Usted es el CISO responsable de la Seguridad de la información y en el Grupo A.

Formule sus opiniones acerca de:

Fortalezas, debilidades y recomendaciones de:

 Los informes de sistemas a la dirección ejecutiva.

 La forma en que Melinda cumple sus responsabilidades de administrar
los Sistemas de Información.
 La función de programación.
 La función de las operaciones.
 La función del control de los datos.

Fuente: Reproducido del mismo caso en el libro Auditoria. Un Enfoque Integral

de Arens, Elder, Beasley. Prentice Hall.
Caso No. 1
El Departamento de Sistemas de
Informacio n del Grupo A.
El departamento de Sistemas de Información del Grupo A. está compuesto por 8
empleados, incluyendo al Gerente de Sistemas de Información, Melinda Gutiérrez.
Melinda es responsable de la supervisión diaria de la función de Sistemas de
Información y le reporta al director de operaciones de la entidad. El director de
operaciones es un vicepresidente ejecutivo responsable de todas las operaciones de
ventas al por menor. El director de operaciones le reporta directamente al presidente y
director general. El director de operaciones asiste a las asambleas del consejo de
directores para proporcionar una perspectiva actualizada de los temas claves de
desempeño en la operación. Ya que Melinda tiene una función activa en el manejo del
departamento de Sistemas de Información, el director de operaciones rara vez analiza
los temas de Sistemas de Información con el consejo de directores o el director
general. Melinda y el director de operaciones identifican las necesidades de hardware y
software y están autorizados para aprobar las compras pertinentes.

Aparte de Melinda, el departamento de Sistemas de Información está conformado por

otras siete personas: tres programadores, tres operadores y un operador de el control
de datos. Melinda ha trabajado para el Grupo A desde hace 12 años, y ha ascendido
continuamente a través de los diversos puestos del departamento. Por fortuna, ella ha
sido capaz de conservar una plantilla de personal bastante estable y ha sufrido una
rotación mínima. Todo el personal de sistemas realiza verificaciones extensas a los
antecedentes de los empleados prospectos, incluso sus referencias, créditos y
antecedentes penales. Melinda ha desarrollado una confianza con cada uno de los
empleados y por ende delega ampliamente a cada individuo.
Esto es en particular beneficioso, porque Melinda dedica la mayor parte de su tiempo
para trabajar con los departamentos usuarios dentro de su función de analista de
sistemas, identificando los cambios necesarios para las aplicaciones existentes. Lleva a
cabo sus reuniones semanales del departamento de Sistemas de Información cada
martes por la mañana, a las que cada miembro del personal asiste, incluso los
operadores nocturnos para debatir los temas que afectan el desempeño del
departamento.

Los tres programadores son responsables de mantener y actualizar los sistemas y el

software de aplicación. El programador líder es responsable de distribuir las
responsabilidades entre el personal de programación. Los tres programadores cuentan
con amplia experiencia en el software de operación, de utilería, de seguridad y de
archivos, así como en todos los paquetes de software de aplicación en la entidad. Las
asignaciones de programación se hacen con base en quien esté menos ocupado de
entre todos los miembros del personal en cada ocasión. Este método de administración
mantiene a todos los programadores familiarizados con la mayoría de los paquetes de
software que se usan en la entidad y mantienen a los programadores emocionados por
las tareas a realizar a causa de la variedad de las asignaciones que reciben. Melinda
anima a cada programador a continuar con su formación profesional mediante cursos
para mantenerse al corriente de los últimos avances técnicos. Además de las
responsabilidades de programación, el personal mantiene extensos registros de las
cintas en uso y de los cambios hechos a los archivos de personal.

Los tres operadores constan de un operador diurno y dos nocturnos. La mayoría de las
aplicaciones se basan en las entradas en línea provenientes de los diversos
departamentos usuarios para el procesamiento aun cuando durante el día ocurre parte
del procesamiento de la nómina y de las aplicaciones del libro de contabilidad general.
Todos los operadores son responsables de vigilar la operación del equipo y de corregir
los errores causados por el sistema. Es más, realizan procedimientos de respaldo
mensuales como rutina. Los operadores de computación cuentan con experiencia en
programación en el lenguaje usado en los programas de aplicación. Ocasionalmente
cuando un pequeño cambio se ha identificado para un programa de aplicación, Melinda
pide al operador diurno ejecutar el cambio para evitar sobrecargar el trabajo al personal
de programación. Los operadores siguen un calendario de producción preparado por
Melinda, quien consulta con los departamentos usuarios para desarrollarlo. El operador
del turno diurno revisa la bitácora de los trabajos procesados (la cual detalla
cronológicamente los trabajos procesados) que se generan al final del turno nocturno
anterior para conocer las desviaciones al calendario y el operador nocturno
responsable revisa la bitácora generada al final del turno diurno en busca de
desviaciones del calendario. Si los trabajos procesados concilian con el calendario, la
bitácora de los trabajos procesados se descarta. Cuando aparecen desviaciones, el
operador que realiza la revisión entrega una copia a Melinda, y le hace notar las
desviaciones. Antes de ejecutar los trabajos en procesamiento de lotes, los operadores
generan un informe en forma de listado que resume el número de entradas en línea
presentadas durante el día para su procesamiento. Este número se registra y
posteriormente es comparado por los operadores con la salida computarizada
generada después de que ocurren el procesamiento del lote y la actualización del
archivo. De esta manera se verifica, la cifra del número de transacciones procesadas.
Cuando los números no coinciden, los operadores identifican el error y vuelven a
presentar la aplicación para su procesamiento.

Los funcionarios de control de datos compaginan todos los informes computarizados,

incluso los informes de salida y los listados de excepción. El funcionario de control de
datos revisa los informes de excepción y prepara las formas de corrección para su
reprocesamiento. Los ejemplos de cambios que el funcionario de control de datos
pudiera emprender incluyen correcciones de los errores de entrada (es decir, los
montos transpuestos por accidente) y la preparación de las formas de solicitud de
cambios para el inventario en el archivo maestro de ventas y agregando los nombres,
direcciones y número del seguro social de los empleados nuevos al archivo de
nomina). Después de realizar todas las correcciones, el funcionario de control de datos
distribuye el informe de salida computarizado a los diversos departamentos usuarios.
Todos los departamentos usuarios tienen una alta deferencia por el personal de
Sistemas. Los informes de salida se concilian con los informes de entrada de los
usuarios cada trimestre.