Monografias.com Monografias.

com > > Computacion Computacion > > General General Manual de
Auditoría Manual de Auditoría de sistemas de sistemas

Enviado por Enviado por otoroc otoroc Partes: Partes: 1 1 , , 2 2 , , 3 3

Auditoría de Sistemas Auditoría de Sistemas

Planeación de la Auditoría en Planeación de la Auditoría en Informática Informática

Evaluación de Sistemas Evaluación de Sistemas

Evaluación del Análisis Evaluación del Análisis

Evaluación del Diseño Lógico del Evaluación del Diseño Lógico del Sistema Sistema

Evaluación del Desarrollo del Sistema Evaluación del Desarrollo del Sistema

Control de Proyectos Control de Proyectos

Control de Diseño de Sistemas y Control de Diseño de Sistemas y Programación Programación

Instructivos de Operación Instructivos de Operación

Forma de Implementación Forma de Implementación

Entrevista a Usuarios Entrevista a Usuarios

Controles Controles

Orden en el Centro de Cómputo Orden en el Centro de Cómputo

Evaluación de la Configuración del Evaluación de la Configuración del Sistema de Cómputo

Sistema de Cómputo

Seguridad Lógica y Confidencial Seguridad Lógica y Confidencial

Seguridad Física Seguridad Física

Seguridad en la Utilización del Seguridad en la Utilización del Equipo Equipo

Seguridad al Restaurar el Equipo Seguridad al Restaurar el Equipo

Procedimientos de Respaldo en Caso Procedimientos de Respaldo en Caso de de Desastre Desastre

Anexo 1 Anexo 1

Anexo 2 Anexo 2

Anexo 3 Anexo 3
AUDITORIA DE SISTEMAS AUDITORIA DE SISTEMAS

La auditoría en informática es la revisión y la La auditoría en informática es la revisión y la

evaluación de los controles, sistemas, evaluación de los controles, sistemas, procedimientos
procedimientos de informática; de los de informática; de los equipos de equipos de cómputo, su
utilización, eficiencia cómputo, su utilización, eficiencia y y seguridad, de seguridad, de la la
organización que participan organización que participan en el procesamiento de la en el
procesamiento de la información, a fin información, a fin de que por medio del de que por medio del
señalamiento de cursos señalamiento de cursos alternativos se logre una utilización más alternativos
se logre una utilización más eficiente eficiente y segura de la información que y segura de la
información que servirá para una servirá para una adecuada toma de adecuada toma de decisiones.
decisiones.

La auditoría en informática deberá La auditoría en informática deberá comprender no comprender

no sólo la evaluación sólo la evaluación de los de los equipos de cómputo, de un sistema o equipos
de cómputo, de un sistema o procedimiento procedimiento específico, sino que además específico,
sino que además habrá de evaluar habrá de evaluar los sistemas de los sistemas de información
información en general desde sus entradas, en general desde sus entradas, procedimientos,
procedimientos, controles, archivos, controles, archivos, seguridad y seguridad y obtención de
información. obtención de información.

La auditoría en informática es de vital La auditoría en informática es de vital importancia para el

importancia para el buen desempeño de los buen desempeño de los sistemas de sistemas de
información, ya que proporciona información, ya que proporciona los controles los controles
necesarios para que los necesarios para que los sistemas sean sistemas sean confiables y con un buen
nivel confiables y con un buen nivel de seguridad. de seguridad. Además debe evaluar todo Además
debe evaluar todo (informática, organización de centros de (informática, organización de centros de
información, hardware y software). información, hardware y software).

PLANEACIÓN DE PLANEACIÓN DE LA AUDITORÍA EN LA AUDITORÍA EN

INFORMÁTICA INFORMÁTICA

Para hacer una adecuada Para hacer una adecuada planeación de la planeación de la auditoría en
auditoría en informática, hay que seguir una informática, hay que seguir una serie de pasos previos
que serie de pasos previos que permitirán permitirán dimensionar el tamaño y características de
dimensionar el tamaño y características de área dentro del área dentro del organismo a auditar, sus
organismo a auditar, sus sistemas, sistemas, organización y equipo. organización y equipo.

En el caso de la En el caso de la auditoría en informática, la auditoría en informática, la planeación

planeación es fundamental, pues habrá que es fundamental, pues habrá que hacerla desde el punto de
hacerla desde el punto de vista de los dos vista de los dos objetivos: objetivos:

Evaluación de los Evaluación de los sistemas y sistemas y procedimientos. procedimientos.

Evaluación de los Evaluación de los equipos de cómputo. equipos de cómputo.

Para hacer una planeación Para hacer una planeación eficaz, lo primero eficaz, lo primero que se
requiere es obtener información que se requiere es obtener información general sobre la general
sobre la organización y sobre la organización y sobre la función de función de informática a evaluar.
Para ello es informática a evaluar. Para ello es preciso hacer una preciso hacer una investigación
preliminar y investigación preliminar y algunas entrevistas algunas entrevistas previas, con base en
esto previas, con base en esto planear el programa de planear el programa de trabajo, el cual deberá
trabajo, el cual deberá incluir tiempo, costo, personal incluir tiempo, costo, personal necesario y
necesario y documentos documentos auxiliares a solicitar o formular auxiliares a solicitar o formular
durante el desarrollo de durante el desarrollo de la misma. la misma.

INVESTIGACIÓN INVESTIGACIÓN PRELIMINAR PRELIMINAR

Se deberá observar Se deberá observar el estado el estado general del área, general del área, su
situación dentro de la su situación dentro de la organización, si organización, si existe la información
existe la información solicitada, si es o no solicitada, si es o no necesaria y la fecha de su última
necesaria y la fecha de su última actualización. actualización.

Se debe hacer la investigación preliminar Se debe hacer la investigación preliminar solicitando y

solicitando y revisando la información de revisando la información de cada una de las áreas cada
una de las áreas basándose en los basándose en los siguientes puntos: siguientes puntos:

ADMINISTRACIÓN ADMINISTRACIÓN

Se recopila la Se recopila la información para obtener una información para obtener una visión
general del visión general del departamento por medio de departamento por medio de
observaciones, entrevistas observaciones, entrevistas preliminares y preliminares y solicitud de
documentos para solicitud de documentos para poder definir poder definir el el objetivo y objetivo y
alcances del departamento. alcances del departamento.

PARA ANALIZAR Y DIMENSIONAR LA PARA ANALIZAR Y DIMENSIONAR LA

ESTRUCTURA POR ESTRUCTURA POR AUDITAR SE DEBE AUDITAR SE DEBE
SOLICITAR: SOLICITAR:

A NIVEL DEL ÁREA DE A NIVEL DEL ÁREA DE INFORMÁTICA INFORMÁTICA Objetivos

a corto y largo plazo. Objetivos a corto y largo plazo.

RECURSOS MATERIALES Y RECURSOS MATERIALES Y TECNICOS TECNICOS Solicitar

documentos sobre Solicitar documentos sobre los equipos, los equipos, número de ellos,
localización y número de ellos, localización y características. características.

Estudios de Estudios de viabilidad. viabilidad. Número de equipos, Número de equipos, localización

y las localización y las características (de los equipos características (de los equipos instalados y por
instalar y instalados y por instalar y programados) programados) Fechas de instalación Fechas de
instalación de los equipos y de los equipos y planes de instalación. planes de instalación. Contratos
vigentes de Contratos vigentes de compra, renta y compra, renta y servicio de servicio de
mantenimiento. mantenimiento. Contratos de seguros. Contratos de seguros. Convenios que se
tienen con Convenios que se tienen con otras otras instalaciones. instalaciones. Configuración de los
Configuración de los equipos y equipos y capacidades actuales y máximas. capacidades actuales y
máximas. Planes de Planes de expansión. expansión. Ubicación general de Ubicación general de los
equipos. los equipos. Políticas de Políticas de operación. operación. Políticas de uso de Políticas de
uso de los equipos. los equipos.
SISTEMAS SISTEMAS Descripción general de los sistemas Descripción general de los sistemas
instalados y de los instalados y de los que estén por instalarse que estén por instalarse que contengan
volúmenes de que contengan volúmenes de información. información.

Manual de Manual de formas. formas. Manual de procedimientos Manual de procedimientos de los

de los sistemas. sistemas. Descripción Descripción genérica. genérica. Diagramas de entrada,
Diagramas de entrada, archivos, archivos, salida. salida. Salidas. Salidas. Fecha de instalación Fecha
de instalación de los sistemas. de los sistemas. Proyecto de Proyecto de instalación de nuevos
instalación de nuevos sistemas. sistemas.

En el momento de hacer la En el momento de hacer la planeación de la planeación de la auditoría o

bien su auditoría o bien su realización, debemos realización, debemos evaluar que pueden
presentarse las evaluar que pueden presentarse las siguientes situaciones. siguientes situaciones.

Se solicita la Se solicita la información y se ve que: información y se ve que:

No tiene y se No tiene y se necesita. necesita. No se tiene y no se No se tiene y no se necesita.

necesita.

Se tiene la información Se tiene la información pero: pero:

No se usa. No se usa. Es incompleta. Es incompleta. No esta No esta actualizada. actualizada. No es

la No es la adecuada. adecuada. Se usa, está Se usa, está actualizada, es la adecuada actualizada, es
la adecuada y está completa. y está completa.

En el caso de No se tiene y no En el caso de No se tiene y no se necesita, se se necesita, se debe

evaluar la causa por la que no es debe evaluar la causa por la que no es necesaria. necesaria. En el
caso de No se tiene pero es En el caso de No se tiene pero es necesaria, se debe recomendar
necesaria, se debe recomendar que se que se elabore de acuerdo con las necesidades y con elabore
de acuerdo con las necesidades y con el uso que se el uso que se le va a dar. En el caso de que se le
va a dar. En el caso de que se tenga la información tenga la información pero no se utilice, se pero
no se utilice, se debe analizar por que no se usa. En caso debe analizar por que no se usa. En caso de
de que se tenga la información, se debe analizar que se tenga la información, se debe analizar si se si
se usa, si está actualizada, si es la usa, si está actualizada, si es la adecuada y si adecuada y si está
completa. está completa.

El éxito del análisis crítico depende de las El éxito del análisis crítico depende de las
consideraciones siguientes: consideraciones siguientes:

Estudiar hechos y no Estudiar hechos y no opiniones (no se opiniones (no se toman en cuenta los
rumores ni la toman en cuenta los rumores ni la información sin fundamento) información sin
fundamento) Investigar las causas, no Investigar las causas, no los efectos. los efectos. Atender
razones, no Atender razones, no excusas. excusas. No confiar en la memoria, No confiar en la
memoria, preguntar preguntar constantemente. constantemente. Criticar objetivamente y a Criticar
objetivamente y a fondo todos fondo todos los informes y los informes y los datos los datos
recabados. recabados.

PERSONAL PERSONAL PARTICIPANTE PARTICIPANTE

Una de las partes más Una de las partes más importantes dentro de importantes dentro de la
planeación la planeación de la auditoría en informática es de la auditoría en informática es el
personal que el personal que deberá participar y sus deberá participar y sus características.
características.

Uno de los esquemas Uno de los esquemas generalmente generalmente aceptados para tener un
adecuado control es aceptados para tener un adecuado control es que el que el personal que personal
que intervengan esté intervengan esté debidamente capacitado, con alto sentido debidamente
capacitado, con alto sentido de de moralidad, al cual se le exija la optimización moralidad, al cual se
le exija la optimización de de recursos recursos (eficiencia) y (eficiencia) y se le retribuya o se le
retribuya o compense justamente por su trabajo. compense justamente por su trabajo.

Con estas bases se debe Con estas bases se debe considerar las considerar las características de
conocimientos, características de conocimientos, práctica práctica profesional y capacitación que
debe tener el profesional y capacitación que debe tener el personal que personal que intervendrá en
la auditoría. En intervendrá en la auditoría. En primer lugar se primer lugar se debe pensar que hay
personal debe pensar que hay personal asignado asignado por la por la organización, con el
organización, con el suficiente nivel para poder suficiente nivel para poder coordinar el coordinar el
desarrollo de desarrollo de la auditoría, proporcionar toda la auditoría, proporcionar toda la
información que la información que se solicite y programar las se solicite y programar las reuniones
y entrevistas reuniones y entrevistas requeridas. requeridas.

Éste es un punto muy Éste es un punto muy importante ya que, de importante ya que, de no tener el
apoyo de la alta dirección, ni no tener el apoyo de la alta dirección, ni contar con un grupo contar
con un grupo multidisciplinario en el multidisciplinario en el cual estén presentes una o varias cual
estén presentes una o varias personas personas del área a auditar, sería casi imposible del área a
auditar, sería casi imposible obtener información en el momento y con las obtener información en el
momento y con las características deseadas. características deseadas.

También se debe contar También se debe contar con personas con personas asignadas por los
usuarios para que en el asignadas por los usuarios para que en el momento momento que se solicite
información o bien que se solicite información o bien se efectúe se efectúe alguna entrevista de
alguna entrevista de comprobación de hipótesis, nos proporcionen comprobación de hipótesis, nos
proporcionen aquello que se aquello que se esta solicitando, y esta solicitando, y complementen el
grupo complementen el grupo multidisciplinario, ya multidisciplinario, ya que se debe analizar no
sólo el que se debe analizar no sólo el punto de vista punto de vista de la dirección de informática,
sino de la dirección de informática, sino también el también el del usuario del sistema. del usuario
del sistema.

Para completar el grupo, como Para completar el grupo, como colaboradores colaboradores directos
en la realización de la directos en la realización de la auditoría se auditoría se deben tener personas
con las siguientes deben tener personas con las siguientes características: características:

Técnico en Técnico en informática. informática. Experiencia en el Experiencia en el área de

informática. área de informática. Experiencia en Experiencia en operación y análisis de operación y
análisis de sistemas. sistemas. Conocimientos de los Conocimientos de los sistemas más sistemas
más importantes. importantes.
En caso de sistemas complejos En caso de sistemas complejos se deberá se deberá contar con
personal con conocimientos y contar con personal con conocimientos y experiencia en áreas
específicas como base experiencia en áreas específicas como base de datos, de datos, redes, etc. Lo
redes, etc. Lo anterior no significa anterior no significa que una sola persona tenga los que una sola
persona tenga los conocimientos y experiencias señaladas, pero conocimientos y experiencias
señaladas, pero si deben si deben intervenir una o varias personas con intervenir una o varias
personas con las características las características apuntadas. apuntadas.

Una vez que se ha hecho la Una vez que se ha hecho la planeación, se planeación, se puede utilizar
el formato señalado puede utilizar el formato señalado en el anexo en el anexo 1, el figura el
organismo, las fases y subfases 1, el figura el organismo, las fases y subfases que que comprenden la
descripción de la comprenden la descripción de la actividad, el actividad, el número de personas
número de personas participantes, las fechas estimadas de participantes, las fechas estimadas de
inicio y inicio y terminación, el número de días terminación, el número de días hábiles y el hábiles y
el número de días/hombre número de días/hombre estimado. El control estimado. El control del del
avance de la auditoría lo podemos llevar avance de la auditoría lo podemos llevar mediante el anexo
mediante el anexo 2, el cual nos permite 2, el cual nos permite cumplir con los procedimientos de
cumplir con los procedimientos de control y control y asegurarnos que el trabajo se asegurarnos que
el trabajo se está llevando a está llevando a cabo de acuerdo con el programa de cabo de acuerdo con
el programa de auditoría, con los recursos auditoría, con los recursos estimados y en el estimados y
en el tiempo tiempo señalado en la planeación. señalado en la planeación.

El hecho de contar con la El hecho de contar con la información del información del avance nos
permite revisar el trabajo avance nos permite revisar el trabajo elaborado por cualquiera de los
asistentes. elaborado por cualquiera de los asistentes. Como ejemplo de Como ejemplo de propuesta
de auditoría en propuesta de auditoría en informática véase informática véase el anexo 3. el anexo 3.

EVALUACIÓN DE SISTEMAS EVALUACIÓN DE SISTEMAS

La elaboración de sistemas debe ser La elaboración de sistemas debe ser evaluada con mucho
evaluada con mucho detalle, para lo cual se detalle, para lo cual se debe revisar si existen realmente
debe revisar si existen realmente sistemas sistemas entrelazados como un todo o bien si existen
entrelazados como un todo o bien si existen programas programas aislados. Otro de los factores a
aislados. Otro de los factores a evaluar es si existe un plan evaluar es si existe un plan estratégico
para estratégico para la elaboración de los sistemas la elaboración de los sistemas o si se están o si se
están elaborados sin el adecuado elaborados sin el adecuado señalamiento de señalamiento de
prioridades y de objetivos. prioridades y de objetivos.

El plan El plan estratégico deberá establecer los estratégico deberá establecer los servicios que
servicios que se presentarán en un futuro se presentarán en un futuro contestando preguntas como
las contestando preguntas como las siguientes: siguientes:

¿Cuáles ¿Cuáles servicios se servicios se implementarán? implementarán? ¿Cuándo se ¿Cuándo se

pondrán a disposición de pondrán a disposición de los los usuarios? usuarios? ¿Qué ¿Qué
características tendrán? características tendrán? ¿Cuántos ¿Cuántos recursos se recursos se
requerirán? requerirán?
La estrategia de La estrategia de desarrollo desarrollo deberá establecer deberá establecer las nuevas
aplicaciones, recursos y la las nuevas aplicaciones, recursos y la arquitectura arquitectura en que
estarán fundamentados: en que estarán fundamentados:

¿Qué ¿Qué aplicaciones serán desarrolladas y aplicaciones serán desarrolladas y cuando? cuando?
¿Qué tipo de ¿Qué tipo de archivos se archivos se utilizarán y utilizarán y cuando? cuando? ¿Qué
bases de datos ¿Qué bases de datos serán utilizarán y serán utilizarán y cuando? cuando? ¿Qué
lenguajes ¿Qué lenguajes se utilizarán y en que se utilizarán y en que software? software? ¿Qué
tecnología será utilizada y cuando ¿Qué tecnología será utilizada y cuando se implementará? se
implementará? ¿Cuantos recursos se ¿Cuantos recursos se requerirán requerirán aproximadamente?
aproximadamente? ¿Cuál es ¿Cuál es aproximadamente el monto de aproximadamente el monto de
la inversión en hardware y la inversión en hardware y software? software?

En lo referente a la consulta a En lo referente a la consulta a los usuarios, el los usuarios, el plan

plan estratégico debe definir los estratégico debe definir los requerimientos de requerimientos de
información de la información de la dependencia. dependencia.

¿Qué estudios ¿Qué estudios van a ser realizados al van a ser realizados al respecto? respecto? ¿Qué
metodología se utilizará para ¿Qué metodología se utilizará para dichos estudios? dichos estudios?
¿Quién ¿Quién administrará y realizará dichos administrará y realizará dichos estudios? estudios?

En el área de auditoría En el área de auditoría interna debe evaluarse interna debe evaluarse cuál ha
sido la cuál ha sido la participación del auditor y los participación del auditor y los controles
controles establecidos. establecidos.

Por último, el plan Por último, el plan estratégico determina la estratégico determina la planeación
de los planeación de los recursos. recursos.

¿Contempla el ¿Contempla el plan plan estratégico las estratégico las ventajas de la nueva
tecnología? ventajas de la nueva tecnología? ¿Cuál es la ¿Cuál es la inversión requerida en inversión
requerida en servicios, servicios, desarrollo y desarrollo y consulta a los consulta a los usuarios?
usuarios?

El proceso de El proceso de planeación de sistemas deberá planeación de sistemas deberá asegurarse

de que asegurarse de que todos los recursos todos los recursos requeridos estén claramente
requeridos estén claramente identificados en identificados en el plan de el plan de desarrollo de
aplicaciones y datos. desarrollo de aplicaciones y datos. Estos Estos recursos (hardware, software y
recursos (hardware, software y comunicaciones) deberán ser compatibles comunicaciones) deberán
ser compatibles con con la arquitectura y la arquitectura y la tecnología, conque se la tecnología,
conque se cuenta cuenta actualmente. actualmente.

Los sistemas deben evaluarse de Los sistemas deben evaluarse de acuerdo acuerdo con el ciclo de
vida con el ciclo de vida que normalmente siguen: que normalmente siguen: requerimientos del
usuario, estudio de requerimientos del usuario, estudio de factibilidad, diseño factibilidad, diseño
general, análisis, diseño general, análisis, diseño lógico, desarrollo físico, pruebas, lógico, desarrollo
físico, pruebas, implementación, evaluación, modificaciones, implementación, evaluación,
modificaciones, instalación, mejoras. Y se vuelve nuevamente instalación, mejoras. Y se vuelve
nuevamente al ciclo al ciclo inicial, el cual a su vez debe comenzar inicial, el cual a su vez debe
comenzar con el de factibilidad. con el de factibilidad.
La primera etapa a evaluar del La primera etapa a evaluar del sistema es el sistema es el estudio de
estudio de factibilidad, el cual debe analizar si factibilidad, el cual debe analizar si el sistema es
factible el sistema es factible de realizarse, cuál es su de realizarse, cuál es su relación
costo/beneficio y relación costo/beneficio y si es recomendable si es recomendable elaborarlo.
elaborarlo.

Se deberá solicitar el Se deberá solicitar el estudio de estudio de factibilidad factibilidad de los

diferentes sistemas que se encuentren de los diferentes sistemas que se encuentren en en operación,
así como los que estén en la operación, así como los que estén en la fase fase de análisis para evaluar
si se considera de análisis para evaluar si se considera la la disponibilidad y características del
equipo, disponibilidad y características del equipo, los sistemas los sistemas operativos y lenguajes
operativos y lenguajes disponibles, la necesidad de los disponibles, la necesidad de los usuarios, las
usuarios, las formas de utilización de los sistemas, el formas de utilización de los sistemas, el costo
costo y los y los beneficios que reportará el sistema, el beneficios que reportará el sistema, el efecto
que efecto que producirá en quienes lo usarán y el producirá en quienes lo usarán y el efecto que
efecto que éstos tendrán sobre el sistema y la éstos tendrán sobre el sistema y la congruencia de
congruencia de los diferentes sistemas. los diferentes sistemas.

En el caso de sistemas que En el caso de sistemas que estén estén funcionando, se deberá comprobar
si existe el funcionando, se deberá comprobar si existe el estudio de estudio de factibilidad con los
puntos factibilidad con los puntos señalados y compararse con señalados y compararse con la
realidad con la realidad con lo especificado en el estudio de lo especificado en el estudio de
factibilidad factibilidad

Por ejemplo en un sistema que Por ejemplo en un sistema que el estudio de el estudio de factibilidad
señaló determinado costo y una factibilidad señaló determinado costo y una serie serie de beneficios
de acuerdo con las de beneficios de acuerdo con las necesidades del usuario, debemos necesidades
del usuario, debemos comparar comparar cual fue su costo real y cual fue su costo real y evaluar si
se evaluar si se satisficieron las necesidades indicadas como satisficieron las necesidades indicadas
como beneficios del sistema. beneficios del sistema.

Para investigar el costo de un Para investigar el costo de un sistema se sistema se debe considerar,
con una exactitud razonable, debe considerar, con una exactitud razonable, el costo el costo de los
programas, el uso de los programas, el uso de los de los equipos (compilaciones, programas, equipos
(compilaciones, programas, pruebas, pruebas, paralelos), tiempo, personal paralelos), tiempo,
personal y operación, cosa y operación, cosa que en la práctica son costos directos, que en la
práctica son costos directos, indirectos y de operación. indirectos y de operación.

Los beneficios que justifiquen Los beneficios que justifiquen el desarrollo de el desarrollo de un
sistema pueden ser el ahorro en los un sistema pueden ser el ahorro en los costos costos de de
operación, la reducción del tiempo de operación, la reducción del tiempo de proceso de un proceso
de un sistema. Mayor exactitud, sistema. Mayor exactitud, mejor servicio, una mejor servicio, una
mejoría en los mejoría en los procedimientos de control, mayor procedimientos de control, mayor
confiabilidad y seguridad. confiabilidad y seguridad.

EVALUACIÓN DEL EVALUACIÓN DEL ANÁLISIS ANÁLISIS

En esta etapa se evaluarán las políticas, En esta etapa se evaluarán las políticas, procedimientos y
normas que se procedimientos y normas que se tienen para tienen para llevar a cabo el análisis.
llevar a cabo el análisis.

Se deberá evaluar la Se deberá evaluar la planeación de las planeación de las aplicaciones que
pueden provenir de tres aplicaciones que pueden provenir de tres fuentes fuentes principales:
principales:

La planeación La planeación estratégica: agrupadas estratégica: agrupadas las aplicaciones en

conjuntos las aplicaciones en conjuntos relacionados entre sí y no como relacionados entre sí y no
como programas programas aislados. Las aplicaciones aislados. Las aplicaciones deben comprender
todos los sistemas deben comprender todos los sistemas que puedan ser desarrollados en la que
puedan ser desarrollados en la dependencia, dependencia, independientemente de
independientemente de los recursos que impliquen su los recursos que impliquen su desarrollo
desarrollo y justificación en el momento y justificación en el momento de la de la planeación.
planeación. Los requerimientos de los Los requerimientos de los usuarios. usuarios. El inventario de
El inventario de sistemas en proceso al sistemas en proceso al recopilar la información de los
cambios recopilar la información de los cambios que han sido que han sido solicitados, sin importar
si solicitados, sin importar si se efectuaron o se se efectuaron o se registraron. registraron.

La situación de una La situación de una aplicación en dicho aplicación en dicho inventario puede
inventario puede ser alguna de las siguientes: ser alguna de las siguientes:

Planeada para ser Planeada para ser desarrollada en el desarrollada en el futuro. futuro. En
desarrollo. En desarrollo. En proceso, En proceso, pero con modificaciones en pero con
modificaciones en desarrollo. desarrollo. En proceso con En proceso con problemas problemas
detectados. detectados. En proceso sin problemas. En proceso sin problemas. En proceso En proceso
esporádicamente. esporádicamente.

Nota: Se deberá Nota: Se deberá documentar detalladamente documentar detalladamente la fuente

que generó la la fuente que generó la necesidad de la necesidad de la aplicación. La primera parte
será aplicación. La primera parte será evaluar la evaluar la forma en que se encuentran especificadas
las forma en que se encuentran especificadas las políticas, políticas, los procedimientos y los
estándares los procedimientos y los estándares de análisis, si de análisis, si es que se cumplen y si
son los es que se cumplen y si son los adecuados para la adecuados para la dependencia.
dependencia.

Es importante revisar la Es importante revisar la situación en que se situación en que se encuentran

los manuales de encuentran los manuales de análisis y si análisis y si están acordes con las
necesidades de están acordes con las necesidades de la la dependencia. En algunas ocasiones se tiene
dependencia. En algunas ocasiones se tiene una una microcomputadora, con sistemas
microcomputadora, con sistemas sumamente sencillos y se solicita sumamente sencillos y se solicita
que se lleve que se lleve a cabo una serie de análisis que a cabo una serie de análisis que después
hay después hay que plasmar en documentos que plasmar en documentos señalados en los señalados
en los estándares, lo cual hace que esta estándares, lo cual hace que esta fase sea fase sea muy
compleja y costosa. Los sistemas y su muy compleja y costosa. Los sistemas y su documentación
deben estar acordes con las documentación deben estar acordes con las características y necesidades
de una características y necesidades de una dependencia dependencia específica. específica.
Se debe evaluar la Se debe evaluar la obtención de datos sobre obtención de datos sobre la la
operación, flujo, nivel, jerarquía de la operación, flujo, nivel, jerarquía de la información que se
tendrá a través del información que se tendrá a través del sistema. Se han de comparar los objetivos
de sistema. Se han de comparar los objetivos de los sistemas desarrollados con las los sistemas
desarrollados con las operaciones operaciones actuales, para ver si el estudio de actuales, para ver si
el estudio de la ejecución deseada la ejecución deseada corresponde al actual. corresponde al actual.

La auditoría en sistemas La auditoría en sistemas debe evaluar los debe evaluar los documentos y
documentos y registros registros usados en la usados en la elaboración del sistema, así como
elaboración del sistema, así como todas las todas las salidas y reportes, la descripción de las salidas
y reportes, la descripción de las actividades de flujo de la información y de actividades de flujo de la
información y de procedimientos, los archivos procedimientos, los archivos almacenados,
almacenados, su uso y su relación con otros archivos y su uso y su relación con otros archivos y
sistemas, su frecuencia de acceso, su sistemas, su frecuencia de acceso, su conservación, su
conservación, su seguridad y seguridad y control, la control, la documentación propuesta, las
entradas y documentación propuesta, las entradas y salidas del salidas del sistema y los documentos
fuentes sistema y los documentos fuentes a a usarse. usarse.

Con la información Con la información obtenida podemos obtenida podemos contestar a las
siguientes preguntas: contestar a las siguientes preguntas:

¿Se está ¿Se está ejecutando en forma correcta y ejecutando en forma correcta y eficiente el proceso
de eficiente el proceso de información? información? ¿Puede ser ¿Puede ser simplificado para
mejorar su simplificado para mejorar su aprovechamiento? aprovechamiento? ¿Se debe tener una
¿Se debe tener una mayor interacción mayor interacción con otros sistemas? con otros sistemas? ¿Se
tiene propuesto ¿Se tiene propuesto un adecuado un adecuado control y seguridad sobre el sistema?
control y seguridad sobre el sistema? ¿Está en el ¿Está en el análisis la documentación análisis la
documentación adecuada? adecuada?

EVALUACIÓN DEL DISEÑO EVALUACIÓN DEL DISEÑO LÓGICO DEL LÓGICO DEL
SISTEMA SISTEMA

En esta etapa se deberán analizar las En esta etapa se deberán analizar las especificaciones del
especificaciones del sistema. sistema.

¿Qué ¿Qué deberá hacer?, ¿Cómo lo deberá deberá hacer?, ¿Cómo lo deberá hacer?, hacer?,
¿Secuencia y ocurrencia de los datos, el ¿Secuencia y ocurrencia de los datos, el proceso proceso y
salida de reportes? y salida de reportes?

Una vez que hemos analizado Una vez que hemos analizado estas partes, estas partes, se deberá
estudiar la participación se deberá estudiar la participación que tuvo el que tuvo el usuario en la
identificación del nuevo usuario en la identificación del nuevo sistema, la participación de auditoría
sistema, la participación de auditoría interna interna en el diseño en el diseño de los controles y la de
los controles y la determinación de los procedimientos determinación de los procedimientos de de
operación y decisión. operación y decisión.

Al tener el análisis del Al tener el análisis del diseño lógico del diseño lógico del sistema debemos
compararlo con lo sistema debemos compararlo con lo que que realmente se está obteniendo en la
cual realmente se está obteniendo en la cual debemos debemos evaluar lo planeado, cómo fue
evaluar lo planeado, cómo fue planeado y lo que realmente planeado y lo que realmente se está se
está obteniendo. obteniendo.

Los puntos a evaluar Los puntos a evaluar son: son:

Entradas. Entradas. Salidas. Salidas. Procesos. Procesos. Especificaciones de datos.

Especificaciones de datos. Especificaciones de Especificaciones de proceso. proceso. Métodos de
Métodos de acceso. acceso. Operaciones. Operaciones. Manipulación de datos Manipulación de
datos (antes y después (antes y después del proceso electrónico de del proceso electrónico de datos).
datos). Proceso lógico Proceso lógico necesario para producir necesario para producir informes.
informes. Identificación de Identificación de archivos, tamaño de archivos, tamaño de los campos y
registros. los campos y registros. Proceso en línea o Proceso en línea o lote y su lote y su
justificación. justificación. Frecuencia y Frecuencia y volúmenes de operación. volúmenes de
operación. Sistemas de Sistemas de seguridad. seguridad. Sistemas de Sistemas de control. control.
Responsables. Responsables. Número de Número de usuarios. usuarios.

Dentro del estudio de los Dentro del estudio de los sistemas en uso se sistemas en uso se deberá
solicitar: deberá solicitar:

Manual del Manual del usuario. usuario. Descripción de flujo Descripción de flujo de información
y/o de información y/o procesos. procesos. Descripción y Descripción y distribución de distribución
de información. información. Manual de Manual de formas. formas. Manual de Manual de reportes.
reportes. Lista de archivos y Lista de archivos y especificaciones. especificaciones.

Lo que se debe determinar en el Lo que se debe determinar en el sistema: sistema:

En el procedimiento: En el procedimiento:

¿Quién hace, ¿Quién hace, cuando y como? cuando y como? ¿Qué formas se ¿Qué formas se
utilizan en el sistema? utilizan en el sistema? ¿Son necesarias, se ¿Son necesarias, se usan, están
usan, están duplicadas? duplicadas? ¿El número de ¿El número de copias es el adecuado? copias es
el adecuado? ¿Existen puntos de ¿Existen puntos de control o faltan? control o faltan?

En la gráfica de flujo En la gráfica de flujo de información: de información:

¿Es fácil de ¿Es fácil de usar? usar? ¿Es lógica? ¿Es lógica? ¿Se encontraron ¿Se encontraron
lagunas? lagunas? ¿Hay faltas de ¿Hay faltas de control? control?

En el diseño: En el diseño:

¿Cómo se ¿Cómo se usará la herramienta de usará la herramienta de diseño si diseño si existe?

existe? ¿Qué ¿Qué también se ajusta la herramienta también se ajusta la herramienta al
procedimiento? al procedimiento?

EVALUACIÓN DEL EVALUACIÓN DEL DESARROLLO DEL DESARROLLO DEL SISTEMA

SISTEMA

En esta etapa del sistema se En esta etapa del sistema se deberán auditar deberán auditar los
programas, su los programas, su diseño, el leguaje utilizado, diseño, el leguaje utilizado,
interconexión entre interconexión entre los programas y los programas y características del
hardware empleado (total características del hardware empleado (total o o parcial) para el desarrollo
del sistema.Al parcial) para el desarrollo del sistema.Al evaluar un sistema de evaluar un sistema de
información se tendrá información se tendrá presente que todo sistema presente que todo sistema
debe proporcionar debe proporcionar información para planear, organizar y información para
planear, organizar y controlar de manera eficaz y oportuna, para controlar de manera eficaz y
oportuna, para reducir la duplicidad reducir la duplicidad de datos y de reportes y de datos y de
reportes y obtener una mayor seguridad en la forma obtener una mayor seguridad en la forma más
económica posible. De ese modo más económica posible. De ese modo contará contará con los
mejores elementos para una con los mejores elementos para una adecuada toma de adecuada toma
de decisiones.Al tener un decisiones.Al tener un proceso distribuido, es preciso proceso distribuido,
es preciso considerar la considerar la seguridad del movimiento de seguridad del movimiento de la
información la información entre nodos. El proceso de entre nodos. El proceso de planeación de
planeación de sistemas debe definir la red óptima de sistemas debe definir la red óptima de
comunicaciones, los tipos de mensajes comunicaciones, los tipos de mensajes requeridos,
requeridos, el trafico esperado en las líneas el trafico esperado en las líneas de comunicación y otros
factores que afectan de comunicación y otros factores que afectan el diseño. Es importante
considerar las el diseño. Es importante considerar las variables que variables que afectan a un
sistema: ubicación afectan a un sistema: ubicación en los niveles de la en los niveles de la
organización, el tamaño y organización, el tamaño y los recursos que los recursos que utiliza.Las
características utiliza.Las características que deben evaluarse en los que deben evaluarse en los
sistemas son: sistemas son:

Dinámicos Dinámicos (susceptibles de (susceptibles de modificarse). modificarse). Estructurados

(las Estructurados (las interacciones de sus interacciones de sus componentes o subsistemas deben
componentes o subsistemas deben actuar actuar como un todo) como un todo) Integrados (un solo
objetivo). Integrados (un solo objetivo). En él En él habrá sistemas que puedan ser habrá sistemas
que puedan ser interrelacionados y no programas interrelacionados y no programas aislados.
aislados. Accesibles (que estén Accesibles (que estén disponibles). disponibles). Necesarios (que se
pruebe su Necesarios (que se pruebe su utilización). utilización). Comprensibles (que contengan
Comprensibles (que contengan todos todos los atributos). los atributos). Oportunos (que esté
Oportunos (que esté la información en la información en el momento que se el momento que se
requiere). requiere). Funcionales (que Funcionales (que proporcionen la proporcionen la
información adecuada a cada información adecuada a cada nivel). nivel). Estándar (que la Estándar
(que la información tenga la información tenga la misma interpretación en los misma interpretación
en los distintos distintos niveles). niveles). Modulares (facilidad para Modulares (facilidad para ser
ser expandidos o reducidos). expandidos o reducidos). Jerárquicos (por Jerárquicos (por niveles
funcionales). niveles funcionales). Seguros (que sólo las Seguros (que sólo las personas personas
autorizadas tengan acceso). autorizadas tengan acceso). Únicos (que no Únicos (que no duplique
información). duplique información).

CONTROL DE CONTROL DE PROYECTOS PROYECTOS

Debido a las Debido a las características propias del características propias del análisis y la
programación, es muy frecuente análisis y la programación, es muy frecuente que la que la
implantación de los sistemas se implantación de los sistemas se retrase y se llegue a retrase y se
llegue a suceder que una persona suceder que una persona lleva lleva trabajando varios años dentro
de un trabajando varios años dentro de un sistema o bien que se sistema o bien que se presenten
presenten irregularidades en las que los programadores irregularidades en las que los programadores
se ponen a se ponen a realizar actividades ajenas a la realizar actividades ajenas a la dirección de
informática. Para dirección de informática. Para poder poder controlar controlar el avance de los
sistemas, ya que ésta es una el avance de los sistemas, ya que ésta es una actividad de difícil
evaluación, se recomienda actividad de difícil evaluación, se recomienda que se utilice la que se
utilice la técnica de administración por técnica de administración por proyectos para su proyectos
para su adecuado control. adecuado control.

Para tener una buena administración por Para tener una buena administración por proyectos se
proyectos se requiere que el analista o el requiere que el analista o el programador y su jefe
inmediato programador y su jefe inmediato elaboren un elaboren un plan de trabajo plan de trabajo
en el cual se especifiquen en el cual se especifiquen actividades, metas, personal actividades, metas,
personal participante y participante y tiempos. Este plan debe ser tiempos. Este plan debe ser
revisado revisado periódicamente (semanal, mensual, etc.) para periódicamente (semanal, mensual,
etc.) para evaluar el avance respecto a lo programado. evaluar el avance respecto a lo programado.
La estructura La estructura estándar de la planeación de estándar de la planeación de proyectos
proyectos deberá incluir la facilidad de deberá incluir la facilidad de asignar fechas predefinidas
asignar fechas predefinidas de terminación de terminación de cada tarea. Dentro de estas fechas
debe de cada tarea. Dentro de estas fechas debe estar el calendario de reuniones de revisión, estar el
calendario de reuniones de revisión, las cuales las cuales tendrán diferentes niveles de tendrán
diferentes niveles de detalle. detalle.

CUESTIONARIO CUESTIONARIO

1. ¿Existe una lista de 1. ¿Existe una lista de proyectos de proyectos de sistema sistema de
procedimiento de de procedimiento de información y fechas información y fechas programadas de
implantación programadas de implantación que puedan ser que puedan ser considerados como plan
maestro? considerados como plan maestro? 2. ¿Está relacionado el plan maestro con 2. ¿Está
relacionado el plan maestro con un un plan general de desarrollo de la dependencia? plan general de
desarrollo de la dependencia? 3. ¿Ofrece el plan maestro la atención de 3. ¿Ofrece el plan maestro la
atención de solicitudes urgentes de los usuarios? solicitudes urgentes de los usuarios? 4. ¿Asigna el
plan maestro un porcentaje del 4. ¿Asigna el plan maestro un porcentaje del tiempo total de tiempo
total de producción al reproceso o producción al reproceso o fallas de fallas de equipo? equipo? 5.
Escribir la lista de proyectos a corto 5. Escribir la lista de proyectos a corto plazo y plazo y largo
plazo. largo plazo. 6. Escribir una lista de sistemas en proceso 6. Escribir una lista de sistemas en
proceso periodicidad y periodicidad y usuarios. usuarios. 7. ¿Quién autoriza los proyectos? 7.
¿Quién autoriza los proyectos? 8. ¿Cómo se asignan los recursos? 8. ¿Cómo se asignan los recursos?
9. ¿Cómo se estiman los tiempos de 9. ¿Cómo se estiman los tiempos de duración? duración? 10.
¿Quién interviene en la planeación de 10. ¿Quién interviene en la planeación de los los proyectos?
proyectos? 11. ¿Cómo se calcula el presupuesto del 11. ¿Cómo se calcula el presupuesto del
proyecto? proyecto? 12. ¿Qué técnicas se usan en el control de 12. ¿Qué técnicas se usan en el
control de los los proyectos? proyectos? 13. ¿Quién asigna las prioridades? 13. ¿Quién asigna las
prioridades? 14. ¿Cómo se asignan las prioridades? 14. ¿Cómo se asignan las prioridades? 15.
¿Cómo se controla el avance del 15. ¿Cómo se controla el avance del proyecto? proyecto? 16. ¿Con
qué periodicidad se revisa el reporte 16. ¿Con qué periodicidad se revisa el reporte de de avance del
proyecto? avance del proyecto? 17. ¿Cómo se estima el rendimiento del 17. ¿Cómo se estima el
rendimiento del personal? personal? 18. ¿Con que frecuencia se estiman los 18. ¿Con que frecuencia
se estiman los costos del costos del proyecto para proyecto para compararlo con lo compararlo con
lo presupuestado? presupuestado? 19. ¿Qué acciones 19. ¿Qué acciones correctivas se toman en
correctivas se toman en caso de desviaciones? caso de desviaciones? 20. ¿Qué pasos y técnicas
siguen en la 20. ¿Qué pasos y técnicas siguen en la planeación y control de los proyectos?
planeación y control de los proyectos? Enumérelos secuencialmente. Enumérelos secuencialmente. (
) Determinación de los objetivos. ( ) Determinación de los objetivos. ( ) Señalamiento de las
políticas. ( ) Señalamiento de las políticas. ( ) Designación del funcionario responsable ( )
Designación del funcionario responsable del proyecto. del proyecto. ( ) Integración del grupo de ( )
Integración del grupo de trabajo. trabajo. ( ) Integración de un comité de ( ) Integración de un comité
de decisiones. decisiones. ( ) Desarrollo de la investigación. ( ) Desarrollo de la investigación. ( )
Documentación de la investigación. ( ) Documentación de la investigación. ( ) Factibilidad de ( )
Factibilidad de los sistemas. los sistemas. ( ) Análisis y valuación de propuestas. ( ) Análisis y
valuación de propuestas. ( ) Selección de equipos. ( ) Selección de equipos. 21. ¿Se llevan a cabo
revisiones periódicas de 21. ¿Se llevan a cabo revisiones periódicas de los los sistemas para
determinar si aún cumplen sistemas para determinar si aún cumplen con los objetivos para con los
objetivos para los cuales fueron los cuales fueron diseñados? diseñados? De análisis SÍ ( ) NO ( ) De
análisis SÍ ( ) NO ( ) De programación SÍ ( ) NO ( ) De programación SÍ ( ) NO ( ) Observaciones
Observaciones 22. Incluir el plazo estimado de acuerdo con 22. Incluir el plazo estimado de acuerdo
con los proyectos que se los proyectos que se tienen en que el tienen en que el departamento de
informática podría departamento de informática podría satisfacer las necesidades de la dependencia,
satisfacer las necesidades de la dependencia, según la según la situación actual. situación actual.

CONTROL DE DISEÑO DE CONTROL DE DISEÑO DE SISTEMAS Y SISTEMAS Y

PROGRAMACIÓN PROGRAMACIÓN

El objetivo es El objetivo es asegurarse de que el sistema asegurarse de que el sistema funcione

conforme a las funcione conforme a las especificaciones especificaciones funcionales, a fin de que
el usuario tenga la funcionales, a fin de que el usuario tenga la suficiente información para su
manejo, suficiente información para su manejo, operación y operación y aceptación. Las revisiones
se aceptación. Las revisiones se efectúan en forma efectúan en forma paralela desde el análisis
paralela desde el análisis hasta la programación y sus objetivos son los hasta la programación y sus
objetivos son los siguientes: siguientes:

ETAPA DE ANÁLISIS ETAPA DE ANÁLISIS Identificar inexactitudes, Identificar inexactitudes,

ambigüedades y omisiones en las ambigüedades y omisiones en las especificaciones.
especificaciones.

ETAPA DE DISEÑO ETAPA DE DISEÑO Descubrir errores, Descubrir errores, debilidades,

omisiones antes de iniciar la debilidades, omisiones antes de iniciar la codificación. codificación.

ETAPA DE PROGRAMACIÓN Buscar la ETAPA DE PROGRAMACIÓN Buscar la claridad,

claridad, modularidad y verificar con base en modularidad y verificar con base en las las
especificaciones. especificaciones.

Esta actividad es muy Esta actividad es muy importante ya que el importante ya que el costo de
corregir errores es directamente costo de corregir errores es directamente proporcional al momento
que se detectan: si proporcional al momento que se detectan: si se descubren en el se descubren en el
momento de momento de programación será más alto programación será más alto que si se detecta
que si se detecta en la etapa de análisis. Esta en la etapa de análisis. Esta función tiene una función
tiene una gran importancia en el ciclo de evaluación gran importancia en el ciclo de evaluación de
de aplicaciones de los sistemas de aplicaciones de los sistemas de información información y busca
comprobar que la aplicación y busca comprobar que la aplicación cumple cumple las
especificaciones del usuario, que se haya las especificaciones del usuario, que se haya desarrollado
desarrollado dentro de lo presupuestado, que dentro de lo presupuestado, que tenga los controles
necesarios y tenga los controles necesarios y que que efectivamente cumpla con los objetivos y
efectivamente cumpla con los objetivos y beneficios beneficios esperados. esperados.

El siguiente cuestionario El siguiente cuestionario se presenta como se presenta como ejemplo para
la evaluación del ejemplo para la evaluación del diseño y diseño y prueba de los sistemas: prueba de
los sistemas:

1. ¿Quiénes 1. ¿Quiénes intervienen al diseñar un intervienen al diseñar un sistema? sistema?

Usuario. Usuario. Analista. Analista. Programadores. Programadores. Operadores. Operadores.

Gerente de Gerente de departamento. departamento. Auditores Auditores internos. internos.
Asesores. Asesores. Otros. Otros.

2. ¿Los analistas son 2. ¿Los analistas son también también programadores? programadores? SÍ ( )
NO ( ) SÍ ( ) NO ( )

3. ¿Qué lenguaje o 3. ¿Qué lenguaje o lenguajes conocen los lenguajes conocen los analistas?
analistas?

4. ¿Cuántos 4. ¿Cuántos analistas hay y qué experiencia analistas hay y qué experiencia tienen?
tienen?

5. ¿Qué lenguaje 5. ¿Qué lenguaje conocen los conocen los programadores? programadores?

6. ¿Cómo se 6. ¿Cómo se controla el trabajo de controla el trabajo de los los analistas? analistas?

7. ¿Cómo se 7. ¿Cómo se controla el trabajo de controla el trabajo de los los programadores?

programadores?

8. Indique qué pasos 8. Indique qué pasos siguen los siguen los programadores en el desarrollo de un
programadores en el desarrollo de un programa: programa:

Estudio de la Estudio de la definición ( ) definición ( ) Discusión con el Discusión con el analista ( )

analista ( ) Diagrama de bloques ( Diagrama de bloques ( ) ) Tabla de decisiones ( Tabla de
decisiones ( ) ) Prueba de escritorio ( Prueba de escritorio ( ) ) Codificación ( Codificación ( ) ) ¿Es
enviado a captura ¿Es enviado a captura o los o los programadores capturan? ( ) programadores
capturan? ( ) ¿Quién los ¿Quién los captura? captura?
__________________________________________
__________________________________________ Compilación ( Compilación ( ) ) Elaborar datos
de prueba ( Elaborar datos de prueba ( ) ) Solicitar datos al analista Solicitar datos al analista ( ) ( )
Correr programas con datos ( Correr programas con datos ( ) ) Revisión de Revisión de resultados ( )
resultados ( ) Corrección del Corrección del programa ( programa ( ) ) Documentar el programa
( Documentar el programa ( ) ) Someter resultados de prueba Someter resultados de prueba ( ) ( )
Entrega del programa ( Entrega del programa ( ) )

9. ¿Qué 9. ¿Qué documentación acompaña al documentación acompaña al programa cuando se

programa cuando se entrega? entrega?
Difícilmente se controla Difícilmente se controla realmente el flujo de realmente el flujo de la
información de un sistema que la información de un sistema que desde su desde su inicio ha sido
mal analizado, mal diseñado, inicio ha sido mal analizado, mal diseñado, mal mal programado e
incluso mal documentado. programado e incluso mal documentado. El excesivo mantenimiento El
excesivo mantenimiento de los sistemas de los sistemas generalmente ocasionado por un mal
generalmente ocasionado por un mal desarrollo, se desarrollo, se inicia desde que el usuario inicia
desde que el usuario establece sus requerimientos (en establece sus requerimientos (en ocasiones
ocasiones sin saber qué desea) hasta la instalación sin saber qué desea) hasta la instalación del del
mismo, sin que se haya establecido un plan mismo, sin que se haya establecido un plan de prueba
del de prueba del sistema para medir su grado de sistema para medir su grado de confiabilidad en la
confiabilidad en la operación que efectuará. operación que efectuará. Para verificar si existe Para
verificar si existe esta situación, se debe esta situación, se debe pedir a los analistas y a los pedir a
los analistas y a los programadores programadores las actividades que están desarrollando en las
actividades que están desarrollando en el el momento de la auditoría y evaluar si están momento de
la auditoría y evaluar si están efectuando actividades de mantenimiento efectuando actividades de
mantenimiento o o de realización de nuevos proyectos. En de realización de nuevos proyectos. En
ambos casos se ambos casos se deberá evaluar el tiempo que deberá evaluar el tiempo que llevan
dentro del mismo llevan dentro del mismo sistema, la prioridad sistema, la prioridad que se le asignó
y cómo que se le asignó y cómo está en el tiempo real está en el tiempo real en relación al tiempo en
relación al tiempo estimado en el plan estimado en el plan maestro. maestro.

INSTRUCTIVOS DE INSTRUCTIVOS DE OPERACIÓN OPERACIÓN

Se debe evaluar los Se debe evaluar los instructivos de operación instructivos de operación de los
sistemas para evitar que de los sistemas para evitar que los los programadores tengan acceso a los
sistemas programadores tengan acceso a los sistemas en en operación, y el contenido mínimo de los
operación, y el contenido mínimo de los instructivos de operación se puedan verificar instructivos de
operación se puedan verificar mediante el mediante el siguiente cuestionario. siguiente cuestionario.

El instructivo de El instructivo de operación deberá operación deberá comprender. comprender.

- Diagrama de flujo - Diagrama de flujo por cada programa. ( ) por cada programa. ( ) - Diagrama -
Diagrama particular de entrada/salida ( ) particular de entrada/salida ( ) - Mensaje y su explicación
( ) - Mensaje y su explicación ( ) - Parámetros y su explicación ( ) - Parámetros y su explicación ( ) -
Diseño de impresión de resultados ( ) - Diseño de impresión de resultados ( ) - Cifras de control ( ) -
Cifras de control ( ) - Fórmulas de verificación ( ) - Fórmulas de verificación ( ) - Observaciones ( ) -
Observaciones ( ) - Instrucciones en caso de error ( ) - Instrucciones en caso de error ( ) - Calendario
de proceso y resultados ( ) - Calendario de proceso y resultados ( )

FORMA DE FORMA DE IMPLEMENTACIÓN IMPLEMENTACIÓN

La finalidad de evaluar los La finalidad de evaluar los trabajos que se trabajos que se realizan para
iniciar la operación de un realizan para iniciar la operación de un sistema, esto es, la prueba integral
del sistema, esto es, la prueba integral del sistema, sistema, adecuación, aceptación por parte del
adecuación, aceptación por parte del usuario, usuario, entrenamiento entrenamiento de los
responsables de los responsables del sistema etc. del sistema etc.
Indicar cuáles puntos se Indicar cuáles puntos se toman en cuenta toman en cuenta para la prueba de
un sistema: para la prueba de un sistema:

Prueba particular de cada Prueba particular de cada programa ( ) programa ( ) Prueba por fase
validación, actualización ( ) Prueba por fase validación, actualización ( ) Prueba integral del paralelo
( ) Prueba integral del paralelo ( ) Prueba en paralelo sistema ( ) Prueba en paralelo sistema ( ) Otros
Otros (especificar)____________________________________
(especificar)____________________________________

ENTREVISTA A ENTREVISTA A USUARIOS USUARIOS

La entrevista se La entrevista se deberá llevar a cabo para deberá llevar a cabo para comprobar datos
proporcionados y comprobar datos proporcionados y la la situación de la dependencia en el
situación de la dependencia en el departamento de departamento de Sistemas de Sistemas de
Información . Información .

Su objeto es conocer la Su objeto es conocer la opinión que tienen los opinión que tienen los
usuarios sobre los servicios usuarios sobre los servicios proporcionados, proporcionados, así como
la difusión de las así como la difusión de las aplicaciones de la aplicaciones de la computadora
computadora y de los sistemas en operación. y de los sistemas en operación.

Las Las entrevistas se entrevistas se deberán hacer, en caso de deberán hacer, en caso de ser posible,
a todos los ser posible, a todos los asuarios o bien en asuarios o bien en forma aleatoria a algunos de
los usuarios, forma aleatoria a algunos de los usuarios, tanto de los más importantes como de los de
tanto de los más importantes como de los de menor menor importancia, en cuanto al uso del
importancia, en cuanto al uso del equipo. equipo.

Desde el Desde el punto de vista del usuario los punto de vista del usuario los sistemas deben:
sistemas deben:

Cumplir con los Cumplir con los requerimientos totales requerimientos totales del usuario. del
usuario. Cubrir todos los controles Cubrir todos los controles necesarios. necesarios. No exceder las
estimaciones No exceder las estimaciones del del presupuesto presupuesto inicial. inicial. Serán
Serán fácilmente modificables. fácilmente modificables.

Para que un sistema cumpla con Para que un sistema cumpla con los los requerimientos del usuario,
se necesita una requerimientos del usuario, se necesita una comunicación completa entre usuarios y
comunicación completa entre usuarios y responsable del desarrollo del sistema. responsable del
desarrollo del sistema.

En esta misma etapa En esta misma etapa debió haberse definido debió haberse definido la calidad
de la la calidad de la información que será información que será procesada por la procesada por la
computadora, computadora, estableciéndose los riesgos de la estableciéndose los riesgos de la
misma y la misma y la forma de minimizarlos. Para ello se debieron forma de minimizarlos. Para
ello se debieron definir definir los controles adecuados, los controles adecuados, estableciéndose
además los estableciéndose además los niveles de niveles de acceso a la información, es decir, quién
acceso a la información, es decir, quién tiene tiene privilegios de consulta, modificar o incluso
privilegios de consulta, modificar o incluso borrar borrar información. información.
Esta etapa habrá de ser Esta etapa habrá de ser cuidadosamente cuidadosamente verificada por el
auditor interno especialista verificada por el auditor interno especialista en en sistemas y por el
auditor en informática, sistemas y por el auditor en informática, para comprobar para comprobar que
se logro una adecuada que se logro una adecuada comprensión de los comprensión de los
requerimientos del requerimientos del usuario y un control satisfactorio de usuario y un control
satisfactorio de información. información.

Para verificar si los servicios que Para verificar si los servicios que se se proporcionan a los usuarios
son los proporcionan a los usuarios son los requeridos y se requeridos y se están proporcionando en
están proporcionando en forma adecuada, cuando menos forma adecuada, cuando menos será
preciso será preciso considerar la siguiente considerar la siguiente información. información.

Descripción de los Descripción de los servicios prestados. servicios prestados. Criterios de Criterios
de evaluación que utilizan los evaluación que utilizan los usuarios para evaluar el usuarios para
evaluar el nivel del nivel del servicio servicio prestado. prestado. Reporte periódico del uso y
concepto Reporte periódico del uso y concepto del del usuario sobre el servicio. usuario sobre el
servicio. Registro de los Registro de los requerimientos requerimientos planteados por el usuario.
planteados por el usuario.

Con esta información se Con esta información se puede comenzar a puede comenzar a realizar la
entrevista realizar la entrevista para determinar si los para determinar si los servicios proporcionados
y planeados por servicios proporcionados y planeados por la la dirección de Informática cubren las
dirección de Informática cubren las necesidades de información de las necesidades de información
de las dependencias. dependencias.

A continuación se A continuación se presenta una guía de presenta una guía de cuestionario

cuestionario para aplicarse durante la para aplicarse durante la entrevista entrevista con el usuario.
con el usuario.

1. ¿Considera que el 1. ¿Considera que el Departamento de Departamento de Sistemas de Sistemas

de Información de los resultados Información de los resultados esperados?.-esperados?.-Si ( ) No ( )
Si ( ) No ( ) ¿Por que? ¿Por que?

2. ¿Cómo 2. ¿Cómo considera usted, en general, el considera usted, en general, el servicio servicio
proporcionado por el Departamento proporcionado por el Departamento de Sistemas de de Sistemas
de Información? Información? Deficiente ( ) Deficiente ( ) Aceptable ( ) Aceptable ( ) Satisfactorio
( ) Satisfactorio ( ) Excelente ( ) Excelente ( ) ¿Por que? ¿Por que?

3. ¿Cubre sus 3. ¿Cubre sus necesidades el sistema que necesidades el sistema que utiliza el
departamento de utiliza el departamento de cómputo? cómputo? No las cubre ( ) No las cubre ( )
Parcialmente ( ) Parcialmente ( ) La mayor parte ( ) La mayor parte ( ) Todas ( ) Todas ( ) ¿Por que?
¿Por que?

4. ¿Hay disponibilidad 4. ¿Hay disponibilidad del departamento de del departamento de cómputo

para sus requerimientos? cómputo para sus requerimientos? Generalmente no existe ( )
Generalmente no existe ( ) Hay ocasionalmente ( ) Hay ocasionalmente ( ) Regularmente ( )
Regularmente ( ) Siempre ( ) Siempre ( ) ¿Por que? ¿Por que?
5. ¿Son entregados con 5. ¿Son entregados con puntualidad los puntualidad los trabajos? trabajos?
Nunca ( ) Nunca ( ) Rara vez ( ) Rara vez ( ) Ocasionalmente ( ) Ocasionalmente ( ) Generalmente
( ) Generalmente ( ) Siempre ( ) Siempre ( ) ¿Por que? ¿Por que?

6. ¿Que piensa de la 6. ¿Que piensa de la presentación de los presentación de los trabajadores

solicitados al trabajadores solicitados al departamento de departamento de cómputo? cómputo?
Deficiente ( ) Deficiente ( ) Aceptable ( ) Aceptable ( ) Satisfactorio ( ) Satisfactorio ( ) Excelente ( )
Excelente ( ) ¿Por que? ¿Por que?

7. ¿Que piensa de la 7. ¿Que piensa de la asesoría que se imparte asesoría que se imparte sobre
informática? sobre informática? No se proporciona ( ) No se proporciona ( ) Es insuficiente ( ) Es
insuficiente ( ) Satisfactoria ( ) Satisfactoria ( ) Excelente ( ) Excelente ( ) ¿Por que? ¿Por que?

8. ¿Que piensa de la 8. ¿Que piensa de la seguridad en el manejo seguridad en el manejo de la

información proporcionada por de la información proporcionada por el el sistema que utiliza?
sistema que utiliza? Nula ( ) Nula ( ) Riesgosa ( ) Riesgosa ( ) Satisfactoria ( ) Satisfactoria ( )
Excelente ( ) Excelente ( ) Lo desconoce ( ) Lo desconoce ( ) ¿Por que? ¿Por que?

9. ¿Existen fallas de 9. ¿Existen fallas de exactitud en los procesos exactitud en los procesos de de
información? información? ¿Cuáles? ¿Cuáles?

10. ¿Cómo utiliza 10. ¿Cómo utiliza los reportes que se le los reportes que se le proporcionan?
proporcionan?

11. ¿Cuáles no 11. ¿Cuáles no Utiliza? Utiliza?

12. De aquellos que no utiliza 12. De aquellos que no utiliza ¿por que razón ¿por que razón los
recibe? los recibe?

13. ¿Que sugerencias 13. ¿Que sugerencias presenta en cuanto a la presenta en cuanto a la
eliminación de reportes eliminación de reportes modificación, fusión, modificación, fusión, división
de reporte? división de reporte?

14. ¿Se cuenta con un 14. ¿Se cuenta con un manual de manual de usuario por usuario por Sistema?
Sistema? SI ( ) NO ( ) SI ( ) NO ( )

15. ¿Es claro y objetivo el 15. ¿Es claro y objetivo el manual del manual del usuario? usuario? SI ( )
NO ( ) SI ( ) NO ( )

16. ¿Que opinión 16. ¿Que opinión tiene el manual? tiene el manual? NOTA: Pida el manual del
NOTA: Pida el manual del usuario para usuario para evaluarlo. evaluarlo.

17. ¿Quién 17. ¿Quién interviene de su departamento en interviene de su departamento en el diseño

de el diseño de sistemas? sistemas?

18. ¿Que sistemas 18. ¿Que sistemas desearía que se desearía que se incluyeran? incluyeran?

19. Observaciones: 19. Observaciones:

CONTROLES CONTROLES

Los datos son uno de los Los datos son uno de los recursos más recursos más valiosos de las
organizaciones y, valiosos de las organizaciones y, aunque son aunque son intangibles, necesitan ser
controlados y intangibles, necesitan ser controlados y auditados con auditados con el mismo cuidado
que los el mismo cuidado que los demás inventarios de la demás inventarios de la organización, por
lo organización, por lo cual se debe tener cual se debe tener presente: presente:

a) La responsabilidad de los datos es a) La responsabilidad de los datos es compartida compartida

conjuntamente por alguna conjuntamente por alguna función determinada y el función determinada
y el departamento de departamento de cómputo. cómputo.

b) Un problema de dependencia b) Un problema de dependencia que se debe que se debe considerar

es el que se origina por la considerar es el que se origina por la duplicidad de duplicidad de los datos
y consiste en poder los datos y consiste en poder determinar los propietarios o usuarios determinar
los propietarios o usuarios posibles(principalmente en posibles(principalmente en el caso de redes y
el caso de redes y banco de datos) y banco de datos) y la responsabilidad de su la responsabilidad de
su actualización y actualización y consistencia. consistencia.

c) Los datos deberán c) Los datos deberán tener una clasificación tener una clasificación estándar y
un mecanismo de estándar y un mecanismo de identificación identificación que permita detectar
duplicidad y que permita detectar duplicidad y redundancia dentro de una aplicación y de
redundancia dentro de una aplicación y de todas las todas las aplicaciones en general. aplicaciones
en general.

d) Se deben relacionar los d) Se deben relacionar los elementos de los elementos de los datos con las
bases de datos datos con las bases de datos donde están donde están almacenados, así como los
reportes y almacenados, así como los reportes y grupos grupos de de procesos donde procesos donde
son generados. son generados.

CONTROL DE LOS DATOS CONTROL DE LOS DATOS FUENTE Y MANEJO FUENTE Y

MANEJO CIFRAS DE CONTROL CIFRAS DE CONTROL

La mayoría de los La mayoría de los Delitos por Delitos por computadora computadora son
cometidos por modificaciones de datos son cometidos por modificaciones de datos fuente al: fuente
al:

Suprimir u omitir Suprimir u omitir datos. datos. Adicionar Datos. Adicionar Datos. Alterar datos.
Alterar datos. Duplicar procesos. Duplicar procesos.

Esto es de suma importancia en Esto es de suma importancia en caso de caso de equipos de cómputo
que cuentan con equipos de cómputo que cuentan con sistemas en sistemas en línea, en los que los
usuarios son línea, en los que los usuarios son los responsables de la los responsables de la captura y
modificación captura y modificación de la información al tener de la información al tener un
adecuado un adecuado control con señalamiento de responsables de control con señalamiento de
responsables de los datos(uno de los usuarios debe ser el los datos(uno de los usuarios debe ser el
único único responsable de determinado dato), con responsable de determinado dato), con claves de
acceso de acuerdo claves de acceso de acuerdo a niveles. a niveles.
El primer nivel es el que puede El primer nivel es el que puede hacer hacer únicamente consultas. El
segundo nivel es únicamente consultas. El segundo nivel es aquel que aquel que puede hacer
captura, puede hacer captura, modificaciones y consultas y el tercer nivel modificaciones y consultas
y el tercer nivel es es el que solo puede hacer todos lo anterior y el que solo puede hacer todos lo
anterior y además además puede realizar bajas. puede realizar bajas.

NOTA: Debido a que se denomina NOTA: Debido a que se denomina de de diferentes formas la
actividad de transcribir la diferentes formas la actividad de transcribir la información del dato fuente
a la información del dato fuente a la computadora, computadora, en el presente trabajo se le
denominará en el presente trabajo se le denominará captura o captación considerándola como
captura o captación considerándola como sinónimo de digitalizar (capturista, sinónimo de digitalizar
(capturista, digitalizadora). digitalizadora).

Lo primero que se debe evaluar Lo primero que se debe evaluar es la entrada es la entrada de la
información y que se tengan las cifras de la información y que se tengan las cifras de control
necesarias para determinar la de control necesarias para determinar la veracidad de la veracidad de
la información, para lo cual se información, para lo cual se puede utilizar el siguiente puede utilizar
el siguiente cuestionario: cuestionario:

1. Indique el porcentaje de 1. Indique el porcentaje de datos que se datos que se reciben en el área de
captación reciben en el área de captación 2. Indique el contenido de la orden de trabajo 2. Indique el
contenido de la orden de trabajo que se recibe en que se recibe en el área de captación de el área de
captación de datos: datos: Número de folio ( ) Número(s) de formato(s) ( Número de folio ( )
Número(s) de formato(s) ( ) ) Fecha y hora de Nombre, Depto. ( ) Fecha y hora de Nombre, Depto. (
) Recepción ( ) Usuario ( ) Recepción ( ) Usuario ( ) Nombre del documento ( ) Nombre Nombre del
documento ( ) Nombre responsable ( ) responsable ( ) Volumen aproximado Clave de cargo Volumen
aproximado Clave de cargo de registro ( ) de registro ( ) (Número de cuenta) ( ) (Número de cuenta)
( ) Número de registros ( ) Número de registros ( ) Fecha y hora de Fecha y hora de entrega de
entrega de Clave del capturista ( ) documentos y Clave del capturista ( ) documentos y registros
registros captados ( ) captados ( ) Fecha estimada de entrega ( ) Fecha estimada de entrega ( )

3. Indique cuál(es) 3. Indique cuál(es) control(es) interno(s) control(es) interno(s) existe(n) en el

área de existe(n) en el área de captación de datos: captación de datos: Firmas de autorización ( )
Firmas de autorización ( ) Recepción de trabajos ( ) Control de trabajos Recepción de trabajos ( )
Control de trabajos atrasados ( atrasados ( ) ) Revisión del documento ( ) Avance de Revisión del
documento ( ) Avance de trabajos ( ) trabajos ( ) fuente(legibilidad, fuente(legibilidad, verificación
de datos verificación de datos completos, etc.) ( ) completos, etc.) ( ) Prioridades de captación ( )
Errores por Prioridades de captación ( ) Errores por trabajo ( ) trabajo ( ) Producción de trabajo ( )
Corrección de Producción de trabajo ( ) Corrección de errores ( errores ( ) ) Producción de cada
operador ( ) Entrega de Producción de cada operador ( ) Entrega de trabajos ( trabajos ( ) )
Verificación de cifras Costo Mensual por Verificación de cifras Costo Mensual por trabajo ( ) trabajo
( ) de control de entrada con de control de entrada con las de salida. ( ) las de salida. ( )

4. ¿Existe un programa 4. ¿Existe un programa de trabajo de de trabajo de captación de datos?

captación de datos? a) ¿Se elabora ese programa para cada turno? a) ¿Se elabora ese programa para
cada turno? Diariamente ( ) Diariamente ( ) Semanalmente ( ) Semanalmente ( ) Mensualmente ( )
Mensualmente ( ) b) La elaboración del programa de trabajos se b) La elaboración del programa de
trabajos se hace: hace: Internamente ( ) Internamente ( ) Se les señalan a los usuarios las prioridades
( Se les señalan a los usuarios las prioridades ( ) )
c) ¿Que c) ¿Que acción(es) se toma(n) si el trabajo acción(es) se toma(n) si el trabajo programado
no se recibe a tiempo? programado no se recibe a tiempo?

5. ¿Quién 5. ¿Quién controla las entradas de controla las entradas de documentos fuente?
documentos fuente?

6. ¿En que forma las 6. ¿En que forma las controla? controla?

7. ¿Que cifras de 7. ¿Que cifras de control se obtienen? control se obtienen?

Sistema Cifras que se Sistema Cifras que se Observaciones Observaciones Obtienen Obtienen

8. ¿Que documento de 8. ¿Que documento de entrada se tienen? entrada se tienen? Sistemas

Documentos Depto. que Sistemas Documentos Depto. que periodicidad Observaciones periodicidad
Observaciones proporciona proporciona el documento el documento

9. ¿Se anota que 9. ¿Se anota que persona recibe persona recibe la la información y su volumen?
información y su volumen? SI NO SI NO

10. ¿Se anota a que 10. ¿Se anota a que capturista se entrega la capturista se entrega la información,
el volumen y la información, el volumen y la hora? hora? SI NO SI NO

11. ¿Se verifica la 11. ¿Se verifica la cantidad de la información cantidad de la información recibida
para su captura? recibida para su captura? SI NO SI NO

12. ¿Se revisan las 12. ¿Se revisan las cifras de control antes de cifras de control antes de enviarlas a
captura? enviarlas a captura? SI NO SI NO

13. ¿Para aquellos 13. ¿Para aquellos procesos que procesos que no traigan no traigan cifras de
control se ha establecido criterios a cifras de control se ha establecido criterios a fin de fin de
asegurar que la información es asegurar que la información es completa y valida? completa y
valida? SI NO SI NO

14. ¿Existe un procedimiento 14. ¿Existe un procedimiento escrito que escrito que indique como
tratar la información indique como tratar la información inválida inválida (sin firma ilegible, no
corresponden las cifras (sin firma ilegible, no corresponden las cifras de control)? de control)?

15. En caso de resguardo de 15. En caso de resguardo de información de información de entrada en

sistemas, ¿Se custodian entrada en sistemas, ¿Se custodian en un en un lugar seguro? lugar seguro?

16. Si se queda en el 16. Si se queda en el departamento de departamento de sistemas, ¿Por cuanto

tiempo se sistemas, ¿Por cuanto tiempo se guarda? guarda?

17. ¿Existe un registro de 17. ¿Existe un registro de anomalías en la anomalías en la información

debido a mala información debido a mala codificación? codificación?
18. ¿Existe una 18. ¿Existe una relación completa de relación completa de distribución de listados,
en la cual se distribución de listados, en la cual se indiquen indiquen personas, secuencia y sistemas
a los que personas, secuencia y sistemas a los que pertenecen? pertenecen?

19. ¿Se verifica que las 19. ¿Se verifica que las cifras de las cifras de las validaciones concuerden
con los documentos validaciones concuerden con los documentos de de entrada? entrada?

20. ¿Se hace una 20. ¿Se hace una relación de cuando y a relación de cuando y a quién fueron
distribuidos quién fueron distribuidos los listados? los listados?
________________________________________________
________________________________________________

21. ¿Se controlan 21. ¿Se controlan separadamente los separadamente los documentos
confidenciales? documentos confidenciales?
________________________________________________
________________________________________________

22. ¿Se aprovecha 22. ¿Se aprovecha adecuadamente el papel adecuadamente el papel de los de los
listados inservibles? listados inservibles?
________________________________________________
________________________________________________

23. ¿Existe un registro de los 23. ¿Existe un registro de los documentos que documentos que entran
a capturar? entran a capturar? ________________________________________________
________________________________________________

24. ¿Se hace un reporte 24. ¿Se hace un reporte diario, semanal o diario, semanal o mensual de
captura? mensual de captura? ________________________________________________
________________________________________________

25. ¿Se hace un reporte 25. ¿Se hace un reporte diario, semanal o diario, semanal o mensual de
anomalías en la mensual de anomalías en la información de información de entrada? entrada?

26. ¿Se lleva un control 26. ¿Se lleva un control de la producción por de la producción por persona?
persona?

27. ¿Quién revisa 27. ¿Quién revisa este control? este control?

28. ¿Existen 28. ¿Existen instrucciones escritas para instrucciones escritas para capturar cada
aplicación o, en capturar cada aplicación o, en su defecto su defecto existe una relación de
programas? existe una relación de programas?

CONTROL DE CONTROL DE OPERACIÓN OPERACIÓN

La eficiencia y el La eficiencia y el costo de la operación de un costo de la operación de un sistema

de cómputo se sistema de cómputo se ven fuertemente ven fuertemente afectados por la calidad e
afectados por la calidad e integridad de la integridad de la documentación requerida para el proceso
documentación requerida para el proceso en en la la computadora. computadora.
El objetivo del El objetivo del presente ejemplo de presente ejemplo de cuestionario cuestionario es
señalar los procedimientos e es señalar los procedimientos e instructivos formales de instructivos
formales de operación, analizar operación, analizar su estandarización y evaluar el su
estandarización y evaluar el cumplimiento cumplimiento de los mismos. de los mismos.

1. ¿Existen 1. ¿Existen procedimientos formales para la procedimientos formales para la operación

del sistema de operación del sistema de computo? computo? SI ( ) NO ( ) SI ( ) NO ( )

2. ¿Están 2. ¿Están actualizados los procedimientos? actualizados los procedimientos? SI ( ) NO ( )

SI ( ) NO ( )

3. Indique la periodicidad de 3. Indique la periodicidad de la actualización la actualización de los

procedimientos: de los procedimientos:

Semestral ( ) Semestral ( ) Anual ( ) Anual ( ) Cada vez que haya cambio de Cada vez que haya
cambio de equipo ( ) equipo ( )

4. Indique el contenido de los 4. Indique el contenido de los instructivos de instructivos de operación

para cada operación para cada aplicación: aplicación:

Identificación del Identificación del sistema ( ) sistema ( ) Identificación del programa ( )

Identificación del programa ( ) Periodicidad y duración de la corrida ( ) Periodicidad y duración de
la corrida ( ) Especificación de formas especiales ( ) Especificación de formas especiales ( )
Especificación de cintas de impresoras ( Especificación de cintas de impresoras ( ) ) Etiquetas de
archivos de salida, nombre, ( ) Etiquetas de archivos de salida, nombre, ( ) archivo lógico, y fechas
de creación y archivo lógico, y fechas de creación y expiración expiración Instructivo sobre
materiales Instructivo sobre materiales de entrada y de entrada y salida ( ) salida ( ) Altos
programados y la acciones Altos programados y la acciones requeridas ( requeridas ( ) ) Instructivos
específicos Instructivos específicos a los operadores en caso de falla del equipo ( a los operadores en
caso de falla del equipo ( ) ) Instructivos de reinicio ( ) Instructivos de reinicio ( ) Procedimientos de
recuperación para Procedimientos de recuperación para proceso de proceso de gran duración o
criterios ( ) gran duración o criterios ( ) Identificación de todos los Identificación de todos los
dispositivos de la máquina a ser usados ( ) dispositivos de la máquina a ser usados ( )
Especificaciones de resultados Especificaciones de resultados (cifras de control, registros de (cifras
de control, registros de salida por salida por archivo, etc. ) archivo, etc. ) ( ) ( )

5. ¿Existen 5. ¿Existen órdenes de proceso para cada órdenes de proceso para cada corrida en la
computadora corrida en la computadora (incluyendo (incluyendo pruebas, pruebas, compilaciones y
producción)? compilaciones y producción)? SI ( ) NO ( ) SI ( ) NO ( )

6. ¿Son suficientemente 6. ¿Son suficientemente claras para los claras para los operadores estas
órdenes? operadores estas órdenes? SI ( ) NO ( ) SI ( ) NO ( )

7. ¿Existe una 7. ¿Existe una estandarización de las ordenes estandarización de las ordenes de
proceso? de proceso? SI ( ) NO ( ) SI ( ) NO ( )

8. ¿Existe un control 8. ¿Existe un control que asegure la que asegure la justificación de los procesos
en el justificación de los procesos en el computador? computador? (Que los procesos que se están
(Que los procesos que se están autorizados y tengan una autorizados y tengan una razón de ser razón
de ser procesados. procesados. SI ( ) NO ( ) SI ( ) NO ( )

9. ¿Cómo 9. ¿Cómo programan los operadores los programan los operadores los trabajos dentro del
departamento de trabajos dentro del departamento de cómputo? cómputo? Primero que entra,
primero que sale ( ) Primero que entra, primero que sale ( ) se respetan las prioridades, ( ) se
respetan las prioridades, ( ) Otra (especifique) ( ) Otra (especifique) ( )

10. ¿Los retrasos o 10. ¿Los retrasos o incumplimiento con el incumplimiento con el programa de
operación diaria, se programa de operación diaria, se revisa y revisa y analiza? analiza? SI ( ) NO ( )
SI ( ) NO ( )

11. ¿Quién revisa 11. ¿Quién revisa este reporte en su caso? este reporte en su caso?

12. Analice la eficiencia con 12. Analice la eficiencia con que se ejecutan que se ejecutan los
trabajos dentro del departamento de los trabajos dentro del departamento de cómputo, tomando en
cuenta equipo y cómputo, tomando en cuenta equipo y operador, a operador, a través de inspección
visual, y través de inspección visual, y describa sus describa sus observaciones. observaciones.

13. ¿Existen 13. ¿Existen procedimientos escritos para la procedimientos escritos para la
recuperación del sistema recuperación del sistema en caso de falla? en caso de falla?

14. ¿Cómo se 14. ¿Cómo se actúa en caso de errores? actúa en caso de errores?

15. ¿Existen 15. ¿Existen instrucciones especificas para instrucciones especificas para cada proceso,
con las indicaciones cada proceso, con las indicaciones pertinentes? pertinentes?

16. ¿Se tienen 16. ¿Se tienen procedimientos específicos procedimientos específicos que indiquen al
operador que que indiquen al operador que hacer cuando hacer cuando un programa interrumpe su
ejecución u otras un programa interrumpe su ejecución u otras dificultades en proceso? dificultades
en proceso?

17. ¿Puede el operador 17. ¿Puede el operador modificar los datos de modificar los datos de
entrada? entrada?

18. ¿Se prohibe a 18. ¿Se prohibe a analistas y programadores analistas y programadores la
operación del sistema que la operación del sistema que programo o programo o analizo? analizo?

19. ¿Se prohibe al 19. ¿Se prohibe al operador modificar operador modificar información de
archivos o bibliotecas de información de archivos o bibliotecas de programas? programas?

20. ¿El operador realiza 20. ¿El operador realiza funciones de funciones de mantenimiento
mantenimiento diario en dispositivos que así diario en dispositivos que así lo requieran? lo
requieran?

21. ¿Las intervenciones 21. ¿Las intervenciones de los operadores: de los operadores:

Son muy numerosas? SI ( ) NO ( Son muy numerosas? SI ( ) NO ( ) ) Se limitan los mensajes

esenciales? SI ( ) NO Se limitan los mensajes esenciales? SI ( ) NO ( ) ( ) Otras Otras
(especifique)___________________________________
(especifique)___________________________________

22. ¿Se tiene un control 22. ¿Se tiene un control adecuado sobre los adecuado sobre los sistemas y
programas que están en sistemas y programas que están en operación? operación? SI ( ) NO ( ) SI ( )
NO ( ) 23. ¿Cómo controlan los trabajos dentro del 23. ¿Cómo controlan los trabajos dentro del
departamento de cómputo? departamento de cómputo?

24. ¿Se rota al personal 24. ¿Se rota al personal de control de de control de información con los
operadores procurando información con los operadores procurando un un entrenamiento
entrenamiento cruzado y evitando la cruzado y evitando la manipulación fraudulenta de
manipulación fraudulenta de datos? datos? SI ( ) NO ( ) SI ( ) NO ( )

25. ¿Cuentan los 25. ¿Cuentan los operadores con una bitácora operadores con una bitácora para
mantener registros de para mantener registros de cualquier evento y cualquier evento y acción
tomada por ellos? acción tomada por ellos? Si ( ) Si ( ) por máquina ( ) por máquina ( ) escrita
manualmente ( ) escrita manualmente ( ) NO ( ) NO ( ) 26. Verificar que exista un registro de 26.
Verificar que exista un registro de funcionamiento que muestre el tiempo de funcionamiento que
muestre el tiempo de paros y mantenimiento paros y mantenimiento o instalaciones de o
instalaciones de software. software.

27.¿Existen 27.¿Existen procedimientos para evitar las procedimientos para evitar las corridas de
programas no corridas de programas no autorizados? autorizados? SI ( ) NO ( ) SI ( ) NO ( )

28. ¿Existe un plan 28. ¿Existe un plan definido para el cambio de definido para el cambio de turno
de operaciones que turno de operaciones que evite el descontrol y evite el descontrol y
discontinuidad de la discontinuidad de la operación. operación.

29. Verificar que sea razonable 29. Verificar que sea razonable el plan para el plan para coordinar el
cambio de coordinar el cambio de turno. turno.

30. ¿Se hacen 30. ¿Se hacen inspecciones periódicas de inspecciones periódicas de muestreo?
muestreo? SI ( ) NO ( ) SI ( ) NO ( )

31. Enuncie los procedimientos 31. Enuncie los procedimientos mencionados mencionados en el
inciso anterior: en el inciso anterior:

32. ¿Se permite a los 32. ¿Se permite a los operadores el acceso a operadores el acceso a los
diagramas de los diagramas de flujo, programas fuente, etc. flujo, programas fuente, etc. fuera del
departamento de fuera del departamento de cómputo? cómputo? SI ( ) NO ( ) SI ( ) NO ( )

33. ¿Se controla 33. ¿Se controla estrictamente el acceso a la estrictamente el acceso a la
documentación de programas o documentación de programas o de de aplicaciones rutinarias?
aplicaciones rutinarias? SI ( ) NO ( ) SI ( ) NO ( ) ¿Cómo? ¿Cómo?
________________________________________________
________________________________________________
34. Verifique que los 34. Verifique que los privilegios del operador privilegios del operador se
restrinjan a aquellos que le son se restrinjan a aquellos que le son asignados asignados a la
clasificación de seguridad de a la clasificación de seguridad de operador. operador.

35. ¿Existen 35. ¿Existen procedimientos formales que se procedimientos formales que se deban
observar antes de que sean deban observar antes de que sean aceptados aceptados en operación,
sistemas nuevos o en operación, sistemas nuevos o modificaciones a modificaciones a los mismos?
los mismos? SI ( ) NO ( ) SI ( ) NO ( )

36. ¿Estos 36. ¿Estos procedimientos incluyen corridas procedimientos incluyen corridas en paralelo
de los sistemas en paralelo de los sistemas modificados con modificados con las versiones
anteriores? las versiones anteriores? SI ( ) NO ( ) SI ( ) NO ( )

37. ¿Durante cuanto 37. ¿Durante cuanto tiempo? tiempo?

38. ¿Que precauciones se 38. ¿Que precauciones se toman durante el toman durante el periodo de
implantación? periodo de implantación?

39. ¿Quién da la 39. ¿Quién da la aprobación formal cuando aprobación formal cuando las corridas
de prueba de un las corridas de prueba de un sistema sistema modificado o nuevo están acordes con
los modificado o nuevo están acordes con los instructivos de operación. instructivos de operación.

40. ¿Se catalogan los 40. ¿Se catalogan los programas liberados programas liberados para
producción rutinaria? para producción rutinaria? SI ( ) NO ( ) SI ( ) NO ( )

41. Mencione que instructivos 41. Mencione que instructivos se se proporcionan a las personas que
intervienen proporcionan a las personas que intervienen en la en la operación rutinaria de un
sistema. operación rutinaria de un sistema.

42. Indique que tipo de 42. Indique que tipo de controles tiene sobre controles tiene sobre los
archivos magnéticos de los los archivos magnéticos de los archivos de archivos de datos, que
aseguren la utilización de los datos, que aseguren la utilización de los datos precisos en los procesos
datos precisos en los procesos correspondientes. correspondientes.

43. ¿Existe un lugar 43. ¿Existe un lugar para archivar las para archivar las bitácoras del sistema del
equipo de bitácoras del sistema del equipo de cómputo? cómputo? SI ( ) NO ( ) SI ( ) NO ( )

44. Indique como está 44. Indique como está organizado este organizado este archivo de archivo de
bitácora. bitácora.

Por fecha ( ) Por fecha ( ) por fecha y hora ( por fecha y hora ( ) ) por turno de por turno de
operación ( ) operación ( ) Otros ( ) Otros ( )

45. ¿Cuál es la 45. ¿Cuál es la utilización sistemática de las utilización sistemática de las bitácoras?
bitácoras?

46. ¿Además de 46. ¿Además de las mencionadas las mencionadas anteriormente, que otras
funciones o anteriormente, que otras funciones o áreas se áreas se encuentran en el departamento de
cómputo encuentran en el departamento de cómputo actualmente? actualmente?
47. Verifique que se lleve un 47. Verifique que se lleve un registro de registro de utilización del
equipo diario, sistemas en línea utilización del equipo diario, sistemas en línea y y batch, de tal
manera que se pueda medir la batch, de tal manera que se pueda medir la eficiencia del eficiencia
del uso de equipo. uso de equipo.

48. ¿Se tiene inventario 48. ¿Se tiene inventario actualizado de los actualizado de los equipos y
terminales con su equipos y terminales con su localización? localización? SI ( ) NO ( ) SI ( ) NO ( )

49. ¿Cómo se 49. ¿Cómo se controlan los procesos en controlan los procesos en línea? línea?

50. ¿Se tienen seguros sobre 50. ¿Se tienen seguros sobre todos los todos los equipos? equipos? SI
( ) NO ( ) SI ( ) NO ( )

51. ¿Conque 51. ¿Conque compañía? compañía? Solicitar pólizas de seguros y Solicitar pólizas de
seguros y verificar tipo de verificar tipo de seguro y seguro y montos. montos.

52. ¿Cómo se 52. ¿Cómo se controlan las llaves de acceso controlan las llaves de acceso
(Password)?. (Password)?.

CONTROLES DE CONTROLES DE SALIDA SALIDA

1. ¿Se tienen copias de 1. ¿Se tienen copias de los archivos en otros los archivos en otros locales?
locales?

2. ¿Dónde se 2. ¿Dónde se encuentran esos locales? encuentran esos locales?

3. ¿Que seguridad 3. ¿Que seguridad física se física se tiene en esos tiene en esos locales? locales?

4. ¿Que confidencialidad 4. ¿Que confidencialidad se tiene en esos se tiene en esos locales? locales?

5. ¿Quién entrega 5. ¿Quién entrega los documentos de salida? los documentos de salida?

6. ¿En que forma se 6. ¿En que forma se entregan? entregan?

7. ¿Que 7. ¿Que documentos? documentos?

8. ¿Que controles se 8. ¿Que controles se tienen? tienen?

9. ¿Se tiene un 9. ¿Se tiene un responsable (usuario) de la responsable (usuario) de la información de

cada sistema? información de cada sistema? ¿Cómo se ¿Cómo se atienden solicitudes de
información atienden solicitudes de información a otros a otros usuarios del mismo sistema?
usuarios del mismo sistema?

10. ¿Se destruye la 10. ¿Se destruye la información utilizada, o información utilizada, o bien que se
hace con bien que se hace con ella? ella?

Destruye ( ) Vende ( ) Tira ( ) Destruye ( ) Vende ( ) Tira ( ) Otro Otro

______________________________ ______________________________
CONTROL DE MEDIOS DE CONTROL DE MEDIOS DE ALMACENAMIENTO
ALMACENAMIENTO MASIVO MASIVO

Los dispositivos de Los dispositivos de almacenamiento almacenamiento representan, para cualquier

centro de representan, para cualquier centro de cómputo, archivos extremadamente cómputo,
archivos extremadamente importantes cuya importantes cuya pérdida parcial o total pérdida parcial
o total podría tener repercusiones podría tener repercusiones muy serias, no muy serias, no sólo en la
unidad de informática, sólo en la unidad de informática, sino en la sino en la dependencia de la cual
se presta servicio. dependencia de la cual se presta servicio. Una Una dirección de informática bien
dirección de informática bien administrada debe tener perfectamente administrada debe tener
perfectamente protegidos estos dispositivos de protegidos estos dispositivos de almacenamiento,
además de mantener almacenamiento, además de mantener registros registros sistemáticos de la
utilización de sistemáticos de la utilización de estos archivos, estos archivos, de modo que servirán
de base de modo que servirán de base a registros a registros sistemáticos de la utilización de
sistemáticos de la utilización de estos archivos, estos archivos, de modo que sirvan de base a de
modo que sirvan de base a los programas de limpieza (borrado los programas de limpieza (borrado
de de información), principalmente en el caso de las información), principalmente en el caso de las
cintas. cintas.

Además se deben tener Además se deben tener perfectamente perfectamente identificados los
carretes para reducir la identificados los carretes para reducir la posibilidad de utilización errónea o
posibilidad de utilización errónea o destrucción de la información. destrucción de la información.

Un manejo adecuado de estos Un manejo adecuado de estos dispositivos dispositivos permitirá una
operación más permitirá una operación más eficiente y eficiente y segura, mejorando además los
tiempos de segura, mejorando además los tiempos de procesos. procesos.

CONTROL DE ALMACENAMIENTO CONTROL DE ALMACENAMIENTO MASIVO

MASIVO

OBJETIVOS OBJETIVOS

El objetivo de este El objetivo de este cuestionario es evaluar la cuestionario es evaluar la forma

como se administran los dispositivos forma como se administran los dispositivos de de
almacenamiento básico de la almacenamiento básico de la dirección. dirección.

1. Los locales asignados a la 1. Los locales asignados a la cintoteca y cintoteca y discoteca tienen:
discoteca tienen:

Aire acondicionado ( Aire acondicionado ( ) ) Protección contra el Protección contra el fuego ( )

fuego ( ) (señalar que tipo de (señalar que tipo de protección protección )
__________________________________ )__________________________________ Cerradura
especial ( Cerradura especial ( ) ) Otra Otra

2. ¿Tienen la cintoteca 2. ¿Tienen la cintoteca y discoteca protección y discoteca protección

automática contra el automática contra el fuego? fuego? SI ( ) NO ( ) SI ( ) NO ( ) (señalar de que
(señalar de que tipo)___________________________________________
tipo)___________________________________________
3. ¿Que 3. ¿Que información mínima contiene el información mínima contiene el inventario de la
inventario de la cintoteca y la discoteca? cintoteca y la discoteca?

Número de serie o Número de serie o carrete ( ) carrete ( ) Número o clave del usuario ( ) Número o
clave del usuario ( )

Control de Calidad China www.v-trust.com

Inicio Inicio Descarga Descarga Buscar Buscar