtenido en el nmero de operaciones atendidas, mejorando el tiempo de atencin a los usuarios. . Qu incremento de productividad de la institucin se ha obtenido. . Qu mejoras se han producido en la organizacin del rea involucrada en el sistema.

4.1

MODALIDADES DE PRUEBAS Existen dos modalidades de pruebas que se deben hacer al sistema - Pruebas de Rutas. - Pruebas de especificacin. Pruebas de Rutas : Tambin es conocida como prueba de cdigo. Examina la lgica del programa, para lo cual se desarrollan casos de prueba que fuercen a probar la ejecucin de todas las instrucciones de cada mdulo o ruta de un programa. Como un sistema puede tener cientos de mdulos, debe priorizarse cules son los m s crticos de ser probados, de tal forma de poder probar dentro de plazos y costos razonables las rutas m s importantes del sistema. Pruebas de Especificacin : En sta, se examina el sistema bajo diferentes situaciones. Que ejecute lo que indican las especificaciones, bajo casos de pruebas preparados para dicho fin. En este caso se tratan a los programas como si fueran cajas negras, slo siendo de inters de que si se cumplen siempre las especificaciones, el sistema no falla.

4.2

NIVELES DE PRUEBA Existen 2 niveles : - Pruebas parciales. - Pruebas de sistemas. PRUEBAS PARCIALES: Este consiste en probar independientemente los mdulos de un sistema que llevan a cabo una funcin especfica. A su vez existen dos mtodos para llevar a cabo estas pruebas : . Mtodo ascendente : Van de los mdulos inferiores a los superiores. . Mtodo descendente : Van de los mdulos superiores a los inferiores. PRUEBAS DEL SISTEMA :

No prueba el detalle de cada mdulo, sino m s bien la integracin de cada mdulo en el sistema, buscando las discrepancias que ocurran y la falta de compatibilidad entre ellos.

4.3

PRUEBAS ESPECIALES DE SISTEMA Existen 6 pruebas b sicas : Prueba Prueba Prueba Prueba Prueba Prueba de de de de de de carga m xima. almacenamiento. tiempo de ejecucin. recuperacin. procedimientos. recursos humanos.

Prueba de Carga M xima : Consiste en probar si el sistema puede manejar el volumen de actividades que ocurren cuando el Sistema est en el punto m s alto de su demanda de procesamiento, tanto en nmero de transacciones, nmero de terminales y magnitud de los valores. Prueba de Almacenamiento : Determinar si el sistema puede almacenar una alta cantidad proyectada de datos tanto en sus dispositivos de discos fijos y removibles, y segn el diseo y configuracin de los archivos. Prueba de Tiempo de Ejecucin : Determina el tiempo de m quina que el Sistema necesita para procesar los datos de una transaccin, si en su m xima carga (volumen de informacin y nmero de terminales simult neos) el tiempo de respuesta es adecuado para las funciones de : . . . . . . . Ingreso de Datos. Actualizacin. Transmisin. Proceso. Reordenamiento e indexacin de archivos. Consultas. Impresiones de comprobantes y listados.

Pruebas de Recuperacin Probar la capacidad del sistema para recuperar datos y restablecerse despus de una falla. Para efectuar estas pruebas se deben previamente sacar copias de respaldo de los archivos reales. Prueba de Procedimientos Evaluar la claridad, validez seguridad as como su facilidad de uso y sencillez de los manuales de procedimientos y operacin respecto a la operacin real del Sistema, haciendo que los usuarios lleven a cabo exactamente lo que el manual pide.

Los manuales deben contener una gua de respuestas advertencia, error, o contingencia.

ante

mensajes

de

Asimismo se debe verificar su actualizacin y concordancia con la versin del software aplicativo al cual pertenecen. Prueba de Factores Humanos Se determina cmo utilizar n los usuarios el sistema al procesar datos o preparar informes. Respecto al sistema : debe ser amigable y de f cil operacin, con gua interactiva de orientacin al usuario y mensajes indicativos de ocurrencias del sistema. Evaluar, respecto a los usuarios : el nivel de capacitacin, el de utilizacin del sistema, su correcta aplicacin o uso. grado

Evaluar, respecto al personal de inform tica : el nivel tecnolgico para operar el sistema y la disponibilidad de tcnicos con capacidad de mantener el sistema.

4.4

TIPOS DE DATOS DE PRUEBA Datos reales : los cuales permiten probar ocurrencias y casos reales que se presentan en la Institucin, aunque no permiten probar otras rutas programadas pero que no han sido alcanzados por los usuarios para las pruebas en el caso de sistemas en desarrollo, o que no ocurren actualmente en el perodo de prueba de los sistemas en funcionamiento. Datos artificiales : Son los que se crean artificialmente tratando de considerar todas las combinaciones y rutas posibles, debiendo en lo posible ser preparados por personas distintas de las que programaron el sistema. Se recomienda contar con una Biblioteca de Pruebas que es un conjunto de datos preparados para probar todo el sistema en su conjunto y que se utiliza tanto cuando se desarrolla el sistema, como cuando se audita y se hace modificaciones al software, debiendo archivarse en una biblioteca especialmente organizada para tal fin. Esto tambin permite que con la misma biblioteca puedan probarse los sistemas interrelacionados.

CONTROL INTERNO AL SERVICIO INFORMATICO La evaluacin de un Sistema no slo depende del Sistema en s, sino del entorno en la que se desenvuelve, es decir el sistema puede haber sido diseado correctamente, pero el Area de Servicio Informtico puede tener problemas que afectan al Sistema, por lo que tambin debe hacerse un "Control Interno al Servicio de Inform tica".

El Control Interno al Servicio de Inform tica debe contemplar: . . . . . La Organizacin. Los Procedimientos Generales. Metodologas Utilizadas. Recursos Humanos. Seguridad.

5.1

EVALUACION Y CONTROL DE LA ORGANIZACION Se deber verificar que por un concepto de integralidad, existan funciones claramente definidas que obligatoriamente deben efectuarse y que existan grupos de trabajo diferenciados, que permita delimitar responsabilidades y dinamizar la gestin de inform tica. Las funciones que deben existir son : Desarrollo de Sistemas. Operacin de Sistemas. Mantenimiento de Sistemas. Soporte Tcnico. Soporte a equipos. Control de Sistemas.

La magnitud de la organizacin del servicio inform tico, depende tambin de la envergadura de la Institucin. Sin embargo, debe existir la divisin funcional que permita su adecuado desenvolvimiento.

5.2

EVALUACION

FUNCIONAL

Desarrollo de Sistemas Debe estar claramente diferenciada la funcin del "Desarrollo de Sistemas" de "Operacin de los Sistemas", de tal forma de permitir dos grupos de personal con funciones que puedan desarrollarse independientemente y en forma permanente, sin restringir la capacidad de desarrollo por razones de carga operativa de trabajo. Operacin de Sistemas Esta ser efectuada por personal operativo, encargado de que los sistemas operen adecuadamente, tanto en el Centro de cmputo como en las reas usuarias descentralizadas. Para la realizacin de esta funcin deben existir para cada sistema los Manuales de Operacin respectivos, los cuales deben contener: . . . . . El proceso normal. Mensajes de advertencia y error. Recomendaciones para la solucin a los mensajes presentados. Puntos de reinicio. Comunicacin de Problemas.

Mantenimiento de Sistemas La ubicacin de la funcin de mantenimiento de sistemas, depende

del estado evolutivo del rea de servicio inform tico, es as que si recin se inicia un plan ambicioso de desarrollo de sistemas, es preferible no distraerlo en funciones de mantenimiento de sistemas y ubicarla como una unidad del Area de Operacin de Sistemas. Sin embargo si gran parte del desarrollo del sistema ya ha sido efectuado, es conveniente ubicar la funcin de mantenimiento de sistemas dentro del Area de Desarrollo de Sistemas. En todo caso siempre debe existir un control de cambios y la obligatoriedad de que los cambios sean autorizados. Soporte Tcnico Todo Servicio de Inform tica debe tambin desarrollar funciones de soporte tcnico, por el continuo avance tecnolgico. Dependiendo de la magnitud de la Institucin esta puede ser desarrollada desde un solo especialista hasta contar con una unidad especializada, donde se d soporte a las plataformas que se utilicen o que se tengan que implementar en la Institucin en el mbito de Sistema Operativo, Base de Datos, Comunicaciones y equipos de cmputo. Para fines de soporte tcnico es muy importante que exista un registro de fallas y solicitudes, as como de atenciones de soportes tcnicos brindados. Soporte a Equipos de Cmputo Dependiendo tambin de la envergadura de la Institucin deber realizarse la funcin de atencin a los problemas de los equipos de cmputo, donde debe existir una persona o una unidad que se encargue de dicho aspecto, ya sea dando atencin directa o administrando un servicio externo de mantenimiento y solucin de problemas de los equipos de cmputo. Debe existir Registros de : . Equipos existentes. . Softwares instalados en cada equipo. . Mantenimientos realizados a cada equipo firmados por el proveedor, soporte tcnico y usuario. Control de Sistemas Debe existir una funcin de Control de Sistemas que pueda efectuar control preventivo durante el desarrollo de sistemas y correctivo durante su funcionamiento. Que efecte coordinaciones para evaluar la satisfaccin del usuario, control a los planes y presupuestos y seguimiento de las observaciones a los sistemas. En pequeas Instituciones puede ser llevado a cabo por la Jefatura del Servicio Inform tico. En medianas, por un Especialista Contralor, o una unidad para los casos de Instituciones de envergadura.

5.3

PROCEDIMIENTOS

Debe verificarse que existan normas y procedimientos precisos para la realizacin de sus funciones, de tal forma de asegurar que se aplican est ndares y metodologas comunes que den integralidad a las actividades que realicen. Las normas que deberan disponer son : . . . . . . . Norma Norma Norma Norma Norma Norma Norma de de de de de de de An lisis de Sistemas. Diseo de Sistemas. Programacin de Sistemas. Implantacin de Sistemas. Operacin de Sistemas. Mantenimiento de Sistemas. Control de Sistemas.

Los procedimientos que debieran estar disponibles son : . . . . . Procedimientos de Operacin de todos los Sistemas. Procedimiento General de Seguridad. Procedimiento General de Respaldo de la Informacin. Procedimientos ante Contingencias. Procedimientos de Administracin de Bibliotecas de Software.

5.4

METODOLOGIAS El nivel y la calidad del Servicio Inform tico depender del uso de metodologas modernas, entre las que podemos mencionar : Planeamiento de Sistema : . Planeamiento Estratgico de Sistemas de Informacin An lisis de Sistemas : Entrevistas. Diagrama de Flujo de Datos (D.F.D.). Modelizacin de Datos. Diagrama de Estructura de Datos (D.E.D.). Historia de Vida de la Entidad (H.E.V.). An lisis de Costo-Beneficio (A.C.B.). Prototipeo.

Diseo de Sistemas : Diseo Estructurado. Diagrama de Estructura de Cuadros. Optimizacin del Diseo Fsico. Diseo de Pruebas. Prototipeo.

Programacin : Programacin Estructurada. Pruebas Unitarias. Pruebas de Integracin. Prueba del Sistema.

Implantacin de Sistemas : - Capacitacin. - Creacin de archivos iniciales. - Proceso en paralelo.

5.5

RECURSOS HUMANOS Debe evaluarse que la formacin y experiencia de los recursos humanos, asignados a cada Area para el desempeo de sus funciones, sean las adecuadas. Se debe analizar tambin el balance de la cantidad de recursos humanos por Area, de tal forma que no existan desequilibrios que afecten el desempeo del Servicio Inform tico en su conjunto. Debe analizarse si los tiempos utilizados para la obtencin de resultados en cada uno de los tipos de actividades son los adecuados y se efectan dentro de los plazos razonables.

5.6

SEGURIDAD Debe comprobarse que el Area de Servicios Inform ticos los siguientes tipos de seguridad : - Seguridad en el acceso a la informacin. - Seguridad de los Sistemas. - Seguridades Fsicas. cuente con

DE LOS SERVICIOS EXTERNOS DE COMPUTACION

Dependiendo de la poltica de la Institucin puede ser encargado el desarrollo, la implantacin y la operacin de uno o varios sistemas a Servicios Externos de Computacin. En estos casos tambin deben aplicarse los mismos controles y verificaciones indicados en la presente norma, donde el Area de Informtica de la Institucin deber efectuar permanentemente la tarea de fiscalizacin de los Servicios Externos de Computacin. En estos casos se debe reforzar en el Area de Inform tica las siguientes funciones : - Planeamiento de Sistemas.

- Definicin de Requerimientos de Sistemas. - Especificacin de Requerimientos. - Elaboracin de Trminos de Referencia de Servicios Externos de Computacin. - Control de los Servicios Externos. - Control de Sistemas. Cuando se realice actividades de auditora del Area de Inform tica deber evaluarse el desempeo de las funciones antes mencionadas ya que son de primordial importancia cuando se trabaja bajo sub-contrataciones. Sub-Contratacin de

6.1

PLANEAMIENTO DE SISTEMAS Es preferible que el Planeamiento de Sistemas lo realice el Area de Inform tica de la propia Institucin, ya que el personal se encuentra involucrado con sus objetivos y metas, as como experimenta permanentemente las vivencias de su organizacin. Sin embargo, muchas veces el trabajo Planeamiento de Sistemas es encargado a un Servicio Externo, en todo caso, ste debe tomarse como una Asesora y la participacin del Area de Inform tica es fundamental.

6.2

DEFINICION DE REQUERIMIENTOS DE SISTEMA Es conveniente que la definicin de requerimientos de sistema por parte de las diferentes reas de la Institucin, sea determinado por el Area de Inform tica, ya que permitir efectuar una priorizacin del desarrollo y mantenimiento de sistemas desde el punto de vista institucional, y plantear la sub-contratacin de los servicios externos de computacin en la medida de las necesidades.

6.3

DEFINICION DE ESPECIFICACIONES DE REQUERIMIENTOS Esta funcin, de preferencia, deber ser efectuada por el Area de Inform tica de la Institucin, lo cual servir de base para la confeccin de los trminos de referencia de las Sub-Contrataciones de Servicios Externos de Computacin.

6.4

ELABORACION DE TERMINOS DE REFERENCIA DE DE SERVICIOS EXTERNOS DE COMPUTACION

LA

SUB-CONTRATACION

En los Trminos de Referencia de Sub-Contratacin de Servicios Externos de Computacin, deber establecerse claramente las normas, metodologas y plataformas que se utilizar n para mantener est ndares e integralidad dentro de la Institucin. Tambin debe quedar claramente especificado que estar n sujetos a los mecanismos

de control establecidos en las presentes normas, tanto durante el desarrollo de sistemas, as como durante su funcionamiento si as fuera el caso.

6.5

Control de los Servicios Externos Los Servicios Externos de Computacin deben ser controlados en base a la funcin Sub-Contratada, aplicando para cada caso la parte correspondiente de las normas y controles establecidos en el presente documento.

6.6

Control de Sistemas Si es poltica de la Institucin la Sub-Contratacin de Servicios Externos de Computacin, se hace m s prioritario e importante fortalecer la funcin de Control de Sistemas. En ese sentido se deber efectuar permanentemente controles preventivos durante el desarrollo de sistemas y correctivos durante su funcionamiento, efectuar coordinaciones para evaluar la satisfaccin del usuario, controlar los planes y presupuestos y hacer seguimiento de las observaciones a los sistemas.

GLOSARIO DE TERMINOS ANALISIS DE COSTO BENEFICIO Es una tcnica utilizada en el An lisis de Sistemas que tiene como objetivo fundamental proporcionar una medida de los costos en que se incurren en la realizacin de un proyecto inform tico y, a su vez, comparar dichos costos previstos con los beneficios esperados en la realizacin de dicho proyecto. ANALISIS DE SISTEMAS Es el proceso mediante el cual se estudian e interpretan los hechos del sistema actual, con el fin de especificar los requerimientos y especificaciones funcionales del nuevo sistema a desarrollar. CONFIABILIDAD DEL SISTEMA Se define que un sistema es confiable cuando posee los controles y las seguridades del caso, permitiendo que sus resultados sean exactos y que su operacin sea estable y segura. DISEO ESTRUCTURADO Es una tcnica utilizada en el Diseo de Sistemas, para obtener la estructura modular y los detalles de proceso del sistema, partiendo solamente de la informacin obtenida en

la fase de an lisis de sistemas En sta se define cmo debe estructurarse el sistema utilizando herramientas gr ficas. DIAGRAMA DE ESTRUCTURA DE CUADROS Es una tcnica utilizada en el Diseo de Sistemas para modelar el sistema computarizado, visualizando modularmente el sistema, la conexin y comunicacin entre los mismos, dando una visin integral de la Arquitectura del Sistema. DIAGRAMA DE ESTRUCTURA DE DATOS (DED) Es una tcnica utilizada en el An lisis de Sistemas para la modelizacin de datos, la cual representa un conjunto de datos relacionados entre s y describen en forma colectiva un componente del sistema. DIAGRAMA DE FLUJO DE DATOS (DFD) Proporciona una representacin del sistema a nivel lgico y conceptual, describiendo el movimiento de los datos en el sistema, ya sea manual o autom tico, incluyendo procesos y lugares para almacenar datos. DIAGRAMAS DE GANTT Son herramientas que se utilizan en la planificacin de un proyecto o etapas del mismo, y que consiste en el registro de lo planificado y de lo ejecutado a travs de barras de diferente diseo en dos ejes, una de actividades y la otra de la variable tiempo. DISEO DE PRUEBAS Es una tcnica utilizada en el Diseo de Sistemasque consiste en definir un programa de pruebas, para asegurar la confiabilidad del diseo y de que no existen errores en los programas que se especifiquen. DISEO DE SISTEMAS Es el proceso de definicin de la arquitectura de software: componentes, mdulos, interfaces, procedimientos de pruebas y datos de un Sistema que se crean para satisfacer unos requerimientos especficos. ENTREVISTAS Es una tcnica que se utiliza en el An lisis de Sistemas para recabar la informacin verbal, a travs de una serie de preguntas que propone el analista. Esta a su vez es imprescindible para obtener informacin cualitativa, relacionarse con los usuarios y recoger un conjunto de hechos y/o requerimientos de informacin necesaria para el estudio. HISTORIA DE VIDA DE LA ENTIDAD

Es una tcnica utilizada en el An lisis de Sistemas que permite describir la evolucin de las entidades de datos del sistema. Esta tcnica utiliza las entidades de datos identificados y descritas en los Diagramas de Estructura de Datos (DED) y en las transacciones o eventos del sistema identificado en el Diagrama de Flujo de Datos (DFD). Tambin constituye un poderoso instrumento para verificar la exactitud de los dos modelos antes mencionados y garantizar la coherencia entre las tres versiones del sistema. IMPLANTACION DE SISTEMAS Es el proceso por el cual se instala un sistema, se crean los archivos maestros, se capacita al personal involucrado, se procesa un perodo de informacin, se efectan ajustes al sistema y se inicia la produccin del sistema. INTEGRACION DE SISTEMAS Es el proceso por el cual se analiza, disea y programa las interfases entre diferentes aplicaciones, sub-sistemas y sistemas, de tal forma que no se desarrollen sistemas aislados, sino m s bien interconectados que compartan archivo y base de datos comunes y se transfieran informacin entre ellos. INTEGRIDAD DE LA INFORMACION Consiste en que los valores de los datos se mantengan tal como fueron puestos intencionalmente en el Sistema. Las tcnicas de integridad sirven para prevenir que existan valores errados en los datos provocados por el software de la Base de Datos o por fallas de programas o del sistema. El concepto de integridad abarca la precisin y la fiabilidad de los datos, as como la discrecin que se debe tener con ellos. INTEGRIDAD DEL SISTEMA Es una caracterstica que deben poseer los sistemas computarizados . Consiste en que se deben tener las seguridades de que el software no puede ser alterado ni la informacin producida puede ser accesada por personas no autorizadas, para lo cual deben existir los controles y seguridades del caso. MODELIZACION DE DATOS Es una tcnica utilizada en el An lisis de Sistemas para conseguir estructuras de datos no redundantes, sin inconsistencias, seguras e ntegras, utilizando representaciones gr ficas. OPTIMIZACION DEL DISEO FISICO Es una tcnica utilizada en el Diseo de Sistemas para optimizar el modelo de datos elaborado en la fase de An lisis de

Sistemas, permitiendo obtener la estructura fsica del sistema, as como la representacin ptima de la informacin. PERT-CPM Es una tcnica que se utiliza en la planificacin de proyectos o etapas del mismo, y que consiste en el registro de las actividades, recursos y costos planificados, as como los ejecutados realmente mediante representacin gr fica de nodos y fechas de dependencia de actividades. PLATAFORMA DE HARDWARE Es el conjunto de equipos que se utiliza para desarrollar y operar un sistema o todos los sistemas de una organizacin, com prendiendo el Computador Central, las estaciones de trabajo tales como terminales, equipos de microcomputacin, impresoras, as como equipos de comunicacin local en Red o remotas. PLATAFORMA DE SOFTWARE Es el conjunto de Software de Base y Aplicativos de uso general que se utiliza para un sistema determinado o para toda la organizacin, consistente de los sistemas operativos, sistemas de bases de datos, sistemas de redes, sistemas de comunicaciones y sistemas generales de automatizacin de oficinas. PROCESO EN PARALELO Es una tcnica utilizada en la implantacin de sistemas, que consiste en permitir que se siga utilizando el sistema anterior, mientras se procesa paralelamente el nuevo sistema, de tal forma de comparar resultados y efectuar el reemplazo necesario con la seguridad de la correcta operatividad y confiabilidad del nuevo sistema. PROGRAMACION ESTRUCTURADA Es una tcnica utilizada en la Programacin de Sistemas, y que consiste en llevar a cabo la programacin en forma modular y utilizar sub-funciones para ser utilizadas en forma comn. PROGRAMACION DE SISTEMAS Es el proceso por el cual el diseo de un sistema se transcribe a un lenguaje de programacin que pueda ser interpretado por el computador, para que ste ejecute instrucciones que realicen las funciones, especificados para el nuevo sistema. PROTOTIPEO Es una tcnica utilizada en el An lisis de Sistemas y Diseo de Sistemas, que permite desarrollar con rapidez un sistema

de trabajo computarizado, para posibilitar probar el diseo ante el usuario en un software provisional que permite analizar en forma fsica el ingreso de los datos, el procesamiento y la emisin de resultados, y poder efectuar los ajustes necesarios para el diseo definitivo. PRUEBAS DE INTEGRACION Son las que deben realizarse para probar la integracin entre los componentes del sistema y asegurarse que encajen correctamente. PRUEBAS DEL SISTEMA Son las que deben realizarse para probar el sistema globalmente. PRUEBAS UNITARIAS Son las que deben realizarse para probar todos los componentes del sistema que se desarrollan individualmente. RESPALDO DE LA INFORMACION Es la informacin que se archiva en un medio alternativo al del almacenamiento de un computador con fines de disponer de una copia de seguridad por si ocurriese prdidas del sistema o la informacin.