Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Manual de Aud Sistemas
Manual de Aud Sistemas
com > > Computacion Computacion > > General General Manual de
Auditoría Manual de Auditoría de sistemas de sistemas
Evaluación del Diseño Lógico del Evaluación del Diseño Lógico del Sistema Sistema
Evaluación del Desarrollo del Sistema Evaluación del Desarrollo del Sistema
Controles Controles
Anexo 1 Anexo 1
Anexo 2 Anexo 2
Anexo 3 Anexo 3
AUDITORIA DE SISTEMAS AUDITORIA DE SISTEMAS
Para hacer una adecuada Para hacer una adecuada planeación de la planeación de la auditoría en
auditoría en informática, hay que seguir una informática, hay que seguir una serie de pasos previos
que serie de pasos previos que permitirán permitirán dimensionar el tamaño y características de
dimensionar el tamaño y características de área dentro del área dentro del organismo a auditar, sus
organismo a auditar, sus sistemas, sistemas, organización y equipo. organización y equipo.
Para hacer una planeación Para hacer una planeación eficaz, lo primero eficaz, lo primero que se
requiere es obtener información que se requiere es obtener información general sobre la general
sobre la organización y sobre la organización y sobre la función de función de informática a evaluar.
Para ello es informática a evaluar. Para ello es preciso hacer una preciso hacer una investigación
preliminar y investigación preliminar y algunas entrevistas algunas entrevistas previas, con base en
esto previas, con base en esto planear el programa de planear el programa de trabajo, el cual deberá
trabajo, el cual deberá incluir tiempo, costo, personal incluir tiempo, costo, personal necesario y
necesario y documentos documentos auxiliares a solicitar o formular auxiliares a solicitar o formular
durante el desarrollo de durante el desarrollo de la misma. la misma.
Se deberá observar Se deberá observar el estado el estado general del área, general del área, su
situación dentro de la su situación dentro de la organización, si organización, si existe la información
existe la información solicitada, si es o no solicitada, si es o no necesaria y la fecha de su última
necesaria y la fecha de su última actualización. actualización.
ADMINISTRACIÓN ADMINISTRACIÓN
Se recopila la Se recopila la información para obtener una información para obtener una visión
general del visión general del departamento por medio de departamento por medio de
observaciones, entrevistas observaciones, entrevistas preliminares y preliminares y solicitud de
documentos para solicitud de documentos para poder definir poder definir el el objetivo y objetivo y
alcances del departamento. alcances del departamento.
El éxito del análisis crítico depende de las El éxito del análisis crítico depende de las
consideraciones siguientes: consideraciones siguientes:
Estudiar hechos y no Estudiar hechos y no opiniones (no se opiniones (no se toman en cuenta los
rumores ni la toman en cuenta los rumores ni la información sin fundamento) información sin
fundamento) Investigar las causas, no Investigar las causas, no los efectos. los efectos. Atender
razones, no Atender razones, no excusas. excusas. No confiar en la memoria, No confiar en la
memoria, preguntar preguntar constantemente. constantemente. Criticar objetivamente y a Criticar
objetivamente y a fondo todos fondo todos los informes y los informes y los datos los datos
recabados. recabados.
Uno de los esquemas Uno de los esquemas generalmente generalmente aceptados para tener un
adecuado control es aceptados para tener un adecuado control es que el que el personal que personal
que intervengan esté intervengan esté debidamente capacitado, con alto sentido debidamente
capacitado, con alto sentido de de moralidad, al cual se le exija la optimización moralidad, al cual se
le exija la optimización de de recursos recursos (eficiencia) y (eficiencia) y se le retribuya o se le
retribuya o compense justamente por su trabajo. compense justamente por su trabajo.
Con estas bases se debe Con estas bases se debe considerar las considerar las características de
conocimientos, características de conocimientos, práctica práctica profesional y capacitación que
debe tener el profesional y capacitación que debe tener el personal que personal que intervendrá en
la auditoría. En intervendrá en la auditoría. En primer lugar se primer lugar se debe pensar que hay
personal debe pensar que hay personal asignado asignado por la por la organización, con el
organización, con el suficiente nivel para poder suficiente nivel para poder coordinar el coordinar el
desarrollo de desarrollo de la auditoría, proporcionar toda la auditoría, proporcionar toda la
información que la información que se solicite y programar las se solicite y programar las reuniones
y entrevistas reuniones y entrevistas requeridas. requeridas.
Éste es un punto muy Éste es un punto muy importante ya que, de importante ya que, de no tener el
apoyo de la alta dirección, ni no tener el apoyo de la alta dirección, ni contar con un grupo contar
con un grupo multidisciplinario en el multidisciplinario en el cual estén presentes una o varias cual
estén presentes una o varias personas personas del área a auditar, sería casi imposible del área a
auditar, sería casi imposible obtener información en el momento y con las obtener información en el
momento y con las características deseadas. características deseadas.
También se debe contar También se debe contar con personas con personas asignadas por los
usuarios para que en el asignadas por los usuarios para que en el momento momento que se solicite
información o bien que se solicite información o bien se efectúe se efectúe alguna entrevista de
alguna entrevista de comprobación de hipótesis, nos proporcionen comprobación de hipótesis, nos
proporcionen aquello que se aquello que se esta solicitando, y esta solicitando, y complementen el
grupo complementen el grupo multidisciplinario, ya multidisciplinario, ya que se debe analizar no
sólo el que se debe analizar no sólo el punto de vista punto de vista de la dirección de informática,
sino de la dirección de informática, sino también el también el del usuario del sistema. del usuario
del sistema.
Para completar el grupo, como Para completar el grupo, como colaboradores colaboradores directos
en la realización de la directos en la realización de la auditoría se auditoría se deben tener personas
con las siguientes deben tener personas con las siguientes características: características:
Una vez que se ha hecho la Una vez que se ha hecho la planeación, se planeación, se puede utilizar
el formato señalado puede utilizar el formato señalado en el anexo en el anexo 1, el figura el
organismo, las fases y subfases 1, el figura el organismo, las fases y subfases que que comprenden la
descripción de la comprenden la descripción de la actividad, el actividad, el número de personas
número de personas participantes, las fechas estimadas de participantes, las fechas estimadas de
inicio y inicio y terminación, el número de días terminación, el número de días hábiles y el hábiles y
el número de días/hombre número de días/hombre estimado. El control estimado. El control del del
avance de la auditoría lo podemos llevar avance de la auditoría lo podemos llevar mediante el anexo
mediante el anexo 2, el cual nos permite 2, el cual nos permite cumplir con los procedimientos de
cumplir con los procedimientos de control y control y asegurarnos que el trabajo se asegurarnos que
el trabajo se está llevando a está llevando a cabo de acuerdo con el programa de cabo de acuerdo con
el programa de auditoría, con los recursos auditoría, con los recursos estimados y en el estimados y
en el tiempo tiempo señalado en la planeación. señalado en la planeación.
El hecho de contar con la El hecho de contar con la información del información del avance nos
permite revisar el trabajo avance nos permite revisar el trabajo elaborado por cualquiera de los
asistentes. elaborado por cualquiera de los asistentes. Como ejemplo de Como ejemplo de propuesta
de auditoría en propuesta de auditoría en informática véase informática véase el anexo 3. el anexo 3.
La elaboración de sistemas debe ser La elaboración de sistemas debe ser evaluada con mucho
evaluada con mucho detalle, para lo cual se detalle, para lo cual se debe revisar si existen realmente
debe revisar si existen realmente sistemas sistemas entrelazados como un todo o bien si existen
entrelazados como un todo o bien si existen programas programas aislados. Otro de los factores a
aislados. Otro de los factores a evaluar es si existe un plan evaluar es si existe un plan estratégico
para estratégico para la elaboración de los sistemas la elaboración de los sistemas o si se están o si se
están elaborados sin el adecuado elaborados sin el adecuado señalamiento de señalamiento de
prioridades y de objetivos. prioridades y de objetivos.
El plan El plan estratégico deberá establecer los estratégico deberá establecer los servicios que
servicios que se presentarán en un futuro se presentarán en un futuro contestando preguntas como
las contestando preguntas como las siguientes: siguientes:
¿Qué ¿Qué aplicaciones serán desarrolladas y aplicaciones serán desarrolladas y cuando? cuando?
¿Qué tipo de ¿Qué tipo de archivos se archivos se utilizarán y utilizarán y cuando? cuando? ¿Qué
bases de datos ¿Qué bases de datos serán utilizarán y serán utilizarán y cuando? cuando? ¿Qué
lenguajes ¿Qué lenguajes se utilizarán y en que se utilizarán y en que software? software? ¿Qué
tecnología será utilizada y cuando ¿Qué tecnología será utilizada y cuando se implementará? se
implementará? ¿Cuantos recursos se ¿Cuantos recursos se requerirán requerirán aproximadamente?
aproximadamente? ¿Cuál es ¿Cuál es aproximadamente el monto de aproximadamente el monto de
la inversión en hardware y la inversión en hardware y software? software?
¿Qué estudios ¿Qué estudios van a ser realizados al van a ser realizados al respecto? respecto? ¿Qué
metodología se utilizará para ¿Qué metodología se utilizará para dichos estudios? dichos estudios?
¿Quién ¿Quién administrará y realizará dichos administrará y realizará dichos estudios? estudios?
En el área de auditoría En el área de auditoría interna debe evaluarse interna debe evaluarse cuál ha
sido la cuál ha sido la participación del auditor y los participación del auditor y los controles
controles establecidos. establecidos.
Por último, el plan Por último, el plan estratégico determina la estratégico determina la planeación
de los planeación de los recursos. recursos.
¿Contempla el ¿Contempla el plan plan estratégico las estratégico las ventajas de la nueva
tecnología? ventajas de la nueva tecnología? ¿Cuál es la ¿Cuál es la inversión requerida en inversión
requerida en servicios, servicios, desarrollo y desarrollo y consulta a los consulta a los usuarios?
usuarios?
Los sistemas deben evaluarse de Los sistemas deben evaluarse de acuerdo acuerdo con el ciclo de
vida con el ciclo de vida que normalmente siguen: que normalmente siguen: requerimientos del
usuario, estudio de requerimientos del usuario, estudio de factibilidad, diseño factibilidad, diseño
general, análisis, diseño general, análisis, diseño lógico, desarrollo físico, pruebas, lógico, desarrollo
físico, pruebas, implementación, evaluación, modificaciones, implementación, evaluación,
modificaciones, instalación, mejoras. Y se vuelve nuevamente instalación, mejoras. Y se vuelve
nuevamente al ciclo al ciclo inicial, el cual a su vez debe comenzar inicial, el cual a su vez debe
comenzar con el de factibilidad. con el de factibilidad.
La primera etapa a evaluar del La primera etapa a evaluar del sistema es el sistema es el estudio de
estudio de factibilidad, el cual debe analizar si factibilidad, el cual debe analizar si el sistema es
factible el sistema es factible de realizarse, cuál es su de realizarse, cuál es su relación
costo/beneficio y relación costo/beneficio y si es recomendable si es recomendable elaborarlo.
elaborarlo.
En el caso de sistemas que En el caso de sistemas que estén estén funcionando, se deberá comprobar
si existe el funcionando, se deberá comprobar si existe el estudio de estudio de factibilidad con los
puntos factibilidad con los puntos señalados y compararse con señalados y compararse con la
realidad con la realidad con lo especificado en el estudio de lo especificado en el estudio de
factibilidad factibilidad
Por ejemplo en un sistema que Por ejemplo en un sistema que el estudio de el estudio de factibilidad
señaló determinado costo y una factibilidad señaló determinado costo y una serie serie de beneficios
de acuerdo con las de beneficios de acuerdo con las necesidades del usuario, debemos necesidades
del usuario, debemos comparar comparar cual fue su costo real y cual fue su costo real y evaluar si
se evaluar si se satisficieron las necesidades indicadas como satisficieron las necesidades indicadas
como beneficios del sistema. beneficios del sistema.
Para investigar el costo de un Para investigar el costo de un sistema se sistema se debe considerar,
con una exactitud razonable, debe considerar, con una exactitud razonable, el costo el costo de los
programas, el uso de los programas, el uso de los de los equipos (compilaciones, programas, equipos
(compilaciones, programas, pruebas, pruebas, paralelos), tiempo, personal paralelos), tiempo,
personal y operación, cosa y operación, cosa que en la práctica son costos directos, que en la
práctica son costos directos, indirectos y de operación. indirectos y de operación.
Los beneficios que justifiquen Los beneficios que justifiquen el desarrollo de el desarrollo de un
sistema pueden ser el ahorro en los un sistema pueden ser el ahorro en los costos costos de de
operación, la reducción del tiempo de operación, la reducción del tiempo de proceso de un proceso
de un sistema. Mayor exactitud, sistema. Mayor exactitud, mejor servicio, una mejor servicio, una
mejoría en los mejoría en los procedimientos de control, mayor procedimientos de control, mayor
confiabilidad y seguridad. confiabilidad y seguridad.
Se deberá evaluar la Se deberá evaluar la planeación de las planeación de las aplicaciones que
pueden provenir de tres aplicaciones que pueden provenir de tres fuentes fuentes principales:
principales:
La situación de una La situación de una aplicación en dicho aplicación en dicho inventario puede
inventario puede ser alguna de las siguientes: ser alguna de las siguientes:
Planeada para ser Planeada para ser desarrollada en el desarrollada en el futuro. futuro. En
desarrollo. En desarrollo. En proceso, En proceso, pero con modificaciones en pero con
modificaciones en desarrollo. desarrollo. En proceso con En proceso con problemas problemas
detectados. detectados. En proceso sin problemas. En proceso sin problemas. En proceso En proceso
esporádicamente. esporádicamente.
La auditoría en sistemas La auditoría en sistemas debe evaluar los debe evaluar los documentos y
documentos y registros registros usados en la usados en la elaboración del sistema, así como
elaboración del sistema, así como todas las todas las salidas y reportes, la descripción de las salidas
y reportes, la descripción de las actividades de flujo de la información y de actividades de flujo de la
información y de procedimientos, los archivos procedimientos, los archivos almacenados,
almacenados, su uso y su relación con otros archivos y su uso y su relación con otros archivos y
sistemas, su frecuencia de acceso, su sistemas, su frecuencia de acceso, su conservación, su
conservación, su seguridad y seguridad y control, la control, la documentación propuesta, las
entradas y documentación propuesta, las entradas y salidas del salidas del sistema y los documentos
fuentes sistema y los documentos fuentes a a usarse. usarse.
Con la información Con la información obtenida podemos obtenida podemos contestar a las
siguientes preguntas: contestar a las siguientes preguntas:
¿Se está ¿Se está ejecutando en forma correcta y ejecutando en forma correcta y eficiente el proceso
de eficiente el proceso de información? información? ¿Puede ser ¿Puede ser simplificado para
mejorar su simplificado para mejorar su aprovechamiento? aprovechamiento? ¿Se debe tener una
¿Se debe tener una mayor interacción mayor interacción con otros sistemas? con otros sistemas? ¿Se
tiene propuesto ¿Se tiene propuesto un adecuado un adecuado control y seguridad sobre el sistema?
control y seguridad sobre el sistema? ¿Está en el ¿Está en el análisis la documentación análisis la
documentación adecuada? adecuada?
EVALUACIÓN DEL DISEÑO EVALUACIÓN DEL DISEÑO LÓGICO DEL LÓGICO DEL
SISTEMA SISTEMA
En esta etapa se deberán analizar las En esta etapa se deberán analizar las especificaciones del
especificaciones del sistema. sistema.
¿Qué ¿Qué deberá hacer?, ¿Cómo lo deberá deberá hacer?, ¿Cómo lo deberá hacer?, hacer?,
¿Secuencia y ocurrencia de los datos, el ¿Secuencia y ocurrencia de los datos, el proceso proceso y
salida de reportes? y salida de reportes?
Una vez que hemos analizado Una vez que hemos analizado estas partes, estas partes, se deberá
estudiar la participación se deberá estudiar la participación que tuvo el que tuvo el usuario en la
identificación del nuevo usuario en la identificación del nuevo sistema, la participación de auditoría
sistema, la participación de auditoría interna interna en el diseño en el diseño de los controles y la de
los controles y la determinación de los procedimientos determinación de los procedimientos de de
operación y decisión. operación y decisión.
Al tener el análisis del Al tener el análisis del diseño lógico del diseño lógico del sistema debemos
compararlo con lo sistema debemos compararlo con lo que que realmente se está obteniendo en la
cual realmente se está obteniendo en la cual debemos debemos evaluar lo planeado, cómo fue
evaluar lo planeado, cómo fue planeado y lo que realmente planeado y lo que realmente se está se
está obteniendo. obteniendo.
Dentro del estudio de los Dentro del estudio de los sistemas en uso se sistemas en uso se deberá
solicitar: deberá solicitar:
Manual del Manual del usuario. usuario. Descripción de flujo Descripción de flujo de información
y/o de información y/o procesos. procesos. Descripción y Descripción y distribución de distribución
de información. información. Manual de Manual de formas. formas. Manual de Manual de reportes.
reportes. Lista de archivos y Lista de archivos y especificaciones. especificaciones.
En el procedimiento: En el procedimiento:
¿Quién hace, ¿Quién hace, cuando y como? cuando y como? ¿Qué formas se ¿Qué formas se
utilizan en el sistema? utilizan en el sistema? ¿Son necesarias, se ¿Son necesarias, se usan, están
usan, están duplicadas? duplicadas? ¿El número de ¿El número de copias es el adecuado? copias es
el adecuado? ¿Existen puntos de ¿Existen puntos de control o faltan? control o faltan?
¿Es fácil de ¿Es fácil de usar? usar? ¿Es lógica? ¿Es lógica? ¿Se encontraron ¿Se encontraron
lagunas? lagunas? ¿Hay faltas de ¿Hay faltas de control? control?
En el diseño: En el diseño:
En esta etapa del sistema se En esta etapa del sistema se deberán auditar deberán auditar los
programas, su los programas, su diseño, el leguaje utilizado, diseño, el leguaje utilizado,
interconexión entre interconexión entre los programas y los programas y características del
hardware empleado (total características del hardware empleado (total o o parcial) para el desarrollo
del sistema.Al parcial) para el desarrollo del sistema.Al evaluar un sistema de evaluar un sistema de
información se tendrá información se tendrá presente que todo sistema presente que todo sistema
debe proporcionar debe proporcionar información para planear, organizar y información para
planear, organizar y controlar de manera eficaz y oportuna, para controlar de manera eficaz y
oportuna, para reducir la duplicidad reducir la duplicidad de datos y de reportes y de datos y de
reportes y obtener una mayor seguridad en la forma obtener una mayor seguridad en la forma más
económica posible. De ese modo más económica posible. De ese modo contará contará con los
mejores elementos para una con los mejores elementos para una adecuada toma de adecuada toma
de decisiones.Al tener un decisiones.Al tener un proceso distribuido, es preciso proceso distribuido,
es preciso considerar la considerar la seguridad del movimiento de seguridad del movimiento de la
información la información entre nodos. El proceso de entre nodos. El proceso de planeación de
planeación de sistemas debe definir la red óptima de sistemas debe definir la red óptima de
comunicaciones, los tipos de mensajes comunicaciones, los tipos de mensajes requeridos,
requeridos, el trafico esperado en las líneas el trafico esperado en las líneas de comunicación y otros
factores que afectan de comunicación y otros factores que afectan el diseño. Es importante
considerar las el diseño. Es importante considerar las variables que variables que afectan a un
sistema: ubicación afectan a un sistema: ubicación en los niveles de la en los niveles de la
organización, el tamaño y organización, el tamaño y los recursos que los recursos que utiliza.Las
características utiliza.Las características que deben evaluarse en los que deben evaluarse en los
sistemas son: sistemas son:
Debido a las Debido a las características propias del características propias del análisis y la
programación, es muy frecuente análisis y la programación, es muy frecuente que la que la
implantación de los sistemas se implantación de los sistemas se retrase y se llegue a retrase y se
llegue a suceder que una persona suceder que una persona lleva lleva trabajando varios años dentro
de un trabajando varios años dentro de un sistema o bien que se sistema o bien que se presenten
presenten irregularidades en las que los programadores irregularidades en las que los programadores
se ponen a se ponen a realizar actividades ajenas a la realizar actividades ajenas a la dirección de
informática. Para dirección de informática. Para poder poder controlar controlar el avance de los
sistemas, ya que ésta es una el avance de los sistemas, ya que ésta es una actividad de difícil
evaluación, se recomienda actividad de difícil evaluación, se recomienda que se utilice la que se
utilice la técnica de administración por técnica de administración por proyectos para su proyectos
para su adecuado control. adecuado control.
Para tener una buena administración por Para tener una buena administración por proyectos se
proyectos se requiere que el analista o el requiere que el analista o el programador y su jefe
inmediato programador y su jefe inmediato elaboren un elaboren un plan de trabajo plan de trabajo
en el cual se especifiquen en el cual se especifiquen actividades, metas, personal actividades, metas,
personal participante y participante y tiempos. Este plan debe ser tiempos. Este plan debe ser
revisado revisado periódicamente (semanal, mensual, etc.) para periódicamente (semanal, mensual,
etc.) para evaluar el avance respecto a lo programado. evaluar el avance respecto a lo programado.
La estructura La estructura estándar de la planeación de estándar de la planeación de proyectos
proyectos deberá incluir la facilidad de deberá incluir la facilidad de asignar fechas predefinidas
asignar fechas predefinidas de terminación de terminación de cada tarea. Dentro de estas fechas
debe de cada tarea. Dentro de estas fechas debe estar el calendario de reuniones de revisión, estar el
calendario de reuniones de revisión, las cuales las cuales tendrán diferentes niveles de tendrán
diferentes niveles de detalle. detalle.
CUESTIONARIO CUESTIONARIO
1. ¿Existe una lista de 1. ¿Existe una lista de proyectos de proyectos de sistema sistema de
procedimiento de de procedimiento de información y fechas información y fechas programadas de
implantación programadas de implantación que puedan ser que puedan ser considerados como plan
maestro? considerados como plan maestro? 2. ¿Está relacionado el plan maestro con 2. ¿Está
relacionado el plan maestro con un un plan general de desarrollo de la dependencia? plan general de
desarrollo de la dependencia? 3. ¿Ofrece el plan maestro la atención de 3. ¿Ofrece el plan maestro la
atención de solicitudes urgentes de los usuarios? solicitudes urgentes de los usuarios? 4. ¿Asigna el
plan maestro un porcentaje del 4. ¿Asigna el plan maestro un porcentaje del tiempo total de tiempo
total de producción al reproceso o producción al reproceso o fallas de fallas de equipo? equipo? 5.
Escribir la lista de proyectos a corto 5. Escribir la lista de proyectos a corto plazo y plazo y largo
plazo. largo plazo. 6. Escribir una lista de sistemas en proceso 6. Escribir una lista de sistemas en
proceso periodicidad y periodicidad y usuarios. usuarios. 7. ¿Quién autoriza los proyectos? 7.
¿Quién autoriza los proyectos? 8. ¿Cómo se asignan los recursos? 8. ¿Cómo se asignan los recursos?
9. ¿Cómo se estiman los tiempos de 9. ¿Cómo se estiman los tiempos de duración? duración? 10.
¿Quién interviene en la planeación de 10. ¿Quién interviene en la planeación de los los proyectos?
proyectos? 11. ¿Cómo se calcula el presupuesto del 11. ¿Cómo se calcula el presupuesto del
proyecto? proyecto? 12. ¿Qué técnicas se usan en el control de 12. ¿Qué técnicas se usan en el
control de los los proyectos? proyectos? 13. ¿Quién asigna las prioridades? 13. ¿Quién asigna las
prioridades? 14. ¿Cómo se asignan las prioridades? 14. ¿Cómo se asignan las prioridades? 15.
¿Cómo se controla el avance del 15. ¿Cómo se controla el avance del proyecto? proyecto? 16. ¿Con
qué periodicidad se revisa el reporte 16. ¿Con qué periodicidad se revisa el reporte de de avance del
proyecto? avance del proyecto? 17. ¿Cómo se estima el rendimiento del 17. ¿Cómo se estima el
rendimiento del personal? personal? 18. ¿Con que frecuencia se estiman los 18. ¿Con que frecuencia
se estiman los costos del costos del proyecto para proyecto para compararlo con lo compararlo con
lo presupuestado? presupuestado? 19. ¿Qué acciones 19. ¿Qué acciones correctivas se toman en
correctivas se toman en caso de desviaciones? caso de desviaciones? 20. ¿Qué pasos y técnicas
siguen en la 20. ¿Qué pasos y técnicas siguen en la planeación y control de los proyectos?
planeación y control de los proyectos? Enumérelos secuencialmente. Enumérelos secuencialmente. (
) Determinación de los objetivos. ( ) Determinación de los objetivos. ( ) Señalamiento de las
políticas. ( ) Señalamiento de las políticas. ( ) Designación del funcionario responsable ( )
Designación del funcionario responsable del proyecto. del proyecto. ( ) Integración del grupo de ( )
Integración del grupo de trabajo. trabajo. ( ) Integración de un comité de ( ) Integración de un comité
de decisiones. decisiones. ( ) Desarrollo de la investigación. ( ) Desarrollo de la investigación. ( )
Documentación de la investigación. ( ) Documentación de la investigación. ( ) Factibilidad de ( )
Factibilidad de los sistemas. los sistemas. ( ) Análisis y valuación de propuestas. ( ) Análisis y
valuación de propuestas. ( ) Selección de equipos. ( ) Selección de equipos. 21. ¿Se llevan a cabo
revisiones periódicas de 21. ¿Se llevan a cabo revisiones periódicas de los los sistemas para
determinar si aún cumplen sistemas para determinar si aún cumplen con los objetivos para con los
objetivos para los cuales fueron los cuales fueron diseñados? diseñados? De análisis SÍ ( ) NO ( ) De
análisis SÍ ( ) NO ( ) De programación SÍ ( ) NO ( ) De programación SÍ ( ) NO ( ) Observaciones
Observaciones 22. Incluir el plazo estimado de acuerdo con 22. Incluir el plazo estimado de acuerdo
con los proyectos que se los proyectos que se tienen en que el tienen en que el departamento de
informática podría departamento de informática podría satisfacer las necesidades de la dependencia,
satisfacer las necesidades de la dependencia, según la según la situación actual. situación actual.
Esta actividad es muy Esta actividad es muy importante ya que el importante ya que el costo de
corregir errores es directamente costo de corregir errores es directamente proporcional al momento
que se detectan: si proporcional al momento que se detectan: si se descubren en el se descubren en el
momento de momento de programación será más alto programación será más alto que si se detecta
que si se detecta en la etapa de análisis. Esta en la etapa de análisis. Esta función tiene una función
tiene una gran importancia en el ciclo de evaluación gran importancia en el ciclo de evaluación de
de aplicaciones de los sistemas de aplicaciones de los sistemas de información información y busca
comprobar que la aplicación y busca comprobar que la aplicación cumple cumple las
especificaciones del usuario, que se haya las especificaciones del usuario, que se haya desarrollado
desarrollado dentro de lo presupuestado, que dentro de lo presupuestado, que tenga los controles
necesarios y tenga los controles necesarios y que que efectivamente cumpla con los objetivos y
efectivamente cumpla con los objetivos y beneficios beneficios esperados. esperados.
El siguiente cuestionario El siguiente cuestionario se presenta como se presenta como ejemplo para
la evaluación del ejemplo para la evaluación del diseño y diseño y prueba de los sistemas: prueba de
los sistemas:
2. ¿Los analistas son 2. ¿Los analistas son también también programadores? programadores? SÍ ( )
NO ( ) SÍ ( ) NO ( )
3. ¿Qué lenguaje o 3. ¿Qué lenguaje o lenguajes conocen los lenguajes conocen los analistas?
analistas?
4. ¿Cuántos 4. ¿Cuántos analistas hay y qué experiencia analistas hay y qué experiencia tienen?
tienen?
5. ¿Qué lenguaje 5. ¿Qué lenguaje conocen los conocen los programadores? programadores?
6. ¿Cómo se 6. ¿Cómo se controla el trabajo de controla el trabajo de los los analistas? analistas?
8. Indique qué pasos 8. Indique qué pasos siguen los siguen los programadores en el desarrollo de un
programadores en el desarrollo de un programa: programa:
Se debe evaluar los Se debe evaluar los instructivos de operación instructivos de operación de los
sistemas para evitar que de los sistemas para evitar que los los programadores tengan acceso a los
sistemas programadores tengan acceso a los sistemas en en operación, y el contenido mínimo de los
operación, y el contenido mínimo de los instructivos de operación se puedan verificar instructivos de
operación se puedan verificar mediante el mediante el siguiente cuestionario. siguiente cuestionario.
- Diagrama de flujo - Diagrama de flujo por cada programa. ( ) por cada programa. ( ) - Diagrama -
Diagrama particular de entrada/salida ( ) particular de entrada/salida ( ) - Mensaje y su explicación
( ) - Mensaje y su explicación ( ) - Parámetros y su explicación ( ) - Parámetros y su explicación ( ) -
Diseño de impresión de resultados ( ) - Diseño de impresión de resultados ( ) - Cifras de control ( ) -
Cifras de control ( ) - Fórmulas de verificación ( ) - Fórmulas de verificación ( ) - Observaciones ( ) -
Observaciones ( ) - Instrucciones en caso de error ( ) - Instrucciones en caso de error ( ) - Calendario
de proceso y resultados ( ) - Calendario de proceso y resultados ( )
La finalidad de evaluar los La finalidad de evaluar los trabajos que se trabajos que se realizan para
iniciar la operación de un realizan para iniciar la operación de un sistema, esto es, la prueba integral
del sistema, esto es, la prueba integral del sistema, sistema, adecuación, aceptación por parte del
adecuación, aceptación por parte del usuario, usuario, entrenamiento entrenamiento de los
responsables de los responsables del sistema etc. del sistema etc.
Indicar cuáles puntos se Indicar cuáles puntos se toman en cuenta toman en cuenta para la prueba de
un sistema: para la prueba de un sistema:
Prueba particular de cada Prueba particular de cada programa ( ) programa ( ) Prueba por fase
validación, actualización ( ) Prueba por fase validación, actualización ( ) Prueba integral del paralelo
( ) Prueba integral del paralelo ( ) Prueba en paralelo sistema ( ) Prueba en paralelo sistema ( ) Otros
Otros (especificar)____________________________________
(especificar)____________________________________
La entrevista se La entrevista se deberá llevar a cabo para deberá llevar a cabo para comprobar datos
proporcionados y comprobar datos proporcionados y la la situación de la dependencia en el
situación de la dependencia en el departamento de departamento de Sistemas de Sistemas de
Información . Información .
Su objeto es conocer la Su objeto es conocer la opinión que tienen los opinión que tienen los
usuarios sobre los servicios usuarios sobre los servicios proporcionados, proporcionados, así como
la difusión de las así como la difusión de las aplicaciones de la aplicaciones de la computadora
computadora y de los sistemas en operación. y de los sistemas en operación.
Las Las entrevistas se entrevistas se deberán hacer, en caso de deberán hacer, en caso de ser posible,
a todos los ser posible, a todos los asuarios o bien en asuarios o bien en forma aleatoria a algunos de
los usuarios, forma aleatoria a algunos de los usuarios, tanto de los más importantes como de los de
tanto de los más importantes como de los de menor menor importancia, en cuanto al uso del
importancia, en cuanto al uso del equipo. equipo.
Desde el Desde el punto de vista del usuario los punto de vista del usuario los sistemas deben:
sistemas deben:
Cumplir con los Cumplir con los requerimientos totales requerimientos totales del usuario. del
usuario. Cubrir todos los controles Cubrir todos los controles necesarios. necesarios. No exceder las
estimaciones No exceder las estimaciones del del presupuesto presupuesto inicial. inicial. Serán
Serán fácilmente modificables. fácilmente modificables.
Para que un sistema cumpla con Para que un sistema cumpla con los los requerimientos del usuario,
se necesita una requerimientos del usuario, se necesita una comunicación completa entre usuarios y
comunicación completa entre usuarios y responsable del desarrollo del sistema. responsable del
desarrollo del sistema.
En esta misma etapa En esta misma etapa debió haberse definido debió haberse definido la calidad
de la la calidad de la información que será información que será procesada por la procesada por la
computadora, computadora, estableciéndose los riesgos de la estableciéndose los riesgos de la
misma y la misma y la forma de minimizarlos. Para ello se debieron forma de minimizarlos. Para
ello se debieron definir definir los controles adecuados, los controles adecuados, estableciéndose
además los estableciéndose además los niveles de niveles de acceso a la información, es decir, quién
acceso a la información, es decir, quién tiene tiene privilegios de consulta, modificar o incluso
privilegios de consulta, modificar o incluso borrar borrar información. información.
Esta etapa habrá de ser Esta etapa habrá de ser cuidadosamente cuidadosamente verificada por el
auditor interno especialista verificada por el auditor interno especialista en en sistemas y por el
auditor en informática, sistemas y por el auditor en informática, para comprobar para comprobar que
se logro una adecuada que se logro una adecuada comprensión de los comprensión de los
requerimientos del requerimientos del usuario y un control satisfactorio de usuario y un control
satisfactorio de información. información.
Para verificar si los servicios que Para verificar si los servicios que se se proporcionan a los usuarios
son los proporcionan a los usuarios son los requeridos y se requeridos y se están proporcionando en
están proporcionando en forma adecuada, cuando menos forma adecuada, cuando menos será
preciso será preciso considerar la siguiente considerar la siguiente información. información.
Descripción de los Descripción de los servicios prestados. servicios prestados. Criterios de Criterios
de evaluación que utilizan los evaluación que utilizan los usuarios para evaluar el usuarios para
evaluar el nivel del nivel del servicio servicio prestado. prestado. Reporte periódico del uso y
concepto Reporte periódico del uso y concepto del del usuario sobre el servicio. usuario sobre el
servicio. Registro de los Registro de los requerimientos requerimientos planteados por el usuario.
planteados por el usuario.
Con esta información se Con esta información se puede comenzar a puede comenzar a realizar la
entrevista realizar la entrevista para determinar si los para determinar si los servicios proporcionados
y planeados por servicios proporcionados y planeados por la la dirección de Informática cubren las
dirección de Informática cubren las necesidades de información de las necesidades de información
de las dependencias. dependencias.
2. ¿Cómo 2. ¿Cómo considera usted, en general, el considera usted, en general, el servicio servicio
proporcionado por el Departamento proporcionado por el Departamento de Sistemas de de Sistemas
de Información? Información? Deficiente ( ) Deficiente ( ) Aceptable ( ) Aceptable ( ) Satisfactorio
( ) Satisfactorio ( ) Excelente ( ) Excelente ( ) ¿Por que? ¿Por que?
3. ¿Cubre sus 3. ¿Cubre sus necesidades el sistema que necesidades el sistema que utiliza el
departamento de utiliza el departamento de cómputo? cómputo? No las cubre ( ) No las cubre ( )
Parcialmente ( ) Parcialmente ( ) La mayor parte ( ) La mayor parte ( ) Todas ( ) Todas ( ) ¿Por que?
¿Por que?
7. ¿Que piensa de la 7. ¿Que piensa de la asesoría que se imparte asesoría que se imparte sobre
informática? sobre informática? No se proporciona ( ) No se proporciona ( ) Es insuficiente ( ) Es
insuficiente ( ) Satisfactoria ( ) Satisfactoria ( ) Excelente ( ) Excelente ( ) ¿Por que? ¿Por que?
9. ¿Existen fallas de 9. ¿Existen fallas de exactitud en los procesos exactitud en los procesos de de
información? información? ¿Cuáles? ¿Cuáles?
10. ¿Cómo utiliza 10. ¿Cómo utiliza los reportes que se le los reportes que se le proporcionan?
proporcionan?
12. De aquellos que no utiliza 12. De aquellos que no utiliza ¿por que razón ¿por que razón los
recibe? los recibe?
13. ¿Que sugerencias 13. ¿Que sugerencias presenta en cuanto a la presenta en cuanto a la
eliminación de reportes eliminación de reportes modificación, fusión, modificación, fusión, división
de reporte? división de reporte?
14. ¿Se cuenta con un 14. ¿Se cuenta con un manual de manual de usuario por usuario por Sistema?
Sistema? SI ( ) NO ( ) SI ( ) NO ( )
15. ¿Es claro y objetivo el 15. ¿Es claro y objetivo el manual del manual del usuario? usuario? SI ( )
NO ( ) SI ( ) NO ( )
16. ¿Que opinión 16. ¿Que opinión tiene el manual? tiene el manual? NOTA: Pida el manual del
NOTA: Pida el manual del usuario para usuario para evaluarlo. evaluarlo.
18. ¿Que sistemas 18. ¿Que sistemas desearía que se desearía que se incluyeran? incluyeran?
Los datos son uno de los Los datos son uno de los recursos más recursos más valiosos de las
organizaciones y, valiosos de las organizaciones y, aunque son aunque son intangibles, necesitan ser
controlados y intangibles, necesitan ser controlados y auditados con auditados con el mismo cuidado
que los el mismo cuidado que los demás inventarios de la demás inventarios de la organización, por
lo organización, por lo cual se debe tener cual se debe tener presente: presente:
c) Los datos deberán c) Los datos deberán tener una clasificación tener una clasificación estándar y
un mecanismo de estándar y un mecanismo de identificación identificación que permita detectar
duplicidad y que permita detectar duplicidad y redundancia dentro de una aplicación y de
redundancia dentro de una aplicación y de todas las todas las aplicaciones en general. aplicaciones
en general.
d) Se deben relacionar los d) Se deben relacionar los elementos de los elementos de los datos con las
bases de datos datos con las bases de datos donde están donde están almacenados, así como los
reportes y almacenados, así como los reportes y grupos grupos de de procesos donde procesos donde
son generados. son generados.
La mayoría de los La mayoría de los Delitos por Delitos por computadora computadora son
cometidos por modificaciones de datos son cometidos por modificaciones de datos fuente al: fuente
al:
Suprimir u omitir Suprimir u omitir datos. datos. Adicionar Datos. Adicionar Datos. Alterar datos.
Alterar datos. Duplicar procesos. Duplicar procesos.
Esto es de suma importancia en Esto es de suma importancia en caso de caso de equipos de cómputo
que cuentan con equipos de cómputo que cuentan con sistemas en sistemas en línea, en los que los
usuarios son línea, en los que los usuarios son los responsables de la los responsables de la captura y
modificación captura y modificación de la información al tener de la información al tener un
adecuado un adecuado control con señalamiento de responsables de control con señalamiento de
responsables de los datos(uno de los usuarios debe ser el los datos(uno de los usuarios debe ser el
único único responsable de determinado dato), con responsable de determinado dato), con claves de
acceso de acuerdo claves de acceso de acuerdo a niveles. a niveles.
El primer nivel es el que puede El primer nivel es el que puede hacer hacer únicamente consultas. El
segundo nivel es únicamente consultas. El segundo nivel es aquel que aquel que puede hacer
captura, puede hacer captura, modificaciones y consultas y el tercer nivel modificaciones y consultas
y el tercer nivel es es el que solo puede hacer todos lo anterior y el que solo puede hacer todos lo
anterior y además además puede realizar bajas. puede realizar bajas.
NOTA: Debido a que se denomina NOTA: Debido a que se denomina de de diferentes formas la
actividad de transcribir la diferentes formas la actividad de transcribir la información del dato fuente
a la información del dato fuente a la computadora, computadora, en el presente trabajo se le
denominará en el presente trabajo se le denominará captura o captación considerándola como
captura o captación considerándola como sinónimo de digitalizar (capturista, sinónimo de digitalizar
(capturista, digitalizadora). digitalizadora).
Lo primero que se debe evaluar Lo primero que se debe evaluar es la entrada es la entrada de la
información y que se tengan las cifras de la información y que se tengan las cifras de control
necesarias para determinar la de control necesarias para determinar la veracidad de la veracidad de
la información, para lo cual se información, para lo cual se puede utilizar el siguiente puede utilizar
el siguiente cuestionario: cuestionario:
1. Indique el porcentaje de 1. Indique el porcentaje de datos que se datos que se reciben en el área de
captación reciben en el área de captación 2. Indique el contenido de la orden de trabajo 2. Indique el
contenido de la orden de trabajo que se recibe en que se recibe en el área de captación de el área de
captación de datos: datos: Número de folio ( ) Número(s) de formato(s) ( Número de folio ( )
Número(s) de formato(s) ( ) ) Fecha y hora de Nombre, Depto. ( ) Fecha y hora de Nombre, Depto. (
) Recepción ( ) Usuario ( ) Recepción ( ) Usuario ( ) Nombre del documento ( ) Nombre Nombre del
documento ( ) Nombre responsable ( ) responsable ( ) Volumen aproximado Clave de cargo Volumen
aproximado Clave de cargo de registro ( ) de registro ( ) (Número de cuenta) ( ) (Número de cuenta)
( ) Número de registros ( ) Número de registros ( ) Fecha y hora de Fecha y hora de entrega de
entrega de Clave del capturista ( ) documentos y Clave del capturista ( ) documentos y registros
registros captados ( ) captados ( ) Fecha estimada de entrega ( ) Fecha estimada de entrega ( )
5. ¿Quién 5. ¿Quién controla las entradas de controla las entradas de documentos fuente?
documentos fuente?
6. ¿En que forma las 6. ¿En que forma las controla? controla?
Sistema Cifras que se Sistema Cifras que se Observaciones Observaciones Obtienen Obtienen
9. ¿Se anota que 9. ¿Se anota que persona recibe persona recibe la la información y su volumen?
información y su volumen? SI NO SI NO
10. ¿Se anota a que 10. ¿Se anota a que capturista se entrega la capturista se entrega la información,
el volumen y la información, el volumen y la hora? hora? SI NO SI NO
11. ¿Se verifica la 11. ¿Se verifica la cantidad de la información cantidad de la información recibida
para su captura? recibida para su captura? SI NO SI NO
12. ¿Se revisan las 12. ¿Se revisan las cifras de control antes de cifras de control antes de enviarlas a
captura? enviarlas a captura? SI NO SI NO
13. ¿Para aquellos 13. ¿Para aquellos procesos que procesos que no traigan no traigan cifras de
control se ha establecido criterios a cifras de control se ha establecido criterios a fin de fin de
asegurar que la información es asegurar que la información es completa y valida? completa y
valida? SI NO SI NO
14. ¿Existe un procedimiento 14. ¿Existe un procedimiento escrito que escrito que indique como
tratar la información indique como tratar la información inválida inválida (sin firma ilegible, no
corresponden las cifras (sin firma ilegible, no corresponden las cifras de control)? de control)?
19. ¿Se verifica que las 19. ¿Se verifica que las cifras de las cifras de las validaciones concuerden
con los documentos validaciones concuerden con los documentos de de entrada? entrada?
20. ¿Se hace una 20. ¿Se hace una relación de cuando y a relación de cuando y a quién fueron
distribuidos quién fueron distribuidos los listados? los listados?
________________________________________________
________________________________________________
21. ¿Se controlan 21. ¿Se controlan separadamente los separadamente los documentos
confidenciales? documentos confidenciales?
________________________________________________
________________________________________________
22. ¿Se aprovecha 22. ¿Se aprovecha adecuadamente el papel adecuadamente el papel de los de los
listados inservibles? listados inservibles?
________________________________________________
________________________________________________
23. ¿Existe un registro de los 23. ¿Existe un registro de los documentos que documentos que entran
a capturar? entran a capturar? ________________________________________________
________________________________________________
24. ¿Se hace un reporte 24. ¿Se hace un reporte diario, semanal o diario, semanal o mensual de
captura? mensual de captura? ________________________________________________
________________________________________________
25. ¿Se hace un reporte 25. ¿Se hace un reporte diario, semanal o diario, semanal o mensual de
anomalías en la mensual de anomalías en la información de información de entrada? entrada?
26. ¿Se lleva un control 26. ¿Se lleva un control de la producción por de la producción por persona?
persona?
27. ¿Quién revisa 27. ¿Quién revisa este control? este control?
28. ¿Existen 28. ¿Existen instrucciones escritas para instrucciones escritas para capturar cada
aplicación o, en capturar cada aplicación o, en su defecto su defecto existe una relación de
programas? existe una relación de programas?
Semestral ( ) Semestral ( ) Anual ( ) Anual ( ) Cada vez que haya cambio de Cada vez que haya
cambio de equipo ( ) equipo ( )
5. ¿Existen 5. ¿Existen órdenes de proceso para cada órdenes de proceso para cada corrida en la
computadora corrida en la computadora (incluyendo (incluyendo pruebas, pruebas, compilaciones y
producción)? compilaciones y producción)? SI ( ) NO ( ) SI ( ) NO ( )
6. ¿Son suficientemente 6. ¿Son suficientemente claras para los claras para los operadores estas
órdenes? operadores estas órdenes? SI ( ) NO ( ) SI ( ) NO ( )
7. ¿Existe una 7. ¿Existe una estandarización de las ordenes estandarización de las ordenes de
proceso? de proceso? SI ( ) NO ( ) SI ( ) NO ( )
8. ¿Existe un control 8. ¿Existe un control que asegure la que asegure la justificación de los procesos
en el justificación de los procesos en el computador? computador? (Que los procesos que se están
(Que los procesos que se están autorizados y tengan una autorizados y tengan una razón de ser razón
de ser procesados. procesados. SI ( ) NO ( ) SI ( ) NO ( )
9. ¿Cómo 9. ¿Cómo programan los operadores los programan los operadores los trabajos dentro del
departamento de trabajos dentro del departamento de cómputo? cómputo? Primero que entra,
primero que sale ( ) Primero que entra, primero que sale ( ) se respetan las prioridades, ( ) se
respetan las prioridades, ( ) Otra (especifique) ( ) Otra (especifique) ( )
10. ¿Los retrasos o 10. ¿Los retrasos o incumplimiento con el incumplimiento con el programa de
operación diaria, se programa de operación diaria, se revisa y revisa y analiza? analiza? SI ( ) NO ( )
SI ( ) NO ( )
11. ¿Quién revisa 11. ¿Quién revisa este reporte en su caso? este reporte en su caso?
12. Analice la eficiencia con 12. Analice la eficiencia con que se ejecutan que se ejecutan los
trabajos dentro del departamento de los trabajos dentro del departamento de cómputo, tomando en
cuenta equipo y cómputo, tomando en cuenta equipo y operador, a operador, a través de inspección
visual, y través de inspección visual, y describa sus describa sus observaciones. observaciones.
13. ¿Existen 13. ¿Existen procedimientos escritos para la procedimientos escritos para la
recuperación del sistema recuperación del sistema en caso de falla? en caso de falla?
14. ¿Cómo se 14. ¿Cómo se actúa en caso de errores? actúa en caso de errores?
15. ¿Existen 15. ¿Existen instrucciones especificas para instrucciones especificas para cada proceso,
con las indicaciones cada proceso, con las indicaciones pertinentes? pertinentes?
16. ¿Se tienen 16. ¿Se tienen procedimientos específicos procedimientos específicos que indiquen al
operador que que indiquen al operador que hacer cuando hacer cuando un programa interrumpe su
ejecución u otras un programa interrumpe su ejecución u otras dificultades en proceso? dificultades
en proceso?
17. ¿Puede el operador 17. ¿Puede el operador modificar los datos de modificar los datos de
entrada? entrada?
18. ¿Se prohibe a 18. ¿Se prohibe a analistas y programadores analistas y programadores la
operación del sistema que la operación del sistema que programo o programo o analizo? analizo?
19. ¿Se prohibe al 19. ¿Se prohibe al operador modificar operador modificar información de
archivos o bibliotecas de información de archivos o bibliotecas de programas? programas?
20. ¿El operador realiza 20. ¿El operador realiza funciones de funciones de mantenimiento
mantenimiento diario en dispositivos que así diario en dispositivos que así lo requieran? lo
requieran?
21. ¿Las intervenciones 21. ¿Las intervenciones de los operadores: de los operadores:
22. ¿Se tiene un control 22. ¿Se tiene un control adecuado sobre los adecuado sobre los sistemas y
programas que están en sistemas y programas que están en operación? operación? SI ( ) NO ( ) SI ( )
NO ( ) 23. ¿Cómo controlan los trabajos dentro del 23. ¿Cómo controlan los trabajos dentro del
departamento de cómputo? departamento de cómputo?
24. ¿Se rota al personal 24. ¿Se rota al personal de control de de control de información con los
operadores procurando información con los operadores procurando un un entrenamiento
entrenamiento cruzado y evitando la cruzado y evitando la manipulación fraudulenta de
manipulación fraudulenta de datos? datos? SI ( ) NO ( ) SI ( ) NO ( )
25. ¿Cuentan los 25. ¿Cuentan los operadores con una bitácora operadores con una bitácora para
mantener registros de para mantener registros de cualquier evento y cualquier evento y acción
tomada por ellos? acción tomada por ellos? Si ( ) Si ( ) por máquina ( ) por máquina ( ) escrita
manualmente ( ) escrita manualmente ( ) NO ( ) NO ( ) 26. Verificar que exista un registro de 26.
Verificar que exista un registro de funcionamiento que muestre el tiempo de funcionamiento que
muestre el tiempo de paros y mantenimiento paros y mantenimiento o instalaciones de o
instalaciones de software. software.
27.¿Existen 27.¿Existen procedimientos para evitar las procedimientos para evitar las corridas de
programas no corridas de programas no autorizados? autorizados? SI ( ) NO ( ) SI ( ) NO ( )
28. ¿Existe un plan 28. ¿Existe un plan definido para el cambio de definido para el cambio de turno
de operaciones que turno de operaciones que evite el descontrol y evite el descontrol y
discontinuidad de la discontinuidad de la operación. operación.
29. Verificar que sea razonable 29. Verificar que sea razonable el plan para el plan para coordinar el
cambio de coordinar el cambio de turno. turno.
30. ¿Se hacen 30. ¿Se hacen inspecciones periódicas de inspecciones periódicas de muestreo?
muestreo? SI ( ) NO ( ) SI ( ) NO ( )
31. Enuncie los procedimientos 31. Enuncie los procedimientos mencionados mencionados en el
inciso anterior: en el inciso anterior:
32. ¿Se permite a los 32. ¿Se permite a los operadores el acceso a operadores el acceso a los
diagramas de los diagramas de flujo, programas fuente, etc. flujo, programas fuente, etc. fuera del
departamento de fuera del departamento de cómputo? cómputo? SI ( ) NO ( ) SI ( ) NO ( )
33. ¿Se controla 33. ¿Se controla estrictamente el acceso a la estrictamente el acceso a la
documentación de programas o documentación de programas o de de aplicaciones rutinarias?
aplicaciones rutinarias? SI ( ) NO ( ) SI ( ) NO ( ) ¿Cómo? ¿Cómo?
________________________________________________
________________________________________________
34. Verifique que los 34. Verifique que los privilegios del operador privilegios del operador se
restrinjan a aquellos que le son se restrinjan a aquellos que le son asignados asignados a la
clasificación de seguridad de a la clasificación de seguridad de operador. operador.
35. ¿Existen 35. ¿Existen procedimientos formales que se procedimientos formales que se deban
observar antes de que sean deban observar antes de que sean aceptados aceptados en operación,
sistemas nuevos o en operación, sistemas nuevos o modificaciones a modificaciones a los mismos?
los mismos? SI ( ) NO ( ) SI ( ) NO ( )
36. ¿Estos 36. ¿Estos procedimientos incluyen corridas procedimientos incluyen corridas en paralelo
de los sistemas en paralelo de los sistemas modificados con modificados con las versiones
anteriores? las versiones anteriores? SI ( ) NO ( ) SI ( ) NO ( )
38. ¿Que precauciones se 38. ¿Que precauciones se toman durante el toman durante el periodo de
implantación? periodo de implantación?
39. ¿Quién da la 39. ¿Quién da la aprobación formal cuando aprobación formal cuando las corridas
de prueba de un las corridas de prueba de un sistema sistema modificado o nuevo están acordes con
los modificado o nuevo están acordes con los instructivos de operación. instructivos de operación.
40. ¿Se catalogan los 40. ¿Se catalogan los programas liberados programas liberados para
producción rutinaria? para producción rutinaria? SI ( ) NO ( ) SI ( ) NO ( )
41. Mencione que instructivos 41. Mencione que instructivos se se proporcionan a las personas que
intervienen proporcionan a las personas que intervienen en la en la operación rutinaria de un
sistema. operación rutinaria de un sistema.
42. Indique que tipo de 42. Indique que tipo de controles tiene sobre controles tiene sobre los
archivos magnéticos de los los archivos magnéticos de los archivos de archivos de datos, que
aseguren la utilización de los datos, que aseguren la utilización de los datos precisos en los procesos
datos precisos en los procesos correspondientes. correspondientes.
43. ¿Existe un lugar 43. ¿Existe un lugar para archivar las para archivar las bitácoras del sistema del
equipo de bitácoras del sistema del equipo de cómputo? cómputo? SI ( ) NO ( ) SI ( ) NO ( )
44. Indique como está 44. Indique como está organizado este organizado este archivo de archivo de
bitácora. bitácora.
Por fecha ( ) Por fecha ( ) por fecha y hora ( por fecha y hora ( ) ) por turno de por turno de
operación ( ) operación ( ) Otros ( ) Otros ( )
45. ¿Cuál es la 45. ¿Cuál es la utilización sistemática de las utilización sistemática de las bitácoras?
bitácoras?
46. ¿Además de 46. ¿Además de las mencionadas las mencionadas anteriormente, que otras
funciones o anteriormente, que otras funciones o áreas se áreas se encuentran en el departamento de
cómputo encuentran en el departamento de cómputo actualmente? actualmente?
47. Verifique que se lleve un 47. Verifique que se lleve un registro de registro de utilización del
equipo diario, sistemas en línea utilización del equipo diario, sistemas en línea y y batch, de tal
manera que se pueda medir la batch, de tal manera que se pueda medir la eficiencia del eficiencia
del uso de equipo. uso de equipo.
48. ¿Se tiene inventario 48. ¿Se tiene inventario actualizado de los actualizado de los equipos y
terminales con su equipos y terminales con su localización? localización? SI ( ) NO ( ) SI ( ) NO ( )
49. ¿Cómo se 49. ¿Cómo se controlan los procesos en controlan los procesos en línea? línea?
50. ¿Se tienen seguros sobre 50. ¿Se tienen seguros sobre todos los todos los equipos? equipos? SI
( ) NO ( ) SI ( ) NO ( )
51. ¿Conque 51. ¿Conque compañía? compañía? Solicitar pólizas de seguros y Solicitar pólizas de
seguros y verificar tipo de verificar tipo de seguro y seguro y montos. montos.
52. ¿Cómo se 52. ¿Cómo se controlan las llaves de acceso controlan las llaves de acceso
(Password)?. (Password)?.
1. ¿Se tienen copias de 1. ¿Se tienen copias de los archivos en otros los archivos en otros locales?
locales?
3. ¿Que seguridad 3. ¿Que seguridad física se física se tiene en esos tiene en esos locales? locales?
4. ¿Que confidencialidad 4. ¿Que confidencialidad se tiene en esos se tiene en esos locales? locales?
5. ¿Quién entrega 5. ¿Quién entrega los documentos de salida? los documentos de salida?
10. ¿Se destruye la 10. ¿Se destruye la información utilizada, o información utilizada, o bien que se
hace con bien que se hace con ella? ella?
Además se deben tener Además se deben tener perfectamente perfectamente identificados los
carretes para reducir la identificados los carretes para reducir la posibilidad de utilización errónea o
posibilidad de utilización errónea o destrucción de la información. destrucción de la información.
Un manejo adecuado de estos Un manejo adecuado de estos dispositivos dispositivos permitirá una
operación más permitirá una operación más eficiente y eficiente y segura, mejorando además los
tiempos de segura, mejorando además los tiempos de procesos. procesos.
OBJETIVOS OBJETIVOS
1. Los locales asignados a la 1. Los locales asignados a la cintoteca y cintoteca y discoteca tienen:
discoteca tienen:
Número de serie o Número de serie o carrete ( ) carrete ( ) Número o clave del usuario ( ) Número o
clave del usuario ( )