Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Alcavi PDF
Alcavi PDF
Rafael A. Figuera
Cuman, 2007.
iii
iv
Objetivo de la Carrera.
I N D I C E G E N E R A L.
CONTENIDO
PAGINA
Portada
Identificacin
ii
Presentacin
iii
Objetivo de la Carrera
iv
viii
Resumen
ix
INTRODUCCIN
10
CAPITULO 1: El Problema
14
1.1. Ttulo
15
15
18
18
18
1.4. Alcance
19
1.5. Importancia
19
1.6. Limitaciones
20
21
22
24
24
31
38
vi
45
46
46
46
46
46
47
47
47
49
50
51
52
57
59
61
62
65
66
68
70
88
89
92
vii
95
96
96
98
100
107
CONCLUSIONES Y RECOMENDACIONES
134
Conclusiones
135
Recomendaciones
137
BIBLIOGRAFA
140
ANEXOS
144
145
157
161
162
170
175
176
178
183
ANEXO
4.4:
Proceso
de
Datos
Equipos
192
ANEXO 4.5: Seguridad
204
215
217
viii
LISTA DE FIGURAS
FIGURA N
PAGINA
2.1
33
4.1
Organigrama de ALCAVI
53
4.2
5.1
64
5.2
Modelo Conceptual
67
7.1
LISTA DE TABLAS
TABLA N
PAGINA
6.1
7.1
7.2
7.3
90
105
de Sistemas
108
111
ix
RESUMEN
INTRODUCCIN
____________________________
10
Introduccin.
El desarrollo constante
De lo anterior, se pudo investigar que en los ltimos aos se ha hecho mucha publicidad
acerca de la necesidad de auditar las empresas o instituciones (ver CNE: Auditora pblica
el 4D [Bofia, A.; 2005]) con la finalidad de evitar fraudes, falsificacin, venta de
informacin, virus informticos, etc.
11
y se definen los cambios. En el apartado 7 se hace una resea del plan y se establecen los
procedimientos para la elaboracin del plan de Auditora de Sistemas.
13
CAPTULO 1
______________________
EL PROBLEMA
14
1.1. Ttulo
En tal sentido las organizaciones requieren mejorar, proteger y controlar los sistemas de
informacin utilizados, adems de evaluar los productos novedosos en pro de la
actualizacin continua.
La Auditora Informtica est reglamentada por leyes en otros pases. Por ejemplo, en
Espaa existe la Ley Orgnica de Proteccin de Datos de Carcter Personal (LOPD) de la
cual se deriva el Reglamento de Medidas de Seguridad que establece en su artculo 17 Los
sistemas de informacin e instalaciones de tratamiento de datos se sometern a una
auditora interna o externa, que verifique el cumplimiento del presente Reglamento, de los
procedimientos e instrucciones vigentes en materia de seguridad de datos, al menos, cada
dos aos [Einnova; 2006].
15
En Venezuela no existen leyes que reglamenten los procesos de Auditoras que se llevan
a cabo en los sistemas de informacin de las diferentes empresas o instituciones del pas.
La auditoria puede ser externa, interna o mixta, coincidiendo con los tipos de
observacin de participantes, no participantes y semi-participantes. Cada uno de
estos tipos de auditoria tiene sus ventajas o inconveniencias.
16
17
sistema, con el fin de lograr un aprendizaje que conlleve a tomar ciertas acciones, que
puedan conducir a una nueva condicin, la cual necesariamente no es la ms ptima.
Por otra parte, se puede afirmar, que el modelo propuesto podra ser una gua para llevar
a cabo Auditora de Sistemas y alcanzara a ser aplicado en cualquier departamento de
informtica de cualquier institucin, hacindole los ajustes necesarios.
1- Estudiar el sistema actual para obtener una visin amplia del mismo.
2- Analizar la situacin problemtica, partiendo del sistema en estudio.
3- Aplicar la metodologa de Peter Checkland a fin de establecer los aspectos crticos del
modelo actual bajo el enfoque de sistemas.
18
1.4. Alcance.
1.5. Importancia.
La importancia de este trabajo radica en el hecho de que, una vez terminado el informe
final, se propondr un Modelo de Auditora de Sistemas para la Unidad de Apoyo
Informtica de ALCAVI, que de ser desarrollado en un futuro, podra ser una herramienta
de mucha utilidad, que a su vez entre otras cosas, mejorara notablemente la eficiencia en el
procesamiento de los datos, as como tambin la seguridad de la informacin manejada en
dicha institucin.
Por otra parte, este estudio aportar conocimiento novedoso y de inters en el campo de
la Ingeniera de Sistemas, especialmente en el rea de Auditora de Sistemas o Auditora
Informtica. En caso de que ALCAVI instale un Departamento de Auditora, los auditores
de sistemas contarn con una gua o manual para llevar a cabo sus actividades, ya que en la
actualidad existe poco material, que se pueda utilizar en la prctica, sobre Auditora
Informtica, por ser sta una disciplina relativamente nueva.
19
1.6. Limitaciones.
20
CAPTULO 2
______________________
21
En la actualidad, ALCAVI est formada por una Gerencia General, una Gerencia de
Asistencia Tcnica, siete Unidades de Apoyo y ocho programas que dependen de la
Gerencia de Asistencia Tcnica.
Una de las siete Unidades de Apoyo es Informtica, la cual est encargada del
tratamiento automtico y racional de toda la informacin que se maneja en la institucin.
Este departamento fue creado en el ao 1997, cuando ALCAVI inicia sus operaciones en la
ciudad de Cuman.
Por otra parte, en ALCAVI no se realiza auditora interna ni externa de tal manera que
no se sabe, hasta qu punto se estn cumpliendo con las metas de la institucin.
22
23
Existen diversos tipos de auditoras, las cuales mantienen relacin con la auditora de
sistemas o en informtica, como tambin suele denominarse. Entre estos tipos de auditoras
tenemos:
25
26
Auditora de Programas.
27
28
Por los objetos auditables, la Auditora toma infinidad de denominaciones; todo depende
del rea, actividad u objeto que se audite. Otras modalidades son: Tributaria, Integral, de
funcionamiento y social.
Para la efectiva ejecucin y terminacin de una auditora de sistemas, por pequea que
esta sea, se requiere del planeamiento y preparacin de un programa de trabajo. Planear la
auditora es decidir previamente cules son los procedimientos que se van a emplear, cul
es la extensin que va a darse a las pruebas, en qu oportunidad se van a aplicar y cules
son los papeles de trabajo en que van a registrarse los resultados [Rodrguez, J.; 1985].
Todo esto permitir dimensionar el tamao y caractersticas del rea dentro del
organismo a auditar, sus sistemas, organizacin y equipo; con ello se podr determinar el
nmero y caractersticas del personal de auditora, las herramientas necesarias, el tiempo y
costo.
Una inadecuada planeacin repercutir en una serie de problemas, que pueden provocar
que no se cumpla con la auditora o bien que no se efecte con el profesionalismo que debe
tener.
29
Para lograr una adecuada planeacin, lo primero que se requiere es obtener informacin
general sobre la organizacin y sobre la funcin de informtica a evaluar. Para ello es
preciso hacer una investigacin preliminar y algunas entrevistas previas, y con base a esto
planear el programa de trabajo, el cual deber incluir tiempo, costo, personal necesario y
documentos auxiliares a solicitar o formular durante el desarrollo de la misma.
El papel del auditor informtico va a ser variable. A todos los auditores informticos les
preocupar bsicamente el control interno, el control y la fiabilidad financieros y la
seguridad de los activos de la empresa. Muchos auditores tendrn una gama de
responsabilidad mucho ms amplia, en la que se incluyan los anlisis de los sistemas y los
estudios empresariales. Algunos se interesarn en la eficacia, eficiencia, y continuidad de
los sistemas. Otros auditores analizaran si el equipo informtico y los sistemas de software
son tcnicamente adecuados y eficientes.
Para que el anlisis sea eficaz y til, el auditor deber tener los conocimientos tcnicos
necesarios para comprender el tema que vaya a examinar. La falta de conocimientos limita
el alcance del trabajo de anlisis; por lo que los auditores informticos debern conocer
perfectamente las posibilidades de los equipos y sistemas que utilice la empresa que se est
auditando y estar familiarizado con los estndares en vigor. Es importante conocer el
hardware y el software, en la medida en que se necesite para realizar el trabajo que se vaya
a acometer. Tambin resultar de gran valor para el auditor el conocimiento del lenguaje de
control de tareas, sistemas operativos, anlisis y programacin para que haga unos anlisis
30
ms detallados, resuelva los problemas que surjan con mayor independencia, mejore el
nivel de comunicacin con el staff del departamento de informtica y consiga el respeto y
la colaboracin del personal de proceso de datos.
31
Los problemas del mundo real se caracterizan porque no pueden ser descritos segn un
patrn o modelo definido. Dentro de esta categora se encuentran los sistemas blandos, en
los cuales resulta difcil definir objetivos, la toma de decisiones es incierta, y las medidas
de sus actividades son a lo mximo cualitativas [Checkland, P.; 1993]. La metodologa de
Checkland surge por la necesidad de enfrentarse a este tipo de problemas no estructurados,
en donde el resultado nunca es una solucin ptima a un problema, es ms bien un
aprendizaje que conduce a una decisin referente a tomar ciertas acciones.
32
Fase I
Visin Amplia
del Sistema
Fase II
2
Aspectos
Crticos
Diseo de
Sistemas
Pertinentes
1
Aspectos
Generales
Fase IV
Fase III
Implantacin de
Cambios
Diseo de algunos
Cambios
7
Acciones
para mejorar
la situacin
problema
5
Comparacin del
modelo conceptual
y el sistema actual
3
Definiciones
Races
4
Modelos
Conceptuales
6
Definicin de
los cambios
Pensamiento de
Sistemas
Mundo Real
En esta fase se incluye los estadios 1 y 2, los cuales constituyen un primer intento por
conocer la situacin en la cual se percibe que hay un problema. Esta primera fase es
normalmente la que ms tiempo consume, pues incluye la toma de todo tipo de datos y
presupone entrar en contacto directo con los distintos grupos que participan en el sistema
[Pinilla, J.; 1994].
Mediante este estadio se pretende reunir todas las percepciones posibles de la situacin
problema, obtenindose as un cmulo de informacin pertinente al sistema y a su entorno.
Estadio 2: Definicin de Aspectos Crticos.
mundo o Weltanschauung. Sin embargo, habr otros Weltanschauung viables, debido a que
los seres humanos siempre pueden aunar significados diferentes a los mismos actos
sociales [Checkland, P.; 1993].
Idealmente una definicin raz debe estar constituida por seis elementos o factores.
Estos factores son agrupados bajo el neumnico CATWOE, proveniente de sus iniciales en
el idioma ingls y se describen a continuacin:
- Consumidores (C): Son aquellos individuos o entidades que se ven beneficiadas o
perjudicadas por el funcionamiento del sistema.
- Actores (A): Son los agentes que hacen posible el proceso de transformacin que se
lleva a cabo en el sistema.
- Transformacin (T): Es el proceso realizado por el sistema, que consiste en sintetizar
un conjunto de salidas a partir de un conjunto de entradas
- Weltanschauung (W): Es la perspectiva que da origen a la definicin raz, sta
puede provenir de cualquier fuente, pero es recomendable que provenga de los
consumidores, los actores o el dueo del sistema.
- Dueo (O): Es aquel individuo, entidad o macrosistema que en algn momento puede
decidir por la destruccin (o salida de funcionamiento) del sistema.
- Restricciones del ambiente (E): Son aquellas limitaciones al funcionamiento del
sistema que son impuestas por agentes externos a l y que conforma su ambiente.
Estadio 4: Confeccin y verificacin de modelos conceptuales.
35
El Modelo Conceptual establece lo que debe hacerse, para lo cual se toman los verbos
que aparecen explicita o implcitamente en la definicin raz seleccionada, para luego
estructurarlos en una secuencia lgica.
36
La accin de cotejar cada una de las actividades del sistema formal con las actividades
del mundo real, permite determinar las decisiones y recursos necesarios para llevar a cabo
los cambios que implica cada actividad, y en el caso de que estn presentes, establecer los
mecanismos para verificar que tan bien se llevan a cabo.
Estadio 6: Definicin de los cambios.
La comparacin realizada en el paso anterior permite que los cambios surjan de una
manera natural y adems revela las deficiencias existentes en el sistema actual. Los
cambios a introducirse en el sistema pueden ser de diversos tipos, permitindose la
combinacin de ellos segn la situacin particular; pero lo ms importante es que estos
cambios sean viables dadas las circunstancias actuales y, que los actores que viven la
situacin problemtica estn involucrados con las decisiones tomadas.
Por ltimo debe destacarse que el Modelo Conceptual debe tomarse como una gua
para la definicin de cambios, y no como una representacin ideal al cual deba tender el
sistema actual.
37
Esta constituido por todas aquellas acciones necesaria para solventar la problemtica, y
representa uno de los pasos que debe tomarse muy en cuenta desde el inicio del estudio, ya
que de no ser as los cambios sugeridos no se adaptarn a los requerimientos de los sectores
involucrados y los esfuerzos por mejorar la situacin planteada habrn sido en vano.
A fin de dar un significado exacto, que permita la comprensin de las ideas expuestas se
definen a continuacin los trminos de mayor utilizacin:
Archivo: Tipo abstracto de datos definido e implantado por el sistema operativo, que
consiste en una secuencia de registros lgicos, los cuales pueden ser un byte, una lnea o un
elemento de datos ms complejo.
Archivo Lgico: Es una descripcin de cmo deben presentarse los datos, o recibirse, de
un programa.
38
Cnsola: Es la parte del computador usado para la comunicacin entre los operadores o
ingenieros de funcionamiento y el computador, generalmente por medio de seales y de
controles manuales.
Contrasea: Serie nica de caracteres que un usuario de un sistema debe introducir para
identificarse a s mismo, en caso de que los recursos de ste estn agrupados.
Controles de Salida: Son los controles que aseguran que los resultados obtenidos sean
confiables.
Controles Programados: Son los controles que se incluyen como parte de las
instrucciones internas de la mquina.
Cuadros Ocupacionales: Es una tcnica para efectuar la revisin de las actividades del
personal. Consiste en hacer una descripcin general de un puesto principal, definiendo
autoridad, responsabilidad, atribuciones y relaciones.
Diagrama de Gantt: consiste en una representacin grfica sobre dos ejes; en el eje
vertical se disponen las tareas del proyecto y en el eje horizontal se representa el tiempo.
Epistemologa: Teora relativa a los medios por los cuales podemos tener y expresar el
conocimiento del mundo.
Estacin de Trabajo: Los microcomputadores en los que trabajan los usuarios, que estn
conectados entre s y al servidor de archivos.
40
Etiquetas Externas: Son etiquetas visibles que se aaden a una cinta magntica o a un
disco.
Librera: Objeto del sistema que sirve como directorio para otros objetos. Una librera
agrupa objetos relacionados y permite al usuario buscar objetos por su nombre.
41
Poltica: Son los principios de operacin que permiten alcanzar las metas de la
organizacin.
42
Rastro para Auditora: Es un medio para identificar los pasos dados al procesar los datos
de entrada o al preparar una salida de manera que los datos en un documento puedan ser
rastreados hacia un medio de salida, y un medio de salida pueda ser rastreado hacia las
partidas de origen de las cuales deriva.
Sistema de Actividad Humana: Un sistema nocional con propsito que expresa alguna
actividad humana que poda en principio encontrarse en el mundo real.
Sistema Diseado: Es una entidad hecha por el hombre que un observador elige para
tratarla como un todo que tiene propiedades emergentes.
43
Verificacin: Es la verificacin por teclado de los datos de entrada introducidos por este
medio.
44
CAPTULO 3
______________________
DISEO DE LA INVESTIGACIN
45
personas hay que destacar al Gerente General, al Gerente de Asistencia Tcnica y a las
personas que laboran en la Unidad de Apoyo Informtica, a los cuales se les aplic
entrevistas no estructuradas para obtener informacin adicional durante este proceso.
48
CAPTULO 4
______________________
49
50
Dentro de los elementos estratgicos se encuentran la misin, las polticas, las funciones
y los objetivos, los cuales se enuncian a continuacin:
Misin: ALCAVI es una institucin que tiene como misin la de contribuir a la solucin
del problema habitacional de los habitantes del Municipio Sucre del Estado Sucre,
especialmente de aquellos ubicados dentro de los niveles I y II de la Ley de Poltica
Habitacional.
Los factores crticos de xito estn representados por todos aquellos aspectos que exige
el entorno donde opera la institucin y cuyo cumplimiento satisfactorio garantiza el xito
51
del servicio. Los factores crticos de xito de la fundacin, estn ntimamente relacionados
con los clientes y el grado de satisfaccin de sus necesidades, siendo stos:
Solidez: Imagen de solidez financiera; transparencia en la informacin; seguridad y
control de riesgo.
Empata: Identificacin del cliente con la institucin; confianza; imagen integral
(valores); respeto hacia el cliente.
Calidad de servicio: Atencin personalizada; capacidad y calidad de respuesta;
transmisin de seguridad y confianza; tecnologa de vanguardia; servicio integral.
Conocimiento del entorno: Estudio comparativo de calidad de servicios.
52
ALCAVI
ALCAVI
Organigrama Estructural de ALCAVI
Fuente: U.A.Informtica
25-11-2006
Gerencia General
U.A.
Administracin y Finanzas
U.A.
Recursos Humanos
U.A.
U.A.
Prensa y Publicidad
U.A.
Gerencia de Asistencia Tcnica
Informtica
Prog. Consolidacin de
Comunid. Organizadas
Programa de
Banco de Tierra
Programa Nuevos
Desarrollo
Figura 4.1
Programa Regul. de la
Tenencia de la Tierra
Programa IV-1
Rehabilitaciones de
Urb. Populares
Programa
Financiamiento
Equipo
Maquinaria
Gerencia General.
delegando
logre
Elaborar los sistemas de seleccin del cliente organizado o no que atiende ALCAVI y
generar las respuestas en trminos de proceso y solucin habitacional.
Administracin y Finanzas.
Recursos Humanos.
Prensa y Publicidad.
Informtica.
56
Unidad Legal.
Conjunto de Programas.
La informacin ms reciente que se posee sobre los equipos, fue hecha por el estudiante
Rafael A. Figuera en un informe de Pasanta titulado Auditora de la Red LAN Instalada
en la Fundacin Municipal de la Vivienda (ALCAVI), del Municipio Sucre del Estado
Sucre en el ao 2004, del cual extraemos un pequeo resumen.
Hay cuarenta y un (41) puntos de Red en toda la edificacin (21 en planta alta y 20 en
la planta baja).
Un Switch de 10/100 Mbps y un Hub de diecisis (16) puertos de 10/100 Mbps cada
uno, ambos de marca 3com.
Una base de datos que actualmente contiene doce mil (12.000) registros
58
59
No existe responsable de
la U. de A. Informtica
La revisin y evaluacin
de controles en el rea de
Informtica es deficiente
No existen planes de
contingencia en el Centro
de Cmputo
Fallas en la documentacin de los sistemas
realizados en el rea
Deficiencias en la utilizacin de los sistemas de registro de fallas y servicios
Carencia de programas de
Auditora de Sistemas en
el rea de procesamiento
electrnico de datos
Poca disponibilidad de
tiempo para la documentacin de las actividades
de programacin y
operacin
60
CAPTULO 5
______________________
61
Las Definiciones Races representan los sistemas de la actividad humana que tratan de
expresar nociones sobre el sistema desde distintos puntos de vista, en este caso sobre la
Unidad de Apoyo Informtica de ALCAVI, para lo cual se solicit la opinin del personal
de las diferentes reas de la institucin. Posteriormente debe seleccionarse la que conlleve a
cambios factibles, tendentes a mejorar la situacin actual.
62
63
Optimizacin
de operaciones
y beneficios
mximos
Apoyo
y control
Requerimientos
ALCAVI
Sistemas de
Informacin
Organizacin
Sistemas
Proceso
Equipos
64
Seleccionar la definicin raz ms apropiada, amerita de una decisin que est acorde
con las personas involucradas en el sistema, ya que de ellos depende el establecimiento de
algunos cambios que puedan resultar factibles y a corto plazo, para la solucin de la
problemtica presentada. Es por esta razn que se seleccion la definicin raz nmero
cinco, ya que abarca todos los aspectos de las actividades desarrolladas en el rea de
informtica, incluyendo adems la evaluacin de dichas actividades; hecho que conlleva a
la realizacin de la Auditoria de Sistemas, motivo esencial del estudio.
En cuanto a las otras definiciones races, se puede acotar que no fueron seleccionadas,
ya que estn orientadas hacia fines muy particulares, por lo que no ofrecen una perspectiva
de lo que realmente representa el rea estudiada, y adems deja a un lado elementos que
puedan permitir el desarrollo de actividades relacionadas con la Auditora de Sistemas.
La definicin raz nmero uno est dirigida bsicamente hacia el cumplimiento de los
objetivos de la organizacin, considerando a esta rea como un factor que contribuye
notablemente a la eficiencia de la fundacin al permitir la optimizacin de las operaciones y
la minimizacin de errores o fraudes que puedan afectar la Institucin.
La definicin raz nmero dos ofrece una visin enfocada a nivel de los usuarios que
solicitan los servicios de la Unidad de Apoyo Informtica, por lo que slo se espera el
incremento de la eficiencia de sus operaciones, pasndose por alto las necesidades internas
para solventar las fallas existentes en esta unidad.
La definicin raz nmero tres, de igual forma no garantiza que la Unidad de Apoyo
Informtica funcione de una forma eficiente, ya que slo se espera que sta proporcione los
requerimientos de informacin para el cumplimiento de las operaciones realizadas en la
Institucin.
Una vez que se ha seleccionado la definicin raz acorde con el sistema en estudio, se
prosigue con la conceptualizacion del sistema de actividad humana, segn los verbos que
aparecen explicita o implcitamente en dicha definicin. Los verbos que se van a relacionar
son los siguientes: PROCESAR, DESARROLLAR Y MANTENER, CONTROLAR,
ORGANIZAR Y EVALUAR (ver figura 5.2).
66
Requerimientos:
Materiales e insumos,
equipos, personal, etc.
Solicitud de Sistemas
Computarizados
Procesar:
Organizar:
Informacin
Estructura Orgnica
Desarrollar y Mantener:
Controlar:
Sistemas de Informacin
Equipos Computarizados
Evaluar:
Operaciones
Informacin sobre:
Incumplimiento de Polticas, Normas y
Procedimientos; utilizacin de equipos,
Eficiencia, seguridad, controles, etc.
: Relaciona verbos
Figura 5.2. Modelo Conceptual.
67
En esta seccin se describen cada uno de los verbos expuestos en el modelo conceptual
y por consiguiente las actividades detalladas para los mismos
PROCESAR:
4.- Disponer de mecanismo para el control de fallas de los dispositivos del sistema de
cmputo y servicios auxiliares.
DESARROLLAR Y MANTENER.
7.- Cumplir con los estndares establecidos para el anlisis, programacin y documentacin
de sistemas.
8.- Desarrollar los mdulos, listados, bases de datos, pantallas que requiera ALCAVI, bien
sea en el sistema principal o a nivel de micro.
CONTROLAR:
11.- Brindar apoyo tcnico a las diversas unidades de ALCAVI en relacin con la
adquisicin de software y hardware del ambiente de Microcomputacin.
12.- Atender los requerimientos de las diversas unidades de la institucin, en relacin con el
uso de software y hardware de Microcomputacin.
14.- Formular las medidas necesarias para controlar la seguridad en la utilizacin de los
equipos y en el personal.
ORGANIZAR.
16.- Establecer niveles jerrquicos y lneas de autoridad acordes con los requerimientos del
rea.
17.- Asignar personal calificado en cada una de las reas de de la Unidad de Apoyo
Informtica.
20.- Establecer las reas que proporcionan apoyo para el cumplimiento de sus funciones.
21.- Elaborar programas de capacitacin para el personal del rea.
69
EVALUAR:
24.- Elaborar un plan que permita la revisin y evaluacin de los controles, sistemas,
procedimientos de informtica; de los equipos de cmputo, su utilizacin, eficiencia y
seguridad, y de la organizacin que participa en el procesamiento de la informacin.
Cada una de las actividades pertenecientes al modelo conceptual debe ser detallada por
separado, de forma que se pueda especificar toda la informacin necesaria para llevarla a
cabo en caso de que as se requiera.
70
Las condiciones operativas del equipo son de gran importancia, por esto debe tomarse
muy en cuenta sus consideraciones especficas y ambientales, segn estos requerimientos se
debe proveer de un rea especial para la disposicin del sistema central, el cual adems
debe estar limitado slo al personal autorizado.
Por ltimo es necesaria la presencia de los operadores que se encargaran del monitoreo
de los procesos y de todas las operaciones relacionadas con el manejo y control del equipo.
Corridas especiales
Respaldo de informacin.
Demanda inesperadas.
Fallas de la maquina.
Otros.
Para lograr que cada uno de estos requerimientos se cumpla, debe contarse con un Jefe
del Centro de Cmputo o rea de operacin, que coordine todas las actividades relacionadas
con este aspecto.
Mantener registro de los usuarios, de forma tal de poder eliminar o modificar las
claves de usuarios oportunamente.
Hora de reanudacin.
Procedimiento de reanudacin.
Operador de turno.
72
Tiempo de operacin.
Tiempo ocioso.
Tiempo de reproceso.
73
Por otro lado se hace necesario el establecimiento de controles para definir el uso que se
le da al equipo, para evitar:
Procedimientos formales para la operacin del sistema de cmputo, los cuales deben
mantenerse actualizados, que indiquen las instrucciones especificas para cada proceso.
Convencionalismos de decisin.
Estndares de documentacin.
Es necesario que los analistas y programadores tomen muy en cuenta los procedimientos
de operacin para el desarrollo de sistemas, ya que de esta manera puede realizarse un
mantenimiento ms efectivo del mismo, en el caso que as se requiera.
8. Desarrollar los mdulos, listados, base de datos, pantallas que requiera ALCAVI,
bien sea en el sistema principal o a nivel de micro.
En desarrollo.
Para cumplir satisfactoriamente con esta actividad es necesario que exista una persona
que supervise directamente el cumplimiento de cada una de las etapas en el desarrollo de
sistemas, destinndose un cargo especial para ello.
Para cumplir satisfactoriamente con esta actividad, los analistas deben mantener al da la
informacin sobre los proyectos asignados.
76
Para cumplir con esta actividad se requiere del establecimiento de una Biblioteca de
Procesamiento de Datos, en el cual se almacenan las cintas y disquetes disponibles. El local
asignado para este fin debe poseer lo siguiente:
Aire acondicionado.
Proteccin contra el fuego.
Cerradura especial.
Controles de temperatura y humedad.
77
11. Brindar apoyo tcnico a las diversas unidades de ALCAVI en relacin con la
adquisicin de software y hardware del ambiente de Microcomputacin.
Para cumplir con este fin es necesario contar con personal capacitado en el ambiente de
Microcomputacin, de forma que pueda establecer con precisin el equipo que se adapte a
las necesidades de los usuarios. Para ello es imprescindible el establecimiento de
parmetros de seleccin que permitan convertir los requerimientos de operacin
establecidos por las especificaciones funcionales y/o tcnicas de los sistemas y equipos, en
variable que dimensionen los productos a evaluar y seleccionar.
78
Fecha.
Realizar registros de todas las actividades relacionadas con los equipos, con la siguiente
informacin:
-
Fecha.
79
Los controles de seguridad son un medio para preservar los datos esenciales, y una
proteccin contra los errores de computacin que no pueden ser detectados de otra manera.
Estos controles deben estar estandarizados para las operaciones diarias. Para lograr que esta
seguridad se cumpla es necesario mantener la siguiente informacin:
Claves de acceso del personal autorizado, especificando la forma en que pueden acceder
a los archivos del sistema.
Indicadores dentro del sistema de computacin para detectar el momento en que se
produce un cambio o fraude en el mismo.
Grado de riesgo que poseen los sistemas de computacin (alto, mediano, pequeo), y
medidas a tomar dependiendo del nivel de seguridad que se requiera.
Personal indispensable para la organizacin, representado por aquellos empleados que
son muy difciles de sustituir; lo cual pone en riesgo el funcionamiento de la
organizacin. Para detectar el personal indispensable deben establecerse polticas
adecuadas de rotacin del personal.
Estadsticas sobre violaciones a los procedimientos en el uso de la computadora.
La estructura organizativa de la Unidad debe estar acorde con los objetivos fijados para
el rea, y debe permitir que se lleve a cabo con eficiencia lo siguiente:
Atribuciones encomendadas.
Funciones establecidas.
Distribucin del trabajo.
Control interno.
Para cumplir con este propsito es necesario que se establezcan controles en el rea de
Informtica para Evaluar la estructura organizativa de la Unidad, a fin de detectar
deficiencias en este sentido. Dichas deficiencias deben ser notificadas al ente encargado del
establecimiento de los niveles jerrquicos y lneas de autoridad de la Institucin, de forma
que se tomen las medidas adecuadas.
Los aspectos que se deben tomar en cuenta para esta evaluacin son:
Desarrollo adecuado de la operacin y supervisin.
Agilidad en la comunicacin ascendente y descendente.
Toma de decisiones.
Interrelacin adecuada de los organigramas totales con el organigrama de la Unidad.
81
Garantizar que las tasa de sueldos y salarios, incluyendo los beneficios marginales, se
comparen favorablemente con el rea en el que se ubica la fundacin.
Programacin e implantacin.
Objetivos del rea, los cuales deben ser congruentes con las otras Unidades de la
Institucin.
Cada uno de estos aspectos deben ser comunicados claramente al todo el personal, para
que de esta manera contribuyan a su cumplimiento.
83
20. Establecer las reas que proporcionan apoyo para el cumplimiento de sus
funciones.
Frecuencia.
La realizacin de un anlisis de los puestos para poder determinar las bases para el
establecimiento de los programas de entrenamiento.
Identificar las necesidades actuales y futuras del rea para as poder determinar el grado
de capacitacin requerido.
general para la distribucin del espacio de trabajo, en el cual se tomen en cuenta los
siguientes aspectos:
Iluminacin.
Ventilacin.
Equipo de oficina.
Mobiliario.
Ruido.
Instalacin de comunicacin.
Integracin del personal como grupo de trabajo, de forma tal de mejorar su grado de
convivencia. Estos grupos de trabajo deben desarrollarse bajo la direccin y control de
lderes de grupo, que contribuyan a la utilizacin de las habilidades y talentos al
mximo, tomando en cuenta una estructura informal de trabajo que contribuyan al
fomento de una manera natural de las necesidades de las personas en el ambiente en el
cual ellas se encuentran.
85
Esta actividad es de vital importancia para el desarrollo del personal del rea, ya que va
a servir de impulso hacia el xito. Para ello es necesario adaptar e implementar planes de
evaluacin y recompensas que contribuyan a la satisfaccin de expectativas de los
empleados, a fin de obtener un mayor rendimiento en la ejecucin de sus operaciones.
24. Elaborar un plan que permita la revisin y evaluacin de los controles, sistemas,
procedimientos de informtica, de los equipos de cmputo, su utilizacin, eficiencia y
seguridad, y de la organizacin que participa en el procesamiento de la informacin.
87
CAPTULO 6
______________________
88
Una vez establecidas las actividades necesarias para definir un nuevo Modelo
Conceptual que conlleve a la mejora de la situacin problemtica, se procede a la
comparacin de dicho modelo con el sistema actual, para que as los cambios puedan surgir
de una manera natural, al verificar cuales actividades no se estn desarrollando, o en caso
contrario, detectar las deficiencias en relacin a la toma de decisiones que sta implica y en
cuanto a la utilizacin de informacin y de recurso para su cumplimiento.
89
Situacin Actual
1. Realizar el procesamiento
electrnico de la informacin
2. Controlar y planificar el trabajo del
centro de cmputo.
3. Garantizar y controlar la
comunicacin entre los terminales y el
computador central
No se dispone de un Manual de
Contingencias para el centro de
cmputo
No hay un mantenimiento de la
informacin concerniente a los
sistemas desarrollados y sus
modificaciones.
Se cumple a pesar de que no se dispone
de un cintoteclogo para controlar el
contenido de la Biblioteca de Procesamiento de Datos. Los usuarios de
turnos se encargan de registrar cualquier modificacin en el sistema del
que se dispone y de todo lo referente a
su manejo
No se cumple, ya que no existe
personal capacitado en el ambiente de
Microcomputacin.
Cambio Sugerido
Se requiere de un Sistema Automtico
Central
Contratar a un jefe que coordine todas
las actividades relacionadas con este
aspecto
Disponer de personal especializado en
el rea de comunicaciones, que se
encargue de monitorear el
funcionamiento general del sistema de
comunicaciones.
Contar con personal dedicado al
registro de las fallas, as como tambin
debe velar porque se tomen las
medidas adecuadas para dar soluciones
a las situaciones presentadas.
- Registrar los tiempos de utilizacin
de las mquinas e impresoras.
- Implementar controles para la
utilizacin de las computadoras
- Actualizar los procedimientos
constantemente.
- Elaborar un Manual de Contingencias
especial para el Centro de Cmputo.
Utilizar convencionalismos y
procedimientos estndar de
programacin segn el Manual de
Sistemas y Procedimientos.
- Planear la programacin segn las
necesidades existentes.
- Registrar el avance de la
programacin en los formatos
definidos para este fin.
- Supervisar directamente el
cumplimiento de cada una de las fases
en el desarrollo de los sistemas.
Se deben actualizar los registros para el
control de modificaciones de sistemas.
90
Situacin Actual
Cambio Sugerido
- No se dispone de inventarios
actualizados.
- No se controla el registro adecuado
de las actividades relacionadas con los
equipos.
- No del todo.
- Se entrena al personal en el rea de
trabajo, sin el establecimiento de
planes formales.
Las condiciones y el ambiente de
trabajo son deficientes para desarrollar
las actividades.
Se motiva al personal, pero con
deficiencias en cuanto a la evaluacin.
No se aplican Programas de Auditora
de Sistemas.
91
Por otra parte el analista de seguridad de datos puede ocuparse de controlar todo lo que
se refiere a los requerimientos de los usuarios, el cual se encargar no solo de llevar el
registro de fallas, sino que se ocupar de verificar que se atiendan oportunamente a todos
los usuarios. Todo esto permitir que se mantengan las estadsticas apropiadas de usuario,
por unidad, etc., contndose con documentacin sobre todas las situaciones presentadas, las
medidas tomadas para solucionarlas y el tiempo requerido; lo cual puede ser consultada en
los casos que se presenten situaciones similares.
92
Por otro lado, es necesario recalcar la necesidad de utilizar los estndares para la
programacin, los cuales no deben ser olvidados por los analistas a la hora de elaborar los
sistemas.
Con respecto a los equipos de Micro computacin.
Por otro parte, es necesario que se intensifiquen los controles en cuantos a las licencias
de software, para lo cual se requiere de la realizacin de un inventario del software de la
organizacin a fin de detectar si existen copias no autorizadas; y adems establecer
procedimientos para la asignacin de equipos nuevos, garantizando as que slo se instale el
software si se tiene la respectiva licencia.
93
94
CAPTULO 7
______________________
PREPARACIN DE UN PROGRAMA
DE AUDITORA DE SISTEMAS
95
A medida que cada punto se va cubriendo, el auditor deber llevar un control del tiempo
empleado al efecto; resultando el plan no solo como elemento de planeacin, sino tambin
como herramienta de control del trabajo de auditoria.
Para la realizacin del programa de auditoria de sistemas, debe tomarse en cuenta los
tres objetivos de la evaluacin:
Evaluacin administrativa del rea.
Evaluacin de los sistemas y procedimientos.
Evaluacin de los equipos de cmputo.
96
Entrevistas previas
Definicin del rea a
investigar
Determinacin de
detalles a investigar
Captacin de
Necesidades
----------------Solicitudes
Estudio
Preliminar
Identificacin
Real del rea
estudiada
Examen y Evaluacin
Funcin de
Informtica
Alcance y
Limitaciones
del estudio
Naturaleza
y Objetivo
del Estudio
Planeacin de
la Auditora
de Sistemas
Sistemas y
Procedimientos
Recursos
Necesarios
Informacin
Requerida
Programa:
Recursos
Tiempo
Proceso de Datos
y Equipos de
Cmputo
Documentos
Manuales
Seguridad
Propuesta de otros
estudios
complementarios
Fase de identificacin.
1. Iniciar el trabajo de recoleccin de datos con un contacto previo que proporcione una
primera idea global del rea que se va a estudiar.
Seleccionar la informacin que se relacione con el rea a auditar.
Realizar entrevistas al personal del rea.
Definir las reas a investigar.
2. Identificar las reas que ameritan de un anlisis detallado.
3. Definir la naturaleza y el objetivo del estudio.
Fase de planeacin.
Fase de Programacin.
El estudio preliminar esta encaminado a lograr una primera idea global sobre el rea que
se va auditar, para conocer la naturaleza y el objetivo del estudio.
Se debe definir cual ser la materia objeto de estudio, para lo cual se dividir el rea
total en:
Organizacin.
Sistemas.
Seguridad.
Objetivo General:
99
Objetivos Especficos:
En esta fase es necesario especificar los renglones que se van a examinar y los
procedimientos a seguir, tomando en cuenta que dichos renglones deben estar enfocados
hacia los principales objetivos propuestos.
7.2.2.1. Alcance.
Para cumplir con la evaluacin se dividir el entorno auditable en las siguientes reas
especficas:
100
Organizacin.
Para determinar el rendimiento de esta rea se debe dividir la misma en las diferentes
secciones:
Estructura Organizativa: verificar si la estructura organizativa cumple con los principios
de una buena organizacin y si est adecuada a las necesidades.
Recursos Humanos: Se revisar la situacin del personal del rea con la finalidad de
determinar si sta cuenta con los recursos humanos necesarios para garantizar la
continuidad de la operacin.
Sistemas.
Para realizar la evaluacin de los sistemas tanto en operacin como en desarrollo, a fin
de medir la eficiencia que se tiene en el uso de la informacin, se estructuraron las
siguientes secciones:
Elaboracin del sistema: se verificar si se cuenta con planes adecuados para la
elaboracin de los sistemas, tomando en cuenta las prioridades y objetivos existentes.
Anlisis: se revisarn los procedimientos, polticas y normas existentes para llevar
acabo el anlisis.
Diseo lgico del sistema: se analizarn las especificaciones del sistema para descubrir
errores, debilidades y omisiones ocurridas antes de la codificacin.
Desarrollo del sistema: se analizarn los programas a fin de evaluar su diseo e
interconexin.
101
Seguridad.
Debido a que los datos que manejan los sistemas computarizados representan
informacin de vital importancia para el cumplimiento de muchas operaciones, esta debe
ser resguardada de posibles fraudes o sabotajes que provoquen su destruccin. Por esta
razn se consider necesario establecer un rea para estudiar en forma detallada todos los
elementos que se requieran para establecer un sistema de seguridad eficiente, la cual se
dividi en las siguientes secciones:
102
7.2.2.2 Limitaciones.
La principal limitacin
sistemas, es que hasta ahora, no se cuenta con una escala de valores precisa con la cual
pueda medirse el grado de eficiencia con que el centro de procesamiento de datos cumple
su funcin, por tanto, el resultado de tal revisin adolece de cierta subjetividad, ya que, es
el auditor encargado el que determinar el patrn ideal que usar como base para la
evaluacin.
Por otra parte debe recordarse que en la institucin no se han ejecutado programas
formales de auditoria de sistemas que hayan sido desarrollados por auditores pertenecientes
a la organizacin, por lo tanto no existen patrones a seguir, especialmente en lo que
concierne a la estimacin de los tiempos de cada una de las etapas.
103
Cuestionarios
Los cuestionarios se deben estructurar por reas para buscar respuestas a varias
interrogantes de la situacin de cada una de ellas, y estas a su vez se dividen en secciones
para tratar slo aspectos especficos. Los cuestionarios se entregarn a los directivos
involucrados con cada rea, las cuales poseen sus propias caractersticas, de ah que no
pueda estandarizarse su contenido; adems no todas las secciones se analizarn a travs del
uso de cuestionarios. Los cuestionarios fueron codificados segn el rea y la seccin a la
que pertenecen, y se utilizarn dichos cdigos para reverenciarlos (ver anexo 4). Dichos
cdigos se establecieron segn las siguientes consideraciones:
Los dos primeros dgitos del cdigo se refieren al rea a la que pertenecen:
-
Debe destacarse que para los cuestionarios una respuesta afirmativa representa que no
hay necesidad de aclaracin alguna, ya que el punto investigado esta acorde con los
requerimientos; mientras que una respuesta negativa indica que existen fallas o
deficiencias, que deben ser aclaradas por escrito.
Hojas de Anlisis.
Las hojas de anlisis servirn para recopilar datos, comentarios, notas y evaluaciones
concernientes a la revisin, constituyendo un elemento de prueba sobre la revisin.
Punto
Cumplimiento
Excelente
90 a 100%
Buena
80 a 89%
Regular
60 a 79%
Deficiente
40 a 59%
Mala
20 a 39%
105
Estas hojas de anlisis se codificaron de igual manera que los cuestionarios, solo que en
lugar de una C para el tercer digito se coloc una H.
Tambin se utilizarn Hojas de Anlisis para registrar cualquier informacin que amerite
ser ampliada para su posterior evaluacin. Dichas hojas son formatos en blanco, que se irn
numerando en forma secuencial, preferiblemente con lpices de color en el margen superior
derecho de cada pgina, donde sea ms visible (ver modelo en el anexo 3.2, Hojas de
Anlisis para registrar informacin).
Entrevistas.
Las entrevistas permitirn obtener informacin ms efectiva sobre las reas estudiadas,
utilizndose en aquellos casos en que se requiera de una interaccin ms directa con las
personas involucradas.
Para cada entrevista fue elaborada una Gua para Entrevistas, la cual ser utilizada en
el momento en que sta se realice, sin olvidar que debe comunicarse con anticipacin a las
personas que van a ser entrevistadas.
106
De igual manera se codific cada una de estas Guas para entrevistas, solo que el tercer
digito corresponde en este caso a una E.
Los programas de auditoria son medios que sirven de gua para que el auditor (en este
caso de sistemas), en el que se detallan los diferentes pasos a seguir para asegurar que se
cubrirn todos los aspectos. Un programa cuidadosamente trazado y ejecutado, proporciona
orden, puntualiza y coordina la realizacin de la auditoria.
107
12
15
18
21
24
27
30
33
36
39
42
45
El personal a seleccionar para la realizacin del plan de auditoria de sistemas, debe tener
un alto sentido de moralidad y poseer conocimientos generales sobre:
-
Tcnicas de auditoria.
Cabe destacar que los conocimientos y experiencias sealados pueden estar reunidos en
varias personas, segn los requerimientos de la institucin. En este sentido se recomienda,
que se disponga de los cargos que se describen a continuacin:
Objetivos.
Principales Funciones.
Objetivo.
Principales Funciones.
110
Los programas se concretan a sealar slo orientaciones sobre la forma en que habr de
plantearse la revisin y una serie de procedimientos de los cuales se seleccionarn los que
se estimen convenientes para la obtencin de datos segn las circunstancia del rea
auditada, en l se registran posteriormente los pasos cubiertos por el auditor.
Habr que llevar un registro de tareas, supervisado por el auditor respectivo, en el cual
se especificarn cada uno de los procedimientos a cumplir por el personal participante en la
auditoria. En el programa se anotarn los datos siguientes:
Tiempo esperado y tiempo real para la ejecucin de la actividad, el cual se expresar
segn la siguiente nomenclatura:
_ m, mes
_ s, semana.
_ d, da.
_ h, hora.
Descripcin de los procedimientos, que corresponde a los pasos necesarios para llevar
acabo la revisin.
Responsable de cada actividad, que corresponde a la firma o iniciales del auditor que
lleva acabo el procedimiento.
Columna de observaciones, para hacer referencia a los papeles de trabajo en donde se ha
registrado el procedimiento o tambin puede ser utilizado para especificar las marcas
que hacen constar que la revisin ha sido efectuada. Estas marcas de revisin deben ser
hechas preferiblemente con lpiz de color rojo, con la mayor uniformidad posible, de un
tamao pequeo, aunque claramente visible, con el propsito de no perjudicar la
legibilidad y la buena apariencia del programa de trabajo. Los smbolos que se han
definido para ser utilizados durante la revisin se muestran en la tabla 7.3.
Fecha de revisin.
111
Para la realizacin de los programas por reas, deben definirse cuales son los recursos
que van a permitir el cumplimiento de los procedimientos descritos en dicho plan.
Los recursos necesarios por cada una de las reas, se detallan a continuacin:
Los programas de Auditoria de Sistemas, para cada una de las reas ya sealadas se
muestran a continuacin:
113
Fecha
Observaciones
Realizando por
Procedimiento de Auditoria
Tiempo Real
Fecha:_____________________
Tiempo Esperado
Etapa
Responsable:_________________
I Investigacin Preliminar
objetivos.
7d
7d
Funciones.
Objetivos y polticas.
114
Fecha
Observaciones
Realizado por
Tiempo Real
Tiempo Esperado
Etapa
Procedimiento de Auditora
115
Fecha
Observaciones
Realizado por
Procedimiento de auditora
Tiempo Real
Fecha:_____________________
Tiempo Esperado
Etapa
Responsable:________________
Investigacin preliminar
2d
2d
116
Fecha
Observaciones
Realizado por
Tiempo Real
Tiempo Esperado
Etapa
Procedimiento de Auditora
3d
117
Fecha
Observaciones
Realizado por
Tiempo Real
Tiempo Esperado
Etapa
Procedimiento de Auditora
118
Fecha
Observaciones
Realizado por
Tiempo Real
Tiempo Esperado
Etapa
Procedimiento de Auditora
4d
119
Fecha
Observaciones
Realizado por
Tiempo Real
Tiempo Esperado
Etapa
Procedimiento de Auditora
120
Fecha
Observaciones
Realizado por
Tiempo Real
Tiempo Esperado
Etapa
Procedimiento de Auditora
121
Fecha
Observaciones
Realizado por
Tiempo Real
Tiempo Esperado
Etapa
Procedimiento de Auditora
2d
2d
122
Fecha
Observaciones
Realizado por
Tiempo Real
Tiempo Esperado
Etapa
8
Procedimiento de Auditora
Formas de implantacin.
2d
Usuarios.
2d
Otros.
123
Fecha
Observaciones
Realizado por
Tiempo Real
Tiempo Esperado
Etapa
Procedimiento de Auditora
124
Fecha
Observaciones
Realizado por
Tiempo Real
Procedimiento de Auditora
Etapa
1
Fecha:_____________________
Tiempo Esperado
Responsable:________________
Investigacin Preliminar.
5d
6d
125
Fecha
Observaciones
Realizado por
Tiempo Real
Tiempo Esperado
Etapa
Procedimiento de Auditora
126
Fecha
Observaciones
Realizado por
Tiempo Real
Tiempo Esperado
Etapa
Procedimiento de Auditora
127
Fecha
Observaciones
Realizado por
Tiempo Real
Tiempo Esperado
Etapa
Procedimiento de Auditora
128
Fecha
Observaciones
Realizado por
Tiempo Real
Tiempo Esperado
Etapa
Procedimiento de Auditora
5d
129
130
Fecha
Observaciones
Realizado por
Tiempo Real
Tiempo Esperado
Etapa
Procedimiento de Auditora
Fecha
Observaciones
Realizado por
Tiempo Real
Procedimiento de Auditora
Investigacin Preliminar.
3d
Fecha:_____________________
Tiempo Esperado
Etapa
Responsable:______________________
3d
3d
131
Fecha
Observaciones
Realizado por
Tiempo Real
Tiempo Esperado
Etapa
Procedimiento de Auditora
Seguridad Fsica.
3d
contingencias.
3d
132
Fecha
Observaciones
Realizado por
Tiempo Real
Tiempo Esperado
Etapa
Procedimiento de Auditora
3d
informacin.
3d
133
CONCLUSIONES Y RECOMENDACIONES
_________________________________________________
134
Conclusiones.
136
Recomendaciones.
4. Definir formalmente las polticas del rea, y mantener actualizado todo lo referente a las
Normas y Procedimientos, ya que de esta manera puede cumplirse cabalmente con todas las
actividades requeridas.
7. Instruir a los usuarios en el uso de los equipos y software, de forma tal de disminuir las
fallas presentadas por utilizacin inadecuada de los mismos.
137
10. Realizar planes de evaluacin y recompensas que incrementen el nivel motivacional del
personal.
Por ltimo debe recordarse que el xito de la Unidad de Apoyo Informtica dentro de la
Organizacin, no depender del establecimiento de programas escritos sobre el control de
138
sus actividades, sino depende finalmente de que todas las personas responsables del mismo
tomen una actitud positiva respecto a su trabajo, as como el trabajo desarrollado por su
rea, estableciendo metas y estndares que incrementen su productividad.
139
BIBLIOGRAFA
__________________________
140
[CALLAOS, N.; 1981]. La Transdisciplinalidad del Enfoque de Sistemas. Revista CIV323. Mrida, Venezuela.
[CANAVES.;
2003].
Auditoria
Informtica.
[on
line].
Disponible
en
http://www.monografas.com/trabajos/auditoinfo/auditoinfo.shtml.
[CHIAVENATO, I.; 1991]. Administracin de Recursos Humanos. Editorial Mc.GrawHill / Interamericana de Mxico, S.A. Mxico.
[ECHENIQUE,
J.;
1993].
Auditora
en
Informtica.
Editorial
Mc.Graw-Hill.
[EINNOVA;
2006].
Auditoria
Informtica.
[on
line].
Disponible
en
http://www.auditorasistemas.com/
[HALL, A.; 1974]. Ingeniera de Sistemas. 4ta Edicin. Compaa Editorial Continental,
S.A. Mxico.
141
[RAMIREZ, O.; 1996]. Estudio Sistmico del Comedor Universitario de los Andes.
Universidad de los Andes. Mrida, Venezuela.
142
143
ANEXOS
_______________
144
ANEXO 1
________________
145
Distinguido Sr.(a).
Atentamente,
146
DATOS GENERALES
rea de revisin:
Entrevistado:
Cargo:
INSTRUCCIONES
PREGUNTAS
Ref.
P.1
formalmente definida?
P.2
P.3
P.4
P.5
P.6
P.7
147
P.8
P.9
Siempre=4)
P.19 Se realizan evaluaciones peridicas para determinar el
desempeo del personal de la U. de A. Informtica?
P.20 Cumple el personal con las funciones que le son
encomendadas?
Ref.
148
149
Frecuencia
Porcentaje
No
18,18
No se
27,27
Si
45,45
Conoce
9,09
Muestre
Frecuencia
Porcentaje
No
9,09
No se
9,09
Si
63,63
Conoce
18,18
Muestre
Frecuencia
Porcentaje
No
9,09
No se
18,18
Si
54,54
Conoce
9,09
Muestre
9,09
Frecuencia
Porcentaje
No
9,09
No se
27,27
Si
54,54
Conoce
9,09
Muestre
150
Frecuencia
Porcentaje
No
No se
Si
81,81
Conoce
9,09
Muestre
9,09
Frecuencia
Porcentaje
No
10
90,90
No se
9,09
Si
Conoce
Muestre
Frecuencia
Porcentaje
No
81,81
No se
18,18
Si
Conoce
Muestre
Frecuencia
Porcentaje
No
18,18
No se
27,27
Si
36,36
Conoce
18,18
Muestre
151
Frecuencia
Porcentaje
No
No se
18,18
Si
81,81
Conoce
Muestre
P.10. Posee esta rea una estructura organizativa que se evidencie mediante un
organigrama formal?
Respuesta
Frecuencia
Porcentaje
No
81,81
No se
18,18
Si
Conoce
Muestre
Frecuencia
Porcentaje
No
72,72
No se
18,18
Si
9,09
Conoce
Muestre
P.12. Esta rea posee una copia del plan operativo de ALCAVI?
Respuesta
Frecuencia
Porcentaje
No
27,27
No se
18,18
Si
36,36
Conoce
9,09
Muestre
9,09
152
Frecuencia
Porcentaje
No
36,36
No se
18,18
Si
45,45
Conoce
Muestre
Frecuencia
Porcentaje
No
45,45
No se
18,18
Si
36,36
Conoce
Muestre
Frecuencia
Porcentaje
No
45,45
No se
27,27
Si
27,27
Conoce
Muestre
Frecuencia
Porcentaje
No
27,27
No se
27,27
Si
36,36
Conoce
9,09
Muestre
153
Frecuencia
Porcentaje
No
No se
Si
10
90,90
Conoce
Muestre
9,09
Frecuencia
Porcentaje
No
36,36
No se
18,18
Si
27,27
Conoce
9,09
Muestre
9,09
Frecuencia
Porcentaje
Nunca
81,81
Rara vez
9,09
A veces
9,09
Frecuentemente
Siempre
Frecuencia
Porcentaje
Nunca
Rara vez
9,09
A veces
18,18
Frecuentemente
54,54
Siempre
18,18
154
Frecuencia
Porcentaje
No se evala
27,27
Malo
18,18
Regular
36,36
Bueno
18,18
Siempre
Frecuencia
Porcentaje
Definitivamente no
36,36
Probablemente no
36,36
No s
Probablemente si
18,18
Definitivamente
9,09
Frecuencia
Porcentaje
Definitivamente no
27,27
Probablemente no
27,27
No s
9,09
Probablemente si
18,18
Definitivamente
18,18
Frecuencia
Porcentaje
Psima
18,18
Mala
18,18
Regular
36,36
Buena
18,18
Excelente
9,09
155
Frecuencia
Porcentaje
No
18,18
No se
27,27
Si
54,54
Conoce
Muestre
Frecuencia
Porcentaje
No
27,27
No se
18,18
Si
45,45
Conoce
Muestre
156
ANEXO 2
________________
157
Cambios en el programa. Cada vez que el programa es revisado deber ser probado
y la revisin deber ser reexaminada. Los procedimientos a seguir y la revisin de
funciones de prueba a realizar deben ser claramente descritos. Se deber conservar la
bitcora de cambios para cada programa. Se debe indicar claramente por escrito, la
naturaleza, la fecha efectiva de la aprobacin del supervisor para cada cambio.
158
que pueden ser incluidas en un programa como un paquete independiente, por tanto
evitando la necesidad de volver a escribir el mismo juego de instrucciones cada vez que
se requieran para un nuevo programa. Estas rutinas deben quedar documentadas
completamente y estar sujetas a reglas rgidas con respecto a su uso dentro del
programa.
159
Procedimientos de Control.
Organizacin y Personal.
160
ANEXO 3
________________
HOJAS DE ANLISIS
161
A N E X O 3.1
__________________
162
Hoja de Anlisis
rea: Organizacin.
Fecha de Terminacin:_____________
Preguntas
1. Las responsabilidades en la organizacin
estn definidas adecuadamente.
5 4 3 2 1
0 Observaciones
163
Preguntas
15. No existe la supervisin excesiva de
funcionarios.
4 3 2 1 0
Observaciones
164
Hoja de Anlisis.
rea: Sistemas
Fecha de Inicio:___________
Fecha de Terminacin:_______________
Preguntas
5 4 3 2 1 0 Observaciones
1. La gerencia ejerce control sobre el
desarrollo de los recursos computarizados.
2. La Gerencia, las Unidades de Apoyo y los
usuarios participan en el desarrollo, diseo
y mantenimiento de los sistemas.
3. La gerencia ejerce control sobre los
mtodos y normas de rendimiento.
4. Se han conducido estudios de factibilidad
efectivos para los sistemas.
5. Los sistemas son elaborados sobre la base
de un plan estratgico.
6. Los planes a largo plazo se utilizan como
gua del consiguiente diseo de sistema.
7. Los procedimientos y tcnicas utilizadas
para la programacin son efectivas para el
diseo de los sistemas.
8. Se han establecido, documentado y hecho
cumplir las normas de diseo de sistemas.
9. Se han establecido, documentado y hecho
cumplir las normas de programacin.
10. Los procedimientos de autorizacin y
aprobacin requeridos en cada fase
importante del desarrollo son efectivos.
11. Cada sistema es revisado y aprobado por la
Gerencia y los usuarios correspondientes
antes de comenzar a disear el sistema.
165
Preguntas
5 4 3 2 1 0 Observaciones
166
Hoja de Anlisis
Area: Proceso de datos y equipos
Fecha de Terminacin:______________
Revisado por:______________________
Preguntas
1. Los mtodos utilizados garantizan que los
datos que se reciben para su procesamiento,
estn completos, son exactos y estn
autorizados.
5 4 3 2 1 0 Observaciones
167
Hoja de Anlisis
Area: Seguridad
Fecha de Terminacin:________________
Preguntas
1. El acceso al cuarto de computadoras esta
restringido.
5 4 3 2 1 0 Observaciones
168
Preguntas
11. Se puede seguir operando aun despus de
una gran destruccin de archivos o de
descompostura del equipo fsico.
5 4 3 2 1 0 Observaciones
169
A N E X O 3.2
__________________
170
Hoja de Anlisis
Area: Organizacin
171
Hoja de Anlisis
Area: Sistemas.
Fecha de Inicio: _______________
172
Hoja de Anlisis
Area: Proceso de datos y equipos.
Fecha de Inicio:_____________
Fecha de Terminacin:_____________
Elaborado por:______________
Revisado por:____________________
173
Hoja de Anlisis
Area: Seguridad
Fecha de Inicio:_____________
Fecha de Terminacin:______________
Elaborado por:______________
Revisado por:______________________
174
ANEXO
_________________
175
A N E X O 4.1
__________________
CONTROL DE CUESTIONARIOS
176
Control de cuestionarios
Fecha de Inicio:_________________________________________________
Fecha de Terminacin: ____________________________________________
Informtica
Auditora de Sistemas
Auditoria General
177
A N E X O 4.2
__________________
ORGANIZACIN
178
Cuestionario O1-C1
Preguntas.
Si
No
S/R
Observaciones
A. Objetivos
1. Se han establecido objetivos para el rea?.
2. Participo el rea en su establecimiento?.
3. Se revisan los objetivos?. Si es afirmativo,
indique cada cunto tiempo.
4. Ha habido alguna dificultad en la implantacin
de los objetivos?.
5. La estructura actual permite la consecucin de
los objetivos del rea?. Explique en que forma.
6. Los objetivos establecidos son congruentes con
los objetivos institucionales?.
7. Se han definido por escrito los objetivos del
rea?.
8. Se han dado a conocer los objetivos?.
B. Polticas.
1. Estn estipuladas las polticas de la Unidad de
Apoyo y se han dado a conocer?.
2. Se realiza una evaluacin del resultado de estas
polticas?.
C. Procedimientos.
1. Hay procedimientos establecidos por escrito que
cubran las siguientes caractersticas:
Las funciones y responsabilidades de la
gerencia?
El anlisis y el diseo del sistema?.
La programacin, prueba e implementacin?.
Las operaciones con la computadora?.
179
Cuestionario O1-C1
Preguntas
La preparacin y controles de la Entrada /
Salida?.
Las instrucciones y procedimientos para las
Unidades de Apoyo?.
Si
No
S/R
Observaciones
180
Cuestionario O1-C1
Preguntas
Si
No
S/R
Observaciones
3. Se les da a conocer?.
4. Particip el rea en su formulacin?.
5. Las funciones estn encaminadas a la
consecucin de los objetivos institucionales e
internos.
6. Conocen otras reas las funciones de la unidad.
7. Las funciones estn adecuadas a la realidad?.
8. Las funciones estn adecuadas a la carga de
trabajo?.
9. Las actividades realizadas concuerdan con las
funciones asignadas?.
10. Se cumple con la totalidad de las funciones
asignadas?.
11. La falta de cumplimiento de las funciones es
por las siguientes razones:
Falta de personal?.
Personal no capacitado?.
Cargas de trabajo excesivas?.
Por realizar otras actividades?.
Por la forma en que son ordenadas?.
12. Existe duplicidad de funciones en la misma
rea?
13. Esto ocasiona conflictos?. Especifique cules.
181
Reporta a:
Supervisa a:
Breve descripcin de las actividades diarias:
Actividades peridicas:
Actividades eventuales:
Manuales que utiliza
Capacitacin recibida:
Frecuencia :
Temas sobre los que les gustara recibir capacitacin:
182
A N E X O 4.3
__________________
SISTEMAS
183
184
No_____
Por qu?.
8. Tiene alguna sugerencia en cuanto al formato, contenido, frecuencia de los
informes que recibe?.
185
Cuestionario S2-C1
Preguntas
1. Existe una lista de proyectos de sistemas de
procesamiento de informacin y fechas
programadas de implantacin que puedan ser
consideradas como plan maestro?.
Si
No
S/R
Observaciones
186
Cuestionario S2-C1
Preguntas
Si
No
S/R Observaciones
187
Cuestionario S2-C2
Si
No
S/R
Observaciones
188
Cuestionario S2-C2
Preguntas
Implementacin.
Mantenimiento del programa.
Preparacin y distribucin de la entrada /
salida.
Procedimientos de procesamiento de la
computadora.
Procedimientos de los usuarios.
Si
No
S/R
Observaciones.
189
Unidad: ___________________________
Por qu?.
2. Cmo considera que es el servicio prestado por la Unidad de Apoyo informtica?.
Deficiente____
Aceptable____
Satisfactorio____
Excelente____
Por qu?
3. Son cubiertas sus necesidades de procesamiento?.
No las cubres_____
Parcialmente_____
La mayor parte____
Todas_____
Por qu?
4. La calidad del procesamiento es:
Deficiente:_____
Aceptable_____
Satisfactorio_____
Excelente_____
Por qu?
5. Existe disponibilidad para el procesamiento de sus requerimientos?.
Generalmente no existe_____Ocasionalmente_____Regularmente_____ Siempre_____
Por qu?
6. Son entregados puntualmente los trabajos?.
Nunca_____Rara vez_____Ocasionalmente____ Generalmente_____
Siempre_____
Por qu?
7. Cmo es la presentacin de los trabajos solicitados?.
Deficiente_____
Aceptable_____
Satisfactorio_____
Excelente_____
Por qu?
8. Cmo es la atencin prestada por el personal de informtica?.
Insatisfactoria_____
Satisfactoria_____
Excelente_____
Por qu?
9.Cmo es la asesora impartida sobre informtica?.
No se proporciona______ Insuficiente______ Satisfactoria_____ Excelente_____
Por qu?
190
Satisfactoria______
Excelente______
Por qu?
11. Existen fallas de exactitud en los procesos de informacin?.
Si____
No____
Cules?
12. Cmo utiliza los reportes que se le proporcionan?.
No_____
Nombre: _______________________
Firma: __________________________
191
A N E X O 4.4
__________________
192
Cuestionario P3-C1
Si
No
S/R Observaciones.
193
Cuestionario P3-C1
Preguntas
10. Se prohbe que el personal de
procesamiento electrnico de datos origine
transacciones?.
Si
No
S/R Observaciones
194
Cuestionario P3-C2
Preguntas
I. Almacenamiento de Datos.
Si
No
S/R Observaciones
195
Cuestionario P3-C2
Preguntas
8. Se han establecido controles que permitan
verificar si se produce el nmero correcto de
copias?.
Si
No
S/R Observaciones.
196
Cuestionario P3-C3
Preguntas
1. Los programas que funcionan y los archivos se
guardan en un local especialmente diseado para
este fin?.
Si
No
S/R
Observaciones.
197
Cuestionario P3-C3
Preguntas
12. Se mantiene un inventario de los discos
removibles?. Si es afirmativo indique cual
de la siguiente informacin es tomada en
cuenta:
Nmero de serie
Nombre o clave del usuario.
Nombre del archivo lgico.
Nombre del sistema que lo genera.
Fecha de generacin de archivo.
Fecha de expiracin del archivo.
Nmero de volumen.
Condicin de seguridad del archivo.
Otros.
Si
No
S/R
Observaciones.
198
Cuestionario P3-C3
Preguntas
22. Existe una reserva para retener por lo
menos tres generaciones(abuelo, padre e hijo)
de todos los archivos maestros conexos?.
Si
No
S/R
Observaciones.
199
Cuestionario P3-C4
Preguntas
Si
No
S/R Observaciones.
I. Mantenimiento
1. Se ha publicado y se cumple con un programa
de mantenimiento para los equipos?.
2. Existen cronogramas escritos y procedimientos
para cada dispositivo del sistema de cmputo?.
3. Se cumple con el programa de mantenimiento?.
4. Existe algn tipo de mantenimiento preventivo
que pueda dar el operador autorizado por el
proveedor?.Especifique.
5. La frecuencia y procedimientos de
mantenimiento preventivo se ajustan a las
recomendaciones del fabricante?.
II. Fallas.
1. Se mantienen registros de las fallas de los
dispositivos del sistema de cmputo y servicios
auxiliares?.
2. Estos registros permiten identificar los
problemas mas recurrentes que afectan a la
operacin de la sala de mquina?.
3. Estos registros permiten identificar los
problemas mas recurrentes?.
200
Cuestionario P3-C5
Preguntas
1. Por lo menos una vez al mes se preparan
informes Gerenciales que resuman el rendimiento
programado?.
Si
No S/R Observaciones.
201
Cuestionario P3-C6
Preguntas
1. El rea de computadoras esta separada de las
otras reas de operacin?.
Si
No S/R Observaciones.
202
Cuestionario P3-C7
Preguntas
1. Se tiene un programa de corridas de
procesamiento?.
Si
No S/R Observaciones.
203
A N E X O 4.5
__________________
SEGURIDAD
204
Cuestionario S4-C1
Preguntas
1. Existen controles que disminuyan la
posibilidad de transmisin de virus en las
microcomputadoras?.
Si
No
S/R Observaciones.
205
Cuestionario S4-C2
Preguntas
Si
No S/R Observaciones.
A. Seguridad.
1. Se han adoptado medidas de seguridad en la
Unidad de Apoyo Informtica?.
2. Existe una persona responsable de la seguridad?.
3. Se ha instruido a los empleados de
procesamiento de datos sobre cmo contactar a las
fuerzas de seguridad de la organizacin y a la polica
local?.
4. Existe una clara definicin de funciones entre los
puestos claves?.
5. Se controla el trabajo fuera de horario?.
6. Existen controles y medidas de seguridad sobre
las siguientes operaciones:
Recepcin de documentos?.
Informacin confidencial?.
Captacin de documentos?.
Cmputo electrnico?.
Programas?.
Biblioteca de procesamiento de datos?.
Documentos de salida?.
Archivos magnticos?.
Operacin del equipo de computacin?.
Acceso personal?.
Identificacin personal?.
Personas encargadas de la seguridad?.
Seguros contra robos e incendios?.
Cajas de seguridad?.
Otras (especifique).
B. Control de acceso.
1. El acceso a la computadora esta limitado a
personas especficas?.
206
Cuestionario S4-C2
Preguntas
2. Se registran todos los accesos a esta instalacin
(introducidos automticamente en un informe o
archivo que ser revisado?
Si
No
S/R Observaciones.
207
Cuestionario S4-C2
Preguntas
3. Existe alarma para:
Detectar fuego en forma automtica?
Avisar en forma manual la presencia de fuego?.
Detectar una fuga de agua?.
Detectar magnetos o corto circuitos?.
No existe.
Si
No S/R Observaciones.
208
Cuestionario S4-C2
Preguntas
Si
No S/R Observaciones.
D. Respaldos.
1. Los archivos (programas, datos,
documentacin y dems) se han clasificado en
crticos o sensibles?.
2. Se almacenan los archivos de respaldo en un
lugar alejado de la instalacin en forma segura?.
3. Se tienen establecidos procedimientos de
actualizacin de estas copias?.
4. Se protegen adecuadamente los archivos
sensibles y/o documentos de fuente?.
E. Control de mantenimiento
1. Los cambios a los programas en
funcionamiento se solicitan formalmente y se
aprueban antes de su implementacin?.
2. Cundo se efectan los cambios a los
programas a peticin de quien es:
Usuario?.
Responsable de Informtica?.
Gerente?.
Programador?.
Otras (Especifique).
3. Los cambios a los programas, se registran con
sus fechas de inicio, de forma que garanticen un
registro cronolgico efectivo del sistema que
corresponda?.
4. Los operadores de procesamiento de datos
tienen una lista de personas a quienes notificar en
caso de que una aplicacin requiera mantenimiento
de inmediato?.
5. Al usuario responsable del sistema se le avisa
que se hizo un cambio de emergencia a la
aplicacin?.
6. El responsable de la Unidad de Apoyo
Informtica siempre recibe aviso de que se efectu
un cambio de emergencia al sistema?.
209
Cuestionario S4-C2
Preguntas
7. Existen suficientes versiones de respaldo de los
programas, antes de la reparacin de emergencia,
para volver a instalar la versin original en
condiciones funcionales de ser necesario?.
Si
No S/R Observaciones.
210
Cuestionario S4-C3
Preguntas
1. Los cdigos de cuentas de autorizacin,
palabras claves y otros procedimientos estn bajo
control para impedir su uso no autorizado?.
Si
No
S/R Observaciones.
211
Cuestionario S4-C3
Preguntas
10. Se controla el acceso al cuarto de
computadoras?.
Si
No
S/R Observaciones.
212
Cuestionario S4-C4
rea: Sistemas
Preguntas
1. Se ha entrenado debidamente al personal en
el uso del equipo de respaldo y los
procedimientos para los mismos?.
Si
No S/R
Observaciones
213
Cuestionario S4-C4
Preguntas
13. En el caso que se requiera de instalaciones de
respaldo, se ha establecido una prioridad para
los trabajos que deban ser corridos primero?.
Si
No S/R
Observaciones
214
ANEXO 5
________________
215
Descripcin de Informes
Nombre del informe: ____________________________________________________
Propsito: _____________________________________________________________
Quin lo formula: _______________________________________________________
Sistema que lo origina: ___________________________________________________
Volumen de hojas: ______________________________________________________
Principal usuario: _______________________________________________________
Periodicidad: ___________________________________________________________
En vigor desde: _________________________________________________________
Oportunidad, confiabilidad, completo: _______________________________________
COPIAS
FECHA
USUARIO
Analizado por:
USO
Revisado por:
216
ANEXO 6
__________________
MATRIZ DE RECEPCIN Y
DISTRIBUCIN DE DOCUMENTOS
217
Zona 2: Anotar los nombres de los documentos fuente que forman parte del sistema.
Zona 4: (Unin de la zona 1 con la zona 2). Colocar una X en aquellas Unidades que
producen determinado documento o que participan en su estructuracin.
Zona 5: (Unin de la zona 2 con la zona 3). Colocar una X en las uniones que indican
que un determinado documento fuente, produce un determinado informe.
Nota: En los casos en que la informacin que se obtiene sea en lnea, colocar una L en
lugar de una X.